Re: [tanya-jawab] IP Private Go Public

Mon, 13 Mar 2006 23:36:33 -0800 

On Tue, Mar 14, 2006 at 01:40:29PM +0700, samurai wrote:
> Begini ..saya dapat 1 IP Public dari ISP anggaplah 202.128.128.1/252..
> dimana IP yang bisa saya pakai 202.128.128.2 subnet 255.255.255.252 gateway 
> 202.128.128.1 (routersaya)
> 
> Jadi rencanan 1 IP Public ini mau dibuat untuk alamat beberapa server ? 
> mungkinkah ?
> - DNS
> - Mail Server
> - Gateway..
> 
> Rencana saya pengen buat IP Public itu untuk Relay (yah semacam relay 
> deh..gak tau namanya hehehehe)...jadi dibuat 1 server 1 mesin
> akan tetapi dengan IP Privat...
> misalnya
> IP 192.168.5.1/24
> mail 192.168.5.3
> Gateway Client 192.168.5.4 dimana nantinya client saya creat IP 
> lagi..misalnya 192.168.6.1/24
> DNS 192.168.5.7
> Web Server 192.168.5.8 domain misal www.xxx.com

Pertama mesti diomongin secara umum dulu teori networkingnya (OS
independent), soal implementasi di Linux menyusul diskusinya di bawah.

Bisa, selama nggak bentrok layer 4 addressnya. Teorinya ini pake NAT
(Network Address Translation), tapi yang jenisnya DNAT (Destination
NAT), karena yg ditranslate adalah destination addressnya, kebalikan
dari SNAT (Source NAT) yg biasa dipake utk masquerading clients.

Karena outside IP addressnya cuma 1, maka cuma bisa switching di layer
4 ke atas, kalo layer 4 switching maka DNAT-nya cuma bisa yang Port
Address Translation (istilahnya Cisco) atau Port Forwarding, di mana
yg ditranslate bukan sekedar IP address aja (layer 3), tapi juga layer
4 addressnya (TCP/UDP port).

Services yg anda sebutkan di atas punya layer 4 address masing2,
misalnya utk mail itu TCP 25 (smtp), TCP 110 (pop), dan TCP 143
(imap), lalu TCP 80 dan 443 utk http/s, TCP/UDP 53 utk DNS, dst. Ini
adalah services yang melayani pengguna dari LUAR network anda, BUKAN
melayani pengguna dari dalam LAN, jadi "Gateway" dan proxy seharusnya
gak disertakan dlm diskusi ini. Tapi bukan berarti servernya gak bisa
melayani pengguna dari dalam dan luar secara bersamaan, bisa saja tapi
paket yg ditujukan ke server dari segment LAN harus lewat
gateway/border router utk menuju ke segment DMZ (tapi gak sampe keluar
ke internet kalo setupnya bener), asumsinya pake setup pemisahan model
DMZ.

Singkatnya, bisa selama "port"-nya gak ada yg bentrok.

Utk NAT di Linux hampir selalu pake iptables. DNAT disupport oleh
iptables. Jelasnya baca dokumentasinya.

Ronny

Attachment: signature.asc
Description: Digital signature

Kirim email ke