Konfigurasi Firewall Sederhana Untuk Router Debian 6 Squeeze 1/28/2013 10:16:00 Pm Malem-Malem Gini Kebetulan Lagi Iseng Mencar Ilmu Firewall, Mau Sambil Sharing Aja Ah. Saya Punya Script Sederhana Firewall Buat Router Pake Debian 6 Squeeze Nih. Topologi Jaringannya Ialah Mirip Ini : Internet----Etho + Tun0(Vpn)Router(Eth1)----Lokal Di Router Itu Hanya Ada 3 Service Yang Berjalan, Adalah Vpn, Proxy, Dan Ssh. Nah, Rule Yang Saya Buat Disini Adalah : 1. Semua Terusan Dari Setempat Ke Internet Diperbolehkan 2. Vpn Boleh Diakses Dari Luar. 3. Saluran Ssh Dari Luar Hanya Boleh Dari Mac Address Tertentu 4. Susukan Proxy Dilarang Dari Luar, Hanya Bisa Dari Dalam Saja. Nah, Kira-Kira Rule Lengkapnya Yakni Mirip Ini : # Generated By Iptables-Save V1.4.8 On Fri Nov 9 19:26:07 2012 *Nat :Prerouting Accept [660398:44170912] :Postrouting Accept [187:14280] :Output Accept [55814:3357369] #Redirect Seluruh Terusan Http Lan Ke Proxy -A Prerouting -S 192.168.100.0/22 -P Tcp -M Tcp --Dport 80 -J Redirect --To-Ports 3128 #Nat Vpn -A Postrouting -S 10.8.0.0/24 -J Masquerade #Nat -A Postrouting -O Eth0 -J Masquerade Commit # Completed On Fri Nov 9 19:26:07 2012 # Generated By Iptables-Save V1.4.8 On Fri Nov 9 19:26:07 2012 *Filter :Input Drop [419:60785] :Forward Accept [18077452:13924732564] :Output Drop [473:26093] #Reject Kanal Squid Dari Luar -A Input -I Eth0 -P Tcp -M Tcp --Dport 3128 -J Drop #Accept Terusan Yang Related,Established -A Input -M State --State New,Related,Established -J Accept # Reject Connections With An Invalid State -A Input -M State --State Invalid -J Reject #Ping Hanya Mampu 1/Sec -A Input -P Icmp -M Limit --Limit 1/Sec -J Accept # 10 Minute Lockout If Trying To Bruteforce Baru Sehabis Itu Accept Ssh -A Input -P Tcp --Dport 22 -M State --State New -M Recent --Set --Name Ssh --Rsource -A Input -M Recent --Update --Seconds 600 --Hitcount 4 --Rttl --Name Ssh --Rsource -J Reject # Saluran Ssh Dari Luar Hanya Mampu Dari Mac Address Gue -A Input -I Eth0 -P Tcp --Dport 22 -M Mac --Mac-Source 7S:Fg:92:Ad:D8:C5 -J Accept -A Input -I Tun0 -P Tcp --Dport 22 -M Mac --Mac-Source 7S:Fg:92:Ad:D8:C5 -J Accept #Saluran Ssh Dari Dalem Setempat Mampu Semua -A Input -I Eth1 -S 192.168.100.0/22 -P Tcp --Dport 22 -J Accept #Accept Loopback -A Input -I Lo -J Accept #Accept Openvpn -A Input -P Udp -M Udp --Dport 1194 -J Accept #Accept Https -A Input -P Tcp -M Tcp --Dport 443 -J Accept #Perbolehkan Semua Susukan Dari Lan Keluar -A Output -S 192.168.100.0/22 -O Eth0 -J Accept -A Output -M State --State New,Related,Established -J Accept Commit # Completed On Fri Nov 9 19:26:07 2012 Atau Bisa Unduh Filenya Pribadi Disini Kira-Kira Baru Segitulah Script Firewall Untuk Router Debian Saya. Masih Banyak Kelemahan Disana-Sini. Namun Supaya Tetap Dapat Menambah Acuan Bagi Kalian Yang Membacanya. Atau Ada Yang Mampu Menyertakan? Monggo Silahkan Komentar Dibawah Jikalau Memang Ada Yang Ingin Mengoreksi Atau Ingin Menambah Sesuatu Pada Script Tersebut :D Semoga Bermanfaat :)

Konfigurasi Firewall Sederhana untuk Router Debian 6 Squeeze 1/28/2013 10:16:00 PM Malem-malem gini kebetulan lagi iseng mencar ilmu firewall, mau sambil sharing aja ah. Saya punya script sederhana Firewall buat router pake Debian 6 Squeeze nih. Topologi jaringannya yakni mirip ini : internet----etho + tun0(vpn)router(eth1)----setempat Di router itu hanya ada 3 service yang berlangsung, yakni VPN, Proxy, dan SSH. Nah, rule yang saya buat disini adalah : 1. Semua susukan dari lokal ke internet diperbolehkan 2. VPN boleh diakses dari luar. 3. Akses SSH dari luar cuma boleh dari mac address tertentu 4. Akses proxy dilarang dari luar, hanya mampu dari dalam saja. Nah, kira-kira rule lengkapnya yakni seperti ini : # Generated by iptables-save v1.4.8 on Fri Nov 9 19:26:07 2012 *nat :PREROUTING ACCEPT [660398:44170912] :POSTROUTING ACCEPT [187:14280] :OUTPUT ACCEPT [55814:3357369] #redirect seluruh saluran http LAN ke proxy -A PREROUTING -s 192.168.100.0/22 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 #Nat vpn -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE #Nat -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Fri Nov 9 19:26:07 2012 # Generated by iptables-save v1.4.8 on Fri Nov 9 19:26:07 2012 *filter :INPUT DROP [419:60785] :FORWARD ACCEPT [18077452:13924732564] :OUTPUT DROP [473:26093] #Reject terusan squid dari luar -A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j DROP #Accept terusan yang related,established -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT # REJECT connections with an invalid state -A INPUT -m state --state INVALID -j REJECT #Ping cuma bisa 1/sec -A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT # 10 minute lockout if trying to bruteforce gres setelah itu accept ssh -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH --rsource -j REJECT # Akses ssh dari luar hanya mampu dari mac address gue -A INPUT -i eth0 -p tcp --dport 22 -m mac --mac-source 7s:fg:92:ad:d8:c5 -j ACCEPT -A INPUT -i tun0 -p tcp --dport 22 -m mac --mac-source 7s:fg:92:ad:d8:c5 -j ACCEPT #Akses ssh dari dalem lokal mampu semua -A INPUT -i eth1 -s 192.168.100.0/22 -p tcp --dport 22 -j ACCEPT #Accept loopback -A INPUT -i lo -j ACCEPT #Accept Openvpn -A INPUT -p udp -m udp --dport 1194 -j ACCEPT #Accept HTTPS -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT #Perbolehkan semua terusan dari lan keluar -A OUTPUT -s 192.168.100.0/22 -o eth0 -j ACCEPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Fri Nov 9 19:26:07 2012 Atau mampu unduh filenya eksklusif  disini  Kira-kira gres segitulah script firewall untuk router debian saya. Masih banyak kekurangan disana-sini. Tapi supaya tetap mampu menambah rujukan bagi kalian yang membacanya. Atau ada yang bisa menambahkan? Monggo silahkan komentar dibawah jika memang ada yang ingin mengoreksi atau ingin menambah sesuatu pada script tersebut :D Semoga berguna :)
Sumber http://nonaerma.blogspot.com