• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

[Share] Access Control (ACL) Exclude dist. IP Address di PFSense & Squid

Scheduled Pinned Locked Moved Indonesian
1 Posts 1 Posters 4.8k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • S
    spc
    last edited by Jun 27, 2013, 5:51 PM Jun 27, 2013, 5:47 PM

    Ass Wr Wb
    Salam PFSI

    Cara mengetahui IP server suatu Client Application

    Pastikan IP komputer Host yang menjalankan program contoh 192.168.10.2. Akses GUI
    Configurator Pfsense pada menu Diagnostics: Show States .Setiap browser yang
    digunakan pasti mempunyai fungsi Find. Kemudian find 192.168.10.2 setiap IP yang
    ditemukan pasti ditandai dengan warna yang berbeda sehingga mudah ditemukan dari
    ratusan states yang ada. cari salah satu koneksi dari komputer 192.168.10.2 yang
    diperkirakan sebagai koneksi yang dimaksud.

    Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
    server akan terlihat baris seperti ini,

    tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
    tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
    udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
    udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008

    Kalau belum yakin IP yang dihubungi adalah IP address server yang dimaksud, bisa
    dicek di site http://wq.apnic.net/apnic-bin/whois.pl atau http://whois.arin.net/ui

    Terlihat server yang dihubungi 203.89.146.226 dan 203.89.146.96 mempunyai IP yang
    berbeda , biasanya masih dalam 1 network ID. Begitu pula untuk koneksi ke server
    pada proto UDP 203.89.146.192 dan 203.89.146.96, ada 2 server yang berbeda. Bisa
    disimpulkan bahwa server menggunakan Dynamic IP address.

    Karena server bukan Private IP maka penulisan  CIDR (Class Inter Domain Routing)
    Subnet Mask tidak bisa disamakan dengan penulisan submask Private IP seperti
    contoh ini x.x.x.x/24.Sebagai informasi, yang termasuk Private IP adalah
    10.0.0.0 sampai 10.255.255.255 (Class A),172.16.0.0 sampai 172.31.255.255 (Class
    B),192.168.0.0 sampai 192.168.255.255 (Class C).

    Cara penulisannya CIDR network address menjadi seperti di bawah ini, ada 2 cara
    1. Pertama termasuk (include) network address,untuk menuliskan x.x.x.0 - x.x.x.254
    menjadi 8 baris di bawah ini.

    x.x.x.0/25
    x.x.x.128/26
    x.x.x.192/27
    x.x.x.224/28
    x.x.x.240/29
    x.x.x.248/30
    x.x.x.252/31
    x.x.x.254/32

    Contoh pada server diatas
    203.89.146.0/25
    203.89.146.128/26
    203.89.146.192/27
    …. dan seterusnya sesuai pola CIDR diatas

    2. Kedua tidak termasuk (not include) Network address dan Broadcast address,untuk
    menuliskan x.x.x.1 - x.x.x.254 menjadi 14 baris di bawah ini.

    x.x.x.1/32
    x.x.x.2/31
    x.x.x.4/30
    x.x.x.8/29
    x.x.x.16/28
    x.x.x.32/27
    x.x.x.64/26
    x.x.x.128/26
    x.x.x.192/27
    x.x.x.224/28
    x.x.x.240/29
    x.x.x.248/30
    x.x.x.252/31
    x.x.x.254/32

    Contoh pada server diatas
    203.89.146.1/32
    203.89.146.2/31
    203.89.146.4/30
    .... dan seterusnya sesuai pola CIDR diatas

    Kedua cara diatas bisa digunakan, hanya saja cara pertama diperuntukkan bila
    server juga memerlukan ip yang merupakan network address.

    Cara mengetahui port mapping Client Application

    Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
    server akan terlihat baris seperti ini,

    tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
    tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
    udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
    udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008

    Koneksi tcp port static 39190 dan koneksi udp port menggunakan dynamic port
    terlihat ada 2 port yang digunakan 40005 dan 40008. Untuk yang static cukup 1
    saja yang di inputkan, sedangkan yang dynamic bisa diperkirakan rentang nya.
    Untuk contoh diatas bisa digunakan rentang 40000 - 40010.

    Cara menginputkan IP dan Port Map ke Firewall Alias

    Untuk Keperluan Multi gateway yang berarti multi Connections, aturan aturan
    diatas kadang tidak dapat diberlakukan. Karena ada juga Client Application yang
    menggunakan port-port standart 80,443,21,53.

    Beberapa Client application mengijinkan menggunakan beda koneksi untuk terkoneksi
    ke server, maksudnya misalkan koneksi untuk port 80 menggunakan Gateway 1 dan
    koneksi pada port yang lain menggunakan gateway 2.Biasa disebut Full-Cone NAT.

    Seperti ilustrasi dibawah

    Masalah timbul apabila Client application memerlukan koneksi internet tunggal
    walaupun Client application tersebut menggunakan multi port untuk terkoneksi ke
    server. Atau Biasa disebut Symmetric NAT Cone.

    Seperti ilustrasi dibawah

    Dibawah gambar untuk menginputkan IP map pada firewall alias

    Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
    koneksi pada server Full-Cone NAT dan Setting Rule.

    Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
    koneksi pada server Symmetric NAT Cone dan setting Rule.

    Dibawah Contoh Gambar Entry Firewall Rule yang sudah jadi.

    Cara menuliskan Syntax ACL untuk IP Server dan Port pada Squid

    Contoh penerapan pada salah satu keperluan untuk mengexclude IP server dan port
    agar tidak terchace seperti dibawah ini.

    #–------- Custom Option ------------------
    acl gameport port 39190            # tcp PointBlank
    acl gameport port 40000-40010   # udp PointBlank
    acl PointBlank-server dst 203.89.146.0/25
    acl PointBlank-server dst 203.89.146.128/26
    acl PointBlank-server dst 203.89.146.192/27
    acl PointBlank-server dst 203.89.146.224/28
    acl PointBlank-server dst 203.89.146.240/29
    acl PointBlank-server dst 203.89.146.248/30
    acl PointBlank-server dst 203.89.146.252/31
    acl PointBlank-server dst 203.89.146.254/32
    always_direct allow gameport PointBlank-server
    no_cache deny gameport PointBlank-server
    #–------- End Custom Option --------------

    info terkait ada pada thread dibawah
    http://forum.pfsense.org/index.php/topic,57128.0.html

    Demikian dulu semoga bermanfaat

    Salam PFSI
    WSS WR WB

    1 Reply Last reply Reply Quote 0
    1 out of 1
    • First post
      1/1
      Last post
    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
      This community forum collects and processes your personal information.
      consent.not_received