shorewall
Kalau anda agak sulit memahami iptables, anda bisa mengunakan toolnya diantaranya shorewall.
Untuk implementasi firewall deengan shorewall Anda harus mengkonfigurasi beberapa
file konfigurasi shorewall seperti file zones, interfaces, policy, masq, dan rules.
Semua file konfigurasi shorewall terletak dalam folder
/etc/shorewall. Untuk konfigurasi shorewall ikuti langkahlangkah berikut ini:
shorewall
rpm -ivh shorewall-1.4.5.noarch.rpm
extrak file shorewall.tgz
tar -xzvf shorewall.tgz -C /usr/local/src
pindahkan ke /etc/shorewall
cd /usr/loca/src/two-interfaces
mv -f * /etc/shorewall
hapus file startup_disable yang terdapat dalam direktori /etc/shorewall
rm -f /etc/shorewall/startup-disable
KONFIGURASI
/etc/shorewall/zones
file ini berisikan zona-zona, dimana setiap zona mendefenisikan dari suatu trafik berasal.
Pada konfgurasi dua interfaces akan terliha seperti ini
##############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
net -Net Internet
local _Local Local network
/etc/shorewall/policy
Untuk setiap trafik yg melalui firewall, trafik tersebut akan di cek berdasarkan rule yang
ada pada file /etc/shorewall/rules.
Jika jenis trafik tersebut tidak terdefenisikan pada file tersebut, maka kebijakan /etc/shorewall/policy
dan cocok dengan jenis trafiknya akan diterapkan.
Jika kebijakan adalah REJECT atau DROP, maka trafik tsb akan dicek terlebih dahulu mengunakan rule-rule yg
ada pada file /etc/shorewall/policy
###############################################################################
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
loc net ACCEPT
#if you want open access to internet from your firewall
#remove the comment from following line
#fw net ACCEPT
net all DROP info
all all REJECT info
#fw net ACCEPT
net all DROP info
all all REJECT info
1.mengizinkan semua permintaan koneksi jaringa local ke internet
2.mengabaikan semua permintaan koneksi dari internet ke frirewall atau jaringan local
dan mencatat semua aktifitas dari internet dalam level info syslog
3.meriject semua permintaan koneksi lainya dan mencatat pesan pada level info syslog.
Jika suatu permintaan di reject, firewall akan mengembalikan sebuah RST jika protokol
yang ditolak adalah TCP. Sedangkan protokol lain firewall akan mengirim sebuah paket
ICMP port_unreacheable.
/etc/shorewall/interfaces
File ini akan menentukan interface mana yg akan berhubungan dengan zona.
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect norfc1918
loc eth1 detect
Konfigurasi tsb berarti interface eth0 tergabung dalam jaringan internet
dan interface eth1 tergabung dalam jaringan local
Option detect berarti shorewall akan mendeteksi alamat broadcast dari inetface yg bersangkutan
Option norcf1918 akan membuat firewall mengabaikan semua paket yg berasal dari ip private yg datang melalui eth0
/etc/shorewall/masq
File ini akan mendefenisikan apakah jaringan local di masquerade atau tidak.
###############################################################################
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
eth0 eth1
#LAST LINE — ADD YOUR ENTRIES ABOVE THIS LINE — DO NOT REMOVE
berarti semua trafik yg masuk melalui eth1 akan di bungkus (masquerade) dengan ip yg terdapat pd interface eth0
/etc/shorewall/rules
File ini menentukan kebijakan yg diterapkan pada semua trafik yg melalui firewall.
Karena default policy dari shorewall adalh DROP untuk semua chain default (INPUT, FORWARD, OUTPUT)
maka perlu dibuat skenario kerja firewall agar dapat melayani permintaan internet dari jaringan lokal ke internet.
Serta mengamankan server dari jaringan luar dan jaringa dalam.
Yang pertama kali yg harus dilakukan dalam skenario ini adalah mendaftarkan semua protokol dan port
yg digunakan oleh aplikasi2 yg berjalan pd server warnet.
daftar aplikasi yg telah terinstall di server.
1. DNS TCP dan UDP 53
2. Proxy squid TCP 3128
3. Web server TCP 80
4. SNMP UDP 161
5. FTP TCP 20,21
6. SSH TCP 22
Kemudian buat rule yg mengatur semua trafik melalui firewall.
1.RULE UNTUK TRAFIK YG LEWAT DARI JARINGAN LOCAL KE FIREWALL
Dari datfar aplikasi yg telah terinstall pada server yg kita miliki maka kita akan memilah-milah
mana yang boleh diakses dari jaringan lokal, dan mana yg tidak boleh.
Semua aplikasi diatas dapat diakses oleh jaringa lokal kecuali SNMP. SNMP di install hanya akan digunakan
oleh server untuk meneangkap trafik yg lewat. Sehingga tidak perlu lagi bagi kita mengizinkan jaringan lokal
untuk mengakses aplikasi SNMP.
2.RULE UNTUK TRAFIK YG LEWAT DARI JARINGAN LOKAL KE INTERNET.
Untuk warnet biasanya default trafik yg lewat dari jaringan lokal ke internet di biarkan tetap ACCEPT
Setelah server di konfigurasi supaya dapat di masquerade IP Private pd jaringan lokal.
Untuk itu shorewall juga harus di konfigurasi agar dapat membungkus seluruh IP Private dgn mengunakan
fungsi MASQUERADE.
3.RULE TRAFIK YG LEWAT DARI FIREWALL KE JARINGAN LOKAL
Biasanya admin akan mengakases resource yg ada di lokal. Oleh karena itu perlu dibuat rule default ACCEPT
yng mengijinkan semua trafik dari firewall untuk mengakases resource yg ada pada jaringa lokal.
4.RULE TRAFIK YG LEWAT DARI FIREWALL KE INTERNET
Buat rule default ACCEPT dari firewall ke internet
5.RULE TRAFIK YG LEWAT DARI INTERNET KE LOKAL
Akan sangat berbahaya kalau mengizinkan trafik internet ke jaringan lokal.
Untuk buat default akses DROP semua trafik internet ke jaringan lokal
6.RULE TRAFIK YG LEWAT DARI INTERNET KE FIREWALL
Dengan berdasarkan aplikasi di server diatas, tentuka aplikasi server yg memperoleh hak akses dari internet.
dns,webserver,ftp,ssh.
berdasarkan rule diatas kita bisa biuat konfigurasi firewall:
1./etc/shorewall/zones
#ZONE DISPLAY COMMENT
net NET internet
loc LOCAL Local network
2./etc/shorewall/policy
#SOUERCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
fw all ACCEPT
net all DROP info
all all REJECT info
3./etc/shorewall/interfaces
#ZONE INTERFACES BROADBANT OPTION
net eth0 detect norfc1918
loc eth1 detect
loc net ACCEPT
fw all ACCEPT
net all DROP info
all all REJECT info
4. /etc/shorewall/masq
#INTERFACES SUBNET ADDRESS
eth0 eth1
5./etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL PORT DEST
#rule trafik yg lewat dari jaringa lokal ke firewall
#accept dns conection
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53
#accept proxy conection
ACCEPT loc fw tcp 3128
#accept web conection
ACCEPT loc fw tcp 80
#accept ftp connection
ACCEPT loc fw tcp 20
ACCEPT loc fw tcp 21
#accpet ssh connection
ACCEPT loc fw tcp 22
#rule trafik yg lewat dari internet ke firewall
ACCEPT net fw tcp 53
ACCEPT net fw udp 53
#accpet ssh conection
ACCEPT net fw tcp 22
#accpet web server
ACCEPT net fw tcp 80
#allow ping to and from firewall
ACCEPT loc fw icmp 8
ACCEPT net fw icmp 8
ACCEPT fw loc icmp 8
ACCEPT fw net icmp 8
