[tanya-jawab] Gateway and Firewall

Tue, 16 Dec 2003 22:12:25 -0800 

Dear all,

Saya lagin bikin gateway untuk 2 group.
Rencana dasarnya adalah seperti ini:

eth0 = koneksi ke ISP
eth1 = koneksi ke group1
eth2 = koneksi ke group2

ISP----eth0---PC gateway + Proxy | ----eth1----LAN Group1
                                                       |
                                                       |----eth2----LAN
Group2

Aturan pemakaian internet:
1. Akses internet melalui transparant proxy.
2. Proxy tidak membatasi akses kemanapun.
3. Yang boleh akses internet, hanya client yang MAC address-nya terdaftar.
     Jika MAC address tidak terdaftar, akses ditolak.

Aturan di LAN
4. Yang boleh bergabung di LAN (Group1 atau Group2), hanya mereka yang MAC
addressnya terdaftar.
5. MAC address di group1 tidak bisa berpindah ke group2.
6. IP Scope untuk group1 adalah 192.168.1.0/24 terhubung ke gateway melalui
eth1.
    IP Scope untuk group1 adalah 192.168.2.0/24 terhubung ke gateway melalui
eth2.
7. IP di group1 (192.168.1.0/24) tidak bisa berhubungan dengan IP di group2
(192.168.2.0/24)
    Demikian pula sebaliknya.

Saya sudah bikin rulenya seperti ini.
Mohon dikoreksi kalau ada yang salah.

konfigurasi di rc.local

echo "1">/proc/sys/net/ipv4/ip_forward

#Iptables untuk aturan no. 3
#Misal ada MAC address spt ini :
#client 1 = 00:60:97:C0:7B:67
#client 2 = 00:60:97:C0:7B:68
#client 3 = 00:60:97:C0:7B:69

iptables -A INPUT -m mac -mac-source 00:60:97:C0:7B:67 ACCEPT
iptables -A INPUT -m mac -mac-source 00:60:97:C0:7B:68 ACCEPT
iptables -A INPUT -m mac -mac-source 00:60:97:C0:7B:69 ACCEPT

#Bagaimana cara me-reject semua MAC address selain MAC client 1, 2 dan 3

#Iptables untuk akses internet
iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -i eth2 -j MASQUERADE

#Iptables untuk aturan no. 1 (Transparent Proxy)

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
EDIRECT  --to-port 8080
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j
EDIRECT  --to-port 8080

#Iptables untuk aturan no. 7

iptables -A FORWARD -i eth1 -o eth2 -j REJECT --reject-with
icmp-net-prohibited
iptables -A FORWARD -i eth2 -o eth1 -j REJECT --reject-with
icmp-net-prohibited



Squid.conf
# Transparant Proxy
# Aturan No. 1
#client 1 = 00:60:97:C0:7B:67
#client 2 = 00:60:97:C0:7B:68
#client 3 = 00:60:97:C0:7B:69

Acl M1 arp 00:60:97:C0:7B:67
Acl M2 arp 00:60:97:C0:7B:68
Acl M3 arp 00:60:97:C0:7B:69

http_access allow M1
http_access allow M2
http_access allow M3
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on


-- 
Unsubscribe: kirim email kosong ke [EMAIL PROTECTED]
Arsip dan info di http://linux.or.id/milis.php
FAQ milis http://linux.or.id/faq.php

Kirim email ke