Journal of Life

SOAL SHIFT MODUL 5

PRAKTIKUM JARINGAN KOMPUTER 2012/2013

Copy dari : http://ardiantc11.blogspot.com/2013/06/ip-tables-soal-shift-modul-5-jawaban.html

SOAL !

a. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet KEBUN BIBIT sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 72

b. Mengijinkan semua akses UDP ke DMZ

c. Subnet DMZ tidak dapat PING dari luar selain subnet AJK dan jaringan internal

d. Koneksi kepada DMZ melalui SSH dibatasi sebanyak 5 koneksi

e. Buatlah sebuah perintah IPTABLES untuk mengatasi synflood

f. Buatlah sebuah perintah IPTABLES untuk mengatasi force SSH Attack

g. Buatlah perintah IP Tables untuk memblok paket scanning. Contoh : Xmas. Fin, scan

h. Subnet TAMAN BUNGKUL hanya bisa diakses oleh subnet KEBUN BIBIT, subnet PLAZA SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (senin-jumat 07.00-17.00)

i. Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade)

j. Catat semua log yang di drop oleh firewall

JAWABAN !

a. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet KEBUN BIBIT sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 72

#menerima hanya dari kebun bibit

iptables -A FORWARD -p tcp -i eth0 -s 192.167.92.0/23 -d 10.151.71.60/29 -m multiport --dport 21,443,66 -j ACCEPT

#menerima dari semua

iptables -A FORWARD -p tcp -i eth0 -s 0.0.0.0/0 -d 10.151.71.60/29 -m multiport --dport 80,8080,22 -j ACCEPT

b. Mengijinkan semua akses UDP ke DMZ

#semua bisa akses udp

iptables -A FORWARD -p udp -i eth0 -s 0.0.0.0/0 -d 10.151.77.40/29 -j ACCEPT

c. Subnet DMZ tidak dapat PING dari luar selain subnet AJK dan jaringan internal

#dmz bisa di ping oleh jaringan internal

iptables -A FORWARD -p icmp -i eth0 -s 192.167.0.0/18 -d 10.151.71.60/29 -j ACCEPT

#dmz bisa di ping oleh AJK

iptables -A FORWARD -p icmp -i eth0 -s 10.151.36.0/24 -d 10.151.71.60/29 -j ACCEPT

d. Koneksi kepada DMZ melalui SSH dibatasi sebanyak 5 koneksi

iptables -A FORWARD -p tcp -i eth1 -d 10.151.71.60/29 --syn --dport 22 -m connlimit --connlimit-above 5 -j REJECT

e. Buatlah sebuah perintah IPTABLES untk mengatasi synflood

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j REJECT

f. Buatlah sebuah perintah IPTABLES untuk mengatasi force SSH Attack

iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j REJECT

g. Buatlah perintah IP Tables untuk memblok paket scanning. Contoh : Xmas. Fin, scan

iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j REJECT

#Force Fragments packets check

iptables -A FORWARD -f -j REJECT

#XMAS packets

#Incoming malformed XMAS packets REJECT them:

iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j REJECT

#REJECT all NULL packets

#Incoming malformed NULL packets:

iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j REJECT

#Block Spoofing and bad addresses

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

#selain kebun bibit tdk bisa ke taman_bungkul

iptables -A FORWARD -p all -i eth0 -s ! 192.167.92.0/23 -d 192.167.168.0/22 -j REJECT

#di tugu pahlawan, monkasel, siola(di atas plaza surabaya):

iptables -A FORWARD -p all -s 0/0 -d 192.167.72.0/21 -m time --timestart 08:00 --timestop 16:00 -j ACCEPT

#balai kota(atas sutos):

iptables -A FORWARD -p all -s 192.167.144.0/26 -d 173.252.110.27 -m time --timestart 07:00 --timestop 17:00 -j REJECT #facebook

iptables -A FORWARD -p all -s 192.167.144.0/26 -d 68.180.190.124 -m time --timestart 07:00 --timestop 17:00 -j REJECT #messenger

i. Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade)

iptables -t nat -A POSTROUTING -s 10.151.71.60/29 -o eth0 -j SNAT --to-source 10.151.70.28

iptables -t nat -A POSTROUTING -o ppp0 -j SNAT \--to $PPPIP

j. Catat semua log yang di drop oleh firewall

iptables -N LOGGING

iptables -A INPUT -j LOGGING

iptables -A OUTPUT -j LOGGING

iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4

iptables -A LOGGING -j DROP

Continue

Membuat topologi menggunakan metode CIDR dalam menentukan IP masing-masing host

Topologi 8

Menggunakan metode CIDR untuk menentukan distribusi IP nya.

ABCD : 192.167.01 | 000000.00000000 / 18 (192.167.64.0 / 18)

A : 192.167.01001 | 000.00000000 / 21 (192.167.72.0 / 21)

B : 192.167.01010 | 000.00000000 / 21 (192.167.80.0 / 21)

C-D : 192.167.01011 | 000.00000000 / 21 (192.167.88.0 / 21)

C : 192.167.0101101 | 0.00000000 / 23 (192.167.90.0 / 23)

D : 192.167.0101110 | 0.00000000 / 23 (192.167.92.0 / 23)

EFG : 192.167.10 | 000000.00000000 / 18 (192.167.128.0 / 18)

E : 192.167.1001 | 0000.00000000 / 20 (192.167.144.0 / 20)

F-G : 192.167.1010 | 0000.00000000 / 20 (192.167.160.0 / 20)

F : 192.167.101001 | 00.00000000 / 22 (192.167.164.0 / 22)

G : 192.167.101010 | 00.00000000 / 22 (192.167.168.0 / 22)

HIJ : 192.168.01 | 000000.00000000 / 18 (192.168.64.0 / 18)

H : 192.168.01001 | 000.00000000 / 21 (192.168.72.0 / 21)

I : 192.168.01010 | 000.00000000 / 21 (192.168.80.0 / 21)

J : 192.168.01011 | 000.00000000 / 21 (192.168.88.0 / 21)

Namun, yang perlu diperhatikan adalah kita akan menggunakan DMZ untuk server tp dan gm menggunakan IP yang disediakan oleh AJK yaitu 10.151.71.56 /29.

Dari situ kita dapat kita temukan pembagiannya yaitu:

gm alokasi IPnya untuk DMZ : 10.151.71.56 - 10.151.71.59 /29

tp alokasi IPnya untuk DMZ : 10.151.71.60 - 10.151.71.63 /29

DMZ ini digunakan agar kita bisa mengakses keluar jaringan sehingga kita bisa mengakses alamat-alamat yang dikenal oleh AJK yang lebih luas dari topologi yang kita buat.

Sehingga gambarnya apabila sudah dibagi menggunakan DMZ, menjadi :

Lalu sekarang kita harus membuat script sh nya

#switch

uml_switch -unix s1 > /dev/null < /dev/null &

uml_switch -unix s2 > /dev/null < /dev/null &

uml_switch -unix s3 > /dev/null < /dev/null &

uml_switch -unix s4 > /dev/null < /dev/null &

uml_switch -unix s5 > /dev/null < /dev/null &

uml_switch -unix s6 > /dev/null < /dev/null &

uml_switch -unix s7 > /dev/null < /dev/null &

uml_switch -unix s8 > /dev/null < /dev/null &

uml_switch -unix s9 > /dev/null < /dev/null &

uml_switch -unix s10 > /dev/null < /dev/null &

#router

xterm -T tugu_pahlawan -e linux ubd0=tugu_pahlawan,uml umid=tugu_pahlawan eth0=tuntap,,,10.151.70.29 eth1=daemon,,,s2 eth2=daemon,,,s6 eth3=daemon,,,s3 &

xterm -T stasiun_gubeng -e linux ubd0=stasiun_gubeng,uml umid=stasiun_gubeng eth0=daemon,,,s1 eth1=daemon,,,s5 eth2=daemon,,,s2 &

xterm -T ampel -e linux ubd0=ampel,uml umid=ampel eth0=daemon,,,s3 eth1=daemon,,,s7 eth2=daemon,,,s4 &

xterm -T siola -e linux ubd0=siola,uml umid=siola eth0=daemon,,,s5 eth1=daemon,,,s8&

xterm -T monkasel -e linux ubd0=monkasel,uml umid=monkasel eth0=daemon,,,s6 eth1=daemon,,,s9 &

xterm -T balai_kota -e linux ubd0=balai_kota,uml umid=balai_kota eth0=daemon,,,s9 eth1=daemon,,,s10 &

#host

xterm -T plasa_surabaya -e linux ubd0=plasa_surabaya,uml umid=plasa_surabaya eth0=daemon,,,s1 mem=50M&

xterm -T tp -e linux ubd0=tp,uml umid=tp eth0=daemon,,,s4 mem=50M&

xterm -T sutos -e linux ubd0=sutos,uml umid=sutos eth0=daemon,,,s6 &

xterm -T gm -e linux ubd0=gm,uml umid=gm eth0=daemon,,,s7 &

xterm -T kebun_bibit -e linux ubd0=kebun_bibit,uml umid=kebun_bibit eth0=daemon,,,s8 &

xterm -T taman_bungkul -e linux ubd0=taman_bungkul,uml umid=taman_bungkul eth0=daemon,,,s10 &

Lalu, setiap host harus kita konfigurasi interfacenya. Cara buka interfacenya:

nano /etc/network/interfaces

Berikut detail konfigurasinya:

tugu_pahlawan (Router Utama)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 10.151.70.30

netmask 255.255.255.0

gateway 10.151.70.29

auto eth1

iface eth1 inet static

address 192.167.80.1

netmask 255.255.248.0

up ip route add 192.167.64.0/18 via 192.167.80.2

auto eth2

iface eth2 inet static

address 192.167.144.1

netmask 255.255.240.0

up ip route add 192.167.128.0/18 via 192.167.144.2

auto eth3

iface eth3 inet static

address 192.168.72.1

netmask 255.255.248.0

up ip route add 10.151.71.56/29 via 192.168.72.2

==============================================

stasiun_gubeng (router di subnet A, B, dan C)

auto lo

iface lo inet loopback

auto eth2

iface eth2 inet static

address 192.167.80.2

netmask 255.255.248.0

gateway 192.167.80.1

auto eth1

iface eth1 inet static

address 192.167.90.1

netmask 255.255.254.0

up ip route add 192.167.88.0/21 via 192.167.90.2

auto eth0

iface eth0 inet static

address 192.167.72.1

netmask 255.255.248.0

==============================================

host Plasa Surabaya (Host di subnet A)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.72.2

==============================================

siola (router di subnet C dan D)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.90.2

netmask 255.255.254.0

up ip route add 0.0.0.0/0 via 192.167.90.1

auto eth1

iface eth1 inet static

address 192.167.92.1

netmask 255.255.254.0

==============================================

Kebun Bibit (Host di subnet C)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.92.2

netmask 255.255.254.0

gateway 192.167.92.1

==============================================

host Sutos (Host di subnet E)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.144.3

netmask 255.255.240.0

gateway 192.167.144.1

==============================================

Monkasel (router di subnet E, F, dan G)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.144.2

netmask 255.255.240.0

gateway 192.167.144.1

auto eth1

iface eth1 inet static

address 192.167.164.1

netmask 255.255.252.0

up ip route add 192.167.160.0/20 via 192.167.164.2

==============================================

Balai_kota (router di subnet F dan G)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.164.2

netmask 255.255.252.0

gateway 192.167.164.1

auto eth1

iface eth1 inet static

address 192.167.168.1

netmask 255.255.252.0

==============================================

Taman_bungkul (Host di subnet G)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.167.168.2

netmask 255.255.252.0

gateway 192.167.168.1

==============================================

Ampel (router di subnet H,I, dan J)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 192.168.72.2

netmask 255.255.248.0

gateway 192.168.72.1

auto eth1

iface eth1 inet static

address 10.151.71.57

netmask 255.255.255.252

auto eth2

iface eth2 inet static

address 10.151.71.61

netmask 255.255.255.252

==============================================

gm (server di subnet I)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 10.151.71.58

netmask 255.255.255.252

gateway 10.151.71.57

==============================================

tp (server di subnet J)

auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 10.151.71.62

netmask 255.255.255.252

gateway 10.151.71.61

==============================================

kemudian terapkan konfigurasi di atas dengan syntax service networking restart di setiap host

================================ SELESAI ==========================

Continue

Journal of Life

Menulislah, karena engkau akan segera pikun

Wednesday, June 19, 2013

Jarkom Modul 5

Sunday, June 9, 2013

Modul 4 (Subnetting)

Popular Posts

Categories

Arsip Blog

Tentang Saya

Blog Archive

About

ahayamb

Informatics Department of

Sepuluh Nopember Institute of Technology