Konfigurasi Internet Gateway + DHCP Server Berbasis Ubuntu Server
A. Konfigurasi NIC
A. Konfigurasi NIC
Sebelum melakukan konfigurasi NIC, perlu diperhatikan terlebih dahulu hal-hal berikut :
eth0 : <ip dan netmask red area> ---> misalnya 10.50.50.1 / 255.255.255.0
eth1 : <ip dan netmask green area> ---> misalnya 192.168.1.1 / 255.255.255.0
IP modem ADSL : apabila tdk ditentukan maka disesuaikan dengan eth0 hanya
saja menggunakan host-id “1”.
IP DNS 1 : 202.134.0.155
IP DNS 2 : 202.134.1.10
Pastikan komputer yang akan digunakan sebagai router memiliki 2 NIC yang berfungsi dengan baik.
Kemudian konfigurasi masing-masing NIC dengan mengikuti langkah berikut :
Jadilah root dengan mengetikkan :
sudo -s
Masukkan password anda jika diminta.,
Buka file konfigurasi NIC dengan mengetik :
nano /etc/network/interfaces
Isi dari file interfaces tersebut kurang lebih seperti ini :
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
Tambahkan baris berikut dibawah ini, perhatikan bahwa IP kedua ethernet device boleh diganti sesuai
kebutuhan yang penting keduanya harus memiliki network ID yang berbeda :
# The primary network interface
auto eth0
iface eth0 inet static
address <ip eth0>
netmask <isi sesuai kebutuhan>
gateway <ip modem ADSL>
auto eth1
iface eth1 inet static
address <ip eth1>
netmask <isi sesuai kebutuhan>
Untuk menyimpan dan keluar dari editor ketik CTRL+X, tekan Y dan enter.
Edit file /etc/resolv.conf untuk mengkonfigurasi DNS (name server). Caranya :
nano /etc/resolv.conf
Kemudian ketik baris dibawah ini :
nameserver <ip DNS 1>
nameserver <ip DNS 2>
B. Konfigurasi Host
Edit file informasi hostname di /etc/hostsC. IP Forwarding
nano /etc/hosts
Sesuaikan isi file hosts dengan ip eth1 sehingga terlihat seperti dibawah ini :
127.0.0.1 localhost.localdomain localhost server
<ip eth1> router.almadani.local router
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
Kemudian restart network daemon / service dari networking.
/etc/init.d/networking restart
Test hasil konfigurasi dengan melakukan ping ke masing-masing ip eth.
Agar paket data dapat diteruskan melalui eth1 ke eth0 dan sebaliknya, maka kita perlu melakukan ipD. IP Masquerading
forwarding.
echo 1 > /proc/sys/net/ipv4/ip_forward
IP Masquerading diperlukan untuk membuat NAT (Network Address Translation), dimana berguna agarE. Setting repository Ubuntu.
ip private yang digunakan internal network dapat mengakses internet (public area).
Pertama-tama sebelum melakukan konfigurasi NAT, pastikan settingan iptables dikosongkan terlebih
dahulu agar tidak terjadi salah konfigurasi.
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Kemudian baru lakukan konfigurasi NAT menggunakan iptables dengan cara mengetikkan :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save > /etc/iptables.conf
Konfigurasi yang kita buat hanya bersifat sementara, sehingga akan hilang setiap komputer di restart
atau dimatikan. Untuk itu kita perlu membuat script yang akan menjalankan konfigurasi ip forwarding
dan ip masquerading tersebut :
nano /etc/init.d/iptables
Ketikkan perintah dibawah ini :
#! /bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore < /etc/iptables.conf
Simpan file, dan kemudian script tersebut kita buat executable (bisa di eksekusi) :
chmod +x /etc/init.d/iptables
Kemudian kita buat script tersebut dijalankan pada saat boot dengan mengetikkan perintah :
update-rc.d iptables defaults
Restart komputer dan test (ping) koneksi ke server melalui client.
Repository merupakan istilah untuk menamakan suatu server yang dikonfigurasi sedemikian rupa
sehingga dapat bertindak sebagai “gudang” virtual tempat penyimpanan software-software penunjang
sistem operasi linux (dalam hal ini Ubuntu), sehingga pengguna dapat dengan mudah melakukan
instalasi software yang diinginkan tanpa perlu repot-repot mencarinya di internet.
Agar repository dapat digunakan, perlu dilakukan konfigurasi terlebih dahulu pada sistem operasi
ubuntu kita. Cara berikut merupakan cara yang sudah dipermudah, sehingga tidak terlalu teknis.
Caranya adalah :
Masuk ke dalam folder yang menyimpan file konfigurasi repository dan backup file konfigurasi aslinya
ke folder home.
cd /etc/apt/
mv sources.list /home/<user>/ → ganti <user> dengan user login anda yang sesuai.
Kemudian download file konfigurasi dari server.
wget ftp://10.88.88.99/pub/sources.list
Lakukan update index paket repository.
apt-get update
Jika tidak ada error, maka repository siap digunakan. Lanjutkan ke langkah berikutnya.
F. Install DHCP server
Install dhcp3 server dengan mengetikkan perintah :
apt-get install dhcp3-server
Kemudian backup konfigurasi asalnya :
cp /etc/dhcp3/dhcpd.conf /etc/dhcp3/dhcpd.conf.bak
Edit file /etc/dhcp3/dhcpd.conf dengan cara :
sudo nano /etc/dhcp3/dhcpd.conf
Dan copy sesuaikan isinya dengan konfigurasi dibawah ini :
authoritative;
subnet <network address ip eth1> netmask <sesuai ip eth1> {
range <sesuaikan dengan ip eth1>;
option domain-name-servers <ip DNS 1>,<ip DNS 2>;
option routers <ip eth1>;
default-lease-time 600;
max-lease-time 7200;
}
Pada option domain-name-servers, ganti isian DNS 1 dan DNS 2 sesuai dengan yang telah anda isi di
file resolv.conf .
Jalankan dhcp server dengan perintah :
/etc/init.d/dhcp3-server start
Lakukan test terhadap fungsi dhcp server melalui komputer client, caranya ketik :
dhclient
Kemudian cek ip yang terdeteksi dengan ifconfig, jika sesuai dengan range pada konfigurasi DHCP
server, maka berarti anda telah berhasil.
Konfigurasi Router NAT pada windows 2000 server
Network Address Translation (NAT) adalah suatu teknik untuk mengubah suatu IP address ke IP address yg lain. Hal ini bisa dikarenakan karena di jaringan kita mengunakan network address yg disebut private address space di RFC 1918, yaitu:
10.0.0.0 – 10.255.255.255 (10/8 prefix)
172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
192.168.0.0 – 192.168.255.255 (192.168/16 prefix)
Dan karena ini adalah private address, jaringan kita tentunya tidak dapat berkomunikasi dgn jaringan lain di Internet, karena semua host yg ingin terkoneksi di Internet harus menggunakan global atau public IP address. Untuk ini kita perlu men-translate IP address kita yg private menjadi public IP address.
Alasan lain untuk menggunakan NAT adalah security. Kita bisa men-translate seluruh jaringan kita (missal 254 PC) menjadi 1 public IP. Teknik ini disebut many-to-one NAT atau biasa disebut Port Address Translation (PAT). Teknik ini sangat bermanfaat jika kita menginginkan user di jaringan kita untuk meng-inisiasi koneksi ke Internet (browsing internet atau mengirim email misalnya), tapi kita tidak menginginkan host dari Internet untk meng-inisiasi koneksi ke PC user kita.
Host dari Internet tidak bisa meng-inisiasi koneksi ke internal host kita karena hanya ada 1 public IP address yg terlihat di jaringan kita, sedangkan jumlah PC yg sebenarnya ada lebih dari 1. Tentunya jika PC kita yg meng-inisiasi, maka reply atau return packet akan bisa
kembali karena device yg kita gunakan untuk melakukan NAT, akan memiliki mapping table dari NAT yg terjadi di jaringan.
Untuk kasus one-to-one NAT, dimana 1 private IP akan di-translate menjadi 1 global IP, maka mapping nya akan spt berikut:
Router#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
— 195.1.134.1 192.168.1.1 — —
— 195.1.134.2 192.168.1.2 — —
Dalam contoh ini, IP private 192.168.1.1 di-translate ke public IP 195.1.134.1, IP private 192.168.1.2 di-translate ke public IP 195.1.134.2 dst.
Inside local adalah terminologi utk real IP address PC di jaringan kita, sedangkan Inside Global adalah public IP address yg kita gunakan untuk men-translasi real IP address tsb.
Outside local adalah local IP address dari tujuan kita sebagaimana kita melihatnya dari jaringan kita. Sedangkan Outside global adalah global IP address dari tujuan kita yg terlihat di Internet.
Ini bermanfaat utk destination based NAT, sbg contoh sbg berikut:
Ada server di Internet dgn global IP address 11.11.11.11, tapi kita ingin semua users di jaringan kita utk melihat server tsb sbg 192.168.1.11
Maka kita bisa melakukan destination based NAT, dgn outside local adalah 192.168.1.11 dan outside global, IP address tujuan yg sebenernya, adalah 11.11.11.11.
Jika kita tidak melakukan destination based NAT, maka outside local dan outside global dari tujuan kita akan sama, yaitu public IP tujuan yg sebenernya, dan ini bisa dilihat di contoh mapping PAT.
Untuk contoh many-to-one NAT atau PAT, dimana banyak real IP dari PC kita di-translate menjadi 1 public IP, maka contoh mapping nya sbg berikut:
Router#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
tcp 195.1.134.4:12338 192.168.1.3:12338 33.33.33.33:23 33.33.33.33:23
tcp 195.1.134.4:12337 192.168.1.2:12337 22.22.22.22:23 22.22.22.22:23
Dalam contoh ini, kita melakukan telnet (destination tcp port 23) ke remote host 22.22.22.22
dari private IP 192.168.1.2, dan telnet ke remote host 33.33.33.33 dari private IP 192.168.1.3.
Kita bisa lihat bahwa ke-2 private IP kita di-translate ke public IP yg sama, yaitu 195.1.134.4. Yg membedakan adalah source port yg digunakan di public IP.
Jadi di mapping ini terlihat bahwa koneksi dari 192.168.1.2 di map ke 195.1.134.4 port 12337, sedangkan koneksi dari 192.168.1.3 di map ke 195.1.134.4 port 12338.
Dgn adanya mapping ini, remote host 22.22.22.22 ketika mengirimkan paket reply (ingat di TCP/IP reply dari remote host destination portnya ditujukan ke source port dari host kita), akan mengirimkan paket ke 195.1.134.4 port 12337. Sedangkan reply packet dari 33.33.33.33 kan ke 195.1.134.4 port 12338.
Berdasarkan mapping tadi, NAT device atau router yg melakukan map bisa mengetahui bahwa packet reply dari 22.22.22.22 harus dikirimkan ke host 192.168.1.2 dan paket reply dari 33.33.33.33 harus dikirimkan ke host 192.168.1.3
Dari ke-2 contoh di atas kelihatan bahwa untuk normal NAT atau one-to-one NAT, setiap private IP akan memiliki public IP sendiri sehingga setiap host di jaringan kita masih bisa di hubungi dari luar. Host dari Internet masih bisa utk menghubungi tiap host kita karena
mereka memiliki public IP yg berbeda-beda.
Namun untuk kasus many-to-one NAT atau PAT, host dari Internet tidak dapat menghubungi setiap host karena semua host memiliki 1 public IP yg sama. Host dari internet hanya bisa me-reply koneksi dari host kita berdasarkan source port yg berbeda-beda.
Ok, langsung masuk contoh konfigurasi biar makin jelas. Contoh dilakukan dgn menggunakan Cisco router dgn 1 ethernet interface konek ke internal network dan 1 serial interface konek ke Internet. Kalo udah ngerti konsepnya bisa pake NAT device apa aja, gue sendiri buat memproteksi home lab gue pake OpenBSD PF.
Topologi:
Internal network – (eth0) router (s0/0) – internet
Internal network kita menggunakan private IP 192.168.1.0/24. IP address eth0 router kita 192.168.1.1 yg merupakan default gateway dari semua host di internal network.
1. Many-to-one PAT, semua private IP ke 1 public IP address Kita cuma dapet 1 IP address dari ISP 195.1.134.2/30 yg juga merupakan IP address serial 0/0, router ISP kita menggunakan IP 195.1.134.1 yg juga merupakan default route router kita.
Maka konfigurasi PAT sbg berikut:
- Buat ACL yg mem-permit semua network 192.168.1.0/24
Router(config)#ip access-list standard internal_network
Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255
- Bikin NAT rule untuk mentranslate net 192.168.1.0/24 ke 195.1.134.2 yg merupakan IP address s0/0
Router(config)#ip nat inside source list internal_network interface s0/0 overload
- enable NAT di interface e0/0 dan s0/0
Router(config)#int e0/0
Router(config-if)#ip nat inside
Router(config)#int s0/0
Router(config-if)#ip nat outside
2. ISP kita ternyata memberikan kita public IP 195.1.134.0/24, yg berarti range public IP yg bisa kita gunakan adalah 195.1.134.1 – 195.1.134.254. Ini berarti kita bisa melakukan one-to-one NAT, contoh:192.168.1.1 ke 195.1.134.1
192.168.1.2 ke 195.1.134.2, dst.
Maka konfigurasi yg perlu dilakukan hanya:
Router(config)#ip nat inside source static network 192.168.1.0 195.1.134.0 /24
Tentunya enable NAT di e0/0 dan s0/0 spt contoh no.1
3. Kalo gak dapet persis 254 public IP gimana? Misal dapetnya 195.1.134.0/29, yg berarti range public IP yg bisa digunakan adalah 195.1.134.1-195.1.134.6 (ingat dgn /29 ada total 8 IP dari 0 sampai 7, tapi 0 adalah network address dan 7 sebagai IP terakhir merupakan
broadcast address).
Jika kita mau mentranslate net 192.168.1.0/24 ke range IP 195.1.134.1-195.1.134.6
- bikin NAT pool
Router(config)#ip nat pool public_IP 195.1.134.1 195.1.134.6 netmask 255.255.255.248
- bikin NAT rule, pake ACL internal_network spt contoh no.1 buat permit semua internal net 192.168.1.0/24
Router(config)#ip nat inside source list intenal_network pool public_IP
Jgn lupa enable NAT di e0/0 dan s0/0 spt contoh no.1
4. Ada masalah dgn contoh no.3? Ada.
Dalam 1 waktu, hanya ada 6 internal private IP yg bisa di translate ke 6 public IP. Jadi koneksi dari internal host ke 7 akan gagal dan harus menunggu sampai translation mapping timeout dan di clear, sehingga public ip kembali tersedia.
Cara mengatasinya, kita bisa bikin pool dgn 5 public IP address, dan 1 IP terakhir buat PAT. IP terakhir, 195.1.134.6 digunakan sbg IP address utk interface s0/0
Router(config)#ip nat pool public_IP 195.1.134.1 195.1.134.5 netmask 255.255.255.248
Router(config)#ip nat inside source list internal_network pool public_IP
Router(config)#ip nat inside source list internal_network interface s0/0 overload
Dgn begini, 5 private IP yg pertama akan di translate ke 5 public IP di pool, sedangkan private IP yg lain akan di translate ke ip ke-6, yg merupakan ip address dari interface s0/0.
5. Ok, ayo masuk ke contoh yg lebih advance:
Kita punya 6 public IP dari range 195.1.134.1.- 195.1.134.6
IP address 195.1.134.4 kita gunakan sbg ip address interface s0/0 router kita
IP address 195.1.134.1 digunakan oleh router ISP interface s0/0, yg merupakan default gateway router kita
IP address 195.1.134.2 mau kita gunakan sbg ip address web server kita, dgn real IP 192.168.1.2
Dan IP addres 195.1.134.3 mau kita gunakan sbg ip address mail server kita, dgn real IP 192.168.1.3
Sisanya, 195.1.134.5 dan 6, akan kita pergunakan nanti jika kita punya server2 baru
- Bikin ACL buat semua network, access-list internal_network permit 192.168.1.0 0.0.0.255
- Konfigure PAT buat semua internal network ke interface s0/0
Router(config)#ip nat inside source list internal_network interface s0/0 overload
- Bikin one-to-one NAT buat web dan mail server
Router(config)#ip nat inside source static 192.168.1.2 195.1.134.2
Router(config)#ip nat inside source static 192.168.1.3 195.1.134.3
Jgn kuatir jika terjadi overlap antara static NAT diatas dgn PAT di konfigurasi sebelumnya. Static NAT akan meng-overide rule utk 192.168.1.2 dan 192.168.1.3, sehingga ke-2 IP tsb tidak akan di PAT meskipun termasuk dlm ACL internal_network.
Jgn lupa enable NAT di interface s0/0 dan e0/0 spt contoh no.1
Dan kalo kita punya IOS Firewall dan ACL ingress in interface s0/0, maka kita harus permit koneksi dari internet ke public IP web dan mail server kita, dgn port yg terkait spt tcp 80 dan 25. Jadi di ACL ingress s0/0 jgn gunakan real IP address.
6. Kita terkoneksi dgn ISP, router kita cuman dapet 1 public IP address buat interface s0/0 tapi punya web server dan mail server? Jgn kuatir, ini bisa dilakukan dgn teknik port redirection.
Jadi, bikin dulu PAT biar internal network kita bisa konek ke Internet
Router(config)#ip nat inside source list internal_network interface s0/0 overload
Trus bikin port redirection buat traffic ke port 80 dan 25, di contoh ini private IP web server kita tetap 192.168.1.2 dan mail server 192.168.1.3
Router(config)#ip nat inside source static tcp 192.168.1.2 80 interface s0/0 80
Router(config)#ip nat inside source static tcp 192.168.1.3 25 interface s0/0 25
Dgn cara begini, traffic yg datang ke public IP interface serial port 80 akan di redirect ke real IP web server 192.168.1.2, dan traffic yg datang ke serial port 25 akan di redirect ke real IP mail server 192.168.1.3
Tinggal daftar di public DNS server untuk web dan MX record mail server kita, untuk me-resolve ke public IP router interface s0/0. Keuntungan lain dgn cara PAT ke interface adalah kita bisa saja mendapatkan IP address yg berbeda-beda (dynamic IP) setiap kali konek ke ISP.
Dgn setingan di atas, kita tidak perlu kuatir IP kita akan berubah.
Hanya mungkin public IP yg kita daftarkan untuk web dan mail server di public DNS server harus selalu di-update sesuai dgn IP address yg sedang kita dapatkan.
Mulai kerasakan The Power of NAT?
Tidak ada komentar:
Posting Komentar