Sebelum "menutup semua port", sebaiknya di periksa dulu port mana aja yang terbuka, itu aja yang ditutup. Cara ngeliat port yang terbuka pake netstat
$netstat -nltup Trus liatin port mana aja yang terbuka, trus tutup yang ngga perlu. Kalau masalah masquearade sama transparent proxy, biasanya di letakkan di chain POSTROUTING sama PREROUTING( nat) $iptables -t nat -I POSTROUTING -s localLan/mask -d any/0 -j SNAT --to ipexterrnalanda ( untuk masq) $iptables -t nat -I PREROUTING -p tcp -s locaLan/mask -d any/0 --dport 80 -j DNAT --to ipsquid:port-nya ( Untuk TransparentProxy) Untuk masq sama transparent perlu dua perintah ini aja kayaknya, cuman sesuai dengan keperluan..bisa di set paket2 apa aja yang perlu di-nat kan, yang ngga perlu di reject aja. Kira2 spt itu. Kalau ISP anda buat pening kepala.. yah pindah aja, orang kita bayar koq.. hehehehehhe ( just joke) Tapi kalau mau nyoba2 biar ngga rewel, coba install E-smith, linux yang didevelop dari RedHat tapi sudah dikostumisasi untuk sekuritinya, begitu install dia sudah memenuhi permintaan bapak sekarang, dan ISP bapak. Sekedar saran.. Semoga Membantu Rinto Exandi On Wed, 22 Sep 2004 00:10:34 +0700, Bambang <[EMAIL PROTECTED]> wrote: > Rekan-rekan milist Linux, > > Tolong bantu donk, > Tutorial Iptables sudah cukup banyak tapi masih belum paham. > Saya langanan sebuah ISP yang cukup rewel (bayangin saya dipaksa untuk > menutup semua ports dan hanya membuka yang dianggap perlu saja). Memang > himbuaunnya bagus tapi dipaksa kalau tidak disuruh beli alat. > Yang kedua : pada waktu saya d/l *.iso saya ditanyain, kenapa ada trafic > yang tinggi ? > > Ok sambil belajar saja. Tadinya saya pakai IPCOP.3, tapi ingin juga > coba-coba. > Linux yang saya gunakan adalah RH 9.0, squid dijadikan transparant proxy. > Ada 2 eth : eth0:ip_lokal eth1: ip_public. > > Sampai saat ini sudah berhasil menjalankan masquerade dan transparant proxy. > Walaupun kedua setting iptables tersebut saya simpan di /etc/rc.d/rc.lokal. > > Menurut tutorial yang ada sebaiknya disimpan /etc/sysconfig/iptables. > Ok, Gimana sih cara nutup semua ports di RH server gateway saya ini. > Saya sudah coba script iptables dan saya coba di salah satu client berhasil > untuk client tsb, tapi setelah saya implementasi di server gagal. > Ok yang diharapkan adalah. > Menutup semua port yang masuk dan keluar. > Membuka port 80 dan 110 agar client bisa browsing dan smtp. > > Mohon pencerahan yang sangat. > Ini hasil #iptables -L > Chain INPUT (policy ACCEPT) > target prot opt source destination > RH-Lokkit-0-50-INPUT all -- anywhere anywhere > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > DROP tcp -- anywhere anywhere tcp dpt:http > DROP udp -- anywhere anywhere udp dpt:http > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > ACCEPT tcp -- anywhere anywhere tcp dpt:smtp > ACCEPT udp -- anywhere anywhere udp dpt:smtp > ACCEPT udp -- anywhere anywhere udp dpt:ssh > ACCEPT tcp -- anywhere anywhere tcp dpt:ssh > ACCEPT tcp -- anywhere anywhere tcp dpt:https > ACCEPT udp -- anywhere anywhere udp dpt:https > ACCEPT udp -- anywhere anywhere udp dpt:domain > ACCEPT tcp -- anywhere anywhere tcp dpt:domain > ACCEPT tcp -- anywhere anywhere tcp dpt:5050 > ACCEPT udp -- anywhere anywhere udp dpt:5050 > DROP udp -- anywhere anywhere udp > dpts:15:65535 > > Chain RH-Lokkit-0-50-INPUT (1 references) > target prot opt source destination > ACCEPT udp -- 202.152.235.146 anywhere udp spt:domain > dpts: > 1025:65535 > ACCEPT udp -- 202.152.227.25 anywhere udp spt:domain > dpts: > 1025:65535 > ACCEPT udp -- 192.168.99.1 anywhere udp spt:domain > dpts: > 1025:65535 > ACCEPT tcp -- anywhere anywhere tcp dpt:http > flags:S > YN,RST,ACK/SYN > ACCEPT tcp -- anywhere anywhere tcp dpt:ftp > flags:SY > N,RST,ACK/SYN > ACCEPT tcp -- anywhere anywhere tcp dpt:ssh > flags:SY > N,RST,ACK/SYN > ACCEPT all -- anywhere anywhere > ACCEPT all -- anywhere anywhere > REJECT tcp -- anywhere anywhere tcp dpts:0:1023 > flag > s:SYN,RST,ACK/SYN reject-with icmp-port-unreachable > REJECT tcp -- anywhere anywhere tcp dpt:nfs > flags:SY > N,RST,ACK/SYN reject-with icmp-port-unreachable > REJECT udp -- anywhere anywhere udp dpts:0:1023 > reje > ct-with icmp-port-unreachable > REJECT udp -- anywhere anywhere udp dpt:nfs > reject-w > ith icmp-port-unreachable > REJECT tcp -- anywhere anywhere tcp > dpts:x11:6009 fl > ags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable > REJECT tcp -- anywhere anywhere tcp dpt:xfs > flags:SY > N,RST,ACK/SYN reject-with icmp-port-unreachable > [EMAIL PROTECTED] root]# > > Tapi client masih bisa browsing juga keterangan diatas saya mencoba untuk > membuka ports (80,110,25,443,etc) dan menutup ports (15-65535), dimana letak > salahnya ? > > 2. bagaimana dgn perintah masquerading dan perintah iptables untuk > transparant proxy, apakah di save disini juga (/etc/sysconfig/iptables). > > Sangat ditunggu jawabannya baik lewat email maupun Ym! > > Salam, > Bambang > Ym!: bmgusakti > > --- > Outgoing mail is certified Virus Free. > Checked by AVG anti-virus system (http://www.grisoft.com). > Version: 6.0.733 / Virus Database: 487 - Release Date: 8/2/2004 > > -- > Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] > Arsip, FAQ, dan info milis di http://linux.or.id/milis.php > Tidak bisa posting? Baca: > http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi > http://linux.or.id/wiki/index.php?pagename=TataTertibMilis > > -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
