Rabu, 19 Juni 2013

IP Tables (Soal Shift Modul 5 + Jawaban)


SOAL SHIFT MODUL 5 PRAKTIKUM JARINGAN KOMPUTER 2012/2013

SOAL !
a. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet KEBUN BIBIT sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 72
b. Mengijinkan semua akses UDP ke DMZ
c. Subnet DMZ tidak dapat PING dari luar selain subnet AJK dan jaringan internal
d. Koneksi kepada DMZ melalui SSH dibatasi sebanyak 5 koneksi
e. Buatlah sebuah perintah IPTABLES untuk mengatasi synflood
f. Buatlah sebuah perintah IPTABLES untuk mengatasi force SSH Attack
g. Buatlah perintah IP Tables untuk memblok paket scanning. Contoh : Xmas. Fin, scan
h. Subnet TAMAN BUNGKUL hanya bisa diakses oleh subnet KEBUN BIBIT, subnet PLAZA SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (senin-jumat 07.00-17.00)
i. Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade)
j. Catat semua log yang di drop oleh firewall


JAWABAN !
a. Semua subnet tidak dapat mengakses TCP port 21, 443, 66 pada DMZ kecuali subnet KEBUN BIBIT sedangkan port TCP yang diijinkan untuk mengakses DMZ adalah port 80, 8080, 72
#menerima hanya dari kebun bibit
iptables -A FORWARD -p tcp -i eth0 -s 192.167.92.0/23 -d 10.151.71.60/29 -m multiport --dport 21,443,66 -j ACCEPT
#menerima dari semua
iptables -A FORWARD -p tcp -i eth0 -s 0.0.0.0/0 -d 10.151.71.60/29 -m multiport --dport 80,8080,22 -j ACCEPT



b.      Mengijinkan semua akses UDP ke DMZ
#semua bisa akses udp
iptables -A FORWARD -p udp -i eth0 -s 0.0.0.0/0 -d 10.151.77.40/29 -j ACCEPT



c.       Subnet DMZ tidak dapat PING dari luar selain subnet AJK dan jaringan internal
#dmz bisa di ping oleh jaringan internal
iptables -A FORWARD -p icmp -i eth0 -s  192.167.0.0/18 -d 10.151.71.60/29 -j ACCEPT
#dmz bisa di ping oleh AJK
iptables -A FORWARD -p icmp -i eth0 -s 10.151.36.0/24 -d 10.151.71.60/29 -j ACCEPT



d.      Koneksi kepada DMZ melalui SSH dibatasi sebanyak 5 koneksi
iptables -A FORWARD -p tcp -i eth1 -d 10.151.71.60/29 --syn --dport 22 -m connlimit --connlimit-above 5 -j REJECT



e.       Buatlah sebuah perintah IPTABLES untk mengatasi synflood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j REJECT



f.       Buatlah sebuah perintah IPTABLES untuk mengatasi force SSH Attack

        iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set  --name DEFAULT --rsource
        iptables -I FORWARD -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j REJECT
 
 







g.      Buatlah perintah IP Tables untuk memblok paket scanning. Contoh : Xmas. Fin, scan
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j REJECT
#Force Fragments packets check

iptables -A FORWARD -f -j REJECT
#XMAS packets
#Incoming malformed XMAS packets REJECT them:
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j REJECT
#REJECT all NULL packets
#Incoming malformed NULL packets:
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j REJECT
#Block Spoofing and bad addresses
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP


h.      Subnet TAMAN BUNGKUL hanya bisa diakses oleh subnet KEBUN BIBIT, subnet PLAZA SURABAYA hanya bisa diakses ketika jam kerja (08.00-16.00), subnet SUTOS tidak bisa melakukan koneksi ke Yahoo Messenger dan Facebook serta tidak bisa melakukan streaming video pada hari dan jam kerja (senin-jumat 07.00-17.00)

#selain kebun bibit tdk bisa ke taman_bungkul
iptables -A FORWARD -p all -i eth0 -s ! 192.167.92.0/23 -d 192.167.168.0/22 -j REJECT

#di tugu pahlawan, monkasel, siola(di atas plaza surabaya):
iptables -A FORWARD -p all -s 0/0 -d 192.167.72.0/21 -m time --timestart 08:00 --timestop 16:00 -j ACCEPT

#balai kota(atas sutos):
iptables -A FORWARD -p all -s 192.167.144.0/26 -d 173.252.110.27 -m time --timestart 07:00 --timestop 17:00 -j REJECT #facebook
iptables -A FORWARD -p all -s 192.167.144.0/26 -d 68.180.190.124 -m time --timestart 07:00 --timestop 17:00 -j REJECT #messenger




i.        Selain DMZ gunakan NAT untuk mengakses jaringan luar (tidak boleh menggunakan masquerade)
iptables -t nat -A POSTROUTING -s 10.151.71.60/29 -o eth0 -j SNAT --to-source 10.151.70.28
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT \--to $PPPIP





j.        Catat semua log yang di drop oleh firewall
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP




TOPOLOGI 8

Menggunakan metode CIDR untuk menentukan distribusi IP nya.
ABCD             : 192.167.01 | 000000.00000000 / 18 (192.167.64.0 / 18)
   A                  : 192.167.01001 | 000.00000000 / 21 (192.167.72.0 / 21)
   B                  : 192.167.01010 | 000.00000000 / 21 (192.167.80.0 / 21)
   C-D              : 192.167.01011 | 000.00000000 / 21  (192.167.88.0 / 21)
       C              : 192.167.0101101 | 0.00000000 / 23  (192.167.90.0 / 23)
       D              : 192.167.0101110 | 0.00000000 / 23  (192.167.92.0 / 23)

EFG                : 192.167.10 | 000000.00000000 / 18 (192.167.128.0 / 18)
   E                   : 192.167.1001 | 0000.00000000 / 20 (192.167.144.0 / 20)
   F-G               : 192.167.1010 | 0000.00000000 / 20 (192.167.160.0 / 20)
       F               : 192.167.101001 | 00.00000000 / 22 (192.167.164.0 / 22)
       G              : 192.167.101010 | 00.00000000 / 22 (192.167.168.0 / 22)

HIJ                  : 192.168.01 | 000000.00000000 / 18 (192.168.64.0 / 18)
   H                  : 192.168.01001 | 000.00000000 / 21 (192.168.72.0 / 21)
   I                    : 192.168.01010 | 000.00000000 / 21 (192.168.80.0 / 21)
   J                    : 192.168.01011 | 000.00000000 / 21 (192.168.88.0 / 21)

Kita akan menggunakan DMZ untuk server tp dan gm menggunakan IP yang disediakan oleh AJK yaitu 10.151.71.56 /29. Dari situ kita dapat kita temukan pembagiannya yaitu:

gm alokasi IPnya untuk DMZ  : 10.151.71.56 - 10.151.71.59 /29
tp alokasi IPnya untuk DMZ  : 10.151.71.60 - 10.151.71.63 /29


==============================================

tugu_pahlawan (Router Utama)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.151.70.30
netmask 255.255.255.0
gateway 10.151.70.29

auto eth1
iface eth1 inet static
address 192.167.80.1
netmask 255.255.248.0
up ip route add 192.167.64.0/18 via 192.167.80.2

auto eth2
iface eth2 inet static
address 192.167.144.1
netmask 255.255.240.0
up ip route add 192.167.128.0/18 via 192.167.144.2

auto eth3
iface eth3 inet static
address 192.168.72.1
netmask 255.255.248.0
up ip route add 10.151.71.56/29 via 192.168.72.2

==============================================

stasiun_gubeng (router di subnet A, B, dan C)
auto lo
iface lo inet loopback

auto eth2
iface eth2 inet static
address 192.167.80.2
netmask 255.255.248.0
gateway 192.167.80.1

auto eth1
iface eth1 inet static
address 192.167.90.1
netmask 255.255.254.0
up ip route add 192.167.88.0/21 via 192.167.90.2

auto eth0
iface eth0 inet static
address 192.167.72.1
netmask 255.255.248.0

==============================================

host Plasa Surabaya (Host di subnet A)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.72.2

==============================================

siola (router di subnet C dan D)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.90.2
netmask 255.255.254.0
up ip route add 0.0.0.0/0 via 192.167.90.1

auto eth1
iface eth1 inet static
address 192.167.92.1
netmask 255.255.254.0

==============================================

Kebun Bibit (Host di subnet C)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.92.2
netmask 255.255.254.0
gateway 192.167.92.1

==============================================

host Sutos (Host di subnet E)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.144.3
netmask 255.255.240.0
gateway 192.167.144.1

==============================================

Monkasel (router di subnet E, F, dan G)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.144.2
netmask 255.255.240.0
gateway 192.167.144.1

auto eth1
iface eth1 inet static
address 192.167.164.1
netmask 255.255.252.0
up ip route add 192.167.160.0/20 via 192.167.164.2

==============================================

Balai_kota (router di subnet F dan G)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.164.2
netmask 255.255.252.0
gateway 192.167.164.1

auto eth1
iface eth1 inet static
address 192.167.168.1
netmask 255.255.252.0

==============================================

Taman_bungkul (Host di subnet G)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.167.168.2
netmask 255.255.252.0
gateway 192.167.168.1

==============================================

Ampel (router di subnet H,I, dan J)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.72.2
netmask 255.255.248.0
gateway 192.168.72.1

auto eth1
iface eth1 inet static
address 10.151.71.57
netmask 255.255.255.252

auto eth2
iface eth2 inet static
address 10.151.71.61
netmask 255.255.255.252

==============================================

gm (server di subnet I)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.151.71.58
netmask 255.255.255.252
gateway 10.151.71.57

==============================================

tp (server di subnet J)
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.151.71.62
netmask 255.255.255.252
gateway 10.151.71.61

==============================================



==================================================================
--- SELESAI ---
==================================================================
Diposting oleh di
Label: , , ,

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)