Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Share] Access Control (ACL) Exclude dist. IP Address di PFSense & Squid

    Scheduled Pinned Locked Moved
    Indonesian
    1
    1
    4.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      spc
      last edited by

      Ass Wr Wb
      Salam PFSI

      Cara mengetahui IP server suatu Client Application

      Pastikan IP komputer Host yang menjalankan program contoh 192.168.10.2. Akses GUI
      Configurator Pfsense pada menu Diagnostics: Show States .Setiap browser yang
      digunakan pasti mempunyai fungsi Find. Kemudian find 192.168.10.2 setiap IP yang
      ditemukan pasti ditandai dengan warna yang berbeda sehingga mudah ditemukan dari
      ratusan states yang ada. cari salah satu koneksi dari komputer 192.168.10.2 yang
      diperkirakan sebagai koneksi yang dimaksud.

      Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
      server akan terlihat baris seperti ini,

      tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
      tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
      udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
      udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008

      Kalau belum yakin IP yang dihubungi adalah IP address server yang dimaksud, bisa
      dicek di site http://wq.apnic.net/apnic-bin/whois.pl atau http://whois.arin.net/ui

      Terlihat server yang dihubungi 203.89.146.226 dan 203.89.146.96 mempunyai IP yang
      berbeda , biasanya masih dalam 1 network ID. Begitu pula untuk koneksi ke server
      pada proto UDP 203.89.146.192 dan 203.89.146.96, ada 2 server yang berbeda. Bisa
      disimpulkan bahwa server menggunakan Dynamic IP address.

      Karena server bukan Private IP maka penulisan  CIDR (Class Inter Domain Routing)
      Subnet Mask tidak bisa disamakan dengan penulisan submask Private IP seperti
      contoh ini x.x.x.x/24.Sebagai informasi, yang termasuk Private IP adalah
      10.0.0.0 sampai 10.255.255.255 (Class A),172.16.0.0 sampai 172.31.255.255 (Class
      B),192.168.0.0 sampai 192.168.255.255 (Class C).

      Cara penulisannya CIDR network address menjadi seperti di bawah ini, ada 2 cara
      1. Pertama termasuk (include) network address,untuk menuliskan x.x.x.0 - x.x.x.254
      menjadi 8 baris di bawah ini.

      x.x.x.0/25
      x.x.x.128/26
      x.x.x.192/27
      x.x.x.224/28
      x.x.x.240/29
      x.x.x.248/30
      x.x.x.252/31
      x.x.x.254/32

      Contoh pada server diatas
      203.89.146.0/25
      203.89.146.128/26
      203.89.146.192/27
      …. dan seterusnya sesuai pola CIDR diatas

      2. Kedua tidak termasuk (not include) Network address dan Broadcast address,untuk
      menuliskan x.x.x.1 - x.x.x.254 menjadi 14 baris di bawah ini.

      x.x.x.1/32
      x.x.x.2/31
      x.x.x.4/30
      x.x.x.8/29
      x.x.x.16/28
      x.x.x.32/27
      x.x.x.64/26
      x.x.x.128/26
      x.x.x.192/27
      x.x.x.224/28
      x.x.x.240/29
      x.x.x.248/30
      x.x.x.252/31
      x.x.x.254/32

      Contoh pada server diatas
      203.89.146.1/32
      203.89.146.2/31
      203.89.146.4/30
      .... dan seterusnya sesuai pola CIDR diatas

      Kedua cara diatas bisa digunakan, hanya saja cara pertama diperuntukkan bila
      server juga memerlukan ip yang merupakan network address.

      Cara mengetahui port mapping Client Application

      Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
      server akan terlihat baris seperti ini,

      tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
      tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
      udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
      udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008

      Koneksi tcp port static 39190 dan koneksi udp port menggunakan dynamic port
      terlihat ada 2 port yang digunakan 40005 dan 40008. Untuk yang static cukup 1
      saja yang di inputkan, sedangkan yang dynamic bisa diperkirakan rentang nya.
      Untuk contoh diatas bisa digunakan rentang 40000 - 40010.

      Cara menginputkan IP dan Port Map ke Firewall Alias

      Untuk Keperluan Multi gateway yang berarti multi Connections, aturan aturan
      diatas kadang tidak dapat diberlakukan. Karena ada juga Client Application yang
      menggunakan port-port standart 80,443,21,53.

      Beberapa Client application mengijinkan menggunakan beda koneksi untuk terkoneksi
      ke server, maksudnya misalkan koneksi untuk port 80 menggunakan Gateway 1 dan
      koneksi pada port yang lain menggunakan gateway 2.Biasa disebut Full-Cone NAT.

      Seperti ilustrasi dibawah

      Masalah timbul apabila Client application memerlukan koneksi internet tunggal
      walaupun Client application tersebut menggunakan multi port untuk terkoneksi ke
      server. Atau Biasa disebut Symmetric NAT Cone.

      Seperti ilustrasi dibawah

      Dibawah gambar untuk menginputkan IP map pada firewall alias

      Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
      koneksi pada server Full-Cone NAT dan Setting Rule.

      Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
      koneksi pada server Symmetric NAT Cone dan setting Rule.

      Dibawah Contoh Gambar Entry Firewall Rule yang sudah jadi.

      Cara menuliskan Syntax ACL untuk IP Server dan Port pada Squid

      Contoh penerapan pada salah satu keperluan untuk mengexclude IP server dan port
      agar tidak terchace seperti dibawah ini.

      #–------- Custom Option ------------------
      acl gameport port 39190            # tcp PointBlank
      acl gameport port 40000-40010   # udp PointBlank
      acl PointBlank-server dst 203.89.146.0/25
      acl PointBlank-server dst 203.89.146.128/26
      acl PointBlank-server dst 203.89.146.192/27
      acl PointBlank-server dst 203.89.146.224/28
      acl PointBlank-server dst 203.89.146.240/29
      acl PointBlank-server dst 203.89.146.248/30
      acl PointBlank-server dst 203.89.146.252/31
      acl PointBlank-server dst 203.89.146.254/32
      always_direct allow gameport PointBlank-server
      no_cache deny gameport PointBlank-server
      #–------- End Custom Option --------------

      info terkait ada pada thread dibawah
      http://forum.pfsense.org/index.php/topic,57128.0.html

      Demikian dulu semoga bermanfaat

      Salam PFSI
      WSS WR WB

      1 Reply Last reply Reply Quote 0
      • First post
        Last post