Dh rekan-rekan Linuxer, saya membuat firewall menggunakan IPTABLES, dengan dibantu oleh aplikasi quicktables, namun masih ada kelemahan yakni, pada script yang menyatakan :
# Menutup semua Paket /sbin/iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP /sbin/iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP tidak bekerja secara optimal, karena pada script yang diperbolehkan oleh firewall, port yang dibuka ialah port 80 dan 22, selain dari itu seharusnya statusnya di Drop oleh script diatas tadi, betul nggak? Namun kenyataannya ketika saya mengakses ftp (21) masih bisa diakses, menggunakan aplikasi wsftp. bisa ditutup dengan penambahan script lagi, jadi tidak manual dong yah.... Jadi apakah script IPTABLES dibawah ini ada kesalahan? Mohon bantuan dan pencerahannya.. Salam, Indracyd NB : dibawah ini detail script IPTABLES yang saya gunakan : ======================================================= #!/bin/sh # #Generate by quicktables # if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies; fi if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo 1 > /proc/sys/net/ipv4/ip_forward; fi # flush any existing chains and set default policies /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT # Konfigurasi NAT if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo 1 > /proc/sys/net/ipv4/ip_forward; fi /sbin/iptables -F FORWARD /sbin/iptables -F -t nat /sbin/iptables -P FORWARD DROP /sbin/iptables -A FORWARD -i eth1 -j ACCEPT /sbin/iptables -A INPUT -i eth1 -j ACCEPT /sbin/iptables -A OUTPUT -o eth1 -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE # Mengijinkan Paket dari ethernet loopback /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # allow established and related packets back in /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # icmp /sbin/iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -i eth0 -j ACCEPT # Membuka akses pada Firewall /sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT #Transparan Proxy /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.0.1/24 --dport 80 -j DNAT --to 192.168.0.1:8080 # Menutup Akses Pada Host /sbin/iptables -I INPUT -s 202.159.203.189 -j DROP /sbin/iptables -I FORWARD -s 202.159.203.189 -j DROP # Menutup Akses Pada Host-Internal (LAN) /sbin/iptables -I INPUT -s 192.168.0.13 -j DROP /sbin/iptables -I FORWARD -s 192.168.0.13 -j DROP # logging #/sbin/iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j LOG #--log-prefix "tcp connection: " #/sbin/iptables -A INPUT -i eth0 -p udp --dport 0:67 -j LOG --log-prefix #"udp connection: " #/sbin/iptables -A INPUT -i eth0 -p udp --dport 69:65535 -j LOG #--log-prefix "udp connection: " # Menutup semua Paket /sbin/iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP /sbin/iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP echo "Firewall Aktif" ======================================================= __________________________________________________ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis Tidak bisa posting? Baca: http://linux.or.id/problemmilis http://linux.or.id/tatatertibmilis
