[Share] Access Control (ACL) Exclude dist. IP Address di PFSense & Squid
-
Ass Wr Wb
Salam PFSICara mengetahui IP server suatu Client Application
Pastikan IP komputer Host yang menjalankan program contoh 192.168.10.2. Akses GUI
Configurator Pfsense pada menu Diagnostics: Show States .Setiap browser yang
digunakan pasti mempunyai fungsi Find. Kemudian find 192.168.10.2 setiap IP yang
ditemukan pasti ditandai dengan warna yang berbeda sehingga mudah ditemukan dari
ratusan states yang ada. cari salah satu koneksi dari komputer 192.168.10.2 yang
diperkirakan sebagai koneksi yang dimaksud.Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
server akan terlihat baris seperti ini,tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008Kalau belum yakin IP yang dihubungi adalah IP address server yang dimaksud, bisa
dicek di site http://wq.apnic.net/apnic-bin/whois.pl atau http://whois.arin.net/uiTerlihat server yang dihubungi 203.89.146.226 dan 203.89.146.96 mempunyai IP yang
berbeda , biasanya masih dalam 1 network ID. Begitu pula untuk koneksi ke server
pada proto UDP 203.89.146.192 dan 203.89.146.96, ada 2 server yang berbeda. Bisa
disimpulkan bahwa server menggunakan Dynamic IP address.Karena server bukan Private IP maka penulisan CIDR (Class Inter Domain Routing)
Subnet Mask tidak bisa disamakan dengan penulisan submask Private IP seperti
contoh ini x.x.x.x/24.Sebagai informasi, yang termasuk Private IP adalah
10.0.0.0 sampai 10.255.255.255 (Class A),172.16.0.0 sampai 172.31.255.255 (Class
B),192.168.0.0 sampai 192.168.255.255 (Class C).Cara penulisannya CIDR network address menjadi seperti di bawah ini, ada 2 cara
1. Pertama termasuk (include) network address,untuk menuliskan x.x.x.0 - x.x.x.254
menjadi 8 baris di bawah ini.x.x.x.0/25
x.x.x.128/26
x.x.x.192/27
x.x.x.224/28
x.x.x.240/29
x.x.x.248/30
x.x.x.252/31
x.x.x.254/32Contoh pada server diatas
203.89.146.0/25
203.89.146.128/26
203.89.146.192/27
…. dan seterusnya sesuai pola CIDR diatas2. Kedua tidak termasuk (not include) Network address dan Broadcast address,untuk
menuliskan x.x.x.1 - x.x.x.254 menjadi 14 baris di bawah ini.x.x.x.1/32
x.x.x.2/31
x.x.x.4/30
x.x.x.8/29
x.x.x.16/28
x.x.x.32/27
x.x.x.64/26
x.x.x.128/26
x.x.x.192/27
x.x.x.224/28
x.x.x.240/29
x.x.x.248/30
x.x.x.252/31
x.x.x.254/32Contoh pada server diatas
203.89.146.1/32
203.89.146.2/31
203.89.146.4/30
.... dan seterusnya sesuai pola CIDR diatasKedua cara diatas bisa digunakan, hanya saja cara pertama diperuntukkan bila
server juga memerlukan ip yang merupakan network address.Cara mengetahui port mapping Client Application
Salah satu contoh di states yang merupakan koneksi dari client Game Online ke
server akan terlihat baris seperti ini,tcp 192.168.10.2:1151 -> 192.168.30.3:63297 -> 203.89.146.226:39190
tcp 192.168.10.2:47147 -> 192.168.5.2:43008 -> 203.89.146.96:39190
udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.192:40005
udp 192.168.10.2:56110 -> 192.168.20.2:56184 -> 203.89.146.96:40008Koneksi tcp port static 39190 dan koneksi udp port menggunakan dynamic port
terlihat ada 2 port yang digunakan 40005 dan 40008. Untuk yang static cukup 1
saja yang di inputkan, sedangkan yang dynamic bisa diperkirakan rentang nya.
Untuk contoh diatas bisa digunakan rentang 40000 - 40010.Cara menginputkan IP dan Port Map ke Firewall Alias
Untuk Keperluan Multi gateway yang berarti multi Connections, aturan aturan
diatas kadang tidak dapat diberlakukan. Karena ada juga Client Application yang
menggunakan port-port standart 80,443,21,53.Beberapa Client application mengijinkan menggunakan beda koneksi untuk terkoneksi
ke server, maksudnya misalkan koneksi untuk port 80 menggunakan Gateway 1 dan
koneksi pada port yang lain menggunakan gateway 2.Biasa disebut Full-Cone NAT.Seperti ilustrasi dibawah
Masalah timbul apabila Client application memerlukan koneksi internet tunggal
walaupun Client application tersebut menggunakan multi port untuk terkoneksi ke
server. Atau Biasa disebut Symmetric NAT Cone.Seperti ilustrasi dibawah
Dibawah gambar untuk menginputkan IP map pada firewall alias
Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
koneksi pada server Full-Cone NAT dan Setting Rule.
Dibawah Gambar untuk cara menginput port map pada firewall alias untuk keperluan
koneksi pada server Symmetric NAT Cone dan setting Rule.
Dibawah Contoh Gambar Entry Firewall Rule yang sudah jadi.
Cara menuliskan Syntax ACL untuk IP Server dan Port pada Squid
Contoh penerapan pada salah satu keperluan untuk mengexclude IP server dan port
agar tidak terchace seperti dibawah ini.#–------- Custom Option ------------------
acl gameport port 39190 # tcp PointBlank
acl gameport port 40000-40010 # udp PointBlank
acl PointBlank-server dst 203.89.146.0/25
acl PointBlank-server dst 203.89.146.128/26
acl PointBlank-server dst 203.89.146.192/27
acl PointBlank-server dst 203.89.146.224/28
acl PointBlank-server dst 203.89.146.240/29
acl PointBlank-server dst 203.89.146.248/30
acl PointBlank-server dst 203.89.146.252/31
acl PointBlank-server dst 203.89.146.254/32
always_direct allow gameport PointBlank-server
no_cache deny gameport PointBlank-server
#–------- End Custom Option --------------info terkait ada pada thread dibawah
http://forum.pfsense.org/index.php/topic,57128.0.htmlDemikian dulu semoga bermanfaat
Salam PFSI
WSS WR WB