Konfigurasi ini sesuai dengan Topologi pada LKS Networking Jateng 2012 tapi IP ini hanyalah contoh karena nanti IP anda akan ditentukan sesuai dengan nomor meja masing - masing.
Pastikan Server dan router anda sudah diberi IP Virtual untuk memforward port dari Router ke Server.
Pada Router
# nano /etc/network/interfaces
Tambahkan ini dibaris paling bawah
up ip addr add 10.20.12.3/24 brd 10.20.12.255 dev eth0 label eth0:0
up ip addr add 10.20.12.4/24 brd 10.20.12.255 dev eth0 label eth0:1
Pada Server
# nano /etc/network/interfaces
Tambahkan ini dibaris paling bawah
up ip addr add 192.168.20.3/24 brd 192.168.20.255 dev eth0 label eth0:0
up ip addr add 192.168.20.4/24 brd 192.168.20.255 dev eth0 label eth0:1
Jangan lupa direstart jaringannya
# /etc/init.d/networking restart
Jika sudah kita ke Server dan Setting DNS baru untuk IP Virtualnya
# nano /etc/bind/db.pelita (db.pelita disesuaikan dengan masing2 konfigurasi)
Tambahkan ini
@ IN NS server.lksjateng.com
@ IN NS www.lksjateng.com
@ IN MX 10 mail.lksjateng.com
@ IN NS server2.lksjateng.com
@ IN NS www2.lksjateng.com
@ IN MX 10 mail2.lksjateng.com
server IN A 192.168.20.2
www IN A 192.168.20.3
mail IN A 192.168.20.4
server2 IN A 10.20.12.2
www2 IN A 10.20.12.3
mail2 IN A 10.20.12.4
Kemudian edit file ini
# nano /etc/bind/db.192
Tambahkan ini
@ IN NS server.lksjateng.com
2 IN PTR server.lksjateng.com
3 IN PTR www.lksjateng.com
4 IN PTR mail.lksjateng.com
Jangan lupa di restart bind9 nya :)
Masih diserver sekarang konfigurasi webservernya
# nano /etc/apache/sites-available/web
cari dan rubah dan file yang paling ini
<virtualhost 192.168.20.3:80>
ServerAdmin admin@lksjateng.com
ServerName www.lksjateng.com
ServerAlias lksjateng.com
DocumentRoot /var/www/web/Jika sudah buat direkroti baru
# mkdir /var/www/web
Isikan direktori tersebut dengan php
# nano /var/www/web/index.php
isi dengan ini
<?phpKemudian restart apache2 nya
phpinfo();
?>
# /etc/init.d/apache2 restart
Masih di Server sekarang konfigurasi FTPnya
# nano /etc/proftp/proftpd.conf
cari dan ganti bagian ini
PassivePort 5000 5005 (hilangkan tanda # sebelumnya)
# /etc/init.d/proftpd restart
Masih di Server sekarang masuk pada bagian Mail
# nano /etc/squirrelmail/apache.conf
cari dan rubah bagian ini
<virtualhost 192.168.20.4:80># /etc/init.d/apache2 restart
ServerName mail.lksjateng.com
Jika sudah sekarang kita masuk pada bagian Router tambahkan konfigurasi Iptables pada :
# nano /etc/rc.local
iptables -F
iptables -X
iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# DMZ untuk DNS
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 53 -j DNAT --to 192.168.20.2:53
iptables -A INPUT -p udp -m multiport -d 10.20.12.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 192.168.20.2 --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -m multiport -d 10.20.12.2 --dport 53 -j DNAT --to 192.168.20.2:53
#DMZ untuk Webserver
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp- m multiport -d 192.168.20.2 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 80 -j DNAT --to 192.168.20.2
iptables -A INPUT -p tcp -m multiport -d 10.20.12.3 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.3 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.3 --dport 80 -j DNAT --to 192.168.20.3
#DMZ untuk FTP
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 21 -j DNAT --to 192.168.20.2:21
iptables -A INPUT -p tcp -m multiport -d 10.20.12.2 --dport 5000:5005 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.2 --dport 5000:5005 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 5000:5005 -j DNAT --to 192.168.20.2
#DMZ untuk Mail
iptables -A INPUT -p tcp -m multiport -d 10.20.12.4 --dport 80,25,110,143 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport -d 192.168.20.4 --dport 80,25,110,143 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.4 --dport 80,25,110,143 -j DNAT --to 192.168.20.4
#DMZ untuk Samba
iptables -A INPUT -p udp -m multiport -d 10.20.12.2 --dport 137:139 -j ACCEPT
iptables -A FORWARD -p udp -m multiport -d 192.168.20.2 --dport 137:139 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport -d 10.20.12.2 --dport 137:139 -j DNAT --to 192.168.20.2
exit 0
Jika sudah reboot Server dan Router anda :)
Untuk pengecekan DMZ anda bisa melakukannya pada jaringan 10.20.12.0/24 kemudian mengetikan IP Virtual tersebut di Browser anda masing2
10.20.12.2 = Webserver HTML
10.20.12.3 = Webserver PHP
10.20.12.4 = Mailserver
ftp://10.20.12.2 = FTP Server
\\10.20.12.2 = File Sharing Server
Jika masih bingung dan mumet anda bisa comment disini :)
Salam IT Networking Support Jateng 2012 FAIR PLAY NEEDED
Lebih baik kalah terhormat dari pada menang secara hina :)
wah panjanga amat hafalannya ~_~
ReplyDeleteworks mantap gan
ReplyDeletecocok gan
ReplyDeleteklo debian 5 gmn itu
ReplyDeleteup ip addr add 10.20.12.3/24 brd 10.20.12.255 dev eth0 label eth0:0
up ip addr add 10.20.12.4/24 brd 10.20.12.255 dev eth0 label eth0:1
tidak bisa soal nya saya pake alias seperti ini
# The local alias network interface
auto eth1:1
iface eth1:1 inet static
address xxx.xxx.xxx.xxx
netmask xxx.xxx.xxx.xxx
tp saya coba yg seperti di atas tetep ga bisa kenapa ya??
kurang teliti mungkin
Deletemungkin buat debian 6 aj ya bisa pake perintah seperti itu?
ReplyDeleteMungkin juga kalo debian 5 saya belum pernah coba
Deletegk perlu dikasi tambahan "-m multiport" kalo dport.a cuma satu port.
ReplyDeleteSatu lagi, tujuan dari "-m state --state" adalah untuk menspesifikasikan rule itu berlaku untuk paket yg state tertentu, misal untuk paket yg NEW,RELATED doank, ato yg ESTABLISHED,RELATED doank. kalo kita tambahkan state NEW,ESTABLISHED,RELATED sama halnya dg tidak menambahkan "-m state --state" sama skali. apabila kita tidak mencantumkan state brrti rule yg kita buat tidak mempermasalahkan state packet2 yg akan diproses(rule berlaku untuk smua jnis paket). jadi kalo rule itu tujuannya diberlakukan untuk smua jnis packet (NEW,ESTABLISHED,RELATED) tidak perlu menambahkan -m state --state .
trus saya liat ada rule sbelum rule DMZ udh ada rule "iptables -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT". ini berarti smua FORWARD diizinkan, jadi gk perlu ngasi rule FORWARD lagi si di stiap rule DMZnya.
pendapat saya :)
trus policies tiap chain INPUT, FORWARD, dan OUTPUTnya apa ??
terimakasih atas masukannya :)
Deletesaya hanya membuat yang terbaik buat saya sendiri agar lebih stabil saja :)
Salam IT Networking
Sama2 :)
DeleteCara pengujianya itu gimana?
ReplyDeletegan klw d debian 5 bisa ngga pke yg ini...??
ReplyDeletegan, kenapa kalo ane akses samba sama ftp itu berhasil akses, tpi kok pas mau akses web server & mail server malah muncul "(113) No rout to host"?? mohon pencerahanya segera..!
ReplyDeletegan biar proxynya kebuka di beda segmen gimana?, ada settingan tambahanny gak di proxynya?
ReplyDeletegan itu nambahin
ReplyDelete@ IN NS server.lksjateng.com
@ IN NS www.lksjateng.com
@ IN MX 10 mail.lksjateng.com
@ IN NS server2.lksjateng.com
@ IN NS www2.lksjateng.com
@ IN MX 10 mail2.lksjateng.com
paling bawah apa bukan??
gan,,,knapa kok nda' bz stelah komputer sya restart,mlah ada peringan klo rc.local nya failed,,,gmana gahan,,mhon ptunjuknya
ReplyDeleteDMZ itu seperti virtual kah gan ??
ReplyDeleteagar domain lokal dapat di akses publik gimana ????
ReplyDeleteassalamulaikum,
ReplyDeletegan saya mau tanya
konfigurasi diatas kita buat di server dan router juga?
~terima kasih~
gan nanya, kok saya coba DMZ script nya udh bener tetapi pada saat pengetesan ip yang di DMZ malah berhasil dibuka bukannya di blok??
ReplyDelete192.168.20.2 dapet dari mana itu IP NYA???
ReplyDeletesebenarnya hasil terakhir dr DMZ itu kya gmana? apakah 10.20.12.2 untuk web HTML itu jika di tes di browser akan di blok atau gmna?? mohon pencerahannya
ReplyDeletemaksudnya dev di disitu artinya apa yah?
ReplyDeletedev = device
Deletesemoga membantu
kalo misalnya router dan server nya di gabung jadi 1 pc,apakah sama configurasi nya
ReplyDeletePak,saya install Proxy Authentication,trus pasang DMZ....
ReplyDeleteNah,dari IP DMZnya 10.10.11.1,qo ga masuk ya pak? Malah muncul ERROR: The Requested URL could not be retrived dari proxy.....
Tp klo proxynya di remove,ip dari DMZnya langsung bisa di akses...
Itu gimana solusinya pak?
Hmmm.. Keren artikelnya :) (y)
ReplyDeletegan mau nanya dong , itu ip address terserah kita apah bukan??
ReplyDeletepada server itu IP yang dimana (apa IP server nya) dan
ReplyDeletepada router juga mengarah kemana