I. PRA INSTALASI
^^^^^^^^^^^^^^^^
Edit BIOS:
- urutan boot CDROM pertama.
- matikan soundcard & modem onboard jika ada.
- matikan serial port & usb jika dianggap perlu, karena mungkin tidak digunakan.
- matikan ‘Halt on error’ dengan ‘no error’ jika perlu, -> utk boot tanpa keyboard.
II. INSTALASI
^^^^^^^^^^^^^
1. Boot dari CD#1 RH9, tekan enter.
Note: mode grafis lebih memudahkan untuk melakukan setup selanjutnya menggunakan mouse.
2. SKIP testing cd media.
3. NEXT, Pilih Language = English default.
4. NEXT, pilih Keyboard = U.S. English.
5. NEXT, pilih Mouse, default PS2 3 tombol.
Note: pada saat operasional (mode teks) mouse/gpm tidak perlu dijalankan.
6. NEXT, pilih tipe instalasi CUSTOM.
7. NEXT, Manually partition with Disk Druid.
8. NEXT, sebaiknya buat partisi terpisah untuk /boot, /tmp, /var, dan /
/boot = memisahkan file2 boot linux agar berada di partisi awal dan proses booting lebih cepat
/tmp dan /var berisi file temporary, log dsb yg cenderung bertambah,.. harus dikarantina.
Ukuran partisi:
/boot sekitar 100 MByte
/tmp sekitar 300 MByte
/ sekitar 1,5 GByte
Swap normalnya sebesar 2 kali ukuran RAM. Misal RAM=128MB -> Swap=256MB.
/Var bisa dihabiskan untuk ruang hardisk yang tersisa.
Tetapi pembagian partisi ini tergantung selera.
Note: Pilih opsi “check bad blocks” jika perlu. Direktori default tempat Squid Cache berada di /var.
9. NEXT, pilih boot loader default = GRUB.
Note: konfigurasi grub dapat langsung diaktifkan dengan mengedit file /boot/grub/grub.conf
10. NEXT, Network Configuration, ganti DHCP pada eth0 & eth1 dengan ip statik yang telah ditentukan sebelumnya.
11. NEXT, pilih konfigurasi firewall = NO FIREWALL.
Note: konfigurasi firewall & NAT dilakukan secara manual setelah instalasi.
12. NEXT, Additional Language Support = English (USA), default.
13. NEXT, Time Zone Selection = Asia/Jakarta.
14. NEXT, Masukkan password ROOT 2 kali!
15. NEXT, Authentication Configuration gunakan default, enable MD5 dan Shadow.
16. NEXT, Package Group Selection.
Hilangkan Paket berikut ini:
- X Window System
- Gnome Desktop Environtment
- Graphical Internet
- Office/Productivity
- Sound and Video
- Graphics
- Printing Support
- dan paket2 lain yang berhubungan dengan grafis x-windows yang mungkin terinstall.
Pilih instalasi paket-paket berikut ini:
- Text-based Internet
Detail:
- lynx -> bisa untuk keperluan pengujian bandwidth
- pine -> editor yang ‘relatif’ lebih manusiawi dibanding VI
- paket yang lain bisa dihilangkan.
- Web Server
Pilih default Detail, sudah termasuk di dalamnya SQUID.
- Windows File Server = Samba, jika diinginkan.
- DNS Name Server, sebaiknya digunakan untuk Client link Internasional.
- FTP Server, jika diinginkan.
- Network Server, jika ingin menjadikan server DHCP, Telnet, dll.
- Development Tools, sebaiknya diinstall jika dirasakan ada program luar tambahan yg perlu diinstall dan di-compile.
- Kernel Development, jika ingin meng-compile kernel.
- System Tools.
pilih details:
- Ethereal -> networking tool
- mc -> Shell yang user-friendly
- nmap -> networking tool
- shapecfg -> untuk traffic shaper
Kemudian pilih (checklist) Select Individual Packages.
Tujuannya untuk menambahkan beberapa paket penting lainnya yang tidak dicantumkan pada daftar global paket di atas,
yaitu SNMP-Client, MRTG, dan IPTRAF.
- MRTG -> pilih di kelompok Applications - Internet - mrtg
- IPTRAF -> pilih di kelompok Applications - System - iptraf
- SNMP-Client -> pilih di kelompok Applications - System - net-snmp-utils
17. NEXT, Unresolved Dependency pilih Install packages to satisfy dependency. Dalam hal ini paket PERL-URI.
18. NEXT, Siap menginstall
19. NEXT, Proses instalasi berlangsung……. masukkan CD#2 dan CD#3 jika diminta.
20. NEXT, No I do not want to create a boot diskette
21. NEXT, Reboot - keluarkan CD Instalasi.
III. PASCA INSTALASI
^^^^^^^^^^^^^^^^^^^^
1. Login root.
2. Pastikan kedua Ethernet Card sudah terinstall benar termasuk default gateway-nya.
Cek menggunakan perintah: ‘ifcfg’ dan ‘route -n’. Asumsi eth0 untuk koneksi keluar (ke radio)
dan eth1 untuk dihubungkan ke internal LAN client.
3. Konfigurasi minimal Network Address Translation (NAT) untuk internal.
- vi /etc/sysctl.conf -> net.ipv4.ip_forward = 1
- sysctl -p
- iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- chkconfig iptables on
- iptables-save > /etc/sysconfig/iptables
Sampai di sini Server sudah bisa digunakan untuk mengkoneksikan client ke internet.
4. Konfigurasi Squid dan Transparent Proxy
- vi /etc/squid/squid.conf
# NETWORK OPTIONS
http_port 8080
# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem xxx MB
-> xxx= seperempat ukuran RAM, jadi utk RAM 128 maka xxx=32
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
cache_dir ufs /var/spool/squid xxx 16 256
-> xxxx = kapasitas total cache yang diinginkan dalam MByte.
# ACCESS CONTROLS
acl our_networks src 192.168.0.0/24
-> jika network internal adalah 192.168.0.0/24
http_access allow our_networks
# HTTPD-ACCELERATOR OPTIONS
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
- service squid start
- chkconfig squid on
- iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080
5. Proteksi lanjut mencegah serangan Denial of Service (DoS Attack)
Anti serangan PING Flood
- iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
- iptables -A INPUT -p icmp –icmp-type ! echo-request -j ACCEPT
Anti serangan TCP SYN Flood
- iptables -A INPUT -p tcp –syn -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p tcp –syn -j DROP
- iptables -A INPUT -p tcp ! –syn -j ACCEPT
Aturan FORWARD anti DoS dari manual iptables
- iptables -A FORWARD -p tcp -m tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
6. Simpan konfigurasi IPTABLES secara permanen menggunakan perintah:
- iptables-save > /etc/sysconfig/iptables
7. Matikan service yang tidak diperlukan, misalnya:
- chkconfig –level 2345 netfs off
- chkconfig –level 2345 rawdevices off
- chkconfig –level 2345 atd off
- chkconfig –level 2345 gpm off
- chkconfig –level 2345 portmap off
- chkconfig –level 2345 sendmail off
- chkconfig –level 2345 isdn off
- chkconfig –level 2345 rhnsd off
- chkconfig –level 2345 anacron off
- chkconfig –level 2345 nfslock off
- chkconfig –level 2345 xinetd off
8. Percepat delay boot GRUB pada saat booting:
- vi /boot/grub/grub.conf
-> ganti “timeout=10″ menjadi “timeout=1″
9. Konfigurasi Web Server
Hidupkan Web Server:
- chkconfig httpd on
- service httpd start
Note: Halaman muka Web Server berada pada direktori /var/www/html
Ganti/buat file ‘index.html’ jika perlu, untuk menyembunyikan informasi.
Untuk menguji, jalankan “lynx localhost”.
10. Konfigurasi SNMP agent dan MRTG
- vi /sbin/mrtg-gen
- kemudian copy script berikut ke file /sbin/mrtg-gen
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
————————-potong dibawah ini——————————–
#!/bin/sh
clear
if [ “$1″ = “” ]
then
echo | date
echo “”
echo -e “\a”
echo “MRTG Auto Compiler v.2 by rizky.md@gmail.com”
echo “”
echo “———————————————-”
echo “Cara penggunaan :”
echo “./mrtg-gen snmp — untuk setting snmp “
echo “./mrtg-gen config — untuk bikin config file “
echo “./mrtg-gen index — untuk generate html file “
echo “./mrtg-gen exe — untuk file executor “
echo “———————————————-”
echo “Tested on Redhat,CentOS,IGOS,FEDORA & RHEL try yours ….”
echo “”
echo “Have a nice day …”
echo -e “\a”
exit
fi
if [ “$1″ = “snmp” ]
then
echo “Inputkan community string ( contoh : kentang ) :”
read CM
echo “Inputkan file config snmp ( contoh : /etc/snmp/snmpd.conf ) :”
read SMLOC
echo “Inputkan contact person system ( contoh : Rizky M. Dinata ) :”
read SYC
echo “Inputkan lokasi system ( contoh : Australia 33th Avenue DH BLD 4th floor ) :”
read SYAD
echo “Inputkan identitas system ( contoh : My-BlackboX ) :”
read SYID
echo “rocommunity $CM
syslocation $SYAD
sysname $SYID
syscontact $SYC” > $SMLOC
echo “Service snmp di restart …”
echo “”
service snmpd restart
exit
fi
echo “Inputkan lokasi file MRTG ( contoh : /var/www/html/mrtg ) :”
read GLB
echo “Inputkan community string snmp target ( contoh : public ) :”
read NAMA
echo “Inputkan IP address target ( contoh : 192.168.0.1 ) :”
read ALA
echo “Inputkan lokasi file configurasi MRTG ( contoh : /etc/mrtg ) :”
read KON
echo “Inputkan nama file configurasi MRTG ( contoh : test.cfg ) :”
read CFG
if [ “$1″ = “exe” ]
then
echo “
killall mrtg
rm $KON/*.pid
mrtg $KON/$CFG ” > /etc/mrtg-run
chmod 755 /etc/mrtg-run
ln -s /etc/mrtg-run /etc/init.d/mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/K80mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/S80mrtg-run
echo -e “\a”
echo “Konfigurasi eksekutor selesai .”
echo “Untuk menjalankan secara manual :”
echo “cukup running script : /etc/mrtg-run”
exit
fi
if [ “$1″ = “config” ]
then
cfgmaker –global “WorkDir: $GLB” –global “Options[_]: growright,bits” –global “RunAsDaemon:Yes” –global “Interval:5″ –global “Refresh:300″ $NAMA@$ALA > $KON/$CFG 2>/dev/null
echo -e “\a”
echo “File konfigurasi MRTG telah selesai dibuat.”
echo “lokasi file configurasi anda : $KON/$CFG “
echo “Lanjutkan dengan membuat index file.”
exit
fi
if [ “$1″ = “index” ]
then
indexmaker –columns=1 –show=day –pagetop=MRTG-GEN-V2 –title=Network-Traffic-Analysis –output=$GLB/index.html $KON/$CFG 2>/dev/null
rm $KON/*.pid
mrtg $KON/$CFG
echo -e “\a”
echo “File index telah selesai dibuat.”
echo “lokasi file index anda : $GLB “
echo “Proses MRTG telah berjalan.”
exit
fi
##########################################
# The world will never know … #
# and i will never understand #
# losing my grip … slepted away #
# tryin’ to find my way back #
# to the main purposes why GOD create me #
##########################################
——————————akhir diatas ini—————————————
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/mrtg-gen
jalankan script dengan perintah : /sbin/mrtg-gen
isi konfigurasi yang ditanyakan sesuai dengan kebutuhan setting anda.
Berikut disertakan script untuk melakukan konfigurasi secara lengkap
pada router dengan system operasi RedHat 9 dengan beberapa langkah mudah.
1. vi /sbin/konfigurasi
2. copy script berikut ke file /sbin/konfigurasi
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
—————————-mulai dibawah ini ———————————
#!/bin/sh
############################
# Assalamualaikum WR.WB #
# cara menjalankan cript #
# ./konfigurasi #
# configurasi script tidak #
# perlu dirubah , tapi #
# silahkan untuk di #
# kembangkan sesuai dengan #
# kreativitas anda, karena #
# ini hanya script #
# sederhana …. #
############################
echo -e “####################################”
echo -e “######## BASIC ROUTER SETUP ########”
echo -e “####################################”
echo -e “####### by rizky.md@gmail.com ######”
echo -e “####################################”
echo “Not an ADVANCE setup only default ../n”
echo “Masukkan device ( contoh : eth0 ) ?”
read dev
echo “Masukkan IP eth0″
read ip
echo “Masukkan netmask”
read net
echo “Masukkan Gateway”
read gw
echo -e “DEVICE=$dev/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip/nNETMASK=$net/nGATEWAY=$gw/n” > /etc/sysconfig/network-scripts/ifcfg-eth0
echo “Masukkan device ( contoh : eth1 ) ?”
read dev2
echo “Masukkan IP eth1″
read ip2
echo “Masukkan netmask”
read net2
echo “Masukkan Gateway”
read gw2
echo -e “DEVICE=$dev2/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip2/nNETMASK=$net2/nGATEWAY=$gw2/n” > /etc/sysconfig/network-scripts/ifcfg-eth1
echo -e “/nKonfigurasi Interface Jaringan selesai !/a… ok/n”
echo “Masukkan DNS primary “
read ns1
echo “Masukkan DNS secondary “
read ns2
echo -e”nameserver $ns1/nnameserver $ns2″ > /etc/resolv.conf
echo -e “/nKonfigurasi DNS selesai !/a… ok/n”
echo “Aktifkan Network ( yes / no )”
read act
echo “Masukkan Hostname “
read hst
echo -e “NETWORKING=$act/nHOSTNAME=$hst.quasar.net.id” > /etc/sysconfig/hosts
echo -e “/nKonfigurasi Host selesai !/a… ok/n”
echo -e “——- Router $hst NET ———/n— configured with oto-conf —/n
ip eth0 = $ip/n
ip eth1 = $ip2/n
DNS = $ns1/n” > /etc/motd
echo -e “/nKonfigurasi Pesan Login selesai !/a… ok/n”
echo -e “net.ipv4.ip_forward = 1/nnet.ipv4.conf.default.rp_filter = 1/nkernel.sysrq = 0/nkernel.core_uses_pid = 1″ > /etc/sysctl.conf
echo -e “/nKonfigurasi IP Forwarding selesai !/a… ok/n”
echo “Masukkan network ip lokal untuk di NAT ( contoh : 192.168.1.0/24 ) : “
read IPLOKNAT
/sbin/iptables -A POSTROUTING -t nat -s $IPLOKNAT -j MASQUERADE
/etc/init.d/iptables save
/etc/init.d/iptables restart
echo -e “/nKonfigurasi IP NAT selesai !/a… ok/n”
echo “Masukkan nama Community SNMP: “
read SNMPDN
echo “Masukkan lokasi router : “
read SNMPDLOC
echo “Masukkan nama admin system : “
read SNMPDADD
echo -e “rocommunity $SMPDN/nsyslocation $SNMPDLOC/nsyscontact $SNMPDADD” > /etc/sysconfig/snmpd.conf
cp /etc/motd /etc/issue /etc/issue
#######################
# Simple need … #
#######################
——————————selesai diatas ini ————————————————-
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/konfigurasi
jalankan script dengan perintah : /sbin/konfigurasi
IV. PERINTAH TAMBAHAN
^^^^^^^^^^^^^^^^^^^^^
Berikut adalah perintah yang mungkin dibutuhkan untuk melakukan setting pada router linux Red Hat 9
1. Command untuk install aplikasi di linux :
- Melakukan install aplikasi
rpm -ivh [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -ivh iftop-0.16-0.i386.rpm
- Melakukan uninstall aplikasi
rpm -e [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -e iftop-0.16-0.i386
- Melakukan check aplikasi terinstall
rpm -qa |grep [nama aplikasi]
contoh melakukan check aplikasi iftop :
rpm -qa |grep iftop
2. Command untuk Firewall (NAT,ACCEPT,DROP) :
# NAT :
- Untuk menambahkan nat dari blok ip lokal tertentu :
iptables -A POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
- Untuk mengurangi nat dari blok ip lokal tertentu :
iptables -D POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -D POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
contoh melihat NAT pada ip 10.75.3.23 : iptables -vnL -t nat |grep 10.75.3.23
contoh melihat list keseluruhan NAT : iptables -vnL -t nat
# DROP (MENOLAK) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j DROP
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j DROP
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j DROP
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j DROP
# ACCEPT (MENERIMA) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j ACCEPT
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j ACCEPT
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j ACCEPT
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j ACCEPT
# Untuk menampilkan konfigurasi firewall keseluruhan :
iptables -vnL -> untuk aturan INPUT, OUTPUT dan FORWARD
iptables -vnL -t nat -> untuk aturan NAT
# Untuk melakukan restore (load-ulang) iptables :
iptables-restore /etc/sysconfig/nama-file-iptables
service iptables save
service iptables restart
3. Command untuk routing :
- Menambahkan default gateway :
route add default gw [ip_gateway]
contoh gateway 10.75.3.254 : route add default gw 10.75.3.254
- Menghapus default gateway :
route del default gw [ip_gateway]
contoh gateway 10.75.3.254 : route del default gw 10.75.3.254
4. Melakukan check atau alokasi ip address :
- melakukan check ip :
ifconfig [nama-interface]
contoh : ifconfig eth0
- memberi IP pada interface tertentu :
ifconfig [nama-interface] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0 10.75.3.23 netmask 255.255.255.0 broadcast 10.75.3.255 up
- memberi IP pada interface yang sudah memiliki IP :
ifconfig [nama-interface:alias] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0:1 10.75.3.24netmask 255.255.255.0 broadcast 10.75.3.255 up
nama alias tidak boleh sama, begitu juga IP yang dialokasikan tidak boleh sama juga.
5. Check traffic dengan IPTRAF :
iptraf -d [nama-interface]
contoh : iptraf -d eth0
6. Melakukan check link untuk melihat trouble pada node yang dilalui :
traceroute [ip-destinasi]
contoh : traceroute www.ragnarok.co.id
7. Melakukan check fungsi DNS :
nslookup [nama-domain]
contoh : nslookup www.google.com
bila domain tidak dapat di resolve, coba ping ke ip domain, bila ping ke nama domain tidak bisa
tetapi ping ke ip domain bisa, maka trouble ada di DNS server ( coba ping DNS server ).
8. Melakukan check traffic dengan iftop :
- Untuk melakukan check traffic pada interface tertentu :
iftop -i [interface-terhubung]
contoh interface eth1 : iftop -i eth1
- Untuk melakukan check traffic IP tertentu :
iftop -F [ip-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.23/32 -i eth1
- Untuk melakukan check traffic network IP tertentu :
iftop -F [network-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.0/24 -i eth1
9. Melakukan check servis snmp berjalan atau tidak :
snmpwalk -c [community-name] -v 1 [ip-host]
contoh untuk ip 10.75.3.23 dengan community name cl13nt :
snmpwalk -c cl13nt -v 1 10.75.3.23
10.Melakukan check ping :
ping -c [jumlah-check] -s [besar-packet] [ip-address]
contoh untuk check ping ke ip 10.75.3.23 sebanyak 50 kali dengan paket 1400 :
ping -c 50 -s 1400 10.75.3.23
^^^^^^^^^^^^^^^^
Edit BIOS:
- urutan boot CDROM pertama.
- matikan soundcard & modem onboard jika ada.
- matikan serial port & usb jika dianggap perlu, karena mungkin tidak digunakan.
- matikan ‘Halt on error’ dengan ‘no error’ jika perlu, -> utk boot tanpa keyboard.
II. INSTALASI
^^^^^^^^^^^^^
1. Boot dari CD#1 RH9, tekan enter.
Note: mode grafis lebih memudahkan untuk melakukan setup selanjutnya menggunakan mouse.
2. SKIP testing cd media.
3. NEXT, Pilih Language = English default.
4. NEXT, pilih Keyboard = U.S. English.
5. NEXT, pilih Mouse, default PS2 3 tombol.
Note: pada saat operasional (mode teks) mouse/gpm tidak perlu dijalankan.
6. NEXT, pilih tipe instalasi CUSTOM.
7. NEXT, Manually partition with Disk Druid.
8. NEXT, sebaiknya buat partisi terpisah untuk /boot, /tmp, /var, dan /
/boot = memisahkan file2 boot linux agar berada di partisi awal dan proses booting lebih cepat
/tmp dan /var berisi file temporary, log dsb yg cenderung bertambah,.. harus dikarantina.
Ukuran partisi:
/boot sekitar 100 MByte
/tmp sekitar 300 MByte
/ sekitar 1,5 GByte
Swap normalnya sebesar 2 kali ukuran RAM. Misal RAM=128MB -> Swap=256MB.
/Var bisa dihabiskan untuk ruang hardisk yang tersisa.
Tetapi pembagian partisi ini tergantung selera.
Note: Pilih opsi “check bad blocks” jika perlu. Direktori default tempat Squid Cache berada di /var.
9. NEXT, pilih boot loader default = GRUB.
Note: konfigurasi grub dapat langsung diaktifkan dengan mengedit file /boot/grub/grub.conf
10. NEXT, Network Configuration, ganti DHCP pada eth0 & eth1 dengan ip statik yang telah ditentukan sebelumnya.
11. NEXT, pilih konfigurasi firewall = NO FIREWALL.
Note: konfigurasi firewall & NAT dilakukan secara manual setelah instalasi.
12. NEXT, Additional Language Support = English (USA), default.
13. NEXT, Time Zone Selection = Asia/Jakarta.
14. NEXT, Masukkan password ROOT 2 kali!
15. NEXT, Authentication Configuration gunakan default, enable MD5 dan Shadow.
16. NEXT, Package Group Selection.
Hilangkan Paket berikut ini:
- X Window System
- Gnome Desktop Environtment
- Graphical Internet
- Office/Productivity
- Sound and Video
- Graphics
- Printing Support
- dan paket2 lain yang berhubungan dengan grafis x-windows yang mungkin terinstall.
Pilih instalasi paket-paket berikut ini:
- Text-based Internet
Detail:
- lynx -> bisa untuk keperluan pengujian bandwidth
- pine -> editor yang ‘relatif’ lebih manusiawi dibanding VI
- paket yang lain bisa dihilangkan.
- Web Server
Pilih default Detail, sudah termasuk di dalamnya SQUID.
- Windows File Server = Samba, jika diinginkan.
- DNS Name Server, sebaiknya digunakan untuk Client link Internasional.
- FTP Server, jika diinginkan.
- Network Server, jika ingin menjadikan server DHCP, Telnet, dll.
- Development Tools, sebaiknya diinstall jika dirasakan ada program luar tambahan yg perlu diinstall dan di-compile.
- Kernel Development, jika ingin meng-compile kernel.
- System Tools.
pilih details:
- Ethereal -> networking tool
- mc -> Shell yang user-friendly
- nmap -> networking tool
- shapecfg -> untuk traffic shaper
Kemudian pilih (checklist) Select Individual Packages.
Tujuannya untuk menambahkan beberapa paket penting lainnya yang tidak dicantumkan pada daftar global paket di atas,
yaitu SNMP-Client, MRTG, dan IPTRAF.
- MRTG -> pilih di kelompok Applications - Internet - mrtg
- IPTRAF -> pilih di kelompok Applications - System - iptraf
- SNMP-Client -> pilih di kelompok Applications - System - net-snmp-utils
17. NEXT, Unresolved Dependency pilih Install packages to satisfy dependency. Dalam hal ini paket PERL-URI.
18. NEXT, Siap menginstall
19. NEXT, Proses instalasi berlangsung……. masukkan CD#2 dan CD#3 jika diminta.
20. NEXT, No I do not want to create a boot diskette
21. NEXT, Reboot - keluarkan CD Instalasi.
III. PASCA INSTALASI
^^^^^^^^^^^^^^^^^^^^
1. Login root.
2. Pastikan kedua Ethernet Card sudah terinstall benar termasuk default gateway-nya.
Cek menggunakan perintah: ‘ifcfg’ dan ‘route -n’. Asumsi eth0 untuk koneksi keluar (ke radio)
dan eth1 untuk dihubungkan ke internal LAN client.
3. Konfigurasi minimal Network Address Translation (NAT) untuk internal.
- vi /etc/sysctl.conf -> net.ipv4.ip_forward = 1
- sysctl -p
- iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- chkconfig iptables on
- iptables-save > /etc/sysconfig/iptables
Sampai di sini Server sudah bisa digunakan untuk mengkoneksikan client ke internet.
4. Konfigurasi Squid dan Transparent Proxy
- vi /etc/squid/squid.conf
# NETWORK OPTIONS
http_port 8080
# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem xxx MB
-> xxx= seperempat ukuran RAM, jadi utk RAM 128 maka xxx=32
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
cache_dir ufs /var/spool/squid xxx 16 256
-> xxxx = kapasitas total cache yang diinginkan dalam MByte.
# ACCESS CONTROLS
acl our_networks src 192.168.0.0/24
-> jika network internal adalah 192.168.0.0/24
http_access allow our_networks
# HTTPD-ACCELERATOR OPTIONS
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
- service squid start
- chkconfig squid on
- iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080
5. Proteksi lanjut mencegah serangan Denial of Service (DoS Attack)
Anti serangan PING Flood
- iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
- iptables -A INPUT -p icmp –icmp-type ! echo-request -j ACCEPT
Anti serangan TCP SYN Flood
- iptables -A INPUT -p tcp –syn -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p tcp –syn -j DROP
- iptables -A INPUT -p tcp ! –syn -j ACCEPT
Aturan FORWARD anti DoS dari manual iptables
- iptables -A FORWARD -p tcp -m tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
6. Simpan konfigurasi IPTABLES secara permanen menggunakan perintah:
- iptables-save > /etc/sysconfig/iptables
7. Matikan service yang tidak diperlukan, misalnya:
- chkconfig –level 2345 netfs off
- chkconfig –level 2345 rawdevices off
- chkconfig –level 2345 atd off
- chkconfig –level 2345 gpm off
- chkconfig –level 2345 portmap off
- chkconfig –level 2345 sendmail off
- chkconfig –level 2345 isdn off
- chkconfig –level 2345 rhnsd off
- chkconfig –level 2345 anacron off
- chkconfig –level 2345 nfslock off
- chkconfig –level 2345 xinetd off
8. Percepat delay boot GRUB pada saat booting:
- vi /boot/grub/grub.conf
-> ganti “timeout=10″ menjadi “timeout=1″
9. Konfigurasi Web Server
Hidupkan Web Server:
- chkconfig httpd on
- service httpd start
Note: Halaman muka Web Server berada pada direktori /var/www/html
Ganti/buat file ‘index.html’ jika perlu, untuk menyembunyikan informasi.
Untuk menguji, jalankan “lynx localhost”.
10. Konfigurasi SNMP agent dan MRTG
- vi /sbin/mrtg-gen
- kemudian copy script berikut ke file /sbin/mrtg-gen
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
————————-potong dibawah ini——————————–
#!/bin/sh
clear
if [ “$1″ = “” ]
then
echo | date
echo “”
echo -e “\a”
echo “MRTG Auto Compiler v.2 by rizky.md@gmail.com”
echo “”
echo “———————————————-”
echo “Cara penggunaan :”
echo “./mrtg-gen snmp — untuk setting snmp “
echo “./mrtg-gen config — untuk bikin config file “
echo “./mrtg-gen index — untuk generate html file “
echo “./mrtg-gen exe — untuk file executor “
echo “———————————————-”
echo “Tested on Redhat,CentOS,IGOS,FEDORA & RHEL try yours ….”
echo “”
echo “Have a nice day …”
echo -e “\a”
exit
fi
if [ “$1″ = “snmp” ]
then
echo “Inputkan community string ( contoh : kentang ) :”
read CM
echo “Inputkan file config snmp ( contoh : /etc/snmp/snmpd.conf ) :”
read SMLOC
echo “Inputkan contact person system ( contoh : Rizky M. Dinata ) :”
read SYC
echo “Inputkan lokasi system ( contoh : Australia 33th Avenue DH BLD 4th floor ) :”
read SYAD
echo “Inputkan identitas system ( contoh : My-BlackboX ) :”
read SYID
echo “rocommunity $CM
syslocation $SYAD
sysname $SYID
syscontact $SYC” > $SMLOC
echo “Service snmp di restart …”
echo “”
service snmpd restart
exit
fi
echo “Inputkan lokasi file MRTG ( contoh : /var/www/html/mrtg ) :”
read GLB
echo “Inputkan community string snmp target ( contoh : public ) :”
read NAMA
echo “Inputkan IP address target ( contoh : 192.168.0.1 ) :”
read ALA
echo “Inputkan lokasi file configurasi MRTG ( contoh : /etc/mrtg ) :”
read KON
echo “Inputkan nama file configurasi MRTG ( contoh : test.cfg ) :”
read CFG
if [ “$1″ = “exe” ]
then
echo “
killall mrtg
rm $KON/*.pid
mrtg $KON/$CFG ” > /etc/mrtg-run
chmod 755 /etc/mrtg-run
ln -s /etc/mrtg-run /etc/init.d/mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/K80mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/S80mrtg-run
echo -e “\a”
echo “Konfigurasi eksekutor selesai .”
echo “Untuk menjalankan secara manual :”
echo “cukup running script : /etc/mrtg-run”
exit
fi
if [ “$1″ = “config” ]
then
cfgmaker –global “WorkDir: $GLB” –global “Options[_]: growright,bits” –global “RunAsDaemon:Yes” –global “Interval:5″ –global “Refresh:300″ $NAMA@$ALA > $KON/$CFG 2>/dev/null
echo -e “\a”
echo “File konfigurasi MRTG telah selesai dibuat.”
echo “lokasi file configurasi anda : $KON/$CFG “
echo “Lanjutkan dengan membuat index file.”
exit
fi
if [ “$1″ = “index” ]
then
indexmaker –columns=1 –show=day –pagetop=MRTG-GEN-V2 –title=Network-Traffic-Analysis –output=$GLB/index.html $KON/$CFG 2>/dev/null
rm $KON/*.pid
mrtg $KON/$CFG
echo -e “\a”
echo “File index telah selesai dibuat.”
echo “lokasi file index anda : $GLB “
echo “Proses MRTG telah berjalan.”
exit
fi
##########################################
# The world will never know … #
# and i will never understand #
# losing my grip … slepted away #
# tryin’ to find my way back #
# to the main purposes why GOD create me #
##########################################
——————————akhir diatas ini—————————————
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/mrtg-gen
jalankan script dengan perintah : /sbin/mrtg-gen
isi konfigurasi yang ditanyakan sesuai dengan kebutuhan setting anda.
Berikut disertakan script untuk melakukan konfigurasi secara lengkap
pada router dengan system operasi RedHat 9 dengan beberapa langkah mudah.
1. vi /sbin/konfigurasi
2. copy script berikut ke file /sbin/konfigurasi
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
—————————-mulai dibawah ini ———————————
#!/bin/sh
############################
# Assalamualaikum WR.WB #
# cara menjalankan cript #
# ./konfigurasi #
# configurasi script tidak #
# perlu dirubah , tapi #
# silahkan untuk di #
# kembangkan sesuai dengan #
# kreativitas anda, karena #
# ini hanya script #
# sederhana …. #
############################
echo -e “####################################”
echo -e “######## BASIC ROUTER SETUP ########”
echo -e “####################################”
echo -e “####### by rizky.md@gmail.com ######”
echo -e “####################################”
echo “Not an ADVANCE setup only default ../n”
echo “Masukkan device ( contoh : eth0 ) ?”
read dev
echo “Masukkan IP eth0″
read ip
echo “Masukkan netmask”
read net
echo “Masukkan Gateway”
read gw
echo -e “DEVICE=$dev/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip/nNETMASK=$net/nGATEWAY=$gw/n” > /etc/sysconfig/network-scripts/ifcfg-eth0
echo “Masukkan device ( contoh : eth1 ) ?”
read dev2
echo “Masukkan IP eth1″
read ip2
echo “Masukkan netmask”
read net2
echo “Masukkan Gateway”
read gw2
echo -e “DEVICE=$dev2/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip2/nNETMASK=$net2/nGATEWAY=$gw2/n” > /etc/sysconfig/network-scripts/ifcfg-eth1
echo -e “/nKonfigurasi Interface Jaringan selesai !/a… ok/n”
echo “Masukkan DNS primary “
read ns1
echo “Masukkan DNS secondary “
read ns2
echo -e”nameserver $ns1/nnameserver $ns2″ > /etc/resolv.conf
echo -e “/nKonfigurasi DNS selesai !/a… ok/n”
echo “Aktifkan Network ( yes / no )”
read act
echo “Masukkan Hostname “
read hst
echo -e “NETWORKING=$act/nHOSTNAME=$hst.quasar.net.id” > /etc/sysconfig/hosts
echo -e “/nKonfigurasi Host selesai !/a… ok/n”
echo -e “——- Router $hst NET ———/n— configured with oto-conf —/n
ip eth0 = $ip/n
ip eth1 = $ip2/n
DNS = $ns1/n” > /etc/motd
echo -e “/nKonfigurasi Pesan Login selesai !/a… ok/n”
echo -e “net.ipv4.ip_forward = 1/nnet.ipv4.conf.default.rp_filter = 1/nkernel.sysrq = 0/nkernel.core_uses_pid = 1″ > /etc/sysctl.conf
echo -e “/nKonfigurasi IP Forwarding selesai !/a… ok/n”
echo “Masukkan network ip lokal untuk di NAT ( contoh : 192.168.1.0/24 ) : “
read IPLOKNAT
/sbin/iptables -A POSTROUTING -t nat -s $IPLOKNAT -j MASQUERADE
/etc/init.d/iptables save
/etc/init.d/iptables restart
echo -e “/nKonfigurasi IP NAT selesai !/a… ok/n”
echo “Masukkan nama Community SNMP: “
read SNMPDN
echo “Masukkan lokasi router : “
read SNMPDLOC
echo “Masukkan nama admin system : “
read SNMPDADD
echo -e “rocommunity $SMPDN/nsyslocation $SNMPDLOC/nsyscontact $SNMPDADD” > /etc/sysconfig/snmpd.conf
cp /etc/motd /etc/issue /etc/issue
#######################
# Simple need … #
#######################
——————————selesai diatas ini ————————————————-
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/konfigurasi
jalankan script dengan perintah : /sbin/konfigurasi
IV. PERINTAH TAMBAHAN
^^^^^^^^^^^^^^^^^^^^^
Berikut adalah perintah yang mungkin dibutuhkan untuk melakukan setting pada router linux Red Hat 9
1. Command untuk install aplikasi di linux :
- Melakukan install aplikasi
rpm -ivh [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -ivh iftop-0.16-0.i386.rpm
- Melakukan uninstall aplikasi
rpm -e [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -e iftop-0.16-0.i386
- Melakukan check aplikasi terinstall
rpm -qa |grep [nama aplikasi]
contoh melakukan check aplikasi iftop :
rpm -qa |grep iftop
2. Command untuk Firewall (NAT,ACCEPT,DROP) :
# NAT :
- Untuk menambahkan nat dari blok ip lokal tertentu :
iptables -A POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
- Untuk mengurangi nat dari blok ip lokal tertentu :
iptables -D POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -D POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
contoh melihat NAT pada ip 10.75.3.23 : iptables -vnL -t nat |grep 10.75.3.23
contoh melihat list keseluruhan NAT : iptables -vnL -t nat
# DROP (MENOLAK) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j DROP
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j DROP
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j DROP
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j DROP
# ACCEPT (MENERIMA) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j ACCEPT
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j ACCEPT
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j ACCEPT
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j ACCEPT
# Untuk menampilkan konfigurasi firewall keseluruhan :
iptables -vnL -> untuk aturan INPUT, OUTPUT dan FORWARD
iptables -vnL -t nat -> untuk aturan NAT
# Untuk melakukan restore (load-ulang) iptables :
iptables-restore /etc/sysconfig/nama-file-iptables
service iptables save
service iptables restart
3. Command untuk routing :
- Menambahkan default gateway :
route add default gw [ip_gateway]
contoh gateway 10.75.3.254 : route add default gw 10.75.3.254
- Menghapus default gateway :
route del default gw [ip_gateway]
contoh gateway 10.75.3.254 : route del default gw 10.75.3.254
4. Melakukan check atau alokasi ip address :
- melakukan check ip :
ifconfig [nama-interface]
contoh : ifconfig eth0
- memberi IP pada interface tertentu :
ifconfig [nama-interface] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0 10.75.3.23 netmask 255.255.255.0 broadcast 10.75.3.255 up
- memberi IP pada interface yang sudah memiliki IP :
ifconfig [nama-interface:alias] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0:1 10.75.3.24netmask 255.255.255.0 broadcast 10.75.3.255 up
nama alias tidak boleh sama, begitu juga IP yang dialokasikan tidak boleh sama juga.
5. Check traffic dengan IPTRAF :
iptraf -d [nama-interface]
contoh : iptraf -d eth0
6. Melakukan check link untuk melihat trouble pada node yang dilalui :
traceroute [ip-destinasi]
contoh : traceroute www.ragnarok.co.id
7. Melakukan check fungsi DNS :
nslookup [nama-domain]
contoh : nslookup www.google.com
bila domain tidak dapat di resolve, coba ping ke ip domain, bila ping ke nama domain tidak bisa
tetapi ping ke ip domain bisa, maka trouble ada di DNS server ( coba ping DNS server ).
8. Melakukan check traffic dengan iftop :
- Untuk melakukan check traffic pada interface tertentu :
iftop -i [interface-terhubung]
contoh interface eth1 : iftop -i eth1
- Untuk melakukan check traffic IP tertentu :
iftop -F [ip-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.23/32 -i eth1
- Untuk melakukan check traffic network IP tertentu :
iftop -F [network-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.0/24 -i eth1
9. Melakukan check servis snmp berjalan atau tidak :
snmpwalk -c [community-name] -v 1 [ip-host]
contoh untuk ip 10.75.3.23 dengan community name cl13nt :
snmpwalk -c cl13nt -v 1 10.75.3.23
10.Melakukan check ping :
ping -c [jumlah-check] -s [besar-packet] [ip-address]
contoh untuk check ping ke ip 10.75.3.23 sebanyak 50 kali dengan paket 1400 :
ping -c 50 -s 1400 10.75.3.23
