Configuration Mode
Shell sistem vyatta menggunakan konsep mode operasional dan mode konfigurasi. Mode operasional digunakan untuk melihat status sistem sedangkan mode konfigurasi untuk melakukan konfigurasi terhadap sistem. Untuk memasuki mode konfigurasi di vyatta dengan mengetikkan :
vyatta@vyatta> configure
perhatikan setelah anda menjalankan perintah tersebut maka tanda ">" akan berubah menjadi "#" hal itu menandakan bahwa anda berada di mode konfigurasi. Tidak berpanjang lebar mengenai memulai vyatta, kita akan langsung memulai konfigurasi sistem yang diperlukan. Asumsikan pc yang kita pakai menggunakan 2 interface lancard, satu untuk arah WAN/Internet dan satunya ke arah LAN/distribusi.
pertama, kita konfigurasikan interface yang ke arah LAN :
vyatta@vyatta# set interfaces ethernet eth0 address 10.0.0.1 prefix-length 24
yatta@vyatta# set interfaces ethernet eth0 description "Office LAN"
kemudian, kita konfigurasikan interface yang ke arah WAN:
vyatta@vyatta# set interfaces ethernet eth1 address 202.80.124.7 prefix-length 27
vyatta@vyatta# set interfaces ethernet eth1 description "Internet WAN"
Kemudian jalankan perintah "show interfaces", untuk melihat status perintah yang yang telah kita terapkan untuk interface eth0 dan eth1, perhatikan bahwa di depan teks konfigurasi terdapat tanda ">", tanda tersebut menandakan bahwa perubahan konfigurasi yang kita buat belum diterapkan sebelum dilakukan perintah "commit".
Coba sekarang, jalankan perintah "commit", setelah selesai kemudian jalankan perintah "show interfaces" lagi, perhatikan perbedaannya.
Protocol Routing
Untuk situasi yang lebih kompleks mungkin kita akan perlu protokol OSPF atau BGP untuk melakukan routin, tapi pada contoh ini akan digunakan protokol routing statis ke internet. Jalankan perintah :
vyatta@vyatta# set protocols static route 0.0.0.0/0 next-hop 202.80.124.1
dimana ip address 202.80.124.1 adalah alamat ip dari gateway ISP kita.
Network Address Translation
Karena kita menggunakan ip private, maka diperlukan mekanisme NAT untuk mentranslasikan ip private ke ip publik, untuk lebih gampangnya kita melakukan NAT untuk internet sharing. Langkah-langkahnya adalah sebagi berikut :
buat node konfigurasi untuk rule NAT :
vyatta@vyatta# set service nat rule 1
indikasikan bahwa rule tersebut melakukan translasi ip address sumber
vyatta@vyatta# set service nat rule 1 type source
atur tipe translasi untuk masquerade sumber alamat asal
vyatta@vyatta# set service nat rule 1 type masquerade
terapkan rule NAT pada trafik keluar, interface eth1
vyatta@vyatta# set service nat rule 1 outbound-interface eth1
Perform NAT on all protocol traffic. (”a ll ” is the default option).
vyatta@vyatta# set service nat rule 1 protocols all
Tentukan alamat atau network sumber yang akan ditranslasikan:
vyatta@vyatta# set service nat rule 1 source network 10.0.0.0/24
Tentukan network tujuan paket yang ditranslasikan oleh rule ini
vyatta@vyatta# set service nat rule 1 destination network 0.0.0.0/0
Pada bagian pertama sudah ditunjukkan bagaimana cara konfigurasi interface ethernet, routing statik dan konfigurasi NAT (Network Address Translation) untuk sharing koneksi internet. Pada bagian kedua ini akan ditunjukkan bagaimana mengkonfigurasi vyatta agar melayani service DHCP (bertindak sebagai DHCP Server), konfigurasi firewall untuk melakukan blocking terhadap service tertentu dan konfigurasi port forwarding untuk dipergunakan di perkantoran. Untuk mengikuti tutorial konfigurasi vyatta bagian kedua ini diperlukan prasyarat bahwa anda harus tahu dan mengikuti tutorial di bagian pertama. Mari mengeksploarasi kemampuan router vyatta lebih jauh lagi.
DHCP SERVER
Kita akan mengkonfigurasikan router vyatta agar bertindak sebagai DHCP server yang melayani lease ip address untuk client LAN. Dalam contoh ini router vyatta akan melayani client dengan range ip address 10.0.0.50 hingga 10.0.0.100 (sebanyak 50 client). Berikut ini perintah-perintah yang harus dijalankan:
Aktifkan service DHCP server di router vyatta kemudian beri nama "OfficeLAN" dan konfigurasikan pool ip address sebagaimana skenario awal yang kita inginkan
vyatta@vyatta# set service dhcp-server name OfficeLAN start 10.0.0.50 stop 0.0.0.150
setting subnetmask untuk network yang digunakan
vyatta@vyatta# set service dhcp-server name OfficeLAN network-mask 24
spesifikasikan DNS server yang digunakan di client
vyatta@vyatta# set service dhcp-server name OfficeLAN dns-server 202.80.112.8
atur ethernet eth0 sebagai default router untuk client DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN default-router 10.0.0.1
asosiasikan pool ip address dengan interface eth0, sebagai interface yang akan melayani client DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN interface eth0
setting domain name untuk client DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN domain-name 2klik.net
FIREWALL
Pada sesi ini akan ditunjukkan bagaimana cara mensetting rule firewall sederhana untuk mencegah akses telnet dari internet ke router vyatta kita.
Langkah pertama adalah aktifkan service telnet
vyatta@vyatta# set service telnet
sekarang kita akan mengkonfigurasi firewall untuk tidak mengijinkan akses telnet dari internet, pertama kita buat rule firewall baru misal dengan nama "FWTELNET"
vyatta@vyatta# set firewall name FWTELNET
vyatta@vyatta# set firewall name FWTELNET rule 1
tentukan kebijakan pada rule ini, dalam contoh ini kita ingin "reject" paket telnet
vyatta@vyatta# set firewall name FWTELNET rule 1 action reject
Tentukan protokol untuk paket yang akan diterapkan aturan firewall ini, sebagai contoh, telnet menggunakan protokol "tcp" pada protokol layer 4
vyatta@vyatta# set firewall name FWTELNET rule 1 protocol tcp
tentukan network sumber dari mana paket berasal, dalam contoh ini kita menggunakan 0.0.0.0/0 yang merepresentasikan network internet
vyatta@vyatta# set firewall name FWTELNET rule 1 source network 0.0.0.0/0
tentukan alamat, atau network atau port tujuan, kita akan menggunakan port name "telnet"
vyatta@vyatta# set firewall name FWTELNET rule 1 destination port-name telnet
Kita sudah mengkonfigurasi router agar memblock trafik telnet dari internet, akan tetapi perlu dicatat bahwa secara implisit terdapat rule yang akan memblok semua paket, hal ini merupakan imbas dari rule yang secara eksplisit diterapkan untuk trafik telnet tadi, oleh karena itu harus diikuti rule secara eksplisit yang membolehkan semua paket data yang dari internet. Jika kita hanya menerapkan "rule 1" saja maka semua paket akan di drop, oleh karena itu kita perlu rule lain yang membolehkan paket untuk semua protoko, kecuali yang telah ditentukan untuk di reject
vyatta@vyatta# set firewall name FWTELNET rule 2
vyatta@vyatta# set firewall name FWTELNET rule 2 action accept
vyatta@vyatta# set firewall name FWTELNET rule 2 protocol all
vyatta@vyatta# set firewall name FWTELNET rule 2 source network 0.0.0.0/0
vyatta@vyatta# set firewall name FWTELNET rule 2 destination network 0.0.0.0/0
vyatta@vyatta# set firewall name FWTELNET rule 2 action accept
vyatta@vyatta# set firewall name FWTELNET rule 2 protocol all
vyatta@vyatta# set firewall name FWTELNET rule 2 source network 0.0.0.0/0
vyatta@vyatta# set firewall name FWTELNET rule 2 destination network 0.0.0.0/0
Selanjutnya, tentukan interface mana yang akan diterapkan untuk aturan firewall ini, dalam contoh ini adalah eth1 yang berhubungan langsung dengan internet. Anda dapat menerapkan rule firewall untuk paket yang datang "in" , paket keluar "out" atau paket yang ditujukan sebagai "local" untuk sebuah interface, dalam contoh ini kita akan menerapkan rule FWTELNET untuk semua paket lokal untuk memfilter telnet.
vyatta@vyatta# set interfaces ethernet eth1 firewall local name FWTELNET
jalankan perintah commit untuk menerapkan semua konfigurasi
vyatta@vyatta# commit
Coba tes, aturan firewall yang tadi diterapkan.
PORT FORWARDING
Pada contoh ini kita akan melakukan konfigurasi port forwarding untuk akses web server yang berada dalam jaringan LAN agar bisa diakses dari internet melalui router vyatta.
Buat rule NAT baru
vyatta@vyatta# set service nat rule 2
indikasikan bahwa rule mentranslasi alamat ip tujuan
vyatta@vyatta# set service nat rule 2 type destination
atur tipe translasi ke statik
vyatta@vyatta# set service nat rule 2 translation-type static
tentukan inbound-interface ke eth1
vyatta@vyatta# set service nat rule 2 inbound-interface eth1
Jalankan NAT pada trafik protokol TCP ditujukan untuk port HTTP pada alamat 202.80.124.7
vyatta@vyatta# set service nat rule 2 protocol tcp
vyatta@vyatta# set service nat rule 2 destination address 202.80.124.7
vyatta@vyatta# set service nat rule 2 destination port-name http
tentukan alamat atau network sumber dalam contoh ini adalah internet
vyatta@vyatta# set service nat rule 2 source network 0.0.0.0/0
tentukan tujuan atau alamat forwarding dari paket (web server)
vyatta@vyatta# set service nat rule 2 inside-address address 10.0.0.30
Perintah-perintah diatas akan mengkonfigurasikan NAT sehingga semua paket http yang mengarah ke router vyatta pada interface eth1 akan di forward web server dengan alamat ip 10.0.0.30.
Demikian pengenalan router vyatta, banyak fitur lain yang bisa kita manfaatkan untuk membangun router yang aman dan handal.
Vyatta pada dasarnya dikonfigurasikan melalui command line, dunia command line memang sangat mengasyikkan dan lebih cepat, tapi tidak semua pengguna familiar dengan dunia text tersebut. Untuk memudahkan pengguna, vyatta menyediakan alternatif cara konfigurasi yang memudahkan yaitu melalui konfigurasi berbasis web. Hampir semua fitur vyatta yang dapat dikonfigurasikan melalui command line dapat pula dikonfigurasi melalui interface web, akses melalui web dapat dilakukan pada mode biasa ataupun mode secure.
Servis Webgui
Secara default, service webgui tidak diaktifkan. Untuk mengaktifkan servis webgui, pertama kali anda masuk ke mode konfigurasi kemudian aktifkan servis webgui
vyatta@vyatta>configure
vyatta@vyatta# set service webgui https-port 443
Perintah diatas akan mengaktifkan webgui pada modus secure pada port 443, sebenarnya bisa pula pada modus biasa (non ssl), tp pada contoh kali ini akan ditunjukkan webgui pada modus secure.
Jalankan web browser kemudian arahkan browser anda ke alamat ip router anda (contoh alamat ip router vyatta adalah 192.168.10.100) maka pada address bar browser anda ketikkan:
https://192.168.10.100
Tampilan pertama adalah form login, masukkan username dan password vyatta anda Setelah anda login maka akan muncul halaman selamat datang dan menu konfigurasi di sebelah kiri dan tampilan resource system di sebelah kanan
Configuration
Mode
Shell sistem
vyatta menggunakan konsep mode operasional dan mode konfigurasi. Mode
operasional digunakan untuk melihat status sistem sedangkan mode konfigurasi
untuk melakukan konfigurasi terhadap sistem. Untuk memasuki mode konfigurasi di
vyatta dengan mengetikkan :
vyatta@vyatta>
configure
perhatikan
setelah anda menjalankan perintah tersebut maka tanda ">" akan
berubah menjadi "#" hal itu menandakan bahwa anda berada di mode
konfigurasi. Tidak berpanjang lebar mengenai memulai vyatta, kita akan langsung
memulai konfigurasi sistem yang diperlukan. Asumsikan pc yang kita pakai
menggunakan 2 interface lancard, satu untuk arah WAN/Internet dan satunya ke
arah LAN/distribusi.
pertama,
kita konfigurasikan interface yang ke arah LAN :
vyatta@vyatta#
set interfaces ethernet eth0 address 10.0.0.1 prefix-length 24
yatta@vyatta#
set interfaces ethernet eth0 description "Office LAN"
kemudian,
kita konfigurasikan interface yang ke arah WAN:
vyatta@vyatta#
set interfaces ethernet eth1 address 202.80.124.7 prefix-length 27
vyatta@vyatta#
set interfaces ethernet eth1 description "Internet WAN"
Kemudian jalankan perintah "show interfaces",
untuk melihat status perintah yang yang telah kita terapkan untuk interface
eth0 dan eth1, perhatikan bahwa di depan teks konfigurasi terdapat tanda
">", tanda tersebut menandakan bahwa perubahan konfigurasi yang
kita buat belum diterapkan sebelum dilakukan perintah "commit".
Coba sekarang, jalankan perintah "commit",
setelah selesai kemudian jalankan perintah "show interfaces" lagi,
perhatikan perbedaannya.
Protocol
Routing
Untuk situasi yang lebih kompleks mungkin kita akan
perlu protokol OSPF atau BGP untuk melakukan routin, tapi pada contoh ini akan
digunakan protokol routing statis ke internet. Jalankan perintah :
vyatta@vyatta#
set protocols static route 0.0.0.0/0 next-hop 202.80.124.1
dimana ip
address 202.80.124.1 adalah alamat ip dari gateway ISP kita.
Network
Address Translation
Karena kita menggunakan ip private, maka diperlukan
mekanisme NAT untuk mentranslasikan ip private ke ip publik, untuk lebih
gampangnya kita melakukan NAT untuk internet sharing. Langkah-langkahnya adalah
sebagi berikut :
buat node
konfigurasi untuk rule NAT :
vyatta@vyatta#
set service nat rule 1
indikasikan bahwa rule tersebut melakukan translasi ip address sumber
vyatta@vyatta#
set service nat rule 1 type source
atur tipe translasi untuk masquerade sumber alamat asal
vyatta@vyatta#
set service nat rule 1 type masquerade
terapkan
rule NAT pada trafik keluar, interface eth1
vyatta@vyatta#
set service nat rule 1 outbound-interface eth1
Perform NAT
on all protocol traffic. (”a ll ” is the default option).
vyatta@vyatta#
set service nat rule 1 protocols all
Tentukan
alamat atau network sumber yang akan ditranslasikan:
vyatta@vyatta#
set service nat rule 1 source network 10.0.0.0/24
Tentukan network tujuan paket yang ditranslasikan oleh rule ini
vyatta@vyatta#
set service nat rule 1 destination network 0.0.0.0/0
Pada
bagian pertama sudah ditunjukkan bagaimana cara konfigurasi interface ethernet,
routing statik dan konfigurasi NAT (Network Address Translation) untuk sharing
koneksi internet. Pada bagian kedua ini akan ditunjukkan bagaimana
mengkonfigurasi vyatta agar melayani service DHCP (bertindak sebagai DHCP
Server), konfigurasi firewall untuk melakukan blocking terhadap service
tertentu dan konfigurasi port forwarding untuk dipergunakan di perkantoran.
Untuk mengikuti tutorial konfigurasi vyatta bagian kedua ini diperlukan
prasyarat bahwa anda harus tahu dan mengikuti tutorial di bagian pertama. Mari
mengeksploarasi kemampuan router vyatta lebih jauh lagi.
DHCP SERVER
Kita akan mengkonfigurasikan router vyatta agar
bertindak sebagai DHCP server yang melayani lease ip address untuk client LAN.
Dalam contoh ini router vyatta akan melayani client dengan range ip address
10.0.0.50 hingga 10.0.0.100 (sebanyak 50 client). Berikut ini perintah-perintah
yang harus dijalankan:
Aktifkan service DHCP server di router vyatta kemudian
beri nama "OfficeLAN" dan konfigurasikan pool ip address sebagaimana
skenario awal yang kita inginkan
vyatta@vyatta# set service dhcp-server name OfficeLAN start 10.0.0.50 stop
0.0.0.150
setting subnetmask untuk network yang digunakan
vyatta@vyatta# set service dhcp-server name OfficeLAN network-mask 24
spesifikasikan DNS server yang digunakan di client
vyatta@vyatta# set service dhcp-server name OfficeLAN dns-server
202.80.112.8
atur ethernet eth0 sebagai default router untuk client
DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN default-router
10.0.0.1
asosiasikan pool ip address dengan interface eth0,
sebagai interface yang akan melayani client DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN interface eth0
setting domain name untuk client DHCP
vyatta@vyatta# set service dhcp-server name OfficeLAN domain-name 2klik.net
FIREWALL
Pada sesi ini akan ditunjukkan bagaimana cara
mensetting rule firewall sederhana untuk mencegah akses telnet dari internet ke
router vyatta kita.
Langkah pertama adalah aktifkan service telnet
vyatta@vyatta# set service telnet
sekarang kita akan mengkonfigurasi firewall untuk
tidak mengijinkan akses telnet dari internet, pertama kita buat rule firewall
baru misal dengan nama "FWTELNET"
vyatta@vyatta# set firewall name FWTELNET
vyatta@vyatta# set firewall name FWTELNET rule 1
tentukan kebijakan pada rule ini, dalam contoh ini
kita ingin "reject" paket telnet
vyatta@vyatta# set firewall name FWTELNET rule 1 action reject
Tentukan protokol untuk paket yang akan diterapkan
aturan firewall ini, sebagai contoh, telnet menggunakan protokol
"tcp" pada protokol layer 4
vyatta@vyatta# set firewall name FWTELNET rule 1 protocol tcp
tentukan network sumber dari mana paket berasal, dalam
contoh ini kita menggunakan 0.0.0.0/0 yang merepresentasikan network internet
vyatta@vyatta# set firewall name FWTELNET rule 1 source network 0.0.0.0/0
tentukan alamat, atau network atau port tujuan, kita
akan menggunakan port name "telnet"
vyatta@vyatta# set firewall name FWTELNET rule 1 destination port-name
telnet
Kita sudah mengkonfigurasi router
agar memblock trafik telnet dari internet, akan tetapi perlu dicatat bahwa
secara implisit terdapat rule yang akan memblok semua paket, hal ini merupakan
imbas dari rule yang secara eksplisit diterapkan untuk trafik telnet tadi, oleh
karena itu harus diikuti rule secara eksplisit yang membolehkan semua paket
data yang dari internet. Jika kita hanya menerapkan "rule 1" saja
maka semua paket akan di drop, oleh karena itu kita perlu rule lain yang
membolehkan paket untuk semua protoko, kecuali yang telah ditentukan untuk di
reject
vyatta@vyatta#
set firewall name FWTELNET rule 2
vyatta@vyatta# set firewall name FWTELNET rule 2 action accept
vyatta@vyatta# set firewall name FWTELNET rule 2 protocol all
vyatta@vyatta# set firewall name FWTELNET rule 2 source network 0.0.0.0/0
vyatta@vyatta# set firewall name FWTELNET rule 2 destination network 0.0.0.0/0
Selanjutnya, tentukan interface mana
yang akan diterapkan untuk aturan firewall ini, dalam contoh ini adalah eth1
yang berhubungan langsung dengan internet. Anda dapat menerapkan rule firewall
untuk paket yang datang "in" , paket keluar "out" atau
paket yang ditujukan sebagai "local" untuk sebuah interface, dalam
contoh ini kita akan menerapkan rule FWTELNET untuk semua paket lokal untuk
memfilter telnet.
vyatta@vyatta# set interfaces ethernet eth1 firewall local name FWTELNET
jalankan perintah commit untuk menerapkan semua
konfigurasi
vyatta@vyatta# commit
Coba tes, aturan firewall yang tadi diterapkan.
PORT FORWARDING
Pada contoh ini kita akan melakukan konfigurasi port
forwarding untuk akses web server yang berada dalam jaringan LAN agar bisa
diakses dari internet melalui router vyatta.
Buat rule NAT baru
vyatta@vyatta# set service nat rule 2
indikasikan bahwa rule mentranslasi alamat ip tujuan
vyatta@vyatta# set service nat rule 2 type destination
atur tipe translasi ke statik
vyatta@vyatta# set service nat rule 2 translation-type static
tentukan inbound-interface ke eth1
vyatta@vyatta# set service nat rule 2 inbound-interface eth1
Jalankan NAT pada trafik protokol TCP ditujukan untuk
port HTTP pada alamat 202.80.124.7
vyatta@vyatta# set service nat rule 2 protocol tcp
vyatta@vyatta# set service nat rule 2 destination address 202.80.124.7
vyatta@vyatta# set service nat rule 2 destination port-name http
tentukan alamat atau network sumber dalam contoh ini
adalah internet
vyatta@vyatta# set service nat rule 2 source network 0.0.0.0/0
tentukan tujuan atau alamat forwarding dari paket (web
server)
vyatta@vyatta# set service nat rule 2 inside-address address 10.0.0.30
Perintah-perintah diatas akan
mengkonfigurasikan NAT sehingga semua paket http yang mengarah ke router vyatta
pada interface eth1 akan di forward web server dengan alamat ip 10.0.0.30.
Demikian pengenalan router vyatta, banyak fitur lain
yang bisa kita manfaatkan untuk membangun router yang aman dan handal.
Vyatta pada dasarnya dikonfigurasikan melalui command
line, dunia command line memang sangat mengasyikkan dan lebih cepat, tapi tidak
semua pengguna familiar dengan dunia text tersebut. Untuk memudahkan pengguna,
vyatta menyediakan alternatif cara konfigurasi yang memudahkan yaitu melalui
konfigurasi berbasis web. Hampir semua fitur vyatta yang dapat dikonfigurasikan
melalui command line dapat pula dikonfigurasi melalui interface web, akses
melalui web dapat dilakukan pada mode biasa ataupun mode secure.
Servis Webgui
Secara default, service webgui tidak diaktifkan. Untuk
mengaktifkan servis webgui, pertama kali anda masuk ke mode konfigurasi
kemudian aktifkan servis webgui
vyatta@vyatta>configure
vyatta@vyatta# set service webgui https-port 443
Perintah diatas akan mengaktifkan
webgui pada modus secure pada port 443, sebenarnya bisa pula pada modus biasa
(non ssl), tp pada contoh kali ini akan ditunjukkan webgui pada modus secure.
Jalankan web browser kemudian
arahkan browser anda ke alamat ip router anda (contoh alamat ip router vyatta
adalah 192.168.10.100) maka pada address bar browser anda ketikkan:
https://192.168.10.100
Tampilan pertama adalah form login,
masukkan username dan password vyatta anda Setelah
anda login maka akan muncul halaman selamat datang dan menu konfigurasi di
sebelah kiri dan tampilan resource system di sebelah kanan
0 komentar:
Posting Komentar