KONFIGURASI DMZ PORT FORWARDING
PADA DEBIAN 8.6
A.PENGERTIAN
Dalam keamanan komputer , DMZ atau zona demiliterisasi (kadang-kadang disebut sebagai jaringan perimeter) adalah fisik atau logis subnetwork
yang berisi dan mengekspos layanan eksternal menghadap organisasi ke
jaringan biasanya lebih besar dan tidak dipercaya, biasanya Internet. Tujuan dari DMZ adalah menambahkan lapisan tambahan keamanan untuk organisasi jaringan area lokal (LAN); eksternal simpul jaringan dapat mengakses hanya apa yang terkena di DMZ, sedangkan sisanya dari jaringan organisasi yang firewall .
Layanan di DMZ
Setiap layanan yang disediakan untuk pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah:
1.server web
2.mail server
3.server FTP
4.VoIP server
Server web yang berkomunikasi dengan database internal memerlukan akses ke database server , yang tidak dapat diakses publik dan mungkin berisi informasi sensitif. Server web dapat berkomunikasi dengan database server baik secara langsung atau melalui aplikasi firewall untuk alasan keamanan.
E-mail pesan dan khususnya database pengguna bersifat rahasia, sehingga mereka biasanya disimpan di server yang tidak dapat diakses dari Internet (setidaknya tidak secara tidak aman), tetapi dapat diakses dari server email yang terhubung ke Internet.
Mail server di dalam DMZ melewati surat masuk ke server email aman / internal. Hal ini juga menangani surat keluar.
Untuk keamanan, sesuai dengan standar hukum seperti HIPAA , dan pemantauan alasan, dalam lingkungan bisnis, beberapa perusahaan menginstal server proxy dalam DMZ. Ini memiliki manfaat sebagai berikut:
Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan server proxy untuk akses internet.
Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
Menyederhanakan pencatatan dan monitoring kegiatan pengguna.
Terpusat konten web filtering.
Sebuah reverse proxy server seperti server proxy, adalah perantara, tapi digunakan sebaliknya. Alih-alih menyediakan layanan untuk pengguna internal yang ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya Internet) ke sumber daya internal. Misalnya, kembali akses aplikasi office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka. Hanya server proxy reverse fisik dapat mengakses server email internal. Ini adalah lapisan keamanan tambahan, yang sangat dianjurkan ketika sumber daya internal perlu diakses dari luar. Biasanya seperti mekanisme reverse proxy disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu dari lalu lintas daripada mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.
Setiap layanan yang disediakan untuk pengguna di jaringan eksternal dapat ditempatkan dalam DMZ. Yang paling umum dari layanan ini adalah:
1.server web
2.mail server
3.server FTP
4.VoIP server
Server web yang berkomunikasi dengan database internal memerlukan akses ke database server , yang tidak dapat diakses publik dan mungkin berisi informasi sensitif. Server web dapat berkomunikasi dengan database server baik secara langsung atau melalui aplikasi firewall untuk alasan keamanan.
E-mail pesan dan khususnya database pengguna bersifat rahasia, sehingga mereka biasanya disimpan di server yang tidak dapat diakses dari Internet (setidaknya tidak secara tidak aman), tetapi dapat diakses dari server email yang terhubung ke Internet.
Mail server di dalam DMZ melewati surat masuk ke server email aman / internal. Hal ini juga menangani surat keluar.
Untuk keamanan, sesuai dengan standar hukum seperti HIPAA , dan pemantauan alasan, dalam lingkungan bisnis, beberapa perusahaan menginstal server proxy dalam DMZ. Ini memiliki manfaat sebagai berikut:
Mewajibkan pengguna internal (biasanya karyawan) untuk menggunakan server proxy untuk akses internet.
Mengurangi persyaratan akses bandwidth internet karena beberapa konten web dapat di-cache oleh server proxy.
Menyederhanakan pencatatan dan monitoring kegiatan pengguna.
Terpusat konten web filtering.
Sebuah reverse proxy server seperti server proxy, adalah perantara, tapi digunakan sebaliknya. Alih-alih menyediakan layanan untuk pengguna internal yang ingin mengakses jaringan eksternal, ia menyediakan akses langsung untuk jaringan eksternal (biasanya Internet) ke sumber daya internal. Misalnya, kembali akses aplikasi office, seperti sistem email, dapat diberikan kepada pengguna eksternal (untuk membaca email sementara di luar perusahaan) tetapi remote user tidak akan memiliki akses langsung ke server email mereka. Hanya server proxy reverse fisik dapat mengakses server email internal. Ini adalah lapisan keamanan tambahan, yang sangat dianjurkan ketika sumber daya internal perlu diakses dari luar. Biasanya seperti mekanisme reverse proxy disediakan dengan menggunakan firewall lapisan aplikasi karena mereka fokus pada bentuk tertentu dari lalu lintas daripada mengendalikan akses ke spesifik TCP dan port UDP sebagai firewall packet filter tidak.
B.LATAR BELAKANG
di zaman sekarang server manjadi sasaran orang yang tidak bertanggung jawab, maka dar itu dengan menggunakan topologi dmz kita dpat mencegah orang luar yang inigin mengakses server kita.
C.MAKSUD DAN TUJUAN
maksud dan tujuannya adalah apabila client browsing atau membuka ip public maka akan di arahkan ke ip local
D.ALAT DAN BAHAN
# laptop
# 2 server
# koneksi internet
E.WAKTU YANG DI BUTUHKAN
waktu yang di butuhkan untuk konfigurasi dmz sekitar 1-2 hari tetapi untuk konfigurasi iptablesnyya sekitar 1-2 jam
F.TAHAP PELAKSANAAN
1.pastikan kita sudah meremot server dahulu
2.lalu edit pada file rc.local dengan peerintah
#nano /etc/rc.local
3.lalu tambahkan script iptables di bawah ini
iptables -A INPUT -p tcp -m multiport -d 10.10.50.1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 10.20.30.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.10.50.1 --dport 53 -j DNAT --to 10.20.30.2:53
iptables -A INPUT -p udp -m multiport -d 10.10.50.1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 10.20.30.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -m multiport -d 10.10.50.1 --dport 53 -j DNAT --to 10.20.30.2:53
iptables -A FORWARD -p tcp -m multiport -d 10.20.30.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.10.50.1 --dport 53 -j DNAT --to 10.20.30.2:53
iptables -A INPUT -p udp -m multiport -d 10.10.50.1 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 10.20.30.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -m multiport -d 10.10.50.1 --dport 53 -j DNAT --to 10.20.30.2:53
4.jika kita ingin menambahkan web server,ftp,mail,samba maka tambahkan script iptables di bawah ini
# DMZ untuk DNS
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 53 -j DNAT --to 192.168.20.2:53
iptables -A INPUT -p udp -m multiport -d 10.20.12.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 192.168.20.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -m multiport -d 10.20.12.2 --dport 53 -j DNAT --to 192.168.20.2:53
#DMZ untuk Webserver
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp- m multiport -d 192.168.20.2 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 80 -j DNAT --to 192.168.20.2
iptables -A INPUT -p tcp -m multiport -d 10.20.12.3 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.3 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.3 --dport 80 -j DNAT --to 192.168.20.3
#DMZ untuk FTP
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 21 -j DNAT --to 192.168.20.2:21
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 5000:5005 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 5000:5005 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 5000:5005 -j DNAT --to 192.168.20.2
#DMZ untuk Mail
iptables -A INPUT -p tcp -m multiport -d 10.20.12.4 --dport 80,25,110,143 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.4 --dport 80,25,110,143 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.4 --dport 80,25,110,143 -j DNAT --to 192.168.20.4
#DMZ untuk Samba
iptables -A INPUT -p udp -m multiport -d 10.20.12.2 --dport 137:139 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 192.168.20.2 --dport 137:139 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 137:139 -j DNAT --to 192.168.20.2
exit 0
setelah semua selesai save dengan cara ctrl+x,klik y, enter
5.Selanjutnya kita isi juga pada pc yang berisi webserver,ftp,mail
iptables -A INPUT -i eth0 -p tcp --dport 80 -s 10.20.30.2 -j ACCEPT
Kemudian kita simpan CTRL+X,pilih Y ,enter
Kemudian kita simpan CTRL+X,pilih Y ,enter
G.HASIL DAN KESIMPULAN
hasilnnya server kita lebih tinngi tingkat keamanannya,serta para client tidak susah payah browsing menggunakan ip public tetapi akan di arahkan ke ip privare atau ip local
H.REFERENSI
