Anda ingin memblokir akses keluar atau memblokir berdasarkan ip tertentu dengan port tertentu. Berikut tutorial singkat Blok Akses Keluar dengan Iptables (Blocking Outgoing Access with IPTABLES)

iptables -A OUTPUT -d 202.152.12.15 -j DROP

perintah diatas akan melakukan blokir semua akses ke ip 202.152.12.15

Block Outgoing/blok akses keluar berdasarkan port

iptables -A OUTPUT -p tcp –dport 8080 -j DROP

Blok port 8080 pada ip 171.16.100.1

iptables -A OUTPUT -p tcp -d 171.16.100.1 –dport 8080 -j DROP

 

Berikut sedikit share yang ingin menggunakan firewall untuk web server, yaitu dengan menggunakan iptables
Silahkan yang mau share atau nambahin, tulis di comments
biar lebih banyak lagi kombinasi firewallnya

Ijinkan semua akses keluar dan blok trafik yang masuk (Akses Server keluar)

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Ijinkan established

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

Ijinkan hanya beberapa port yang boleh masuk ke Server (ssh, dns, ldap, ftp, www)

iptables -A INPUT -p tcp –dport ssh -i eth0 -j ACCEPT
iptables -A INPUT -p tcp –dport domain -i eth0 -j ACCEPT
iptables -A INPUT -p tcp –dport ldap -i eth0 -j ACCEPT
iptables -A INPUT -p udp –dport ldap -i eth0 -j ACCEPT
iptables -A INPUT -p tcp –dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p udp –dport ftp -i eth0 -j ACCEPT
iptables -A INPUT -p tcp –dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p udp –dport ftp-data -i eth0 -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -i eth0 -j ACCEPT

Ijinkan loopback lokal

iptables -A INPUT -i lo -j ACCEPT

Ijinkan akses PING (ini sesuai kebutuhan, kalo saya ini tidak dipasang)

iptables -A INPUT -p icmp -m icmp –icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp -m icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp -m icmp –icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp –icmp-type 11 -j ACCEPT

Semua firewall tergantung dengan kebutuhan Web Server anda, bila database terpisah seperti MySQL atau yang lain dapat juga ditambahkan port mysql (3306)

Bagi pengguna linux yang berhubungan dengan internet, apalagi download file-file besar. Ada cara untuk membatasi download pada mesin linux anda, tanpa perlu pusing-pusing menggunakan htb maupun cbq. Yaitu dengan menggunakan iptable, ini sudah dicoba dah hasilnya sukses hehehe… menggunakan iptable sebagai bandwidth limiter begitu mudah dan simple.

Saya menggunakan koneksi speedy mempunya 1 ethernet ini hanya standalone komputer
eth0  –> ip address 192.168.1.1

1.  masuk konsole dan akses sebagai root dan ketik

iptables -F
iptables -P INPUT DROP
iptables -A INPUT -s 0/0 -d 192.168.1.1 -m limit --limit 20/s --limit-burst 3 -j ACCEPT

Keterangan:
-F –> membersihkan list iptable yang sudah ada
-P INPUT DROP –> menolak semua akses yang masuk
-A INPUT -s 0/0 -d 192.168.1.1 –> mengijinkan semua ip (-s 0/0) dengan tujuan 192.168.1.1
-m limit –limit 20/s –limit-burst 3 –> memberi kecepatan 20KB/s
-j ACCEPT –> memberikan ijin masuk

2.  untuk mengeceknya

iptables -nL

3.  Gambar sebelum di limit

4.  Gambar setelah di limit menggunakan iptable

Nyoba-nyoba sharing internet di mesin ubuntu 9.10 karmic. Koneksi Internet menggunakan speedy paket game (tentunya unlimited dong ). Landcard ada 2 buah, satu ke speedy dan satu lagi ke client lokal.

Speedy/eth0 : 192.168.1.2

LAN/eth1 : 192.168.100.1

konfigurasi di ubuntu menggunakan NetworkManager

konfigurasi IP wan/speedy/eth0

konfigurasi IP lan

Pastikan bahwa pc sudah bisa konek ke Internet, bila belum silahkan cek modem speedy (maaf ga membahas setting modem speedynya), untuk setting DNS diatas tergantung provider internet yang diberikan. Untuk lebih amannya gunakan opendns google 8.8.8.8

Kemudian buat iptables seperti dibawah ini dari terminal dengan akses root

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Setelah itu aktifkan forwardnya, masih dari terminal dengan akses root

echo 1 > /proc/sys/net/ipv4/ip_forward

Sampai disini sebenarnya sudah selesai prosesnya tinggal clientnya kita setting ini tergantung client menggunakan Windows or Linux, untuk setting client datanya sebagai berikut

IP Address : 192.168.100.2

Netmask : 255.255.255.0

Gateway : 192.168.100.1

DNS : 202.134.0.155

Nyoba-nyoba sharing internet di mesin ubuntu 9.10 karmic. Koneksi Internet menggunakan speedy paket game (tentunya unlimited dong ). Landcard ada 2 buah, satu ke speedy dan satu lagi ke client lokal.

Speedy/eth0 : 192.168.1.2

LAN/eth1 : 192.168.100.1

konfigurasi di ubuntu …

-->