Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server (Page 3 of 4)

opikdesign · 05-05-2010 18:07:15

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

pak opick kalo konfig file /etc/dhcp3/dhcpd.conf
yang diajarin sama pak wijayakno itu gak bisa pak
nah kalo yg pak opick kasih itu saya masih bingung cara ngerubahnya dari script asli nya ituh
belum familiar pak

class "allocation-class" {
    match pick-first-value (option dhcp-client-identifier, hardware);
}
subclass "allocation-class" 00:0c:ea:50:dc:01;
subclass "allocation-class" 00:0c:ea:50:dc:02;
subclass "allocation-class" 00:0c:ea:50:dc:03;
subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 192.168.0.1;
    option netbios-name-servers 192.168.0.1;
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
    option subnet-mask 255.255.255.0;
    log-facility local7;
    pool {
           allow members of "allocation-class";
           range 192.168.0.100 192.168.0.200;
    }
}

apa yg bingung pak?!
nanti MAC-Address-nya masukkan ke subclas, ini sy kasih contoh 3 pc klo lebih tinggal nambahkan aja...

Facebook OPiKdesign

http://badge.facebook.com/badge/100000147194199.279.411965916.png

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

barob · 06-05-2010 06:12:35

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

pak opick klient nya gak bisa koneksi ke server walaupun kilent nya sudah terdaftar mac address nya ! help ???

opikdesign · 06-05-2010 13:03:10

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

pak opick klient nya gak bisa koneksi ke server walaupun kilent nya sudah terdaftar mac address nya ! help ???

service dhcp3-server -nya dah di restart?!
dan di client repair aja...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

barob · 08-05-2010 16:30:02

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

kang opick dan master2 yang lain tolong donk kang
apa yang harus saya lakukan kalo klien nya yang terdaftar mac address
gak dapet ip, service dhcp3-server sudah direstart
klient nya sudah di repair dan masih juga gak dapet ip address

tolong pak master master semuanya

barob · 11-05-2010 17:50:59

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya
bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....

opikdesign · 12-05-2010 12:32:54

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya...

maaf yah, belum ada waktu untuk ngoprek lagi khususnya mencoba masalah ini....

barob wrote:

bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....

sama saja caranya di iptables...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

barob · 12-05-2010 14:24:43

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

barob wrote:
bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya...
maaf yah, belum ada waktu untuk ngoprek lagi khususnya mencoba masalah ini....
barob wrote:
bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....
sama saja caranya di iptables...

kalo waktunya sibuk bagi bang opick yha saya hanya bisa ucapin terimakasih bang atas bantuannya

nah kalo konfigurasi sebagai gateway nya saya belum pernah sama sekali bang
tolong bang bantuannya bagaimana perintah gateway nya bang sebelumnya saya ucapin terima kasih yang sebesar-besarnya buat para master2 di forum ini yang telah sangat membantu

Adrian1 · 23-05-2010 10:12:41

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

@ mas Opik mohon bantuannya mas
script firewallnya setelah berjalan kurang lebih 5 harian pagi ini dia nolak akses klien dan admin (billing) pesan erorrnya :

ssh start/running, process 2318
FIREWALL STATUS: All Firewall Drop & Reset
FIREWALL STATUS: MTU Setting
FIREWALL STATUS: Mangle created for Proxy Port at number 4
FIREWALL STATUS: Drop all FORWARD on eth1
FIREWALL STATUS: IP & MAC Filtering on device eth1
FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS:
192.168.0.101 [00:30:67:11:79:CF] => A.dns.aryanova.net
192.168.0.102 [00:30:67:0B:40:5D] => B.dns.aryanova.net
192.168.0.103 [00:30:67:0B:42:69] => C.dns.aryanova.net
192.168.0.104 [00:30:67:0B:42:DD] => D.dns.aryanova.net
192.168.0.105 [00:30:67:0B:40:9F] => E.dns.aryanova.net
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>
192.168.0.100 [00:19:21:9A:AA:FA] => ADMIN.dns.aryanova.net this Administrator Host
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] => this Administrator Host
FIREWALL STATUS: Drop all INPUT on eth1
FIREWALL STATUS: Port Filtering on ppp+
FIREWALL STATUS: Drop all INPUT on ppp+
FIREWALL STATUS: Log created...
ssh stop/waiting
ssh start/running, process 2543
Plugin rp-pppoe.so loaded.
RP-PPPoE plugin version 3.8p compiled against pppd 2.4.5
ssh stop/waiting
ssh start/running, process 2583

scriptnya gubahannya mas Opik yang saya ambil dari tutor ubuntu server saya pergunakan pada ubuntu server 10.4. yang bikin bingung script ini sdh berjalan mas selama 5 hari. hari ke enam ( hari ini ) tiba2 ga bisa konek saat di check di server langsung pun tak ada pesan erorr. pesan erorr itu muncul saat service networknya di restart baru deh penyakitnya keliatan.
mohon bantuannya bang.
terimakasih

opikdesign · 23-05-2010 11:01:34

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

Adrian1 wrote:

@ mas Opik mohon bantuannya mas
script firewallnya setelah berjalan kurang lebih 5 harian pagi ini dia nolak akses klien dan admin (billing) pesan erorrnya :
ssh start/running, process 2318
FIREWALL STATUS: All Firewall Drop & Reset
FIREWALL STATUS: MTU Setting
FIREWALL STATUS: Mangle created for Proxy Port at number 4
FIREWALL STATUS: Drop all FORWARD on eth1
FIREWALL STATUS: IP & MAC Filtering on device eth1
FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS:
192.168.0.101 [00:30:67:11:79:CF] => A.dns.aryanova.net
192.168.0.102 [00:30:67:0B:40:5D] => B.dns.aryanova.net
192.168.0.103 [00:30:67:0B:42:69] => C.dns.aryanova.net
192.168.0.104 [00:30:67:0B:42:DD] => D.dns.aryanova.net
192.168.0.105 [00:30:67:0B:40:9F] => E.dns.aryanova.net
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>
192.168.0.100 [00:19:21:9A:AA:FA] => ADMIN.dns.aryanova.net this Administrator Host
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] => this Administrator Host
FIREWALL STATUS: Drop all INPUT on eth1
FIREWALL STATUS: Port Filtering on ppp+
FIREWALL STATUS: Drop all INPUT on ppp+
FIREWALL STATUS: Log created...
ssh stop/waiting
ssh start/running, process 2543
Plugin rp-pppoe.so loaded.
RP-PPPoE plugin version 3.8p compiled against pppd 2.4.5
ssh stop/waiting
ssh start/running, process 2583
scriptnya gubahannya mas Opik yang saya ambil dari tutor ubuntu server saya pergunakan pada ubuntu server 10.4. yang bikin bingung script ini sdh berjalan mas selama 5 hari. hari ke enam ( hari ini ) tiba2 ga bisa konek saat di check di server langsung pun tak ada pesan erorr. pesan erorr itu muncul saat service networknya di restart baru deh penyakitnya keliatan.
mohon bantuannya bang.
terimakasih

coba jabarkan detail script-nya...

di letakkan di versi brapa pun gak ada masalah koq hanya diatas versi 9.04 untuk PREROUTING gaj bisa di beri -j DROP.... tetapi diatas kebanyakan penulisan MAC-Address yg salah....

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Adrian1 · 23-05-2010 11:42:00

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

coba jabarkan detail script-nya...
di letakkan di versi brapa pun gak ada masalah koq hanya diatas versi 9.04 untuk PREROUTING gaj bisa di beri -j DROP.... tetapi diatas kebanyakan penulisan MAC-Address yg salah....

mohon maaf sebelumnya mas sdh banyak merepotkan. memang untuk -j DROP saya beri comment mas biar ga di baca. dan ini mas detail scriptnya:

#! /bin/bash
# Bash script firewall with IP Address and MAC Address filtering
# (C) 2009 by [email protected]
###### VARIABLE
files1="/etc/network/lists.filter"
files2="/etc/network/administrator.filter"
device=eth1
ip_subnet=192.168.0.0/24
device_inet=ppp+
ssh=212
webmin=10000
samba_cups=135,137,138,139,445,631
http=80
http_SSL=443
smtp=25
smtp_SSL=465
pop3=110
pop3_SSL=995
DNS=53
ftp=20,21
ftp_SSL=115,989,990
proxy=3128
havp=8080
icp=3130
time=13,123
range_port=1025:65535
###### SCRIPT
echo "FIREWALL STATUS: All Firewall Drop & Reset";
/sbin/iptables -t mangle -F
/sbin/iptables -t nat -F
/sbin/iptables -t filter -F
/sbin/iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo "FIREWALL STATUS: MTU Setting";
/sbin/iptables -t mangle -A FORWARD -o $device -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -t mangle -A FORWARD -o $device_inet -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
echo "FIREWALL STATUS: Mangle created for Proxy Port at number 4";
/sbin/iptables -t mangle -A OUTPUT -m tos --tos Maximize-Reliability -j MARK --set-mark 0x04
/sbin/iptables -t mangle -A OUTPUT -m tos --tos 0x04 -j MARK --set-mark 0x4
/sbin/iptables -t mangle -A FORWARD -m tos --tos 0x04 -j MARK --set-mark 0x04
/sbin/iptables -t mangle -A POSTROUTING -m tos --tos 0x04 -j MARK --set-mark 0x04
#echo "FIREWALL STATUS: Drop all PREROUTING on $device";
#/sbin/iptables -t nat -I PREROUTING -i $device -j DROP
echo "FIREWALL STATUS: Drop all FORWARD on $device";
/sbin/iptables -t filter -I FORWARD -i $device -j DROP
echo "FIREWALL STATUS: IP & MAC Filtering on device $device";
echo "FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: ";
cat $files1 | while read ip_address mac_address client; do
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p tcp -m tcp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p udp -m udp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t filter -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $ip_address -o $device_inet -j MASQUERADE
echo "$ip_address [$mac_address] => $client";
done
cat $files2 | while read ip_address mac_address client; do
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p tcp -m tcp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p udp -m udp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t filter -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m tcp --dport $range_port -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m udp --dport $range_port -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $ip_address -o $device_inet -j MASQUERADE
echo "$ip_address [$mac_address] => $client this Administrator Host";
done
echo "FIREWALL STATUS: Drop all INPUT on $device";
/sbin/iptables -t filter -A INPUT -i $device -j DROP
echo "FIREWALL STATUS: Port Filtering on $device_inet";
/sbin/iptables -t filter -A INPUT -i $device_inet -p tcp -m multiport --dports $http,$http_SSL,$ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device_inet -p udp -m multiport --dports $http,$http_SSL,$ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT ! -s $ip_subnet -i $device_inet -p tcp -m multiport --dports $smtp,$smtp_SSL -j DROP
/sbin/iptables -t filter -A INPUT -i $device_inet -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -t filter -A INPUT -i $device_inet -p udp -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -t filter -A INPUT -i $device_inet -p icmp -m icmp --icmp-type 8 -j DROP
/sbin/iptables -t filter -A FORWARD -i $device_inet -p icmp -m length --length 92 -j DROP
/sbin/iptables -t filter -A INPUT -i $device_inet -p icmp --icmp-type echo-request -j DROP
echo "FIREWALL STATUS: Drop all INPUT on $device_inet";
/sbin/iptables -t filter -A INPUT -i $device_inet -j DROP
echo "FIREWALL STATUS: Log created...";
/sbin/iptables -t filter -A INPUT -p tcp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied TCP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p udp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied UDP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p icmp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied ICMP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $http,$http_SSL -j LOG --log-prefix "HTTP_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $proxy,$havp -j LOG --log-prefix "PROXY_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $http,$http_SSL -j LOG --log-prefix "HTTPS_CONN: UDP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $proxy,$havp -j LOG --log-prefix "PROXY_CONN: UDP port: "
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $ssh -j LOG --log-prefix "SSH_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $ssh -j LOG --log-prefix "SSH_CONN: UDP port: "

mohon bantuannya mas.
terimakasih

opikdesign · 23-05-2010 20:05:56

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

untuk script-nya sepertinya gak ada yg salah....
coba di share file /etc/network/lists.filter dan /etc/network/administrator.filter

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Adrian1 · 23-05-2010 21:17:09

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

untuk script-nya sepertinya gak ada yg salah....
coba di share file /etc/network/lists.filter dan /etc/network/administrator.filter

apa mungkin kernel atau versi iptablenya yg mas???

lists.filter
192.168.0.101 00:30:67:11:79:CF A.dns.aryanova.net
192.168.0.102 00:30:67:0B:40:5D B.dns.aryanova.net
192.168.0.103 00:30:67:0B:42:69 C.dns.aryanova.net
192.168.0.104 00:30:67:0B:42:DD D.dns.aryanova.net
192.168.0.105 00:30:67:0B:40:9F E.dns.aryanova.net

administrator.filter
192.168.0.100 00:19:21:9A:AA:FA ADMIN.dns.aryanova.net

iptables v1.4.4
mohon maaf mas jadi ngerepotin banget
terimakasih

opikdesign · 23-05-2010 22:11:21

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

dilihat dari susunan error diatas, yg error adalah pada group administrator...
coba file /etc/network/administrator.filter tambahkan space enter 1x lagi jadi cursor terakhir dibawah...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Adrian1 · 24-05-2010 09:54:59

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

dilihat dari susunan error diatas, yg error adalah pada group administrator...
coba file /etc/network/administrator.filter tambahkan space enter 1x lagi jadi cursor terakhir dibawah...

mas opik sudah saya coba mas sarannya tetap erorr itu muncul.
saya coba untuk membuat file baru dengan ip, mac tanpa hostname dengan line baru pada file nya. posisi crusor ada di bawah line ip dan mac. tetap sama mas.
mas opik klo untuk bad argument yang ppp+ itu kira2 di bagian mana nya mas apa karena mac addressnya bad jadi ngikut juga gitu karena satu file???
terimakasih

opikdesign · 24-05-2010 10:24:06

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

maksudnya 1 spasi kosong dibawahnya...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Adrian1 · 24-05-2010 11:36:31

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

maksudnya 1 spasi kosong dibawahnya...

kayanya saya salah persepsi nih mas.
maksud mas Opik

opikdesign wrote:

"tambahkan space enter 1x lagi jadi cursor terakhir dibawah..."

apakah maksudnya setelah mengetik <ip address> <mac address> <hostname> kemudian enter dan save filenya apakah begitu mas?? jika benar demikian sdh saya lakukan mas dan masih error mohon maaf jika salah persepsi mas

barob · 24-05-2010 12:17:48

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

mas coba di buang semua confignya ip tables nya dan diulang dari awal semuanya kembali dari nol
dan coba posting confignya dari awalnya

Adrian1 · 24-05-2010 16:15:03

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

mas coba di buang semua confignya ip tables nya dan diulang dari awal semuanya kembali dari nol
dan coba posting confignya dari awalnya

Maaf mas Barob. maksudnya dari awal itu dari mana nih??? bisa tolong lebih detil lagi maklum mas masih newbie.

opikdesign · 25-05-2010 02:58:15

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

Adrian1 wrote:

opikdesign wrote:
maksudnya 1 spasi kosong dibawahnya...
kayanya saya salah persepsi nih mas.
maksud mas Opik
opikdesign wrote:
"tambahkan space enter 1x lagi jadi cursor terakhir dibawah..."
apakah maksudnya setelah mengetik <ip address> <mac address> <hostname> kemudian enter dan save filenya apakah begitu mas?? jika benar demikian sdh saya lakukan mas dan masih error mohon maaf jika salah persepsi mas

sy periksa script-nya gaj ada masalah dan file list-nya jg gak masalah.... sy jg gak pernah ngalami yg jelas salah pada penulisan di file list-nya

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Adrian1 · 25-05-2010 17:16:05

Adrian1
6 dB
Offline

From: Bandung
Registered: 27-01-2010
Posts: 191

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

sy periksa script-nya gaj ada masalah dan file list-nya jg gak masalah.... sy jg gak pernah ngalami yg jelas salah pada penulisan di file list-nya

berarti masalah ada pada file listnya yah mas. oke deh mas nanti saya coba oprek2 lagi file listnya. jika ga berhasil juga mentoknya yah install ulang lagi jika masih juga yah mungkin tidak menggunakan mac address. yang terpenting sih sedikit menjaga agar pihak2 asing agak sedikit kesulitan masuk hehehehe
terimakasih banyak mas Opik atas waktunya.
sekali lagi terimakasih banyak

yudiarbi · 26-05-2010 07:54:56

yudiarbi
6 dB
Offline

Registered: 09-04-2010
Posts: 158

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

Ini untuk pengamanan jaringan local terutama untuk RT/RW Net, untuk MAC-Filtering masih bisa dibobol dgn cloning MAC tetapi lebih baik ada MAC-Filtering, klo ip sama dalam satu jaringan pasti akan konflik.
Bagaimana klo IP-Filtering tetapi menggunakan DHCP Server, masih bisa jawabnya, menggunakan MAC-ADD untuk menentukan IP, jadi semua client akan ditentukan IP-nya oleh DHCP Server berdasarkan MAC-ADD-nya masing2.
sebagai berikut tutorialnya:
sebelumnya, kita anggap setting jaringan sudah bener dan berjalan normal, tentunya package repo DHCP3-server sudah terinstall. Dan kita menganggap device untuk jaringan local eth0 dgn IP server 192.168.0.1, sudah terdapat BIND9 untuk DNS Server.
1. buat daftar, catat semua MAC-ADDRESS Client dan tentukan IP-nya.
2. rubah settingan file /etc/dhcp3/dhcpd.conf
ddns-update-style none;
subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 192.168.0.1;
    option netbios-name-servers 192.168.0.1;
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
    option subnet-mask 255.255.255.0;
    default-lease-time 600;
    max-lease-time 144000;
    log-facility local7;
    host hostname {
        hardware ethernet AA:BB:CC:DD:EE:FF;
        fixed-address 192.168.0.abc;
    }
}
keterangan:
hostname >>> ganti sesukanya untuk mempermudah ID client
MAC-ADDRESS AA:BB:CC:DD:EE:FF akan diberi IP 192.168.0.abc
Jika kalo client banyak, maka ulangin dan masukkan hostname, MAC-ADDRESS dan penentuan IP sebanyak yg dibutuhkan:
    host hostname {
        hardware ethernet AA:BB:CC:DD:EE:FF;
        fixed-address 192.168.0.abc;
    }
2. Buat Bash Script file /etc/network/filter.rules :
#!/bin/bash
# Bash script IP Address and MAC Address Filtering
# (C) 2009 by [email protected]
files="/etc/network/filter.list"
device="eth0"
echo " "
echo "MAC FILTER STATUS: All connection to droped on device $device"
iptables -I PREROUTING -t nat -i $device -j DROP
iptables -I FORWARD -i $device -j DROP
iptables -A INPUT -i $device -j DROP
echo " "
echo "MAC FILTER STATUS: Running on device $device"
echo "MAC FILTER STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: "
cat $files | while read ip_address mac_address; do
iptables -A INPUT -t filter -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
iptables -I PREROUTING -t nat -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
iptables -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
echo "$ip_address [ $mac_address ] "
done
keterangan:
Jika default device untuk local bukan eth0, maka bisa di rubah:
device="eth0"
3. Buat file /etc/network/filter.list sebagai database yg berisi MAC-ADDRESS client dgn IP yg telah di tentukan di /etc/dhcp3/dhcpd.conf tersebut diatas, contoh:
192.168.0.10    00:11:D8:CF:A5:21
192.168.0.11    00:0C:46:A7:22:9A
192.168.0.12    00:15:AF:41:3B:EC
4. Beri chmod 0777 ato +x untuk file /etc/network/filter.rules
# chmod +x /etc/network/filter.rules
5. Agar setiap kali reboot ato startup program langsung jalan maka buka file /etc/rc.local dan tambahkan /etc/network/filter.rules pada baris terakhir tetapi hapus baris exit 0
6. Lakukan reboot pada server tersebut.

pada dasarnya, lebih bagus klo tanpa DHCP-Server sih jadi bener2 secure, tp siapa yg mau gantiin IP client yg rumahnya jauh2 dan hrs ketok pintu dulu apalagi klo client-nya dah buanyak sekali, akhirnya pake DHCP-server, jika MAC-ADDRESS sudah ada yg clone sebaiknya segera ganti IP Client pada /etc/dhcp3/dhcpd.conf agar ke blok ip-nya.
Akhir kata, semoga berguna bagi member KIOS, dan terima kasih kepada mas si_faisal yg suka jahilin RT/RW Net orang lain, karena beliau jadi sy ter-inspirasi untuk membuat ini untuk memperkecil gangguan security.

HTH

maaf bung opik, nanya lagi nih...ato master2 laen mgkn ad saran
aq pake topologi kayak gini:
inet====adsl modem bridge===eth0 linux server eth1===hub===client
!!
!!
AP sebagai bridge===client

selama ini server ud jalan pake tutorial bang opik, ud fix semua termasuk webhtb dan semuanya, pake dhcp server juga tp gak ad filter mac address..
nah misal kl pake filter mac address bagaimana nasib client yang baru yg pake laptop, ap setiap ad pengunjung yg aksess hotspot selalu didefiniskan mac-addresnya?
moga kata2q gak menyinggung master2 semua.....

barob · 26-05-2010 15:48:36

barob
6 dB
Offline

Registered: 24-03-2010
Posts: 174

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

mungkin repo linuxnya belum di update dan biasanya kalo belum diupdate sering error setelah beberapa hari

opikdesign · 26-05-2010 16:04:41

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

@yudiarbi

klo memakai MAC Filtering, klo ada client baru yg harus dilakukan adalah mendaftarkan MAC-ADDRESS-nya.... jika gak didaftarkan maka dia gak bisa melakukan koneksi...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

yudiarbi · 27-05-2010 08:20:15

yudiarbi
6 dB
Offline

Registered: 09-04-2010
Posts: 158

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

@yudiarbi
klo memakai MAC Filtering, klo ada client baru yg harus dilakukan adalah mendaftarkan MAC-ADDRESS-nya.... jika gak didaftarkan maka dia gak bisa melakukan koneksi...

berarti setiap ad pengunjung yg mau connect hrs kita definisikan mac address-nya?bagaimana mengetahui mac-address tanpa melihat Lan-nya sendiri di komputer yg bersangkutan?ngeceknya tetep pake nbtscan itu pak di server?trus tinggal merestart dhcp servernya?kl misal ad cara lain misal setiap connect ke internet client hotspot memasukkan username yg kita definisikan itu bisa gak?

opikdesign · 27-05-2010 11:23:02

opikdesign
Administrator
Offline

From: Jakarta
Registered: 25-06-2008
Posts: 6,121

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

yudiarbi wrote:

kl misal ad cara lain misal setiap connect ke internet client hotspot memasukkan username yg kita definisikan itu bisa gak?

bisa aja dgn cara password, signal AP di encrypt dan semua AP ada fasilitasnya untuk itu koq...
setelah itu di AP bisa dilihat MAC-Add yg connect baru di daftarkan ato hanya security di AP jg bisa koq...

Facebook OPiKdesign

* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: [email protected]

Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server (Page 3 of 4)

Posts: 51 to 75 of 87

51 Reply by opikdesign 05-05-2010 18:07:15

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

52 Reply by barob 06-05-2010 06:12:35 (edited by barob 06-05-2010 10:35:39)

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

53 Reply by opikdesign 06-05-2010 13:03:10

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

54 Reply by barob 08-05-2010 16:30:02

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

55 Reply by barob 11-05-2010 17:50:59

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

56 Reply by opikdesign 12-05-2010 12:32:54

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

57 Reply by barob 12-05-2010 14:24:43

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

58 Reply by Adrian1 23-05-2010 10:12:41 (edited by Adrian1 23-05-2010 10:14:08)

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

59 Reply by opikdesign 23-05-2010 11:01:34

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

60 Reply by Adrian1 23-05-2010 11:42:00

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

61 Reply by opikdesign 23-05-2010 20:05:56

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

62 Reply by Adrian1 23-05-2010 21:17:09

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

63 Reply by opikdesign 23-05-2010 22:11:21

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

64 Reply by Adrian1 24-05-2010 09:54:59

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

65 Reply by opikdesign 24-05-2010 10:24:06

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

66 Reply by Adrian1 24-05-2010 11:36:31

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

67 Reply by barob 24-05-2010 12:17:48

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

68 Reply by Adrian1 24-05-2010 16:15:03

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

69 Reply by opikdesign 25-05-2010 02:58:15

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

70 Reply by Adrian1 25-05-2010 17:16:05

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

71 Reply by yudiarbi 26-05-2010 07:54:56

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

72 Reply by barob 26-05-2010 15:48:36

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

73 Reply by opikdesign 26-05-2010 16:04:41

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

74 Reply by yudiarbi 27-05-2010 08:20:15

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

75 Reply by opikdesign 27-05-2010 11:23:02

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

Posts: 51 to 75 of 87