DMZ singkatan dari De-Militarized Zone adalah sebuah mekanisme untuk mengisolasi suatu jaringan untuk melindungi jaringan
internal didalamnya dari serangan-serangan pihak yang tidak bertanggung jawab seperti hacker atau cracker. DMZ
melakukan suatu perpindahan layanan dari suatu jaringan ke jaringan yang lain.
Salah satu contoh pengimplementasian dari DMZ yang sering dilakukan adalah dengan menempatkan sebuah Server lokal
dibelakang sebuah Firewall yang nantinya Server tersebut dapat diakses dari internet menggunakan ip publik milik si
Firewall. Jadi mekanismenya dengan cara pengalihan layanan milik Firewall ke layanan milik si Server.
Untuk kelas belajar ini, kita akan coba untuk mengalihkan layanan webserver komputer server kalian masing-masing
menuju webserver pusat repo.kelasbelajar.cilsy yang berada di ip address 192.168.5.2. Jadi kalau misalnya ip address
server debian kalian adalah 192.168.5.241, maka nanti ketika user lain mencoba mengakses webserver dari ip
192.168.5.241, yang terakses bukannya webserver kalian masing-masing, tetapi malah webserver ip address 192.168.5.2.
Buatlah script baru bernama iptables-dmz :
nano iptables-dmz
Dan masukanlah skrip yg di bawah ini di dalamnya :
!/bin/sh
#Memperbolehkan akses routing dan keluar jaringan
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#DMZ untuk DNS Server
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 53 -j DNAT --to 192.168.1.2:53
iptables -A INPUT -p udp -d 10.42.0.50 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.1.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -d 10.42.0.50 --dport 53 -j DNAT --to 192.168.1.2:53
#DMZ untuk webserver
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 80 -j DNAT --to 192.168.1.2:80
#DMZ untuk FTP aktif
iptables -A INPUT -p tcp -d 10.42.0.50 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 --dport 21 -j DNAT --to 192.168.1.2:21
#DMZ untuk FTP passive
iptables -A INPUT -p tcp -d 10.42.0.50 -m multiport --dports 5000:5005 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 -m multiport --dports 5000:5005 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 -m multiport --dports 5000:5005 -j DNAT --to 192.168.1.2
#DMZ untuk mail & webmail
iptables -A INPUT -p tcp -d 10.42.0.50 -m multiport --dports 25,143,80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 -m multiport --dports 25,143,80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 10.42.0.50 -m multiport --dports 25,143,80 -j DNAT --to 192.168.1.2
exit 0
exit 0
Beri hak akses executable filenya :
chmod +x iptables-dmz
Jalankan scriptnya :
./iptables-dmz
Simpan konfigurasinya :
iptables-save > /etc/network/iptables.conf
Sekarang cobalah untuk mengakses webserver kalian masing-masing. :)
0 comments:
Posting Komentar