Re: [linux-admin] iptables [block port] clamav [Filter data]
On Thu, Oct 23, 2003 at 08:49:56AM +0700, - I.R. Harahap -- Medan - wrote: *Synopsis saya menggunakan 1pc dgn RH9 sbg multiple Server : router static, gateway, proxy, Dns, Dhcp server yg mengelola client 80 pc Win98se pertanyaan 1. rekan2 sekalian, saya ingin tahu port manakah yg sering menjadi jalur komunikasi/ sering terinfeksi worm, trojan, dan virus ? jawab. huehueueheu, baris jawabnya sudah dipersiapkan dahulu:-P ok,jawab: hmm, berubah-2 yah, kalo virus-2/worm-2 yang macam-2 menggunakan port yang sama, kan nantinya mudah dong pekerjaan adminnya:-P~. Well, untuk mengetahuinya mungkin cari-2 saja news di perushaan-2 anti virus, tentang perilaku virus yang sedang in atau virus-2 sebelumnya Misalnya, yang baru kutahu port 707 dan 153 untuk Worm blaster 2. Apakah port tsb dapat saya blok dengan Iptales pd Router ? jawab. Contoh: #Block incoming Blaster Worm traffic on ports 153 and 707 /sbin/iptables -A INPUT -i eth0 -p tcp --dport 153 -j DROP /sbin/iptables -A INPUT -i eth0 -p tcp --dport 707 -j DROP # Block infected machines from spreading Blaster Worm on 153 and 707 /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 153 -j DROP /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 707 -j DROP 3. Apabila saya menginstal clamav pd router, dptkah ia dpt memfilter eth0 yg menerima data dr internet server ? sehingga worm, trojan dan virus yg akan menuju ke eth1 (distribusi ke hub jaringan dalam) akan terbendung ? jawab. h, jika localhost sebagai defaultnya, jd tidak perlu pilih-2 eth0 atau eth1? CMIIW. Contoh umum dari beberapa tutorial: #cuplikan /etc/amavis/amavisd.conf # SMTP SERVER (INPUT) PROTOCOL SETTINGS (e.g. with Postfix, Exim v4, # ...) # (used when MTA is configured to pass mail to amavisd via SMTP or # LMTP) $inet_socket_port = 10024;# accept SMTP on this local TCP port # (default is undef, i.e. disabled) # multiple ports may be provided: # $inet_socket_port = [10024, 10026, # 10028]; # SMTP SERVER (INPUT) access control # - do not allow free access to the amavisd SMTP port !!! # # when MTA is at the same host, use the following (one or the other or # both): $inet_socket_bind = '127.0.0.1'; # limit socket bind to loopback interface # (default is '127.0.0.1') @inet_acl = qw( 127.0.0.1 ip.di.sini); # allow SMTP access only from localhost IP Sedangkan di MTA (disini contohnya Postfix): #cuplikan /etc/postfix/main.cf content_filter = smtp-amavis:[127.0.0.1]:10024 #cuplikan /etc/postfix/master.cf smtp-amavis unix- - n - 2 smtp -o smtp_data_done_timeout=1200 -o disable_dns_lookup=yes 127.0.0.1:10025 inetn - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8,domain.di.sini -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 tes dengan telnet ip 10024 atau port 10025, untuk memastikan bahwa sudah jalan Kesimpulannya, konsultasikan dengan tutorial/dokumen MTA yang bersangkutan (semua MTA ada tutorialnya). Cara gampangannya sih, blok semua extensi .exe,.vbs,.pif,.scr pada level MTA, karena extensi-2 tersebut sering dikirimkan oleh worm dan menghasilkan efek yang buruk pada client You-Know-What. Tentu saja, .exe yang legal (yang memang benar-2 dikirimkan kepada orang yang membutuhkan) juga akan diblok. Namun, pengalaman pribadi ketika komputer banyak dikirimi oleh virus Swen, yang selalu mengirim .exe (sehari bisa 70-an dulu, sekarang sih sedikit, kurang dari 10, mungkin sudah banyak admin yang menyadarinya:-P), terpaksa menggunakan cara blok di MTA-nya. Atau jika menggunakan amavis, jika amavis menemukan virus terinfeksi, yah dengan bantuan Local Delivery Agent (seperti Procmail), redirectkan saja ke mailbox lain, sehingga admin tidak harus susah-2 menyortir email biasa dengan email pemberitahuan dari amavis. YMMV Pendapat pribadiku, karena virus selangkah lebih maju dari obatnya, maka cara bloklah yang efektif. Dengan melihat pengalaman bahwa file-2 ekstensi tsblah yang selalu dijadikan cara. Beritahu kepada pengirim file, bahwa ekstensi-2 tsb ditolak dan mungkin dia (jika memang benar-2 berniat mengirimnya, dan bukan karena worm) bisa me-rename-nya dengan ekstensi selain yang di blok -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables dengan masquerade
anto sugi said: alo mas semuanya.. saya mau tanya ni mas.. gini mas. saya kan uda instal linux redhat 9.0 di pc client saya.. buat ngoprek.. nah saya cuba belajar membuat iptables dengan masquerade .. ip clientnya(pc ngoprek linux) 192.168.0.119 dan gaetway server 192.168.0.254 . nah waktu saya ketik # iptables -t nat -A POSTROUTING -s 192.168.0.119/32 -d 0.0.0.0/0 -j MASQUERADE #iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 192.168.0.119anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination 192.168.0.119/32 -d 0.0.0.0/0 -- NAH ini mas sebnrnya gimana si maksudnya.. yang 0.0.0.0/0 ni dan 119/32 itu maksudnya aapan mas.. bisa kan jelasinya.. ni uda bener apa belum untuk buat ip masuquerade .. kepada mas sekalian saya mohon bantuannya :) netmask shorthand number of addresses 255.255.255.0 /24 [8-bit] | 28 = 256 = 254 hosts + 1 bcast + 1 net base 255.255.255.128 /25 [7-bit] | 27 = 128 = 126 hosts + 1 bcast + 1 net base 255.255.255.192 /26 [6-bit] | 26 = 64 = 62 hosts + 1 bcast + 1 net base 255.255.255.224 /27 [5-bit] | 25 = 32 = 30 hosts + 1 bcast + 1 net base 255.255.255.240 /28 [4-bit] | 24 = 16 = 14 hosts + 1 bcast + 1 net base 255.255.255.248 /29 [3-bit] | 23 = 8 = 6 hosts + 1 bcast + 1 net base 255.255.255.252 /30 [2-bit] | 22 = 4 = 2 hosts + 1 bcast + 1 net base 255.255.255.254 /31 [1-bit] | 21 = - invalid (no possible hosts) 255.255.255.255 /32 [0-bit] | 20 = 1 a host route (odd duck case) Jadi pada iptables mas anto sugi, 192.168.0.119/32 adalah single host penulisannya bisa tanpa /32, sedangkan 0.0.0.0/0 adalah any. BTW, yang melakukan MASQUERADE gatewaynya kan bukan clientnya? :) soalnya dari e-mail mas anto kayaknya yang di oprek iptablesnya di client deh bukan gatewaynya. CMIIW. Sebagai bahan bacaan buat IP Subnetting ada di http://www.ralphb.net/IPSubnet Sharren, Kawanua Networks -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES DAN HTB HOWTO
http://luxik.cdi.cz/~devik/qos/htb/ http://wipl-wrr.sourceforge.net/wrr.html www.tldp.org/HOWTO/Adv-Routing-HOWTO/ coba ke situ. nu cakid plu.. -= avudz =- Selamat siang, Guys, ada yang punya contoh script untuk squid.conf Saya mengutamakan kencengnya performa squid, tujuan untuk menghemat bandwith, Script yang saya punya sekarang rasanya kurang kenceng Ada yang tau cara membagi bandwidth? Soalnya saya akan membagi antara akses SAP, internet dan email, Supaya dari sisi client tidak merasa lambat. terus terang saya masih bingung mengenai implementasi konfigurasi HTB (tc, qdisc, burst, dsb) tapi lebih bagus , CBQ menurut saya lebih susah ada yang punya contoh konfigurasi HTB dan penjelasannya ? Terima kasih, Mohon bantuan dan pencerahannya... -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- \\\/// / _ _ \ (| (.)(.) |) +--.OOOo--()--oOOO.+ |Avudz Syah Putra(022) 7230311 Rumah | |JoB LeSS(+62) 8163115907 HP | |[EMAIL PROTECTED] or EfNET and DALNet | |http://www.avudz.cc web site for LaMerZ!! | |www.academoz.or.id/~avudz Email Address | |[EMAIL PROTECTED][EMAIL PROTECTED] | +---.oooO-+ ( ) Oooo. \ (( ) \_)) / (_/ -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
anto sugi said: alo mas semuanya.. saya mau tanya ni mas.. gini mas. saya kan uda instal linux,, buat ngoprek,, nah rencana saya mau cuba seting iptables...nah yang mau saya tanyakan.. apakah perlu ip public lagi.. sedangkan di server warnet saya uda ada iptablesnya ,, ni aku rencana buat belajar gitu mas.. Gak harus pake Public IP kok, pake Private IP juga bisa. Coba baca-baca lagi tentang TCP/IP di http://www4.ulpgc.es/tutoriales/tcpip/pru/ atau baca buku Pak Onno tentang TCP/IP :), harga bukunya murah tapi ilmunya mahal lho ;) mungkin yang mas Anto pengen coba di warnet seperti ini : Internet -- (Public IP Warnet -NAT- Private IP) --- (Private IP -NAT- Private IP) --- Private Network bisa! Sharren. Kawanua Networks -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
kalo cuma buad ngoprek ga usah pake ip public juga ga papa, kan suda ada fasilitas NAT. alo mas semuanya.. saya mau tanya ni mas.. gini mas. saya kan uda instal linux,, buat ngoprek,, nah rencana saya mau cuba seting iptables...nah yang mau saya tanyakan.. apakah perlu ip public lagi.. sedangkan di server warnet saya uda ada iptablesnya ,, ni aku rencana buat belajar gitu mas.. -- nu lieur.. -= avudz =- -- \\\/// / _ _ \ (| (.)(.) |) +--.OOOo--()--oOOO.+ |Avudz Syah Putra(022) 7230311 Rumah | |JoB LeSS(+62) 8163115907 HP | |[EMAIL PROTECTED] or EfNET and DALNet | |http://www.avudz.cc web site for LaMerZ!! | |www.academoz.or.id/~avudz Email Address | |[EMAIL PROTECTED][EMAIL PROTECTED] | +---.oooO-+ ( ) Oooo. \ (( ) \_)) / (_/ -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
On Mon, 2003-10-06 at 22:35, anto sugi wrote: #iptables -t nat -L nah .. ni kenapa ya mas.. pas saya reboot server .. ip nya sering double kek gini.. giman cara ngatasinnya mas.. mohon bantuannya .:) ini bener di reboot servernya atau hanya manggil ulang script iptablesnya ?? mending di flush aja duluiptables -t nat -F -- -*slackbie*- [EMAIL PROTECTED] -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
sbin/iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.128/26 -j SNAT --to 20 2.162.196.68 masq ip dr eth0 dengan ip local 192.168.0.128/26 dengan ip static yang di masq 202.162.196.68. jd ip static yang akan me masq adalah 202. trus ip nat nya adalah 192.168 - Original Message - From: anto sugi [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, October 05, 2003 4:02 AM Subject: [linux-admin] iptables mas saya mau tanya ni .. maksud dari ini apaan ya... /sbin/iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.128/26 -j SNAT --to 20 2.162.196.68 #/sbin/iptables -D POSTROUTING -t nat -o eth0 -s 192.168.0.64/26 -j SNAT --to 202.162.196.72 nah .. bisa kan mas jelasinnya.. -- __ http://www.linuxmail.org/ Now with e-mail forwarding for only US$5.95/yr Powered by Outblaze -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
begini mas, /sbin/iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.128/26 -j SNAT --to 202.162.196.68 command diatas berfungsi untuk melakukan NAT/MASQUERADE IP address dengan range 192.168.0.129 - 192.168.0.190 ke IP address 202.162.196.68. Fungsi NAT pasti udah tahu kan ? kl blm saya tambahkan tapi kl udah ngerti, yaa udah anggap aja angin lewat Nat = Network Address Translation digunakan untuk mentranslate (atau apa namanya) agar ip private anda bisa ber-internet karena ip private tidak dikenal di internet, jadi harus di NAT/MASQUERADE dulu. #/sbin/iptables -D POSTROUTING -t nat -o eth0 -s 192.168.0.64/26 -j SNAT --to 202.162.196.72 command diatas untuk menghapus NAT/MASQ dari chain/aturan2 firewall anda, iptables -D ( D artinya delete, coba iptables --help) kalau iptables -A ( A = append ) . Semoga membantu. CMIIW. mas saya mau tanya ni .. maksud dari ini apaan ya... /sbin/iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.128/26 -j SNAT --to 20 2.162.196.68 #/sbin/iptables -D POSTROUTING -t nat -o eth0 -s 192.168.0.64/26 -j SNAT --to 202.162.196.72 nah .. bisa kan mas jelasinnya.. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables dan masquerade
koneksi internetnya pake apa mas - Original Message - From: Gembos [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Thursday, October 02, 2003 1:13 PM Subject: [linux-admin] iptables dan masquerade Tulungin plz saya punya 3 ethernet (eth0=192.168.10.0/24, eth1=192.168.20.0/24, eth2=192.168.30.0/24) eth0 sudah bisa bebas akses internet. Saya ingin eth1 dan eth2 cuma bisa akses pop3 dan smtp saja, gimana caranya? Makasih Gembos -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
gimana kalo coba censornet? cukup efektif dan gampang settingnya. Apalagi kalo pake yang versi bayarnya... --- Rio Martin [EMAIL PROTECTED] wrote: On Wednesday 24 September 2003 11:32, IR Harahap -- Medan wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 jawab. coba cari ip publik situs porn tsb lalu : ketikkan pd shell iptables -I INPUT -s 202.xxx.xx.xxx -j DROP iptables -I FORWARD -s 202.xxx.xx.xxx -j DROP /etc/init.d/iptables save /etc/init.d/iptables restart Tidak tepat kalau menurut saya, sebab kalau si website porn tersebut pindah hosting, berarti kita harus update lagi ?? terbayang kalau harus memblokir 260juta site porn, hmm kayaknya ini muncul di detikinet hari ini, topic mengenai situs porno yang sudah = 260juta jumlahnya. Sedangkan dengan iptables -m string regex , begitu kita define 17tahun, ataupun sex ataupun porn, sudah akan memblokir lebih dari satu site, mungkin juga bisa 10 , 20 dsb.. Atau dengan Squid, tetapi squid saya lihat cuma bisa blokir untuk website, nah saya ketemu user bandel yang betul - betul agak kreatif rupanya. Pernah denger Daily Porn via Email ? He he he .. kreatif kan user saya, tidak bisa akses situs porno, dia pake service email. Tetapi kalau saja diaktifkan di IPTABLES, begitu ada kiriman yang setelah dicek mengandung string porno, maka dia akan direject. Lalu saya pikir, juga kesulitannya nanti ada satu, bagaimana kalau diencrypt ? atau dimasukkan dalam zip, berarti masalah lagi.. Regards, Rio Martin. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php = Baihaqi S Network Administrator HSJ Partners DM Plaza 12th Floor Jl. Jenderal Sudirman Kav 25 Jakarta 12920 Indonesia __ Do you Yahoo!? The New Yahoo! Shopping - with improved product search http://shopping.yahoo.com -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
coba aja gunakan proxy, disitu ada fasilitsa untuk memblok situs porno On Wed, 24 Sep 2003 11:32:54 +0700 IR Harahap -- Medan [EMAIL PROTECTED] wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 jawab. coba cari ip publik situs porn tsb lalu : ketikkan pd shell iptables -I INPUT -s 202.xxx.xx.xxx -j DROP iptables -I FORWARD -s 202.xxx.xx.xxx -j DROP /etc/init.d/iptables save /etc/init.d/iptables restart On Wednesday 24 September 2003 08:25, anto sugi wrote: alo mas semuanya.. saya mau tanya ni mas.. gimana caranya mau blok situs .. misalnya situ porno.. kalau untuk satu client aja... ni kami ada 10 client.. saya mau blok untuk 1 client aja.. gimana caranya mas kalau pake iptableskasih tau dunks..:) -- __ http://www.linuxmail.org/ Now with e-mail forwarding for only US$5.95/yr Powered by Outblaze -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE/cR579J5EZXZvH9ERAlKNAJ47QJHUUxgwjcFdanJNrxj2N8p+QgCghv1K Mqu4K0ah7tYCCqsXO7QSl+I= =j90y -END PGP SIGNATURE- -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php === Instan Diskon Setiap Hari... Setiap hari jam 10 malam sampai jam 7 pagi Dan setiap Hari Libur.. berlaku mulai 1 September - 31 Desember 2003, Khusus Jawa Timur... === -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
On Wednesday 24 September 2003 08:25, anto sugi wrote: alo mas semuanya.. saya mau tanya ni mas.. gimana caranya mau blok situs .. misalnya situ porno.. kalau untuk satu client aja... ni kami ada 10 client.. saya mau blok untuk 1 client aja.. gimana caranya mas kalau pake iptableskasih tau dunks..:) -- iptablesnya harus dipatch-o-matic terlebih dahulu, supaya bisa pake option -m regex. lebih lengkap, detailnya ada di www.netfilter.org, saya sendiri belum pernah coba patch iptables, sehingga belum bisa share lebih jauh mengenai hal ini. semoga membantu.. Regards, Rio Martin. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
Gunakan aja transparant proxy terus di konfigurasi Access controled list nya utk memblok source dari ip tertentu yg tujuannya ke situs porno On Wed, 24 Sep 2003 11:24:43 +0700, Rio Martin [EMAIL PROTECTED] wrote : On Wednesday 24 September 2003 08:25, anto sugi wrote: alo mas semuanya.. saya mau tanya ni mas.. gimana caranya mau blok situs .. misalnya situ porno.. kalau untuk satu client aja... ni kami ada 10 client.. saya mau blok untuk 1 client aja.. gimana caranya mas kalau pake iptableskasih tau dunks..:) -- iptablesnya harus dipatch-o-matic terlebih dahulu, supaya bisa pake option -m regex. lebih lengkap, detailnya ada di www.netfilter.org, saya sendiri belum pernah coba patch iptables, sehingga belum bisa share lebih jauh mengenai hal ini. semoga membantu.. Regards, Rio Martin. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 jawab. coba cari ip publik situs porn tsb lalu : ketikkan pd shell iptables -I INPUT -s 202.xxx.xx.xxx -j DROP iptables -I FORWARD -s 202.xxx.xx.xxx -j DROP /etc/init.d/iptables save /etc/init.d/iptables restart On Wednesday 24 September 2003 08:25, anto sugi wrote: alo mas semuanya.. saya mau tanya ni mas.. gimana caranya mau blok situs .. misalnya situ porno.. kalau untuk satu client aja... ni kami ada 10 client.. saya mau blok untuk 1 client aja.. gimana caranya mas kalau pake iptableskasih tau dunks..:) -- __ http://www.linuxmail.org/ Now with e-mail forwarding for only US$5.95/yr Powered by Outblaze -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE/cR579J5EZXZvH9ERAlKNAJ47QJHUUxgwjcFdanJNrxj2N8p+QgCghv1K Mqu4K0ah7tYCCqsXO7QSl+I= =j90y -END PGP SIGNATURE- -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
On Wednesday 24 September 2003 11:32, IR Harahap -- Medan wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 jawab. coba cari ip publik situs porn tsb lalu : ketikkan pd shell iptables -I INPUT -s 202.xxx.xx.xxx -j DROP iptables -I FORWARD -s 202.xxx.xx.xxx -j DROP /etc/init.d/iptables save /etc/init.d/iptables restart Tidak tepat kalau menurut saya, sebab kalau si website porn tersebut pindah hosting, berarti kita harus update lagi ?? terbayang kalau harus memblokir 260juta site porn, hmm kayaknya ini muncul di detikinet hari ini, topic mengenai situs porno yang sudah = 260juta jumlahnya. Sedangkan dengan iptables -m string regex , begitu kita define 17tahun, ataupun sex ataupun porn, sudah akan memblokir lebih dari satu site, mungkin juga bisa 10 , 20 dsb.. Atau dengan Squid, tetapi squid saya lihat cuma bisa blokir untuk website, nah saya ketemu user bandel yang betul - betul agak kreatif rupanya. Pernah denger Daily Porn via Email ? He he he .. kreatif kan user saya, tidak bisa akses situs porno, dia pake service email. Tetapi kalau saja diaktifkan di IPTABLES, begitu ada kiriman yang setelah dicek mengandung string porno, maka dia akan direject. Lalu saya pikir, juga kesulitannya nanti ada satu, bagaimana kalau diencrypt ? atau dimasukkan dalam zip, berarti masalah lagi.. Regards, Rio Martin. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] iptables
bagaimana dengan squidguard...? cukup efektif apa gak, soalnya squidguard bisa update database On Wednesday 24 September 2003 11:32, IR Harahap -- Medan wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 jawab. coba cari ip publik situs porn tsb lalu : ketikkan pd shell iptables -I INPUT -s 202.xxx.xx.xxx -j DROP iptables -I FORWARD -s 202.xxx.xx.xxx -j DROP /etc/init.d/iptables save /etc/init.d/iptables restart Tidak tepat kalau menurut saya, sebab kalau si website porn tersebut pindah hosting, berarti kita harus update lagi ?? terbayang kalau harus memblokir 260juta site porn, hmm kayaknya ini muncul di detikinet hari ini, topic mengenai situs porno yang sudah = 260juta jumlahnya. Sedangkan dengan iptables -m string regex , begitu kita define 17tahun, ataupun sex ataupun porn, sudah akan memblokir lebih dari satu site, mungkin juga bisa 10 , 20 dsb.. Atau dengan Squid, tetapi squid saya lihat cuma bisa blokir untuk website, nah saya ketemu user bandel yang betul - betul agak kreatif rupanya. Pernah denger Daily Porn via Email ? He he he .. kreatif kan user saya, tidak bisa akses situs porno, dia pake service email. Tetapi kalau saja diaktifkan di IPTABLES, begitu ada kiriman yang setelah dicek mengandung string porno, maka dia akan direject. Lalu saya pikir, juga kesulitannya nanti ada satu, bagaimana kalau diencrypt ? atau dimasukkan dalam zip, berarti masalah lagi.. Regards, Rio Martin. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES forward port
iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080 atau iptables -t nat -D PREROUTING -p tcp --dport 80 -j DNAT --to IP_SQUID_BOX:8080 On Fri, 19 Sep 2003 09:30:36 +0700, Anwar Purnomo [EMAIL PROTECTED] wrote : Hallo linuxers mania. Saya mau tanya' nieh .. gimana yah me redirect port di IPtables .. Maunya sieh user/client yg akses internet, mau saya redirect ke port 8080 semua, biar nggak ada yg install sharing internet di client, dan biarpun merubah proxy IP setiing nya di browser client, masih tetep menuju ke port 8080 yg terinstall squid. Gateway client sudah di setting ke IP yg terinstall SQUID Mohon pencerahannya .. Thx Salam This message has been scanned for viruses by MailScanner. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES forward port
Thx atas replay nya .. dan sudah saya coba OK dah ... Salam Linux wrote: iptables -t nat -D PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080 atau iptables -t nat -D PREROUTING -p tcp --dport 80 -j DNAT --to IP_SQUID_BOX:8080 On Fri, 19 Sep 2003 09:30:36 +0700, Anwar Purnomo [EMAIL PROTECTED] wrote : This message has been scanned for viruses by MailScanner. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
RE: [linux-admin] IPTABLES vs CISCO PIX Firewall
-Original Message- From: Agi Subagio [mailto:[EMAIL PROTECTED] Sent: Tuesday, September 16, 2003 10:34 AM To: [EMAIL PROTECTED] Subject: Re: [linux-admin] IPTABLES vs CISCO PIX Firewall --8 AFAIK... PIX itu maen di layer 3 deh... sama dg IPTABLES juga sih kayaknya. Kalau mau cari firewall yg aman, cari yg bisa maen di layer 7 (application proxy) dan harus sudah memenuhi kriteria EAL-4, misalnya CyberGuard, SideWinder, StoneGate, dll. Dan yg kayak gini biasanya mahal sekali. Yang pakai biasanya utk kalangan korporasi yg butuh keamanan tingkat tinggi. --8 layer 7, hm brarti osi stack ya :) iptables itu di network layer juga koq, sama seperti pix. Kalo yang di layer 7 osi (apps layer) biasanya di sebut application level firewall, proxy, circuit level firewall, misalnya squid, wingate dsb. Ya firewall juga :) iptables bisa koq di pake untuk *kalangan korporasi yang butuh keamanan tingkat tinggi* ;), dan cukup secure. Perlu diinget kalo keamanan bukan berisi firewall melulu. btw, EAL-4 ini apa ? salam, ef Disclaimer - This message and any attachments may contain privileged information. Any unauthorised use of this message by any person may lead to legal consequences. Any views expressed in this message are those of the individual sender and may not necessarily reflect the views of PT Kaltim Prima Coal. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES vs CISCO PIX Firewall
Bisa dibilang semua fungsi PIX dapat digantikan oleh IPTABLES asalkan mengerti konfigurasinya.dan apa yang ingin anda lakukan. IPTABLES sudah termasuk kategori packet filter yang cukup komplek sebagai penerus saudara tuanya IPCHAINS. - Original Message - From: Suwignyo [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, September 15, 2003 3:44 PM Subject: [linux-admin] IPTABLES vs CISCO PIX Firewall Ada yang Tau ngga Perbandingan IPTABLES dengan CISCO PIX, Apa fungsi2 yg ada di CISCO PIX bisa di Implementasi di IPTABLES ? Newbie -- === Instan Diskon Setiap Hari... Setiap hari jam 10 malam sampai jam 7 pagi Dan setiap Hari Libur.. berlaku mulai 1 September - 31 Desember 2003, Khusus Jawa Timur... === -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES vs CISCO PIX Firewall
iptables ipchains == packet filtering firewall cisco pix firewall== statefull firewall lebih bagus statefull firewall drpd packet filtering firewall biasalah, harga menentukan kualitas - Original Message - From: Jhonny Cage [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, September 15, 2003 4:25 PM Subject: Re: [linux-admin] IPTABLES vs CISCO PIX Firewall Bisa dibilang semua fungsi PIX dapat digantikan oleh IPTABLES asalkan mengerti konfigurasinya.dan apa yang ingin anda lakukan. IPTABLES sudah termasuk kategori packet filter yang cukup komplek sebagai penerus saudara tuanya IPCHAINS. - Original Message - From: Suwignyo [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, September 15, 2003 3:44 PM Subject: [linux-admin] IPTABLES vs CISCO PIX Firewall Ada yang Tau ngga Perbandingan IPTABLES dengan CISCO PIX, Apa fungsi2 yg ada di CISCO PIX bisa di Implementasi di IPTABLES ? Newbie -- === Instan Diskon Setiap Hari... Setiap hari jam 10 malam sampai jam 7 pagi Dan setiap Hari Libur.. berlaku mulai 1 September - 31 Desember 2003, Khusus Jawa Timur... === -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES vs CISCO PIX Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 AFAIK iptables itu statefull ipchains ndak statefull www.iptables.org The netfilter/iptables project is the Linux 2.4.x/2.5.x firewalling subsystem. It delivers you the functionality of packet filtering (stateless or stateful, all different kinds of NAT (Network Address Translation) and packet mangling. Wah, kalo saya pengen blajar PIX gimana ya?.. ga punya pix neh :-) On Tue, 16 Sep 2003, Mashudi Ahmad wrote: iptables ipchains == packet filtering firewall cisco pix firewall== statefull firewall lebih bagus statefull firewall drpd packet filtering firewall thx .dave Don't take life seriously, you'll never get out alive. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE/Zn7i7SUrJYWHOyoRAnfcAJ0XMKfef2d4B+OOAS9k+8dLGezqXwCfbWer pZ0yDmH30bqjH/fqpRecFEY= =lMg0 -END PGP SIGNATURE- -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES vs CISCO PIX Firewall
On Tue, 2003-09-16 at 09:52, Mashudi Ahmad wrote: iptables ipchains == packet filtering firewall iptables == statefull packet filering(--match-state, ESTABLISHED, RELATED and CONFIG_IP_NF_MATCH_STATE di option kernel) cisco pix firewall== statefull firewall lebih bagus statefull firewall drpd packet filtering firewall biasalah, harga menentukan kualitas pernah pakai MS Windows ? :P cheers .NewBie:. -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES vs CISCO PIX Firewall
IPTABLES = gratis PIX = bayar IPTABLES = software PIX = appliance (hardware dan software embedded) AFAIK... PIX itu maen di layer 3 deh... sama dg IPTABLES juga sih kayaknya. Kalau mau cari firewall yg aman, cari yg bisa maen di layer 7 (application proxy) dan harus sudah memenuhi kriteria EAL-4, misalnya CyberGuard, SideWinder, StoneGate, dll. Dan yg kayak gini biasanya mahal sekali. Yang pakai biasanya utk kalangan korporasi yg butuh keamanan tingkat tinggi. Skrg terpulang kepada kebutuhan anda. Kalau hanya sekedar proteksi ringan saja, pake IPTABLES juga no problemo. CMIIW - Original Message - From: Suwignyo [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, September 15, 2003 3:44 PM Subject: [linux-admin] IPTABLES vs CISCO PIX Firewall Ada yang Tau ngga Perbandingan IPTABLES dengan CISCO PIX, Apa fungsi2 yg ada di CISCO PIX bisa di Implementasi di IPTABLES ? -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES on built in Kernel (SOLVED)
At 11:05 AM 9/11/03 +0700, you wrote: Mungkin kesimpulan anda perlu diralat hehe :-), karena di saya, kernel 2.4.22 (dengan imbuhan patch grsecurity) bisa jalan iptablesnya walaupun semuanya menggunakan sistem built-in. Betul, dan maaf tentang kesimpulan sementara saya kemarin ternyata salah :( Setelah saya abis, dan teliti satu persatu, saya udah bisa pake IPTABLES dgn built in mode. Terima kasih atas masukannya. Kalau mau melihat file .config nya silakan disini, mungkin ada gunanya : http://hujan.cakra.web.id/config-2.4.22-grsec.txt Terima kasih sekali lagi mas Asfik. Saya coba pake patch dari gsecurity, dan emang betul-betul restrictic betul. Saking ketatnya, (pada awalnya saya gak begitu banyak baca help nya, makanya di bawah opsi GS Security saya pilih semua) sehingga saya gak bisa login :( Jadinya saya compile ulang dan dipilih dengan hati2x, dan bisa dgn sukses. Matur suwun sekali lagi mas Asfik atas masukannya dan contoh konfigurasinya. Agung Ud --- persembahkan yang terbaik dalam hidup ini... -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES on built in Kernel (SOLVED)
Salam, Terima kasih atas masukan dari temen2x semua. Problem yg saya posting sebelum ini, kini telah ter SOLVE. Yaitu dgn compile kernel dg Loadable Module . Jadi kalo pake Built In, IPTABLES gak akan bisa, tapi bila kitaaktifkan loadable module, maka option IPTABLES dan temen2xnya ada semua di menuconfig. Mungkin kesimpulan sementara, kalau ingin mempunyai kernel yg praktis dgn system built-in, lupakan IPTABLES support. CMIIW Agung Ud --- persembahkan yang terbaik dalam hidup ini... At 09:03 AM 9/10/03 +0700, you wrote: Salam, Pada Linux saya saat installasi awal (system kernel modular) sudah terpasang IPTABLES dan berjalan dengan normal. Kemudian saya upgrade kernel ke 2.4.22 dengan system built in (gak ada modular lagi). Setelah boot dan kernel udah berubah ke kernel yg baru, timbul masalah, IPTABLES gak bisa jalan lagi : [EMAIL PROTECTED] /# iptables -L iptables v1.2.8: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Apakah mesti di install ulang paket IPTABLES nya yach ? note : di bawah ini, catatan saya pada saat upgrade kernel baru, semuanya built in (saya ambil yg berhubungan dengan netfilter) Apakah masih ada yang kurang ? Networking options --- [*] Packet socket [*] Network packet filtering (replaces ipchains) [*] TCP/IP networking [*] IP: multicasting IP: Netfilter Configuration --- [*] IP tables support (required for filtering/masq/NAT) [*] MAC address match support [*] Packet type match support [*] Multiple port match support [*] TOS match support [*] LENGTH match support [*] ARP tables support [*] ARP packet filtering -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES on built in Kernel (SOLVED)
On Wed, Sep 10, 2003 at 04:40:38PM +0700, Agung Ud wrote: Mungkin kesimpulan sementara, kalau ingin mempunyai kernel yg praktis dgn system built-in, lupakan IPTABLES support. Mungkin kesimpulan anda perlu diralat hehe :-), karena di saya, kernel 2.4.22 (dengan imbuhan patch grsecurity) bisa jalan iptablesnya walaupun semuanya menggunakan sistem built-in. [EMAIL PROTECTED] asfik]$ uname -a Linux nablus.intifada.net 2.4.22-grsec #1 Thu Sep 11 10:10:55 WIT 2003 i686 athlon i386 GNU/Linux [EMAIL PROTECTED] asfik]$ lsmod Module Size Used by /proc/modules: No such file or directory [EMAIL PROTECTED] asfik]$ iptables -L -n iptables v1.2.7a: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. [EMAIL PROTECTED] asfik]$ su - Password: [EMAIL PROTECTED] root]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Kalau mau melihat file .config nya silakan disini, mungkin ada gunanya : http://hujan.cakra.web.id/config-2.4.22-grsec.txt Salam, Asfihani -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
Re: [linux-admin] IPTABLES on built in Kernel
Bagian ini : IP: Netfilter Configuration --- sudah dicheck juga nggak ? (Enter). Setahu saya didalamnya masih harus dienable lagi .. CMIIW Salam Agung Ud wrote: Salam, Pada Linux saya saat installasi awal (system kernel modular) sudah terpasang IPTABLES dan berjalan dengan normal. Kemudian saya upgrade kernel ke 2.4.22 dengan system built in (gak ada modular lagi). Setelah boot dan kernel udah berubah ke kernel yg baru, timbul masalah, IPTABLES gak bisa jalan lagi : [EMAIL PROTECTED] /# iptables -L iptables v1.2.8: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Apakah mesti di install ulang paket IPTABLES nya yach ? note : di bawah ini, catatan saya pada saat upgrade kernel baru, semuanya built in (saya ambil yg berhubungan dengan netfilter) Apakah masih ada yang kurang ? Networking options --- [*] Packet socket [*] Network packet filtering (replaces ipchains) [*] TCP/IP networking [*] IP: multicasting IP: Netfilter Configuration --- [*] IP tables support (required for filtering/masq/NAT) [*] MAC address match support [*] Packet type match support [*] Multiple port match support [*] TOS match support [*] LENGTH match support [*] ARP tables support [*] ARP packet filtering Agung Ud --- persembahkan yang terbaik dalam hidup ini... -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
RE: [linux-admin] iptables
Saya baru setting iptables+squid=transparent proxy (RH 9) step by step: 1.server box :eth1 ip internal 192.168.74.1 tanpa GW ; eth0 ip external 202.x.x.66 GW 202.x.x.65 2.client box:eth0 ip 192.168.74.2 GW 192.168.74.1 + dns 3.konfigurasi squid sesuai petunjuk di dokumen /usr/share/doc/squid-2.5.STABLE1/QUICKSTART. 4.set browser client ke proxy : 192.168.74.1 port 3128. pastikan bisa mengakses internet. 5.tambahkan konfigurasi squid dengan : http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on httpd_accel_single_host of 6.#echo 1 /proc/sys/net/ipv4/ip_forward (untuk mengaktifkan forwading) 7.flush semua rule iptables, dengan kata lain set security ke no firewall 8.#iptables -t nat -A POSTROUTING -s 192.168.74.0/24 -d 0.0.0.0/0 -j SNAT --to-source 202.x.x.66 setelah langkah 8 cek dengan unset proxy di browser client, harus bisa internet. 9.agar bisa caching lewat squid: #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 10.lakukan browsing di client, cek di /var/log/squid/access.log, pastikan ada hit. 11.save konfigurasi #iptables-save rgrds --- askari [EMAIL PROTECTED] wrote: Kemudian saya mau nyambung lagi, saya menggunakan SQUID di MDK dan rencana saya ingin sharing internet untuk semua client. apa bisa dengan IPCHAINS atau IPTABLES.? -Original Message- From: Suwandy [mailto:[EMAIL PROTECTED] Sent: Wednesday, August 20, 2003 10:36 AM To: [EMAIL PROTECTED]; Hendri Cendra Arcan Subject: Re: [linux-admin] iptables alo mengenai ini saya ada pertanyaan tambahan. saya sudah mencoba settingan seperti yg mas hendri jabarkan. namun kok di rh9 saya harus ada tambahan line seperti ini : /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT kalo nggak ditambah perintah itu nggak mau deh. padahal policy default utk semua chain adalah accept dan selain rules iptables diatas, tidak ada rules lain yg dipakai. - Original Message - From: Hendri Cendra Arcan [EMAIL PROTECTED] To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:46 PM Subject: Re: [linux-admin] iptables ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam .12 How do I build a transparent proxy using squid and iptables? First, of course, you need a suitable DNAT or REDIRECT rule. Use REDIRECT only if squid is running on the NAT box itself. Example: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 After that, you have to configure squid appropriately. We can only give short notes here, please refer to the squid documentation for further details. The squid.conf for Squid 2.3 needs to be something like the following: http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Squid 2.4 needs an additional line added: httpd_accel_single_host off - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] __ Do you Yahoo!? Yahoo! SiteBuilder - Free, easy-to-use web site design software http://sitebuilder.yahoo.com -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
RE: [linux-admin] iptables
Kemudian saya mau nyambung lagi, saya menggunakan SQUID di MDK dan rencana saya ingin sharing internet untuk semua client. apa bisa dengan IPCHAINS atau IPTABLES.? -Original Message- From: Suwandy [mailto:[EMAIL PROTECTED] Sent: Wednesday, August 20, 2003 10:36 AM To: [EMAIL PROTECTED]; Hendri Cendra Arcan Subject: Re: [linux-admin] iptables alo mengenai ini saya ada pertanyaan tambahan. saya sudah mencoba settingan seperti yg mas hendri jabarkan. namun kok di rh9 saya harus ada tambahan line seperti ini : /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT kalo nggak ditambah perintah itu nggak mau deh. padahal policy default utk semua chain adalah accept dan selain rules iptables diatas, tidak ada rules lain yg dipakai. - Original Message - From: Hendri Cendra Arcan [EMAIL PROTECTED] To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:46 PM Subject: Re: [linux-admin] iptables ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam .12 How do I build a transparent proxy using squid and iptables? First, of course, you need a suitable DNAT or REDIRECT rule. Use REDIRECT only if squid is running on the NAT box itself. Example: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 After that, you have to configure squid appropriately. We can only give short notes here, please refer to the squid documentation for further details. The squid.conf for Squid 2.3 needs to be something like the following: http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Squid 2.4 needs an additional line added: httpd_accel_single_host off - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
RE: [linux-admin] iptables
Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
RE: [linux-admin] iptables
At 17:01 19/08/2003 +0800, you wrote: Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's Cukup mudah kok ;) Andaikan SQUID listen di port 8080, dan eth1 menuju ke LAN kita, cukup kasih perintah ini : (jangan lupa taruh di /etc/rc.local ) /sbin/iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080 Agung Ud . persembahkan yang terbaik dalam hidup ini . - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam .12 How do I build a transparent proxy using squid and iptables? First, of course, you need a suitable DNAT or REDIRECT rule. Use REDIRECT only if squid is running on the NAT box itself. Example: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 After that, you have to configure squid appropriately. We can only give short notes here, please refer to the squid documentation for further details. The squid.conf for Squid 2.3 needs to be something like the following: http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Squid 2.4 needs an additional line added: httpd_accel_single_host off - Original Message - From: Hendri Cendra Arcan [EMAIL PROTECTED] To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:26 PM Subject: Re: [linux-admin] iptables - Original Message - From: askari [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:01 PM Subject: RE: [linux-admin] iptables Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
search aja pake google proxy transparent howto On Tuesday 19 August 2003 16:01, askari wrote: Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
http://www.linuxguruz.com/iptables/ atau langsung di sourcenya : http://www.netfilter.org ada buanyak bukan cuma transparent proxy askari wrote: Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
- Original Message - From: askari [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:01 PM Subject: RE: [linux-admin] iptables Minta pencerahan mengenai ipchains atau transparent proxy untuk connect internet. Bagaimana caranya ngeset ipchains dan transparent proxy?, Dimana saya bisa mendapatkan sample atau contoh ngesetnya??? Thank's ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
alo mengenai ini saya ada pertanyaan tambahan. saya sudah mencoba settingan seperti yg mas hendri jabarkan. namun kok di rh9 saya harus ada tambahan line seperti ini : /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT kalo nggak ditambah perintah itu nggak mau deh. padahal policy default utk semua chain adalah accept dan selain rules iptables diatas, tidak ada rules lain yg dipakai. - Original Message - From: Hendri Cendra Arcan [EMAIL PROTECTED] To: [EMAIL PROTECTED]; [EMAIL PROTECTED] Sent: Tuesday, August 19, 2003 4:46 PM Subject: Re: [linux-admin] iptables ini ada artikel kecil yg pernah saya dapat mudah2an bisa membantu anda, untuk lengkapnya mungkin anda bisa baca manual ipchains dan squid versi terbaru salam .12 How do I build a transparent proxy using squid and iptables? First, of course, you need a suitable DNAT or REDIRECT rule. Use REDIRECT only if squid is running on the NAT box itself. Example: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 After that, you have to configure squid appropriately. We can only give short notes here, please refer to the squid documentation for further details. The squid.conf for Squid 2.3 needs to be something like the following: http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Squid 2.4 needs an additional line added: httpd_accel_single_host off - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
On Sen, 2003-08-18 at 00:22, Albertus Andreas Eko Yoga wrote: Mohon Bantuan. Dengan mengunakan IPTables pada Gateway, saya ingin bertanya, bagaimana caranya : 1. Memblok Yahoo Messanger. 2. Memblok MSN Messanger. 3. Memblok MIRC cari IP dan port tujuan service di atas, lalu DROP 4. Memblok IP xxx.xxx.xxx.10 - xxx.xxx.xxx.20 mengunakan internet. iptables -I INPUT -s xxx.xxx.10 -d 0/0 -j DROP dst sampai xxx.xxx.xxx.20 -- Arithmetic is where the answer is right and everything is nice and you can look out of the window and see the blue sky -- or the answer is wrong and you have to start over and try again and see how it comes out this time.-Carl Sandburg - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables
On Monday 18 August 2003 00:22, Albertus Andreas Eko Yoga wrote: Mohon Bantuan. Dengan mengunakan IPTables pada Gateway, saya ingin bertanya, bagaimana caranya : 1. Memblok Yahoo Messanger. 2. Memblok MSN Messanger. 3. Memblok MIRC 4. Memblok IP xxx.xxx.xxx.10 - xxx.xxx.xxx.20 mengunakan internet. pertama harus diketahui dulu program tersebut menggunakan port/protokol apa biasanya untuk irc menggunakan port 6667-7000. paket tersebut dapat di blok dengan iptables/ipchains untuk ip xxx.xxx.xxx.10 # iptables -I INPUT -p tcp -s xxx.xxx.xxx.10/32 -d 0/0 --dport 6667 -j DROP untuk Y!Messenger saya ga' tau menggunakan port berapa :( Terima Kasih. Andreas - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables: akses dmz dari lan
Di sini ada tutorial lengkap beserta contoh script untuk network seperti milik anda: http://iptables-tutorial.frozentux.net/iptables-tutorial.html --- Mohammad Reza [EMAIL PROTECTED] wrote: Dear Admin's rules ip SNAT seperti apa yang harus ditambahkan sehingga, client LAN bisa mengakses server yang ada di DMZ ? kalau bisa sih tanpa menambahkan dns server buat internal. topologi : internet | | Firewall -DMZ | | LAN LAN di NAT ke internet dan dari internet di ridirect address ke DMZ, please advice, suggest, url, script (would be better..:) ) cheers .:NewBie:. = == EXPLOIT MLEMPEM EXPLOIT MEJEN == But don't worry, it's a step to whole one __ Do you Yahoo!? SBC Yahoo! DSL - Now only $29.95 per month! http://sbc.yahoo.com - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
RE: [linux-admin] iptables: akses dmz dari lan
Saya build firewallnya pake fwbuilder dari www.fwbuilder.org, klo ada yang pernah coba dan berhasil akses dmz dari lan, please kasih tau dongsukur2 mau kirimin script+xmlnya :) -Original Message- From: Eksploit Mlempem [mailto:[EMAIL PROTECTED] Sent: Wed 7/16/2003 2:53 PM To: [EMAIL PROTECTED] Cc: Subject:Re: [linux-admin] iptables: akses dmz dari lan Di sini ada tutorial lengkap beserta contoh script untuk network seperti milik anda: http://iptables-tutorial.frozentux.net/iptables-tutorial.html --- Mohammad Reza [EMAIL PROTECTED] wrote: Dear Admin's rules ip SNAT seperti apa yang harus ditambahkan sehingga, client LAN bisa mengakses server yang ada di DMZ ? kalau bisa sih tanpa menambahkan dns server buat internal. topologi : internet | | Firewall -DMZ | | LAN LAN di NAT ke internet dan dari internet di ridirect address ke DMZ, please advice, suggest, url, script (would be better..:) ) cheers .:NewBie:. = == EXPLOIT MLEMPEM EXPLOIT MEJEN == But don't worry, it's a step to whole one __ Do you Yahoo!? SBC Yahoo! DSL - Now only $29.95 per month! http://sbc.yahoo.com - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED] - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables: akses dmz dari lan
On Wed, Jul 16, 2003 at 12:21:32PM +0700, Mohammad Reza wrote: rules ip SNAT seperti apa yang harus ditambahkan sehingga, client LAN bisa mengakses server yang ada di DMZ ? kalau bisa sih tanpa menambahkan dns server buat internal. topologi : internet | | Firewall -DMZ | | LAN LAN di NAT ke internet dan dari internet di ridirect address ke DMZ, please advice, suggest, url, script (would be better..:) ) http://www.shorewall.net/ (iptables made easy) - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] IPTables buat squid
apa output dari iptables -L -nv sama iptables -L -nv -t nat ? - Original Message - From: Eksploit Mlempem [EMAIL PROTECTED] To: Linux Admin [EMAIL PROTECTED] Sent: Tuesday, June 10, 2003 12:00 PM Subject: [linux-admin] IPTables buat squid Saya menambahkan aturan berikut pada IPTables bagi squit saya: iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-port 3128 Tapi client masih belum bsia browsing ya? Perlu diketahui, saya menggunakan default policy DROP untuk chain INPUT, OUTPUT dan FORWARD. Apakah pada chain INPUT harus saya tambahkan aturan yang menerima port 3128?? Terima kasih sebelumnya - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables question
#iptables -A INPUT -p tcp --dport 3001 -j REJECT kemudian saya scan server saya : 3001/tcp filterednessusd Kenapa pada port 3001 State-nya disebutkan filtered ? bukankah seharusnya closed ? mohon pencerahannya .. tksrgds iptables, -j REJECT tanpa parameter apapun akan mengirimkan icmp-port-unreachable, ini biasanya mengindikasikan suatu port itu di 'filter', kalau pingin 'stealthy' (closed) gunakan tcp-reset, eg. iptables -A INPUT -p tcp --dport 3001 -j REJECT --reject-with tcp-reset Udah tuh mas, tapi kok malah gak terlihat ya (port 3001nya) ? ini hasilnya : # nmap -sS -P0 myserver Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on myserver (192.168.0.12): (The 1596 ports scanned but not shown below are in state: closed) Port State Service 22/tcp openssh 25/tcp opensmtp 80/tcp openhttp 110/tcpopenpop-3 143/tcpopenimap2 maksud saya, saya mau tertulis state-nya : closed tks - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: [linux-admin] iptables question
Date: Mon, 7 Apr 2003 10:28:42 +0700 (WIT) From: Cemplung [EMAIL PROTECTED] To: [EMAIL PROTECTED] Subject: [linux-admin] iptables question Hi all, mohon maaf kalo pernah dibahas di milis ini. Saya ada pertanyaan nih, saya melakukan blocking port 3001 spt ini : #iptables -A INPUT -p tcp --dport 3001 -j REJECT kemudian saya scan server saya : 3001/tcp filterednessusd Kenapa pada port 3001 State-nya disebutkan filtered ? bukankah seharusnya closed ? mohon pencerahannya .. tksrgds iptables, -j REJECT tanpa parameter apapun akan mengirimkan icmp-port-unreachable, ini biasanya mengindikasikan suatu port itu di 'filter', kalau pingin 'stealthy' (closed) gunakan tcp-reset, eg. iptables -A INPUT -p tcp --dport 3001 -j REJECT --reject-with tcp-reset lebih lanjutnya silahkan baca manualnya iptables :) - To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]