Docstoc

Linux Debian Makes Your Life Meaningful

Document Sample
Linux Debian Makes Your Life Meaningful Powered By Docstoc
					PanduanUpdate LKS Nasional 2011                                                                                   Copy Left:Nugroho,ST.




                                     Topologi Jaringan
                             Update LKS Nasional XIX Tahun 2011

                                                eth0  6 IP Publik
                                                192.168.137.9/24  administrasi router
                                                192.168.137.10/24  www.lks10.sch.id
                                                192.168.137.11/24  ftp.lks10.sch.id
                                                192.168.137.12/24 mail.lks10.sch.id
                                                                                                        No Peserta = x = 10
                                                                             router.lks10.sch.id



         Win7                                                                  Routing
          ICS                                                                      +
        XAMPP                                                                  Firewall

                          192.168.137.1/24
                          Internet Connection
                          Sharring (ICS)
                                                        eth1                                                                  Win7
                                                                                               eth0
                                                        100.100.100.1/24                       100.100.100.2/24
                                                                                               100.100.100.3/24
                                                                                               100.100.100.4/24
       win7admin
       workgroup : LKS                                                                                            win7client
                                                                                                                  workgroup : LKS10



                                                         DHCP, DNS, HTTP,
                                                          Mail, Web Mail,
                                                          FTP, Proxy, NTP,
                                                           Samba Server,
                                                         Printer Sharrring


                                                                                          eth1
                                                                                          200.200.200.1/30
                                                                                          DHCP Server


                                                        100.100.100.2 server.lks10.sch.id, www.lks10.sch.id
                                                        100.100.100.3 ftp.lks10.sch.id
                                                        100.100.100.4 mail.lks10.sch.id



                                      Tambahan Soal Nasional

      Kirim Email ke Internet (tapi soalnya no relay host)
      Allow only admin to access and allow squidport
      Mac Filtering  Di AP dan di IPTables
      Bandwidth Management proxy  Batasi bandwidth user dan batasi berdasarkan ekstensi file yang
       didownload
      Web Based tools to monitor user proxy debian Calamaris / Sarg
      Access Internet Using User+Pass
      FTP Multilevel Direktori 1 Allow put and get, direktori 2 only allow get
      Squid Allow only whitelist (biasanya blacklist)
      AP tidak diatur IPnya, digunakan /30




                                                     Skenario

  1.   Competiror Area diibaratkan sebuah perusahaan tempat peseta bekerja sebagai Network Administrator yang
       berlangganan ke sebuah ISP dan mendapatkan IP public 192.168.137.8/29 (6 buah IP public) . IP public
PanduanUpdate LKS Nasional 2011                                                                  Copy Left:Nugroho,ST.



           tersebut akan digunakan untuk server-server yang dimiliki dan didaftarkan di DNS (DNS di internet) sebagai
           berikut :
           a. 192.168.137.9          untuk router (router.lks10.sch.id)
           b. 192.168.137.10         www.lks10.sch.id (layanan web dan webmail)
           c. 192.168.137.11         ftp.lks10.sch.id (layanan ftp)
           d. 192.168.137.12         mail.lks10.sch.id (layanan Mail : smtp, pop dan imap)
           e. 192.168.137.13 dan 192.168.137.14  Reserved /cadangan

           Catatan : Pada kondisi yang sebenarnya di lapangan, agar bisa diakses dari internet, nama-nama tersebut
                     harus didaftarkan di DNS server dengan cara berlangganan / membeli Domain Name

     2.     Untuk aspek keamanan, maka dirancanglah topologi seperti gambar di atas. Dimana server tidak langsung
            terhubung ke jaringan luar namun harus melalui mesin / PC sebagai firewall. Posisi server berada dalam zona
            DMZ.

     3.     Rencananya nanti, tiap server tersebut diatas (WWW & WEBMAIL, FTP, dan MAIL) akan menggunakan 3
            buah server yang tepisah, namun karena kondisi keuangan perusahaan, maka sementara digunakan 1 buah
            server saja untuk layanan WWW & WEBMAIL, FTP, dan MAIL tersebut. Selain itu sever juga melayani
            keperluan internal perusahaan seperti untuk NTP, DNS, DHCP, INTRANET, PROXY, SAMBA, dll

     4.    Maka diperlukan pemetaan terhadap request dari luar (internet) yang dilakukan oleh router sebagai berikut :
           a. Jika ada request WWW ke http://www.lks10.sch.id & WEBMAIL ke http://www.lks10.sch.id/webmail (IP
              192.168.137.10) maka ditranslasikan (NAT) ke IP server 100.100.100.2 (PC Server : server.lks10.sch.id)
           b. Jika ada request FTP ke ftp.lks10.sch.id (IP 192.168.137.11) maka ditranslasikan (NAT) ke IP server
              100.100.100.3 (PC Server : server.lks10.sch.id)
           c. Jika ada request MAIL ke mail.lks10.sch.id (IP 192.168.137.12) maka ditranslasikan (NAT) ke IP server
              100.100.100.4 (PC Server : server.lks10.sch.id)

     5.     Untuk keperluan administrasi jaringan secara remote dari tempat lain, maka perlu untuk dapat mengakses
            SSH router.lks10.sch.id dan SSH server WWW, FTP, dan WEBMAIL (berada dalam 1 mesin server yang sama
            yaitu server.lks10.sch.id). Dalam hal ini disimulasikan hanya melakukan remote dari PC Admin dengan IP
            192.168.137.1




                                      Instalasi & Konfigurasi Server
                                     Debian Lenny (ver 5.0.3 i386 DVD)


I.        INSTALL
          1.   Gunakan hanya DVD 1 saja  sudah sangat mencukupi kebutuhan server
          2.   Network configuration method : do not configure the Networks at this time
          3.   Hostname : server.lks10.sch.id
          4.   Partition : Guided – use entire disk
          5.   Partition scheme : all files in one partition
          6.   User : root, password : 123456
          7.   Tidak perlu scan DVD lain
          8.   Choose software to install :
               [*] Web Server
               [*] Standart System
                total hanya 102 paket
          9.   GRUB on MBR
PanduanUpdate LKS Nasional 2011                                                                Copy Left:Nugroho,ST.



II.    INSTALL PAKET TAMBAHAN
       1.   Install Paket tambahan untuk Server :
            # apt-get install mc links dnsmasq squid squirrelmail courier-base courier-imap courier-pop mysql-
              server phpmyadmin postfix ntp ntpdate nmap iptraf proftpd samba samba-client smbfs winbind cups
              cups-client

            mc                :   midnight commander, clone nc (norton commander)  explorer , editor
            links             :   browser basis teks
            dnsmasq           :   DNS dan DHCP server alternatifnya : bind9 (DNS) dan dhcp3 (DHCP)
            squid             :   proxy server
            squirrelmail      :   aplikasi Web Mail
            courier           :   IMAP dan POP daemon
            mysql             :   database MySQL
            phpmyadmin        :   Tool Konfigurasi PHP dan MySQL
            postfix           :   Mail Server Agent (MTA) alternatifnya : exim4
            ntp               :   Network Tme Protocol (NTP) Server
            ntpdate           :   NTP client
            nmap              :   Nework exploration tool and security / port scanner
            iptraf            :   IP trafic analyzer / monitor
            samba             :   samba server
            samba-client      :   samba client
            smbfs             :   menambahkan dukungan pada file system samba
            winbind           :
            cups              :
            cups-client       :

       2.   Configuring phpMyAdmin, isi password untuk root, misal : 123456, lakukan 2 kali untuk verifikasi
       3.   Web Server to reconfigure pilih
            [*] apache2
       4.   Postfix Configuration
             General type of mail configuration : pilih internet site
             System mail name :    lks10.sch.id
               Perhatikan bahwa Sytem mail name sama dengan nama domain yaitu lks10.sch.id
       5.   Configuring Courier base : create directories for Web-based administration? Pilih No



III.   SET IP
       1. Setting IP Permanen :
             # mcedit /etc/network/interfaces
             Baris yang sudah ada / lo (loopback 0) :
                   auto lo
                   iface lo inet loopback

             Tambahkan baris berikut :
                auto eth0
                iface eth0 inet static
                address 100.100.100.2
                netmask 255.255.255.0
                gateway 100.100.100.1

                  auto eth0:0
                  iface eth0:0 inet static
                  address 100.100.100.3
                  netmask 255.255.255.0
PanduanUpdate LKS Nasional 2011                                                                Copy Left:Nugroho,ST.



                auto eth0:1
                iface eth0:1 inet static
                address 100.100.100.4
                netmask 255.255.255.0

                auto eth1
                iface eth1 inet static
                address 200.200.200.1
                netmask 255.255.255.0

      2.   Restart service networking :
           # /etc/init.d/networking restart

      3.   Network interface akan sukses up, namun dengan peringatan (warning) sepeti :
           Reconfiguring network interfaces...if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS
           mounts (warning).
           done.
      4.   Menghilangkan Peringatan waiting for interface eth1 before doing NFS mounts (warning)
           Yang terjadi adalah saat eth0 up (oleh ifup) sesuai dengan isi /etc/network/interfaces maka script di
           dalam direktori /etc/network/if-up.d/ akan tereksekusi. Salah satu script tersebut adalah mountntfs
           (/etc/network/if-up.d/mountntfs). Jika cukup terganggu dengan warning yang muncul sementara kita
           tidak mempunyai folder nfs (network file system yang hendak dimounting, maka cukup chmod
           /etc/network/if-up.d/mountntfs agar menjadi non-executable.


           # chmod -x /etc/network/if-up.d/mountnfs

      5.   Cek : # ifconfig atau # ifconfig eth0 atau # ifconfig eth0:0 atau # ifconfig eth1



IV.   SET NAMA HOSTNAME
      Jika diperlukan, perubahan nama / hostname dapat dilakukan dengan cara :
      1. mengedit file /etc/hostname, isi dengan server.lks10.sch.id
             # mcedit /etc/hostname

      2.   Jalankan script hostname.sh
           # /etc/init.d/hostname.sh

      3.   Logout lalu Login lagi
           # logout

      4.   Cek nama hostname
           # uname -n                network node hostname
           # hostname -a             tampilkan nama lain / alias name
           # hostname -s             short name
           # hostname -d             domain name
           # hostname -f             FQDN (Fully Qualified Domain Name)
           # hostname                hostname



V.    DNS Server dnsmasq
       1. Install paket jika belum :
           # apt-get install dnsmasq

      2.   Edit /etc/hosts :
           # mcedit /etc/hosts
PanduanUpdate LKS Nasional 2011                                                                  Copy Left:Nugroho,ST.



           Tambahkan / masukkan ip dan hostname sesuai keinginan :
               127.0.0.1               localhost
               200.200.200.1           server.lks10.sch.id www.lks10.sch.id ftp.lks10.sch.id mail.lks10.sch.id
               100.100.100.1           router.lks10.sch.id

      3.   Buat sekaligus edit /etc/resolv.conf :
           # mcedit /etc/resolv.conf
           Isikan untuk DNS Resolve (Hirarki DNS di atas / parent dari Server, ditambahkan di sini) :
                 search                 localdomain           optional, boleh tidak disertakan
                 search                 lks10.sch.id
                nameserver              127.0.0.1
                nameserver              192.168.137.1
      4.   Restart service dnsmasq jika diinginkan :
           # /etc/init.d/dnsmasq restart

      5.   Cek DNS server:
           # dig www.google.com

           ; <<>> DiG 9.5.1-P3 <<>> www.google.com
           ;; global options: printcmd
           ;; Got answer:
           ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4579
           ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

           ;; QUESTION SECTION:
           ;www.google.com.                    IN       A

           ;; ANSWER SECTION:
           www.google.com.          0     IN        A       100.100.100.3

           ;; Query time: 4 msec
           ;; SERVER: 127.0.0.1#53(127.0.0.1)
           ;; WHEN: Fri Sep 17 15:50:12 2010
           ;; MSG SIZE rcvd: 48



VI.   DHCP Server  dhcpd3
      1.  Install paket jika belum :
          # apt-get install dhcp3-server

      2.   Edit /etc/dhcp3/dhcpd.conf :
           # mcedit /etc/dhcp3/dhcpd.conf

           Tambahkan di baris berikut :

           # A slightly different configuration for an internal subnet.

           subnet 200.200.200.0 netmask 255.255.255.0 {
                range 200.200.200.2 200.200.200.10;
                option domain-name-servers 200.200.200.1;
                option domain-name "lks10.sch.id";
                option routers 200.200.200.1;
                option broadcast-address 200.200.200.255;
                default-lease-time 600;
PanduanUpdate LKS Nasional 2011                                                              Copy Left:Nugroho,ST.



                     max-lease-time 7200;
                }



        3.   Restart service
             # /etc/init.d/dhcp3-server restart



VII.    DHCP Server  dnsmasq lagi
        1. Edit /etc/dnsmasq.conf :
            # mcedit /etc/dnsmasq.conf

             Tambahkan di baris paling bawah :
                 domain=lks10.sch.id
                 dhcp-range=200.200.200.2,200.200.200.10,12h            range dan lease time 12h
                 dhcp-option=1,255.255.255.0                            1 artinya netmask
                 dhcp-option=3,200.200.200.1                            3 artinya gateway / router default
                 dhcp-option=6,200.200.200.1                            6 artinya DNS server
                 dhcp-option=28,192.168.10.7                            28 artinya broadcast address
                 dhcp-option=42,0.0.0.0                                42 artinya NTP server, 0.0.0.0 artinya
                                                                       alamatnya sama dengan server dnsmasq, atau
                                                                       bisa juga disebutkan ip / namanya
                    keterangan :
                    1 bisa diganti dengan option:netmask
                    3 bisa diganti dengan option:router

        2.   Restart service
             # /etc/init.d/dnsmasq restart



VIII.   Ijinkan Forward Paket dengan iptables
        1. Secara default, file /proc/sys/net/ipv4/ip_forward berisi 0. Ganti jadi 1
              # echo 1 > /proc/sys/net/ipv4/ip_forward

        2.   Edit file /etc/sysctl.conf
             # mcedit /etc/sysctl.conf

             Carilah baris :
                   #net.ipv4.ip_forward=1

             Unquote / Hilangkan tanda #-nya :
                 net.ipv4.ip_forward=1

        3.   Restart Service procps dan networking
             # /etc/init.d/procps restart
             Setting kernel variables (/etc/sysctl.conf)...done.

             # /etc/init.d/networking restart
             Reconfiguring network interfaces...done.



IX.     Masukkan rule iptables untuk Masquerade untuk paket yang keluar melalui eth0
        Iptables untuk Masquerade :
        # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
           Tapi settingan iptables tersebut hanya sementara,saat reboot akan hilang
           Cara agar Permanen :
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.



           a.   Forwarding
                #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

           b.   Simpan kefile mana saja, misal : /etc/iptables.rules
                #iptables-save > /etc/iptables.rules

           c.   Edit / Tambahkan di baris paling bawah /etc/network/interfaces :
                         pre-up iptables-restore < /etc/iptables.rules
                         post-down iptables-save > /etc/iptables.rules




X.   SERVER NTP (Network Time Protocol)
     1. Jika diperlukan Sesuaikan zona waktu, tanggal dan Jam (format YYYY-MM-DD) dan sesuaikan waktu
         (format HH:MM:SS)
         # dpkg-reconfigure tzdata     untuk konfigurasi ulang time zone  Asia > Jakarta
         # date -s 2010-09-16
         # date -s 13:50:00

     2.   Install ntp dan ntpdate( jika belum ada
          # apt-get install ntp ntpdate

     3.   Konfigurasi file /etc/ntp.conf, tutup / quote server-server yang lain (0.debian.pool.ntp.org -
          3.debian.pool.ntp.org)

          # mcedit /etc/ntp.conf

                   # server 0.debian.pool.ntp.org iburst dynamic
                   #server 1.debian.pool.ntp.org iburst dynamic
                   #server 2.debian.pool.ntp.org iburst dynamic
                   #server 3.debian.pool.ntp.org iburst dynamic
                   server127.127.1.1#mengambil local clock diri sendiri sebagai sumber NTP
                   fudge 127.127.1.1 stratum 10

                   #restrict -4 default kod notrap nomodify nopeer noquery
                   #restrict -6 default kod notrap nomodify nopeer noquery

                   #restrict 192.168.10.0 mask 255.255.255.0 nomodify notrap

          Keterangan :
          Perhatikan bahwa jika menginkan waktu lokal dirinya sendiri yang digunakan sebagai acuan server NTP,
          nama server yang menunjuk ke dirinya sendiri harus disebutkan 127.127.1.1 dan tidak bisa disebutkan
          127.0.0.1 atau juga 192.168.10.1


     4.   Restart service ntp
          # /etc/init.d/ntp restart

     5.   Cek apakah service NTP berjalan dengan baik
          # ntpq –p

          service berjalan ditunjukkan seperti berikut ini :
          remote      refid st t when poll reach delay offset jitter
          ==================================================================
          *LOCAL(1) .LOCL. 10 l 3 64 377 0.000 0.000 0.001

     6.   Setelah ditunggu sekitar 3 - 5 menit, cek dengan melihat file log /var/log/daemon.log
PanduanUpdate LKS Nasional 2011                                                                 Copy Left:Nugroho,ST.




            # tail /var/log/daemon.log
            Sep 16 13:56:02 debian ntpd[6823]: Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
            Sep 16 13:56:02 debian ntpd[6823]: Listening on interface #1 wildcard, ::#123 Disabled
            Sep 16 13:56:02 debian ntpd[6823]: Listening on interface #2 lo, ::1#123 Enabled
            Sep 16 137:56:02 debian ntpd[6823]: Listening on interface #3 eth0, fe80::20c:29ff:fe49:272b#123
            Enabled
            Sep 16 13:56:02 debian ntpd[6823]: Listening on interface #4 lo, 127.0.0.1#123 Enabled
            Sep 16 13:56:02 debian ntpd[6823]: Listening on interface #5 eth0, 192.168.10.1#123 Enabled
            Sep 16 13:56:02 debian ntpd[6823]: kernel time sync status 0040
            Sep 16 13:56:02 debian ntpd[6823]: frequency initialized 0.000 PPM from /var/lib/ntp/ntp.drift
            Sep 16 13:59:17 debian ntpd[6823]: synchronized  to LOCAL(1), stratum 10
            Sep 16 13:59:17 debian ntpd[6823]: kernel time sync status change 0001

            Keterangan :
            Jika baris yang ditebalkan di atas sudah muncul artinya server sudah synchonozed (tersinkronisasi).
            Perhatikan waktunya, dibutuhkan kurang lebih 3-5 menit.

       7.   lalu coba ntpdate untuk mengupdate jam
            # ntpdate –u 192.168.10.1

            Jika berhasil :
            16 Sep 14:01:22 ntpdate[2226]: adjust time server 192.168.10.1 offset -0.000013 sec



XI.    Mengatur waktu synchronize khusus jika client WINXP ke NTP dengan Set Registry
       1.   Set type eksternal source clock adalah NTP
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
             NTP

       2.   Set AnnounceFlag menjadi 5
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
             5


       3.   Isi Interval poll sinkronisasi waktu ke server (detik)
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Spec
            ialPollInterval
             60             (decimal, poll tiap 1 menit)

       Keterangan :
       Untuk client dengan OS Windows7 langkah-langkah 1 s/d 3 tersebut di atas TIDAK DIPERLUKAN, langsung saja
       digunakan.
XII.   WEB SERVER
       1. Pastikan Apache dan dukungan PHP sudah terinstall
       2. Seting nama dan domain Web Server agar memenuhi syarat FQDN (Fully Qualified Domain Name). Edit
            file konfigurasi Apache2

            # mcedit /etc/apache2/httpd.conf

            Isi dengan :
                  servername       www.lks10.sch.id

            Keterangan :
PanduanUpdate LKS Nasional 2011                                                            Copy Left:Nugroho,ST.



        Langkah No. 2 ini boleh tidak dilakukan, karena parameter servername dapat dituliskan pada bagian
        <VirtualHost> di file /etc/apache2/sites-available/default. Apalagi jika memiliki 2 atau lebih VirtualHost
        (contoh : www.lks10.sch.id dan mail.lks10.sch.id)  biarkan saja file /etc/apache2/httpd.conf kosong

   3.   Restart service Apache2
        # /etc/init.d/apache2 restart

   4.   Edit Homepage, document root di /var/www
        Untuk membuktikan bahwa PHP jalan, buang index.html dan gunakan index.php
        # cp /var/www/index.html /var/www/index.php
        # rm /var/html/index.html

   5.   Buat / Edit script PHP /var/www/index.php, isinya terserah saja yang penting mengandung script PHP
        # mcedit /var/www/index.php

              <html>
              <head>
              <title>lks10.sch.id</title>
              </head>
              <body><h1>
              <p align="center">
              Selamat Datang di LKS SMK
              </p>
              </h1>
              <hr>
              <p align="center">
              <b>
              <a href="webmail">Webmail</a> |
              <a href="http://mail.lks10.sch.id">mail.lks10.sch.id</a> |
              <a href="phpmyadmin">PHPMyAdmin</a> |
              <a href="webmail/src/configtest.php">Squirrelmail Config Test</a>
              </b>
              </p>
              <hr>
              <p align="center">
              <b>PHP Info</b>
              </p>
              <?
              echo phpinfo();
              ?>
              </body>
              </html>




                                Selamat Datang di LKS SMK
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.




XIII.   MAIL SERVER DAN WEB MAIL SERVER
        courier-base, courier-imap, courier-pop, squirrelmail

        1.   Install courier jika belum :
             # apt-get install courier-base courier-imap courier-pop

        2.   Install squirrelmail webmail jika belum :
             # apt-get install squirrelmail

        3.   Konfigurasi squirrelmail
             # squirrelmail-configure
              2. serversetting
              A. Update IMAP Setting
              8. Server Software
              courier
              S. Save
              Q. Quit

        4.   Konfigurasi Alias www.lks10.sch.id/webmail dan Virtual host mail.lks10.sch.id:

             Langkah Pengeditan /etc/apache2/sites-available/default di bawah ini diperlukan agar Email dapat
             diakses melalui web dengan 2 url yaitu :
             1. http://www.lks10.sch.id/webmail
             2. http://mail.lks10.sch.id

              Pastikan nama www.lks10.sch.id dan mail.lks10.sch.id sudah ada di /etc/hosts

              Untuk mendapatkan direktori di bawah url yang sudah ada gunakan Alias. Cara menambahkan alias
               untuk www.lks10.sch.id/webmail, copykan dari atasnya lalu lakukan sedikit perubahan seperti
               gambar di bawah

              Untuk mendapatkan URL atau alamat baru mail.lks10.sch.id gunakan VirtualHost, copykan dari
               atasnya lalu lakukan sedikit perubahan seperti gambar di bawah




             # mcedit /etc/apache2/sites-availiable/default
PanduanUpdate LKS Nasional 2011                                                        Copy Left:Nugroho,ST.




           <VirtualHost *:80>
                ServerName www.lks10.sch.id            VirtualHost www.lks10.sch.id
                ServerAdmin admin@lks10.sch.id

                DocumentRoot /var/www/
                <Directory />
                     Options FollowSymLinks
                     AllowOverride None
                </Directory>

                <Directory /var/www/>
                     Options Indexes FollowSymLinks MultiViews
                     AllowOverride None
                      Order allow,deny
                      Allow from all
                </Directory>

           …………………………………………  isi yang lain biarkan saja
           …………………………………………
           …………………………………………
           …………………………………………



                Alias /webmail "/usr/share/squirrelmail/"  Alias utuk direktori /webmail (tidak pakai /)
                <Directory "/usr/share/squirrelmail/">
                      Options Indexes MultiViews FollowSymLinks
                      AllowOverride None
                      Order allow,deny
                      Allow from all
                </Directory>

           </VirtualHost>



           <VirtualHost *:80>
             ServerName mail.lks10.sch.id              VirtualHost www.lks10.sch.id
             ServerAdmin admin@lks10.sch.id

             DocumentRoot /usr/share/squirrelmail/ Sebutkan Document Rootnya

             <Directory />
                     Options FollowSymLinks
                     AllowOverride None
             </Directory>

             <Directory /usr/share/squirrelmail/>
                     Options Indexes MultiViews FollowSymLinks
                     AllowOverride None
                     Order allow,deny
                     Allow from all
             </Directory>

           </VirtualHost>

   5.   Restart service apache2
PanduanUpdate LKS Nasional 2011                                                              Copy Left:Nugroho,ST.



            # /etc/init.d/apache2 restart

       6.   Buat skeleton agarfolder Maildir beserta struktur direktori di bawahnya otomatis akan dibuat di bawah
            home direktori user ketika ada pembuatan user baru
            # cd /etc/skel
            # maildirmake Maildir

       7.   Membuat folder Maildir pada user yang sudah ada dengan su user yang bersangkutan terlebih dahulu
            # cd /home/user1
            # su user1              langkah ini penting agar direktori yang dibuat merupakan milik user yang
                                      bersangkutan, yaitu user1
            $ maildirmake Maildir
            $ exit

       8.   Jika folder Maildir hasil maildirmake telah terlanjur/lupa dibuat oleh root, maka harus dilakukan chown
            (ubah kepemilikan) terhadap folder Maildir
            # chown user1.user1 Maildir/ -Rf

       9.   Buat user baru
            # adduser user2 --home /home/user2
            # adduser admin --home /home/admin                 Password = admin, sesuai dengan soal

            Keterangan :
            Perhatikan bahwa secara otomatis folder home direktori tiap-tiap user yang baru dibuat tersebut sudah
            ada struktur folder Maildir beserta struktur direktori di bawahnya

       10. Sampai di sini seharusnya user-user yang ada sudah bisa login ke http://www.lks10.sch.id/webmail,
           tetapi INBOX masih kosong.

       11. Jika diinginkan dapat dilakukan Test konfigurasi Squirrelmail dengan menggunakan
           http://www.lks10.sch.id/webmail/src/configtest.php, namun ada eror kecil yang sebenarnya tidak
           mengganggu / mempengaruhi kinerja, tetapi untuk menghilangkannya adalah :

            # mcedit /etc/php5/apache2/php.ini

                 magic_quotes_gpc = On                       Pada sekitar baris 457

            ganti menjadi :

                 magic_quotes_gpc = Off

       12. Jika langkah 11 dilakukan, maka harus restart apache2
           # /etc/init.d/apache2 restart



XIV.   MTA (Mail Transfer Agent) POSTFIX
       Langkah ini hanya jika dilakukan jika mengunakan MTA postfix dan bukan MTA exim4

       1.   Install postfix jika belum :
            # apt-get install postfix

            Postfix Configuration saat instalasi :
             General type of mail configuration : pilih internet site
             System mail name :    lks10.sch.id
PanduanUpdate LKS Nasional 2011                                                                  Copy Left:Nugroho,ST.



                 Perhatikan bahwa Sytem mail name sama dengan nama domain yaitu lks10.sch.id sehingga nanti
                    user-user beserta alamat emailnya adalah :
                    a.   user1      alamat emailnya :   user1@lks10.sch.id
                    b.   user2      alamat emailnya :   user2@lks10.sch.id
                    c.   admin alamat emailnya :        admin@lks10.sch.id

      2.   Edit file konfigurasi:
           # mcedit /etc/postfix/main.cf
             Ubah menjadi :

                 myhostname = mail.lks10.sch.id
                 alias_maps = hash:/etc/aliases
                 alias_database = hash:/etc/aliases
                 myorigin = /etc/mailname
                 mydestination = lks10.sch.id, mail.lks10.sch.id server.lks10.sch.id, localhost.lks10.sch.id, localhost
                 relayhost =                                                              SMTP no relay host
                 mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
                 mailbox_command =
                 mailbox_size_limit = 0
                 recipient_delimiter = +
                 inet_interfaces = all
                 home_mailbox = Maildir/

      3.   Restart atau reload Postfix:
           # /etc/init.d/postfix restart atau
           # /etc/init.d/postfix reload

      4.   Okehh selesai. Tinggal akses http://www.lks10.sch.id/webmail maupun http://mail.lks10.sch.id. Ditarik
           dari MS Outlook / Outlook Express juga bisa. Untuk POP3/IMAP dan SMTP dapat menyebutkan nama
           server server.lks10.sch.id atau mail.lks10.sch.id ataupun bisa juga menggunakan alamat IPnya



XV.   Pengecekan Fungsi POP3, IMAP, dan SMTP menggunakan Outlook Express
      1. Outlook Express 6 adalah aplikasi Mail Client bawaan Windows XP yang mampu menangani dan
          berkomunikasi dengan Incoming Mail Server yang menggunakan protokol POP3, IMAP, HTTP, maupun
          yang mengunakan POP3/IMAP dengan SSL. Outlook Express berkomunikasi dengan Outging Mail Server
          yang menggunakan SMTP maupun SMTP dengan SSL.
      2. Selain Sebagai Mail Client, Outlook Express juga mampu berkomunikasi dengan Active Directory Server
          (LDAP Server) dan News Server (NNTP Server).

      3.   Aplikasi selain Outlook Express yang dapat digunakan adalah MS Outlook, yang merupakan bawaan dari
           MS Office. MS Outlook mempunyai feature yang lebih lengkap jika dibandingkan dengan Outlook Express.
           (Schedulling, Calender, dan Reminder)  sekretaris pribadi.

      4.   Langkah-langkah Penggunaan Outlook Express 6 untuk Incoming Mail Server POP3 (port 110) dan
           Outgoing Mail Server SMTP (port 25) :

           a.    Tools > Accounts




           b.    Add > Mail
PanduanUpdate LKS Nasional 2011                                                       Copy Left:Nugroho,ST.




     c.   Masukkan display name-tidak harus sama dengan account alamat emailnya / account username di
          Server Mailnya-misal User1




          Kemudian klik Next

     d.   Masukkan alamt emailnya secara lengkap dan benar user1@lks10.sch.id




          Kemudian klik Next

     e.   Pilih Incoming Mail Servernya : POP3
          Sebutkan Incoming Mail (PO3) Servernya : server.lks10.sch.id atau IP-nya
          Sebutkan Outgoing Mail (SMTP) Servernya : server.lks10.sch.id atau IP-nya




          Kemudian klik Next




     f.   Masukkan account/username dan password di Server Mail : user1 dan 123




          Kemudian klik Next
          Klik Finish

     g.   Tools > Accounts
PanduanUpdate LKS Nasional 2011                                                       Copy Left:Nugroho,ST.




     h.   Akan tampak sudah ada account mail yang bernama server1.lks10.sch.id




          Kemudian klik Properties

     i.   Ganti Nama account mail server1.lks10.sch.id menjadi POP3 server1.lks10.sch.id misalnya
          Boleh juga Masukkan Reply Address user1@lks10.sch.id di tab General ini




     j.   Klik tab Advanced
          [√] Leave a copy messages on server email tidak ‘tersedot’ semua ke Outlook Express
          [√] Remove from Server when deleted from ‘Deleted Items delete berpengaruh pd Server




          Kemudian Klik OK
PanduanUpdate LKS Nasional 2011                                                                 Copy Left:Nugroho,ST.



       5.   Langkah-langkah Penggunaan Outlook Express 6 untuk Incoming Mail Server IMAP (port 143) dan
            Outgoing Mail Server SMTP (port 25) :
            a. Sama dengan langkah 4
            b. Sama dengan langkah 4
            c. Sama dengan langkah 4
            d. Sama dengan langkah 4

            e.   Pilih Incoming Mail Servernya : IMAP
                 Sebutkan Incoming Mail (IMAP) Servernya : server.lks10.sch.id atau IP-nya
                 Sebutkan Outgoing Mail (SMTP) Servernya : server.lks10.sch.id atau IP-nya




                 Kemudian klik Next

            f.   Sama dengan langkah 4
            g.   Sama dengan langkah 4
            h.   Sama dengan langkah 4

            i.   Ganti Nama account mail server.lks10.sch.id menjadi IMAP server.lks10.sch.id misalnya
                 Boleh juga Masukkan Reply Address user1@lks10.sch.id di tab General ini




                 Kemudian Klik OK



XVI.   MTA (Mail Transfer Agent) EXIM
       Langkah ini hanya jika dilakukan jika mengunakan MTA exim4 dan bukan MTA postfix
       1. Install Exim jika belum :
           # apt-get install exim4

       2.   Konfigurasi exim4 agar menggunakan Maildir bukan mbox
            # dpkg-reconfigure exim4-config
                General type of mail configuration : pilih mail sent by smarthost : received via SMTP or fetchmail
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.



               Machine to relay mail for : kosong
               Delivery method for local mail : pilih maildir format in home directory

     3.   Okehh selesai. Tinggal akses http://www.lks10.sch.id/webmail maupun http://mail.lks10.sch.id. Ditarik
          dari MS Outlook / Outlook Express juga bisa. Untuk POP3 dan SMTP pake server server.lks10.sch.id atau
          menggunakan alamat IPnya



XVII. ProFTPD

     1.   Install proftpd jika belum :
          # apt-get install proftpd

          Saat ditanya apakah servis akan ikut inetd atau stand alone pilih standalone
          Secara otomatis proftpd akan membuat user ftp dengan home directory /home/ftp yang digunakan
          untuk keperluan login anonymous

     2.   Edit file konfigurasi:
          # mcedit /etc/proftpd/proftpd.conf

          Unquoted an sesuaikan semua baris di bawah ini :

                DefaultRoot ~                                         penjara / jail untuk user
                UseIPv6 off
                PassivePorts   40000 40100                            Port Passive, beda dengan di VirtualHost


                <Anonymous ~ ftp>
                       User ftp
                       Group nogroup
                       UserAlias anonymous ftp
                       DirFakeUser on ftp
                       DirFakeGroup on ftp
                       RequireValidShell off
                       MaxClients 30
                       DisplayLogin welcome.msg
                       DisplayFirstChdir .message

                         <Directory *>
                         <Limit WRITE>
                                  Allow 200.200.200.0/24              IP yang boleh upload
                                  Allow 192.168.137.1/32              IP Admin boleh upload Anonymous
                                DenyAll                               Deny Semua
                       </Limit>
                       </Directory>
                </Anonymous>
PanduanUpdate LKS Nasional 2011                                                             Copy Left:Nugroho,ST.



           Lalu tambahkan baris di bawah ini :


                <VirtualHost   100.100.100.3>
                ServerName       ftp.lks10.sch.id
                Port 21                                                        Copy saja dari atasnya,
                                                                               Agar dari luar juga bisa
                          30000 30100
                PassivePorts                                                   login Anonymously

                MasqueradeAddress 192.168.137.11

                <Anonymous ~ ftp>
                       User ftp
                       Group nogroup
                       UserAlias anonymous ftp
                       DirFakeUser on ftp
                       DirFakeGroup on ftp
                       RequireValidShell off
                       MaxClients 30
                       DisplayLogin welcome.msg
                       DisplayFirstChdir .message

                         <Directory *>
                         <Limit WRITE>
                                  Allow 200.200.200.0/24            IP yang boleh upload
                                  Allow 192.168.137.1/32            IP Admin boleh upload Anonymous
                                  DenyAll                           Deny Semua
                       </Limit>
                       </Directory>
                </Anonymous>


                </VirtualHost>




      3.   Restart ProFTP;
           #/etc/init.d/proftpd restart

           Maka seharusnya muncul :

           Stopping ftp server: proftpd.
           Starting ftp server: proftpdftp.lks10.sch.id - 100.100.100.3:21 masquerading as 192.168.137.11

      4.   Buka ftp dengan ftp://ftp.lks10.sch.id, maka akan masuk ke folder milik anonymous yaitu : /home/ftp.
           Jika ingin menggunakan username account1 dan masuk ke home folder account1 (/home/account1) buka
           ftp denganftp://user1@ftp.lks10.sch.id



XVIII. PROXY SERVER TRANSPARENT
       1. Install squid jika belum :
           # apt-get install squid

      2.   Buat squid jadi Proxy transparent (artinya di client nggak perlu memasukkan setting Proxy di Browser /
           otomatis)
           # mcedit /etc/squid/squid.conf
PanduanUpdate LKS Nasional 2011                                                            Copy Left:Nugroho,ST.



         di mcedit tekan F7 untuk search. Cari “http_port 3128” (sekitar baris 1111)

             http_port 3128

             ditambah/diganti dengan :


             http_port 3128   transparent

         Buat ACL (Access Control List) networks 200.200.200.0/24 dengan nama lokal
          di mcedit tekan F7 untuk search. Cari “acl localhost”, setelah ketemu barisnya yang berisi acl localhost
          src 127.0.0.1/32 (sekitar baris 601), tambahkan baris berikut ini di bawahnya / di atasnya :

             acl localhost src 127.0.0.1/32
             acl lokal src   200.200.200.0/24
         di mcedit tekan F7 untuk search. Cari “http_access deny all”, setelah ketemu barisnya yang berisi
          http_access deny all (sekitar baris 679), tambahkan baris berikut ini di ATAS- nya. Penempatan urutan
          baris di sini sangat penting. Perhatikan bahwa baris yang berisi rule http_access deny all harus rule
          yang paling bawah :


             http_access allow lokal

             # And finally deny all other access to this proxy
             http_access deny all

         di mcedit tekan F7 untuk search. Cari “icp_access deny all”, setelah ketemu barisnya yang berisi
          icp_access deny all (sekitar baris 718), tambahkan baris berikut ini di ATAS- nya. Penempatan urutan
          baris di sini sangat penting. Perhatikan bahwa baris yang berisi rule icp_access deny all harus rule
          yang paling bawah :

             icp_access allow lokal

             #Allow ICP queries from local networks only
             icp_access deny all

   3.   Restart service squid
        # /etc/init.d/squid restart

   4.   Saat ini iptables dapat dikatakan masih kosong, iptables sudah berjalan namun belum ada rule dan semua
        chain policynya ACCEPT
         Simpan kondisi iptables ini sebagai /etc/iptables-kosong
           # iptables-save > /etc/iptables-kosong

         Gunakan untuk melakukan restrore mengunakan jika terjadi kesalahan atau jika diinginkan
           # iptables-restore < /etc/iptables-kosong

   5.   Redirect paksa semua request Web (port 80) agar selalu melalui port squid (port 3128)

        # iptables -t nat -A PREROUTING                  -i eth1 -p tcp --dport 80 -j REDIRECT
           --to-port 3128
        Tapi settingan iptables tersebut hanya sementara,saat reboot akan hilang
PanduanUpdate LKS Nasional 2011                                                              Copy Left:Nugroho,ST.



       6.   Cara agar Permanen dan akan selalu menyimpan perubahan yang dilakukan secara otomatis :
            a. Redirect port 80 ke 3128 jika belum dilakukan di langkah no.4 di atas
               # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

            b. Simpan kefile mana saja, misal : /etc/iptables.rules
               #iptables-save > /etc/iptables.rules



            c. Edit / Tambahkan di baris paling bawah /etc/network/interfaces :
                     pre-up iptables-restore < /etc/iptables.rules
                     post-down iptables-save > /etc/iptables.rules

       7.   Restart service squid
            # /etc/init.d/squid restart




XIX.   PROXY SERVER UNTUK ACL (Access Control List) untuk Blokir Situs dan Blokir Ekstensi File dengan Custom
       Error Messages :


       1.   ACL   blocksitus
             a.   Buat file yang berisi daftar situs yang di block.
                  # mcedit /etc/squid/blocksitus.txt

                  Isikan sesuai soal :
                           www.facebook.com
                           www.twitter.com

             b.   Buat Custom Error Message untuk ACL blocksitus, copykan dari Error Message yang lain
                  # cd /usr/share/squid/errors/English/
                  # cp ERR_ACCESS_DENIED ERR_BLOCKSITUS

             c.   Edit ERR_BLOCKSITUS sesuai keinginan


       2.   ACL   blockfile
             a.   Buat file yang berisi daftar file yang di block
                  # mcedit /etc/squid/blockfile.txt

                  Isikan daftar file yang akan di block :
                           \.[Mm][Pp]3$                              mp3
                           \.[Aa][Vv][Ii]$                           avi
                           \.[Mm][Pp][Gg]$                           mpg
                           \.[Mm][Pp][Ee][Gg]$                       mpeg
                           \.[Ff][Ll][Vv]$                           flv
                           \.[Mm][Kk][Vv]$                           mkv

             b.   Buat Custom Error Message untuk ACL blockfile, copykan dari Error Message yang lain
                  # cd /usr/share/squid/errors/English/
                  # cp ERR_ACCESS_DENIED ERR_BLOCKFILE

             c.   Edit ERR_BLOCKFILE sesuai keinginan

       3.   Edit file konfigurasi squid
            # mcedit /etc/squid/squid.conf
PanduanUpdate LKS Nasional 2011                                                                     Copy Left:Nugroho,ST.




            Isikan baris berikut, namun ingat urutan ACL-nya harus betul. Jika ada 2 perintah atau lebih yang
            mengetus mengenai hal yang sama atau beririsan, maka perintah yang berada pada baris yang lebih atas
            akan lebih kuat. Tempatkan DI ATAS baris yang mengatur acl lokal :


                 acl blocksitus url_regex “/etc/squid/blocksitus.txt”
                 acl blockfile urlpath_regex “/etc/squid/blockfile.txt”
                 acl lokal src 200.200.200.0/24



                 http_access deny blocksitus
                 deny_info     ERR_BLOCKSITUS blocksitus
                 http_access deny blockfile
                 deny_info     ERR_BLOCKFILE blockfile
                 http_access allow lokal



                 # And finally deny all other access to this proxy
                 http_access deny all

       4.   Pengujian dilakukan dari browser client. Lakukan akses ke url yang diblok (contohnya
            www.facebook.com) akan menghasilkan halaman Custom Error Message (gagal didapatkannya url yang
            diminta) karena aturan yang ada di ACL (Access Control List)



                 ERROR
                 URL yang diminta tidak dapat ditampilkan
                 --------------------------------------------------------------------------------

                 Saat mencoba URL: http://www.facebook.com/

                 Terjadi Error:

                 Situs di Blok
                 Atas kebijakan baru perusahaan, maka akses ke situs di atas diblokir.

                 Silahkan hubungi webmaster.
                 --------------------------------------------------------------------------------
                 Generated Sun, 09 Oct 2011 06:05:43 GMT by server.lks10.sch.id (squid/2.7.STABLE3)


       5.   Tampilan/pemberitahuan Error dari squid tersebut dapat dimodifikasi dan dikustomisasi. File-file HTML-
            nya ada di folder/usr/share/squid/errors/English/



XX.    PROXY SERVER UNTUK membatasi kecepatan download berdaarkan ekstensi file :
       Contoh ACL untuk membatasi kecepatan download berdaarkan ekstensi file, edit /etc/squid/squid.conf :
            acl limit url_regex -i ftp .exe .mpeg .mp3 .zip
            delay_pools 1
            delay_class 1 1
            delay_parameters 1 1000/16000
            delay_access 1 allow limit
            delay_access 1 deny ALL

XXI.    PROXY SERVER UNTUK membuat authentifikasi internet access :
PanduanUpdate LKS Nasional 2011                                                                Copy Left:Nugroho,ST.



         Contoh Parameter Authentifikasi, ACL, dan HTTP Parameter :
         1. Buat terlebih dahulu file authentifikasinya, usr dan passwordnya:
             #htpasswd –c /usr/lib/squid/login.auth [nama_user_kamu]
                     -c digunakan untuk create user pertama kali dan selanjutnya tanpa –c jika akan menciptakan
                        user lagi
         2. Gunakan mode default saja. Masuk ke squid.conf dan tambahkan konfigurasi berikut:
                     Pada auth_param:
                        F7: cari auth_param basic program
                        Menjadi auth_param basic program /usr/lib/squid/ncsa_auth /usr/lib/squid/login.auth
                        Unquote 4-5 baris dibawahnya
                     Pada acl :
                        F7: acl localhost. Tambahkan aturan dibawahnya:
                        acl ncsa_users proxy_auth REQUIRED
                        acl local src “iplocal/netmask”
                     Pada http_access:
                        F7: http_access deny all. Tambahkan dibawahnya:
                        http_access allow ncsa_users
                        http_access allow local
                     Jika mau menggunakan mode transparent:
                        F7: 3128
                        3128 transparent
                     Jangan lupa konfigurasi proxy server kamu pada web browser .

XXII.    PROXY SERVER UNTUK membuat whitelist allow access:
                    Buat terlebih dahulu whitelist.txt
                       #mcedit /etc/squid/whitelist.txt
                       Isi misalkan www.google.com save F10
                    Konfigurasi file squid.conf
                       #mcedit /etc/squid/squid.conf
                       Tambahkan :
                       acl whitelist src “iplokalkamu”
                       acl allow_whitelist dstdomain “/etc/squid/whitelist.txt
                       http_access allow whitelist allow_whitelist



XXIII. Samba Client
        1.   Install Samba client dan smbfs :
             #apt-get install samba-client smbfs

        2.   Ada perbedaan share antara WindowsXP yang menggunakan simple share dengan Windows7 yang harus
             memiliki account dengan password. Hak akses tergantung dari


             di win7admin (IP 192.168.137.1) menggunakan username :      userwin7admin dengan password :
             abc
        3.   Melihat daftar folder yang dihare.
             # smbclient -L 192.168.137.1 -U userwin7admin
             Enter userwin7admin's password:

                  Option yang sering dipakai adalah:
                  -U : namauser, Koneksi dengan nama user lain dari username linux
                  -W : workgroup, Koneksi dengan nama workgroup selain yang di setting di /etc/smb.conf
                  -n : NetBios_Name, Koneksi dengan nama host yang berbeda dengan nama host komputer
                  -I   : IP address Koneksi ke host tertentu dengan IP tersebut. Sangat berguna jika samba tidak
                         berhasil me resolve nama host yang di tuju.
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.




       4.   Akses Share dengan smbclient
            # smbclient //192.168.137.1/sharewin7 -U userwin7admin
            Enter userwin7admin's password:
            smb :\>

       5.   Operasi file seperti mode/protokol FTP.
            Untuk meminta bantuan dan melihat daftar perintah :
            smb :\> help

            help       meminta bantuan dan melihat daftar            rm/del   remove / menghapus file
                       perintah
            ls/dir/l   me-list daftar file dan direktor              get      mendapatkan file, file hasil get akan
            cd         change direktori                                       disimpan di home direktori user/root
            mkdir      make / membuat direktori                      put      menaruh file ke remote share, file yang
            rmdir      menghapus direktori                                    akan ditaruh harus ada di home direktori


       6.   Mounting Share dengan smbmount

            Buat dulu direktori yang dibutuhkan :
            # mkdir/home/share

            Mounting dengan smbmount :
            # smbmount //192.168.137.1/sharewin7/home/share-ouser=userwin7admin


            Atau jika langsung dimasukkan opsi parameternya ( tidak boleh ada spasi antar parameter! )
            # smbmount //192.168.137.1/sharewin7 /home/share-o user=userwin7admin,pass=abc
            # smbmount //192.168.137.1/sharewin7/home/share-o user=userwin7admin,pass=abc,dom=LKS10

       7.   Melepas mountingan dengan smbumount atau dengan umount :
            # smbumount /home/share     atau  # umount /home/share


XXIV. Samba Server Mode Share
      Semua klien bisa mengakses tanpa perlu memasukkan username dan password terlebih dahulu

       1.   Install Samba jika belum :
            #apt-get install samba samba-client smbfs

       2.   Edit /etc/samba/smb.conf:
            #mcedit /etc/samba/smb.conf

            Di sub bagian
            ############### Authentication ##################
            Unquote (hilangkan tanda “;”) dan ganti :
                  ;security=user
                     menjadi
                           share
                   security=


            Di sub bagian
            ================= Share Definition =================
            Tambahkanlah folder yang ingin disharring (contoh : /usr/share/sharring)
                 [homes]
                 comment = Home Directories
                 browseable = no
PanduanUpdate LKS Nasional 2011                                                             Copy Left:Nugroho,ST.



                 [sharring]
                 comment = sharring
                 path = / usr/share/sharring
                 browseable = yes
                 guest only = yes
                 read only =no
                 writable = yes

       1.   Namun jangan lupa, folder yang di share ijinnya juga tergantung mode hak akses dan kepemilikan folder
            tersebut di OS Debian. Untuk mengubahnya gunakan
             chmod, untuk mengubah hak akses
                #chmod –R 777 /usr/share/sharring            opsi -R : rekursif
             chown mengubah kepemilikan
             chgrp mengubah group kepemilikan



XXV. Samba Server Mode User
     Jika ingin agar akses ke samba harus memasukkan user yang terdaftar di account Linux

       1.   Install Samba jika belum :
            #apt-get install samba samba-client smbfs

       2.   Edit /etc/samba/smb.conf :
            #mcedit /etc/samba/smb.conf

       3.   Buat user Linux jika belum ada
            #adduser account1
            #adduser account2

       4.   Tambahkan user Linux ke user samba, dan masukkan password yang dikehendaki
            #smbpasswd –a account1
            #smbpasswd –a account2

       5.   Menghapus user samba
            #smbpasswd –a account1

       6.   Akses dari client (Windows)
            \\server.lks10.sch.id
            atau langsung menuju share home folder user yang dikehendaki :
            \\ server.lks10.sch.id\account2

       7.   User yang logon ke dalam samba server akan diingat Windows di dalam cache, sehingga menyulitkan saat
            akan ingin berganti ke user yang lain. Cara menghilangkan password cache untuk folder share di
            WindowsXP

            Menampilkan daftar folder yang di cache
            C:\>net use

            Menghapus cache folder share dan passwordnya
            C:\>net use /delete


XXVI. Samba Share Bertingkat
      Maksudnya adalah sebagai berikut
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.




              win7admin                                   DebServer                            win7client
               (192.168.137.1)                            server.lks10.sch.id

                                                   //win7admin/sharewin7                \\server.lks10.sch.id\sharedeb
            C:\share dihare dengan                   dimounting ke folder                dibuka dari laptop client win7,
            nama   sharewin7                           /home/share
                                                                                           yang sebenarnya adalah
                                                                                           \\win7admin\sharewin7
                                                   Lalu folder /home/share
                                                  dishare oleh samba dengan
                                                     nama     sharedeb
      Caranya adalah :
       1. Buat dulu direktori yang dibutuhkan :
           # mkdir /home/share

       2.    Change mode:
             # chmod –R 777 /home/share
       3.    Tampilkan folder yang dishare di win7admin:
             server:~# smbclient -L win7admin -U userwin7admin

       4.    Mounting dengan smbmount :
             # smbmount //192.168.137.1/sharewin7 /home/share -o user=userwin7admin



       5.    Edit /etc/samba/smb.conf :
             #mcedit /etc/samba/smb.conf

             Di sub bagian
             ############### Authentication ##################
             Unquote (hilangkan tanda “;”):
                           user
                   security=


             Di sub bagian
             ================= Share Definition =================
             Tambahkanlah folder yang ingin disharring (contoh : /usr/share/sharring)
                   [sharedeb]
                   comment = sharedeb
                            browseable = yes
                    path = /home/share
                   guest ok = yes
                    read only = no
                    create mask = 0777

             TUTUPLAH/ quote baris berikut
                 valid users = %S
                 sehingga menjadi
                 ;valid users = %S

       6.    Akses dari Win7Client : \\server.lks10.sch.id\sharedeb



XXVII. Printer Sharring Bertingkat
       1. Install cups dan cups-client :
             # apt-get install cups cups-client winbind

       2.    Tampilkan printer yang dishare di win7admin:
PanduanUpdate LKS Nasional 2011                                                              Copy Left:Nugroho,ST.



            server:~# smbclient -L win7admin -U userwin7admin
            Enter userwin7admin's password:
            Domain=[WIN7ADMIN] OS=[Windows 7 Ultimate 7600] Server=[Windows 7 Ultimate 6.1]
               Sharename            Type        Comment
               -----------------    --------    -----------------
               ADMIN$               Disk        Remote Admin
               C$                   Disk        Default share
               ip1700               Printer        Canon Inkjet iP1700
               IPC$                 IPC            Remote IPC
               print$               Disk           Printer Drivers
               sharewin7            Disk
               Users                Disk


       3.   Buat printer baru :
            lpadmin -p ip1700 -v smb://userwin7admin:abc@win7admin/ip1700-P /root/inkjet.ppd

            sehingga file/etc/cups/printers.conf otomatis akan terisi

            # cat /etc/cups/printers.conf

                 # Printer configuration file for CUPS v1.3.8
                 # Written by cupsd on 2011-10-03 06:06
                 <Printer ip1700>
                 Info ip1700
                 DeviceURI smb://userwin7admin:abc@win7admin/ip1700
                 State Stopped
                 StateMessage
                 StateTime 1317596780
                 Accepting No
                 Shared Yes
                 JobSheets none none
                 QuotaPeriod 0
                 PageLimit 0
                 KLimit 0
                 OpPolicy default
                 ErrorPolicy stop-printer
                 </Printer>

            Lakukan perintah berikut (atau bisa langsung edit file /etc/cups/printer.conf:
                 # cupsenable ip1700
                 # cupsaccept ip1700
                 # lpadmin -d ip1700

       4.   Restart service cups dan samba :
            # /etc/init.d/cupsd restart
            # /etc/init.d/samba restart

XXVIII. CUPS Web Interface untuk Printer Sharring
         1. Install cups dan cups-client :
            # apt-get install cups cups-client winbind
        2. Edit file konfigurasi /etc/cups/cupsd.conf :
            # mcedit /etc/cups/cupsd.conf

            Cari dan tambahkan baris di bawah ini :



            # Only listen for connection from the local machine.
PanduanUpdate LKS Nasional 2011                                                        Copy Left:Nugroho,ST.




            Listen localhost:631
            Listen 100.100.100.2:631
            Listen 200.200.200.1:631
            Listen /var/run/cups/cups.sock

            # Show shared printer on the local network
            Browsing On
            BrowseOrder allow, denny
            BrowseAllow all
            BrowseAddress @LOCAL

            # Default authentication type, when authentication is required..
            DefaultAuthType Basic

            # Restrict access to the server...
            <Location />
                 Order allow,deny
                 Allow @LOCAL
            </Location>

      5.    Restart service cups :
            # /etc/init.d/cupsd restart



XXIX. Domain Controller (belum selesai…)


            add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u unquote
            add machine script = /usr/sbin/useradd -s /bin/false -d /home/samba %u unquote dan GANTI
            add group script = /usr/sbin/addgroup --force-badname %g unquote

            [netlogon]
              comment = Network Logon Service
              path = /home/samba/netlogon
              guest ok = yes
              read only = yes
              share modes = no

            [profiles]
              comment = Users profiles
              path = /home/samba/profiles
              guest ok = no
              browseable = no
            writeable = yes
              create mask = 0600
              directory mask = 0700

       5.   Buat direktori netlogon dan profiles
            # mkdir /home/samba
            # mkdir /home/samba/netlogon
            # mkdir /home/samba/profiles

       6.   chmod direktori netlogon dan profiles
            # chmod –R 777 /home/samba/
PanduanUpdate LKS Nasional 2011                                                     Copy Left:Nugroho,ST.




     7.   Restart samba
          # /etc/init.d/samba restart




                                 Instalasi & Konfigurasi Router
                                Debian Lenny (ver 5.0.3 i386 DVD)

I.   INSTALL
     1. Gunakan hanya DVD 1 saja  sudah sangat mencukupi kebutuhan server
     2. Network configuration method : do not configure the Networks at this time
     3. Hostname : router.lks10.sch.id
     4. Partition : Guided – use entire disk
     5. Partition scheme : all files in one partition
     6. User : root, password : 123456
     7. Tidak perlu scan DVD lain
     8. Choose software to install :
         [*] Web Server
         [*] Standart System
          total hanya 102 paket
     9. GRUB on MBR
PanduanUpdate LKS Nasional 2011                                                                   Copy Left:Nugroho,ST.



II.    INSTALL PAKET TAMBAHAN
       1. Install Paket tambahan untuk Server :
           # apt-get install mc elinks nmap iptraf

            mc               :   midnight commander, clone nc (norton commander)  explorer , editor
            elinks           :   browser basis teks
            dnsmasq          :   DNS dan DHCP server alternatifnya : bind9 (DNS) dan dhcp3 (DHCP)
            nmap             :   Nework exploration tool and security / port scanner
            iptraf           :   IP trafic analyzer / monitor

       2.   Web Server to reconfigure pilih
            [*] apache2


III.   SET IP
       1. Setting IP sementara :
            Berguna untuk mengetahui Networks address, netmask, dan broadcast tanpa menghitung manual
            # ifconfig eth0 192.168.137.10/24

            Lakukan perintah ifconfig untuk membaca konfigurasi IP eth0, lalu ingat / catat !!!
            # ifconfig eth0

       2.   Setting IP Permanen :
            # mcedit /etc/network/interfaces
            Baris yang sudah ada / lo (loopback 0) :
                  auto lo
                  iface lo inet loopback

            Tambahkan baris berikut :
               auto eth0
               iface eth0 inet static
                 address 192.168.137.9
                 netmask 255.255.255.0
                 gateway   192.168.137.1

                 auto eth0:0
                 iface eth0:0 inet static
                 address 192.168.137.10
                 netmask 255.255.255.0




                 auto eth0:1
                 iface eth0:1 inet static
                 address 192.168.137.11
                 netmask 255.255.255.0

                 auto eth0:2
                 iface eth0:2 inet static
                 address 192.168.137.12
                 netmask 255.255.255.0

                 auto eth1
PanduanUpdate LKS Nasional 2011                                                                 Copy Left:Nugroho,ST.



                iface eth1 inet static
                address 100.100.100.1
                netmask 255.255.255.0

      3.   Restart service networking :
           # /etc/init.d/networking restart

      4.   Network interface akan sukses up, namun dengan peringatan (warning) sepeti :
           Reconfiguring network interfaces...if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS
           mounts (warning).
           done.

      5.   Menghilangkan Peringatan waiting for interface eth1 before doing NFS mounts (warning)
           Yang terjadi adalah saat eth0 up (oleh ifup) sesuai dengan isi /etc/network/interfaces maka script di
           dalam direktori /etc/network/if-up.d/ akan tereksekusi. Salah satu script tersebut adalah mountntfs
           (/etc/network/if-up.d/mountntfs). Jika cukup terganggu dengan warning yang muncul sementara kita
           tidak mempunyai folder nfs (network file system yang hendak dimounting, maka cukup chmod
           /etc/network/if-up.d/mountntfs agar menjadi non-executable.


           # chmod -x /etc/network/if-up.d/mountnfs

      6.   Cek : # ifconfig atau # ifconfig eth0 atau # ifconfig eth1



IV.   DNS Client Set
      1. Buat sekaligus edit /etc/resolv.conf :
          # mcedit /etc/resolv.conf
          Isikan untuk DNS Resolve (Hirarki DNS di atas / parent dari Server, ditambahkan di sini) :
                nameserver            100.100.100.2         DNS Server server.lks10.sch.id

      2.   Konfigurasi DNS Client ini baru dapat dicoba setelah DNS Server di server.lks10.sch.id aktif



V.    Ijinkan Forward Paket dengan iptables
      1. Secara default, file /proc/sys/net/ipv4/ip_forward berisi 0. Ganti jadi 1
            # echo 1 > /proc/sys/net/ipv4/ip_forward

      2.   Edit file /etc/sysctl.conf
           # mcedit /etc/sysctl.conf

           Carilah baris :
                 #net.ipv4.ip_forward=1

           Unquote / Hilangkan tanda #-nya :
               net.ipv4.ip_forward=1

      3.   Restart Service procps dan networking
           # /etc/init.d/procps restart
           Setting kernel variables (/etc/sysctl.conf)...done.

           # /etc/init.d/networking restart
           Reconfiguring network interfaces...done.



VI.   Masukkan rule iptables untuk Masquerade eth1 (input = local) ke eth0 (output = ke server)
      Iptables untuk Masquerade :
PanduanUpdate LKS Nasional 2011                                                                 Copy Left:Nugroho,ST.



      # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
         Tapi settingan iptables tersebut hanya sementara,saat reboot akan hilang
         Cara agar Permanen :
            a. Forwarding
                 #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

             b.   Simpan kefile mana saja, misal : /etc/iptables.rules
                  #iptables-save > /etc/iptables.rules

             c.   Edit / Tambahkan di baris paling bawah /etc/network/interfaces :
                           pre-up iptables-restore < /etc/iptables.rules
                           post-down iptables-save > /etc/iptables.rules




XXX. FIREWALL dengan iptables
     1. Sebelum mulai, ingat bahwa kita memiliki file /etc/iptables-kosong pada waktu pembuatanproxy
          transparent yangmerupakan konfigurasi tanpa filter atau firewall. File ini juga berfungsi untuk merestrore
          / mengembalikan kondisi “kosong” saat terjadi kebuntuan pada penyetingan iptables. Jika belum punya
          maka buat dulu :
          # iptables -F                           flush tabel filter
          # iptables -t nat -F                    flush tabel nat
          # iptables -P INPUT ACCEPT              Set policy ACCEPT chain INPUT
          # iptables -P OUTPUT ACCEPT             Set policy ACCEPT chain OUTPUT
          # iptables -P FORWARD ACCEPT            Set policy ACCEPT chain FORWARD
          # iptables-save > /etc/iptables-kosong  Simpan ke /etc/iptables-kosong

           Saat dibutuhkan kondisi “kosong” tanpa filter, maka lakukan restore dari file /etc/iptables-kosong :
           # iptables-restore < /etc/iptables-kosong

      2.   Ingat juga kita memiliki file /etc/iptables.rules pada waktu pembuatan proxy transparent yangmerupakan
           konfigurasi dengan redirect port 80 ke port 3128.

      3.   Langkah nomor 1 ini sudah dilakukan pada saat pembuatan Proxy transparent yaitu sebuah rule di tabel
           nat chain PREROUTING yang akan melakukan redirect port 80 ke Squid proxy port 3128.
           # iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT --to-port 3128

      4.   Set feature Connection tracking. Gunanya adalah saat kita sudah mendefinisikan sebuah rule di chain
           tertentu, maka trafik network yang terkait dengan rule tersebut tidak perlu disebutkan lagi.
           # iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
           # iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

           Soal meminta agar firewall iptables hanya mengijinkan akses dari range ip valid yang ditentukan. Ambil
           contoh sebagai berikut :
               IP kelas 172.16.10.0/240 yang valid adalah dari 172.16.10.1 - 172.16.10.14, Sementara IP yang
                dibolehkan mengakses Server adalah 172.16.10.1 – 172.16.10.6.
               Berarti source yang diijinkan adalah dari IP klien 172.16.10.1 – 172.16.10.6 (bisa disebutkan sebagai
                172.16.10.0/29)
               Maka <RANGEIP> harus diganti dengan :
                -m iprange --src-range 172.16.10.1-172.16.10.6atau-s 172.16.10.0/29
               Jika misalnya hanya boleh menerima dari IP 192.168.10.2 saja maka <RANGEIP>diganti dengan -s
                192.168.10.2/32
PanduanUpdate LKS Nasional 2011                                                           Copy Left:Nugroho,ST.



   5.   Buat Rule di chain sesuai dengan soal, ijinkan hanya Service tertentu saja yang terbuka, Namun ingat
        <RANGEIP> yang diijinkan (SSH dan icmp di luar tuntutan soal, tidak perlu dilakukan)

              SSH                    dport 22/tcp                         chain INPUT
              HTTP / WWW             dport 80/tcp                         chain INPUT
              POP3                   dport 110/tcp                        chain INPUT
              IMAP                   dport 143/tcp                        chain INPUT
              Squid Proxy            dport 3128/tcp                       chain INPUT
              Domain / DNS           dport 53/udp                         chain INPUT
              DHCP                   sport 68/udp, dport 67/udp           chain INPUT
              icmp                   icmp                                 chain INPUT

        # iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT --to-port 3128
        # iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -A INPUT <RANGEIP>-p tcp -m multiport --dport 22,25,80,110,143,3128       --syn -j ACCEPT
        # iptables -A INPUT<RANGEIP> -p udp --dport 53 -j ACCEPT
        # iptables -A INPUT -p udp --sport 68 --dport 67 -j ACCEPT  DHCP tidak pakai rangeip
        # iptables -A INPUT <RANGEIP>-p icmp -j ACCEPT


        keterangan :
        --syn     artinya memeriksa paket yang melakukan request koneksi TCP yang baru saja. Ingat tcp
                  adalah connection oriented.



   6.   Cara agar Permanen dan akan selalu menyimpan perubahan yang dilakukan secara otomatis :
         a. Simpan kefile mana saja, misal : /etc/iptables.rules
             #iptables-save > /etc/iptables.rules

         b.   Edit / Tambahkan di baris paling bawah /etc/network/interfaces :
                       pre-up iptables-restore < /etc/iptables.rules
                       post-down iptables-save > /etc/iptables.rules



   7.   Rangkuman Langkah Praktis Firewall iptables:
        # iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT --to-port 3128
        # iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -A INPUT <RANGEIP>-p tcp -m multiport --dport 22,25,80,110,143,3128      --syn -j ACCEPT
        # iptables -A INPUT<RANGEIP> -p udp --dport 53 -j ACCEPT
        # iptables -A INPUT -p udp --sport 68 --dport 67 -j ACCEPT  DHCP tidak pakai rangeip
        # iptables -A INPUT <RANGEIP>-p icmp -j ACCEPT
        # iptables -A INPUT -i lo -j ACCEPT
        # iptables -P INPUT DROP
        # iptables -P OUTPUT ACCEPT
        # iptables-P FORWARDDROP



   8.   Sebenarnya ada beberapa skenario yang dapat dijadikan pendekatan pada penerapan iptables. Contoh
        Konfigurasi yang Pertama yang paling Mudah adalah dengan membagi tugas filter Firewall di Server dan di
        Router

        A.    Konfigurasi Oraumum (router adalah puncak tree, client dan server sama-sama menggunakan
              gateway IP router) dengan atau tanpa masquerade
               Konfigurasi Firewall Server
PanduanUpdate LKS Nasional 2011                                                        Copy Left:Nugroho,ST.



              Server bertugas untuk mengijinkan hanya Port / Service / Layanan tertentu saja :
              iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT--to-port 3128
              iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -A INPUT -p tcp -m multiport --dport 22,25,80,110,143,3128 --syn -j ACCEPT
              iptables -A INPUT -p udp --dport 53 -j ACCEPT
              iptables -A INPUT -p udp --sport 68 --dport 67 -j ACCEPT
              iptables -A INPUT -p icmp -j ACCEPT
              iptables -A INPUT -i lo -j ACCEPT
              iptables -P INPUT DROP
              iptables -P OUTPUT ACCEPT
              iptables-P FORWARDDROP

             Konfigurasi Firewall Router :
              Hanya Memforward Paket dari Range IP 172.16.10.1 – 172.16.10.6 saja :
              iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
              iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -A FORWARD -s 172.16.10.0/29-j ACCEPT
              iptables -P INPUT DROP
              iptables -P OUTPUT DROP
              iptables-P FORWARDDROP



     B.   Konfigurasi Oragumun (server adalah puncak tree, bukan router, client menggunakan gateway IP
          router, sementara server menggunakan gateway IP server/router lain)  harus dengan masquerade
           Konfigurasi Firewall Server
             Server bertugas untuk mengijinkan hanya Port / Service / Layanan tertentu saja :
             iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT--to-port 3128
             iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
             iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
             iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
             iptables -A INPUT -s 192.168.10.2/32-p tcp -m multiport --dport 22,25,80,110,143,3128 --syn -j
             ACCEPT
             iptables -A INPUT -s 192.168.10.2/32-p udp --dport 53 -j ACCEPT
             iptables -A INPUT -p udp --sport 68 --dport 67 -j ACCEPT
             iptables -A INPUT -s 192.168.10.2/32-p icmp -j ACCEPT
             iptables -A INPUT -i lo -j ACCEPT
             iptables -P INPUT DROP
             iptables -P OUTPUT ACCEPT
             iptables-P FORWARDDROP

             Konfigurasi Firewall Router :
              Hanya Memforward Paket dari Range IP 172.16.10.1 – 172.16.10.6 saja :
              iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
              iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
              iptables -A FORWARD -s 172.16.10.0/29-j ACCEPT
              iptables -P INPUT DROP
              iptables -P OUTPUT DROP
              iptables-P FORWARDDROP
PanduanUpdate LKS Nasional 2011                                                            Copy Left:Nugroho,ST.



   9.   Konfigurasi yang kedua adalah dengan melakukan filter firewall hanya di server saja. Namun pada
        konfigurasi ini masquerade tidak boleh diaktifkan karena server menjadi tidak dapat membedakah
        sumber paket karena tidak tahu IP client (IP client sudah di masquerade)

        C.    Konfigurasi Oraumum , Filter di Server semua. Di router tidak ada filter firewall apa-apa.
               Konfigurasi Firewall Server
                 Server bertugas untuk mengijinkan hanya Port / Service / Layanan tertentu saja :
                 iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT--to-port 3128
                 iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
                 iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
                 iptables -A INPUT -s 172.16.10.0/29-p tcp -m multiport --dport 22,25,80,110,143,3128 --syn -j
                 ACCEPT
                 iptables -A INPUT -s 192.168.10.2/32-p tcp -m multiport --dport 22,25,80,110,143,3128 --syn -j
                 ACCEPT
                 iptables -A INPUT -s 172.16.10.0/29-p udp --dport 53 -j ACCEPT
                 iptables -A INPUT -s 192.168.10.2/32-p udp --dport 53 -j ACCEPT
                 iptables -A INPUT -p udp --sport 68 --dport 67 -j ACCEPT
                 iptables -A INPUT -s 172.16.10.0/29-p icmp -j ACCEPT
                 iptables -A INPUT -s 192.168.10.2/32-p icmp -j ACCEPT
                 iptables -A INPUT -i lo -j ACCEPT
                 iptables -P INPUT DROP
                 iptables -P OUTPUT ACCEPT
                 iptables-P FORWARDDROP

                 Konfigurasi Firewall Router – Tidak boleh menggunakan Masquerade :
                  Tidak ada konfigurasi filter Firerall di Router

   10. Konfigurasi Ketiga adalah dengan melakukan filter firewall hanya di router saja.
       D. Konfigurasi Oraumum , Filter di Server semua. Di router tidak ada filter firewall apa-apa.
             Konfigurasi Firewall Server
               Tidak ada filter di server :
               iptables -t nat -A PREROUTING-p tcp --dport 80 -j REDIRECT--to-port 3128

                 Konfigurasi Firewall Router – Tidak boleh menggunakan Masquerade :
                  Tidak ada konfigurasi filter Firerall di Router
                  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
                  iptables -t nat -A PREROUTING -p tcp -s 172.16.10.0/29 --dport 80 -j DNAT --to
                  192.168.10.1:3128
                  iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
                  iptables -I OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
                  iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
                  iptables -A FORWARD -p tcp -s 172.16.10.0/29-m multiport --dport 22,25,80,110,143,3128 --syn
                  -j ACCEPT
                  iptables -A FORWARD -p udp -s 172.16.10.0/29--dport 53 -j ACCEPT
                  iptables -A FORWARD -p udp -s 172.16.10.0/29--sport 68 --dport 67 -j ACCEPT
                  iptables -A FORWARD -p icmp -s 172.16.10.0/29-j ACCEPT
                  iptables -P INPUT DROP
                  iptables -P OUTPUT DROP
                  iptables-P FORWARDDROP

   11. Settingan iptables tersebut hanya sementara,saat reboot akan hilang. Cara agar Permanen dan akan
       selalu menyimpan perubahan yang dilakukan secara otomatis :

         a.   Simpan kefile mana saja, misal : /etc/iptables.rules
              #iptables-save > /etc/iptables.rules
PanduanUpdate LKS Nasional 2011                                                               Copy Left:Nugroho,ST.



             b.   Edit / Tambahkan di baris paling bawah /etc/network/interfaces :
                           pre-up iptables-restore < /etc/iptables.rules
                           post-down iptables-save > /etc/iptables.rules

       12. Agar mempermudah pengeditan rule, lebih baik langsung edit/etc/iptables.rules lalu jangan lupa setelah
           itu lakukan iptables-restore
           # iptables-restore< /etc/iptables.rules

       13. Pengecekan:
           # iptables –nL
           # iptables -t nat –nL

       14. Beberapa tambahan mengenai iptables jika diperlukan :

             Cara menampilkan rules akif di table nat chain PREROUTING :
                  # iptables -t nat -L PREROUTING
                    Chain PREROUTING (policy ACCEPT)
                    REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128

             Cara menghapus baris rules akifdi table nat chain PREROUTING:
                  Chain PREROUTING (policy ACCEPT)
                  REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128  Baris 1 Dihapus

                  Perintahnya adalah :
                  # iptables -t nat -D PREROUTING 1

             Cara mengosongkan / Flush tabel dan chains:
                  # iptables -t nat -F PREROUTING  Flush tabel nat chain prerouting
                  # iptables -F –t nat                     Flush tabel nat, seluruh chain
                  # iptables -F                            Flush tabel default (tabel filter), seluruh
            # iptables -F -t filter                Flush tabel default (tabel filter), seluruh chain




VII.   Firewall DMZ
       Beberapa aturan Firewall yang perlu dibuat adalah sebagai berikut :
        Web Server Translation (untuk mengakses webmail, gnakan http://192.168.137.10/webmil. Untuk
           menggunakan mail.lks10.sch.id tidak dapat dengan virtual host tetapi harus benar PC Server yang mandiri
           # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.10 -dport 80 -j DNAT - -to 100.100.100.2:80

        FTP Server Translation
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.11 -dport 21 -j DNAT - -to 100.100.100.4
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.11 -dport 30000:30030 -j DNAT - -to
         100.100.100.4

        Mail Server Translation (Belum ada solusi, kecuali dengan server sendiri atau dengan solusi /webmail)
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.11 -dport 80 -j DNAT - -to 100.100.100.3:80

        SSH Server Transation
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.10 -dport 22 -j DNAT - -to 100.100.100.2:22
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.11 -dport 22 -j DNAT - -to 100.100.100.3:22
         # iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.137.12 -dport 22 -j DNAT - -to 100.100.100.4:22



           iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth0 -j
           ACCEPT
PanduanUpdate LKS Nasional 2011   Copy Left:Nugroho,ST.

				
DOCUMENT INFO
Shared By:
Tags:
Stats:
views:46
posted:11/7/2012
language:
pages:36