@santoso smile

topologinya mungkin seperti ini :plant1 ---mikrotik--- vpn---mikrotik---pant2

mohon pencerahannya untuk saya dapat belajar mengkonfigur masalah vpn ini
dan kemaren saya mendapatkan [u]ip dari kedua plant tersebut menggunakan ip address localnya dengan klas yang sama yaitu 192.168.0.0/24[/]
bagaimana seting sebagai server dan client dari kedua plant nya tersebut.

sebelumnya ada baiknya dijelaskan terlebih dahulu ya smile
bahwa ada istilah pada teknik routing yg dinamakan split-horizon, yaitu ip subnet lokal sama dengan ip subnet remote - dan hal ini akan berdampak router tidak melihat/mengerti bagaimana cara memilih path ke tujuan dan paket tidak akan diforward/diteruskan ke tujuan (karena router mengetahui bahwa subnet tersebut bersifat lokal pada dirinya sendiri).

pada zaman sekarang, insyaAlloh memang hal tersebut sdh dapat diatasi dgn metode bridging (EoIP, BCP, overlapped DNAT atau *mungkin* ada yg lainnya) - tapi proses tersebut tidak akan scalable pada saat network terus berkembang (penambahan server, desktop, administrasi firewall dst).

walaupun demikian, adalah sebuah teknik yang kurang disarankan untuk memforward broadcast melalui bridging jaringan WAN smile

singkatnya, kalo boleh saran - ada baiknya rekan @santoso mulai mempertimbangkan network renumbering atau restrukturisasi IP subnet agar tidak mengalami kesulitan dalam mengatur/mengembangkan jaringan komputernya di-kemudian hari smile

intinya, ada saat untuk bridging dan ada saat untuk routing smile

bila rekan @santoso tetap tertarik untuk langsung dgn metode bridging - sila coba baca2 dulu konsep EoIP (plain) atau BCP pada wiki mikrotik http://wiki.mikrotik.com/wiki/Category:Manual untuk panduannya smile

insyaAlloh, HTH.

27

(5 replies, posted in VoIP)

@azalika smile

ooo... mungkin maksud @azalika dgn me-set macaddr jadi statik untuk mengurangi lookup ip begitukah sehingga mengurangi delay? smile

ya, bila dihubungkan dgn pertanyaan ttg arp dan delay - *mungkin* secara switch ada hubungannya = bila kondisi broadcast domain pada switch sdh cukup buruk, ditambah apalagi bila ada virus yg meracuni tabel arp ya smile

maka dari itu, ada rekomendasi untuk memisah jaringan voip dengan jaringan data menggunakan vlan terpisah smile

cmiiw,

insyaAlloh, HTH.

halo smile

kalau aplikasi LikeWise sebenarnya alpikasi yang ditujukan untuk apa saja, pernah denger aplikasi ini bisa menangani AD seperti di Windows (cuman sepintas).

ooo... iya, kelupaan. terima kasih telah mengingatkan smile
ok, poin abdi diatas untuk linux default ya smile (samba-ldap)

lupa kalo ada tambahan seperti centrify, novell groupware (khusus sistem novell) dan sekarang ada likewise smile
ya, bisa join linux ke MSAD berikut manage MSAD dari console linux smile

29

(5 replies, posted in VoIP)

@azalika smile

selamat datang di KIOS smile

wah, pertanyaannya menyangkut masalah keamanan nih - jadi harus cukup berhati2 ya diskusinya smile

hmm, sepertinya yg disebutkan antara nomor 1 & 2 - hampir tidak ada bedanya?
sepertinya kecil sekali kemungkinan perubahan macaddr mempengaruhi delay pembicaraan? apa mungkin rekan @azalika punya pandangan lain?

untuk sekedar baca2 referensi mengamankan sambungan pembicaraan - mungkin diskusi dari rekan2 KIOS ini bisa membantu : http://opensource.telkomspeedy.com/foru … 53#p111153

insyaAlloh, HTH.

30

(3 replies, posted in DISTRO FEDORA & RPM BASED)

halo wysint smile

hmm, log dari dmesg sepertinya agak kurang lengkap ya, boleh lihat isi  /var/log/squid3/cache.log?

halo smile

1. bila yg dimaksud mirip dgn fungsional MS Windows Active Directory domain controller (seperti set GPO dsb) - tentu tidak demikian. bila yg dimaksud dgn otentikasi server seperti MSAD insyaAlloh bisa dilakukan dgn otentikasi samba-ldap (agak rumit).
2. file server interworking dgn windows - sdh didukung cukup baik oleh linux samba.

Bila di server win2k3 kan cukup membuat DC dan beberapa account saja dan semuanya bisa di atur lewat server dari user management, security folders dll, "apakah hal yang demikian bisa dilakukan di fedora?"

sedikit berbeda konteks dengan MS Windows - pada sistem Linux (atau varian Unix lainnya) - aslinya, tidak mengenal namanya domain controller (seperti mirip pada MS WIndows AD) karena semua sistem bersifat peer-to-peer (sama, sejajar). Pembuatan akun user pada lokal sistem juga dapat dilakukan dgn mudah kok - sila coba baca2 referensi tentang webmin smile

insyaAlloh, HTH.

32

(2 replies, posted in Networking)

@pademawu smile

selamat datang di KIOS smile

punteun, kelupaan balas terus euy smile

bisa tidak anggap IP 192.168.30 - 192.168.35 diisolasi, maksudnya alokasi ip tsb hanya bisa akses internet saja tanpa bisa melihat file sharing yg ada pada jajaran IP tsb di kantor ada mikrotik RB250GS apa bisa digunakan maaf newbie masalah jaringan, trims

hmm, punteun, sepertinya ini file sharing windows/samba ya? smile

bila dilihat dari topologi (switch layer 2) dan protokolnya -> samba atau windows file sharing memanfaatkan tcp 135-139 berikut udp 135,137 broadcast untuk layanan file sharingnya - jadi kecil kemungkin switch bisa digunakan untuk melimitasi smb broadcast (untuk tidak melihat file sharingnya) . cara satu2nya mungkin set ACL pada smb-nya. tapi bila switchnya digunakan untuk layer 3 - insyaAlloh, file sharingnya bisa di-kendalikan lebih lanjut (setidaknya untuk siapa yg berhak akses smb-nya) smile

insyaAlloh, HTH.

@ichalssy smile

ooo... oke, jadi sdh berjalan semuanya toh smile
hehehe, punteun, abdi nteu ngeh smile
alhamdulillah, ikut senang bila failovernya sdh berjalan sukses smile

Tinggal langkah ketiga dan seterusnya nih kang yg belum berhasil (memanfaatkan tools nmap pada server untuk deteksi port serta protocol dns sama bikin skrip /sbin/failover-dns (misalkan kalo tidak boleh di gabung dengan skrip /sbin/failover-proxy)

hmm, bila yg dimaksud skrip untuk men-cek layanan berjalan atau tidak pada lokal server - *mungkin* skrip kecil ini bisa membantu (mohon di-koreksi/diperbaiki bila kurang ya) :

skrip cek-layanan.sh

#!/bin/bash

###############################################################################
#
# cek-layanan.sh
#
# skrip cek layanan sistem
# 
# v1.0 April 2011
#
# lisensi GPLv2
#
# langkah :
# 1. cek aktifitas layanan (squid, havp, dhcp, dns dll)
# 2. bila layanan masih aktif tidak akan di-log
# 3. bila layanan berhenti akan di-log dan coba di-restart
# 4. bila layanan gagal di-restart akan di-log dan di-email ke administrator
#
# penggunaan :
# - harus dijalankan oleh user root
# - letakkan berkas cek-layanan.sh pada homedir /root dan set permisi 755
# - dapat di-crontab per 5, 10 atau 15 menit
#
# contoh penggunaan manual :
# root#./cek-layanan.sh
#
# contoh crontab untuk user root :
#
# root#crontab -e
#
# m h D M d perintah
# */15 * * * * /root/cek-layanan.sh
# 59 23 1 * * /bin/tar -zcvf /root/proxy.log.$(date '+%F').tar.gz /root/proxy.log
#
# kebutuhan :
# mail exim4
#
# catatan : 
# mohon jangan disalah-gunakan.
# skrip ini hanya sekedar contoh bagaimana melakukan monitoring - log dan alert (email) pada server,
# silahkan untuk dikembangkan dan di-optimalkan lebih lanjut bersama komunitas FOSS.
#
###############################################################################

# variabel global - silahkan disesuaikan dengan kondisi masing-masing sistem operasi
uname_a=`/bin/uname -a`
uname_n=`/bin/uname -n`
log='layanan.log'
mlog='layanan.log.mailed'
which='/usr/bin/which'
#mail='/usr/bin/mail'
#tail='/usr/bin/tail'
mail=`$which mail`
tail=`$which tail`
pengirim='root@server.localdomain'    # akun email untuk mengirim email kepada administrator
penerima='administrator@server.localdomain'    # alamat email administrator

# cek aplikasi mail
if $which mail;
    then echo "sistem email ada" 
    else echo "aplikasi mail belum terpasang, berhenti...";
    exit 0;
fi;

# cek aplikasi squid3
squid="squid3";
squid_stop='/etc/init.d/squid3 stop';
squid_start='/etc/init.d/squid3 start';

#if ps -Af|grep -v grep|grep $squid;
if pgrep squid3;
    # tidak melakukan logging pada aplikasi yang masih berjalan normal - agar berkas log tidak cepat membesar
    then echo "$('date') server $uname_n , squid masih berjalan normal"
    # coba restart squid...
    else echo "$('date') server $uname_n , squid telah berhenti dan coba di-restart" >> $log;
    $squid_stop; 
    sleep 15;
    $squid_start
    sleep 15;
    if pgrep squid3;
        then echo "$('date') server $uname_n , squid telah berhenti dan berhasil di-restart" >> $log
        # bila gagal restart...
        else echo "$('date') server $uname_n , squid telah berhenti total dan gagal di-restart ($uname_a)" >> $log;
        $tail -n 1 $log > $mlog;
        $mail -u $pengirim -s "squid berhenti total" $penerima < $mlog;
        # untuk penggunaan lebih lanjut silahkan dikembangkan lagi...
    fi;
fi;

# diam sejenak
sleep 5

# cek aplikasi havp
havp="havp";
havp_stop='/etc/init.d/havp stop';
havp_start='/etc/init.d/havp start';

#if ps -Af|grep -v grep|grep $havp;
if pgrep havp;
        then echo "$('date') server $uname_n , havp masih berjalan normal"
        # coba restart havp...
        else echo "$('date') server $uname_n , havp telah berhenti dan coba di-restart" >> $log;
    $havp_stop;
    sleep 15;
    $havp_start;
    sleep 15;
    if pgrep $havp;
               then echo "$('date') server $uname_n , havp telah berhenti dan berhasil di-restart" >> $log
        # bila gagal restart...
               else echo "$('date') server $uname_n , havp telah berhenti total dan gagal di-restart ($uname_a)" >> $log;
        $tail -n 1 $log > $mlog;
        $mail -u $pengirim -s "havp berhenti total" $penerima < $mlog;
    fi;

# cek dns disini...

# cek gateway disini...

# cek aplikasi lainnya disini...

# dst...


fi;

insyaAlloh, semoga membantu smile

catatan tambahan :
untuk layanan monitoring server dan aplikasi berbasis SMS sedang dikembangkan oleh rekan @pak mus (berikut aplikasi DDNS Baraya-nya) - (kontrak berbayar). jadi bila ada rekan KIOSer yang berminat untuk me-monitoring server atau data center-nya secara real-time menggunakan mekanisme SMS - boleh coba kontak beliau smile

@tauchida smile

selamat datang di KIOS smile

wah, ikut senang bila sudah sukses dgn implementasinya smile

menurut abdi pribadi, sederhananya - *mungkin* teknologi perteleponan analog *sepertinya* tidak banyak berubah (termasuk fiturnya : caller-id, call-waiting, call-hold, call-forwarding dst) karena memang itu merupakan fungsi pokoknya teknologi perteleponan - kecuali dgn adanya pembuatan teknologi baru ip telephony dan pengembangan pemanfaatannya seperti saat sekarang ini.

sedangkan masalah value-added pada penerapan ip telephony itu sendiri kurang lebih mengarah kepada fitur perteleponan itu sendiri. masalah integrasi dengan video-on-demand (video-call) *mungkin* bisa ditambahkan, tapi tentu saja dengan penambahan infrastruktur baru tentunya, atau integrasi dgn groupware dst. atau sederhananya - silahkan coba dilihat saja fitur2 apa saja yg terdapat pada aplikasi SIP klien (ada fitur caller-id, call-conference, video-call dsb yang cukup menarik untuk digunakan) smile

wah, kalo bagian suara delay *mungkin* cukup bergantung pada banyak hal pada kondisi fisik dalam jaringan ya smile

insyaAlloh, HTH.

35

(5 replies, posted in Networking)

@sabto, alaikumussalam smile

saya mau tanya MDA yang lebih baik, mudah, dan aman itu apakah
...
Lalu MTA yang mudah d i konfigurasi itu apakah

punteun, bila masalah keamanan (atau definisi keamanan) - abdi tdk punya kompetensi jadi tdk bisa bantu jawab smile

bila pertanyaannya - masalah *mudah* tidaknya pemasangan & konfigurasi MTA dan MDA, insyaAlloh semua kembali kepada penggunanya sendiri (relatif).

bila ingin membuat MTA tersendiri, postfix *mungkin* relatif lebih mudah dikonfigurasi - mendukung SSL,
bila ingin membuat MDA tersendiri, dovecot merupakan aplikasi yg cukup bagus dan juga mendukung SSL,
tapi bila ingin aplikasi yang sdh tergabung (bundled MTA dan MDA, berikut front-end GUI) - zimbra merupakan groupware yang sangat bagus sekali smile

insyaAlloh, HTH.

36

(5 replies, posted in Networking)

halo afiq smile

Sudah saya oprek bisa jalan, tapi masih belum nemu logika trafiknya, terjadi overlooping atau ga-nya?

alhamdulillah, ikut senang bila sdh jalan smile

tapi, ada baiknya untuk diperhatikan/dipastikan apakah yg dimaksud *jalan* itu bahwa trafiknya berikut vlan-tag nya sdh benar? apakah switchnya berlaku layer 2 atau sdh masuk ke layer 3 dst smile

logika traffiknya? smile
untuk logika trafik antar vlan - sila coba dibaca2 dulu mengenai apa itu inter-vlan routing dan apa gunanya, untuk bagian looping - sila dibaca2 dulu referensi bridging, STP/RSTP/PVST dst.

insyaAlloh, HTH.

@ichalssy smile

kita semua di KIOS masih sama2 belajar ya smile

ok, maksud abdi adalah penambahan rule pada netwatch :

bila kita perhatikan dari skrip netwatch rekan @opik :

/tool netwatch
add comment="" disabled=no down-script="/ip firewall nat set [find comment=\"\
    Redirect_Proxy_Warnet\"] disabled=yes\r\
    \n/ip firewall nat set [find comment=\"Redirect_Proxy_WiFi\"] disabled=yes\r\
    \n:log error \"External Server is DOWN...!\"" host=192.168.3.253 \
    interval=1s timeout=20ms up-script="/ip firewall nat set [find comment=\"Redirect_Proxy_Warnet\"] disabled=no\r\
    \n/ip firewall nat set [find comment=\"Redirect_Proxy_WiFi\"] disabled=no\r\
    \n:log error \"External Server is UP...!\""

skrip pengalihan proxy terdapat pada baris pertama :

add comment="" disabled=no down-script="/ip firewall nat set [find comment=\"\
    Redirect_Proxy_Warnet\"] disabled=yes\r\

dengan nilai "yes" bila proxy masih aktif, dan sebaliknya.

sepertinya, untuk failover dns bisa dibuatkan sebuah peraturan lagi setelahnya - mirip diatas smile
jadi bila kita buat - mungkin hasilnya seperti ini :

[admin@r1] > /tool netwatch print                 
Flags: X - disabled 
 #   HOST            TIMEOUT              INTERVAL             STATUS  SINCE               
 0   ;;; peraturan1
     0.0.0.0         1s                   1m                   down    apr/27/2011 09:53:39
 1   ;;; peraturan2
     0.0.0.0         1s                   1m                   down    apr/27/2011 09:53:41

sedangkan up/down-script nya mengacu kepada posisi NAT disable atau enable - contoh (perhatikan flag-nya) :

[admin@r1] > /ip firewall nat print                          
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; redir_http
     chain=dstnat action=dst-nat to-addresses=10.10.4.2 protocol=tcp src-address=10.10.1.0/24 dst-address=0.0.0.0/0 in-interface=ether5 
     dst-port=80 

 1   ;;; redir_dns
     chain=dstnat action=dst-nat to-addresses=10.10.4.2 protocol=udp src-address=10.10.1.0/24 dst-address=0.0.0.0/0 in-interface=ether5 
     dst-port=53

insyaAlloh, HTH smile

Assalamu'alaikum wr. wb.

rekan KIOSer,

proses kompilasi source memang terkadang membutuhkan waktu yang cukup lama (tergantung dari kecepatan CPU dan jumlah RAM) - sehingga tak jarang, *mungkin* banyak dari kita yg agak kurang sabar menunggu, apalagi bila sumberdaya CPU dan RAM kurang memadai smile

pertanyaannya :
apakah memungkinkan bila kita membuat sebuah skrip untuk me-otomasi proses kompilasi secara keseluruhan? dari mulai pembuatan build environment (chroot), pengambilan seluruh berkas source yang diperlukan dari repositori (download), sampai dengan proses kompilasi seluruh berkas source berikut patch-nya yg diperlukan - sampai ke tahap pembuatan image distro? smile

sebelum memulai diskusi ini, memang sebaiknya ada sukarelawan dari rekan KIOSer yang mau memberikan/berbagi  sedikit ilmunya tentang struktur dari berkas source - seperti apa itu berkas source, berkas apa saja yg biasanya terdapat didalam paket source, petunjuk/panduan kompilasi source dsb, apa itu patch dan bagaimana penggunaannya, dst - sehingga dapat dilanjutkan ke diskusi otomasi LFS

apakah ada rekan2 KIOSer yang mau berbagi untuk belajar LFS bersama2? smile

Wassalamu'alaikum wr. wb.

39

(5 replies, posted in Networking)

halo afiq smile

Sebelumnya mohon maaf kalau salah kamar  Saya posting disini karena mengenai VLAN
Mau tanya setting  menggabungkan 2 atau lebih RB250GS ??

gak apa2 kok, memang ini subforum networking smile
tapi, punteun, abdi kurang hafal dgn perintah mikrotik - jadi jawabnya sederhana saja ya - tinggal disesuaikan/dikonversi saja ke perintah mikrotik smile

VLAN 20 ----RB250GS(1)------RB250GS(2)---------router
                        |                         |
                        |                         |
                   VLAN 30               VLAN 20

bila masih berupa switch layer 2 (bukan routing switch layer 3), antara dari sw1 ke sw2 atau dan ke router harus ada vlan trunk untuk membawa vlan20 dan vlan30 - karena bila tidak ada maka frame yang ditulis/di-tag vlan20 dan vlan30 tidak akan di-respon oleh perangkat lainnya yg tidak mempunyai tag vlan.

dan pastikan pada router dibuatkan interface vlan juga untuk trunk dan routing vlannya (vlan1, vlan20 & 30).

insyaAlloh, HTH.

@ichalssy & yogii smile

wah, sepertinya - berdua ini semakin asyik aja ngoprek skrip failover-nya smile
bagus bagus... sila dilanjut, berdiskusi dan berkolaborasi bersama2 rekan2 KIOSer smile

@ ichalssy

kalo boleh saya minta bantuannya lagi, kalo kita memiliki satu service DNS server seperti unbound pada mesin external, apakah harus membuat rule yang baru lagi pada netwatchnya

insyaAlloh, sila dicoba aja dulu - membuat 2 peraturan : 1 untuk squid, ditambah 1 lagi untuk dns-nya smile

punteun, ini hanya coret2an dgn iptables (sila disesuaikan/dikonversi ke skrip mikrotiknya):
# untuk squid
1 iptables -t nat -A PREROUTING -i LAN -s LAN -p tcp --dport 80 -j DNAT --to-address ip_server
# untuk dns
2 iptables -t nat -A PREROUTING -i LAN -s LAN -p udp --dport 53 -j DNAT --to-address ip_server
# dst...

bila port pada server berbeda port dari dgn apa yg di-redirect oleh router - sila disesuaikan lagi peraturan iptables-nya pada server dgn opsi -j REDIRECT --to-port

insyaAlloh, HTH.

41

(2 replies, posted in *BSD Family)

halo iyoeng smile

apa sich sebnrya ZFS itu ...lalu apa kelebihan dan kekurangannya dengan file system yang lain.

pertanyaan yang bagus sekali smile

tapi punteun, bila dijelaskan disini *mungkin* nantinya jadi panjang lebar smile
ada baiknya rekan @iyoeng baca2 referensi berikut dulu dari wikipedia - lalu bila masih ada yang kurang jelas dibagian mana - sila ditanya lebih spesifik, insyaAlloh mudah2an ada rekan2 KIOSer yang mau membantu ya smile

wikipedia - zfs

insyaAlloh, HTH.

42

(9 replies, posted in Linux from Scratch (LFS))

halo happy smile

selamat datang di KIOS smile

Kernel panic - not syncing:VFS: Unable to mount root fs on unknown-block(2,0)

padahal setingan di grub sudah benar, apkah gara" saya pakai HD SATA

ini hasil livecd (me-image/burn ke hdd) atau langsung ke hdd kedua?
boleh lihat grub.conf-nya?

@hero, waalaikumussalam smile

selamat datang di KIOS smile

mau tanya ttg analisa round trip delay time (RTT), apa pengaruh jumlah paket icmp (32B, 64B, 128B, 256B, dst) terhadap perubahan delay time???

karena setelah saya melakukan ping ke suatu situs, tidak nampak perubahan yg signifikan pada nilai delay timenya,
mohon penjelasannya....

punteun, *mungkin* yang dimaksud @hero disini adalah besar paket icmp ya (bukan jumlah paket icmp)? smile

analisa RTT sangat tergantung keadaan jaringan - termasuk salah satunya adalah besarnya bandwidth dan waktu memproses paket. bila kita uji waktu respon ping pada jaringan yang luang (kosong) dan memiliki bandwidth cukup besar - maka perubahan respon RTT yang didapat memang tidak/kurang signifikan. tapi bila rekan @hero melakukan uji RTT dengan kondisi jaringan yang cukup saturated/kurang baik (misalnya bandwidth, CPU, firewall/NAT, protokol routing dan kondisi kabel kurang ok dst) - *mungkin* rekan @hero akan melihat bagaimana hasil RTT pingnya.

insyaAlloh, HTH.

@ebilma smile

19   chain=dstnat action=dst-nat to-addresses=10.10.12.2 to-ports=3128
     protocol=tcp src-address=10.10.10.0/24 dst-address=0.0.0.0/0
     in-interface=ether1 dst-port=80

to-portsnya dibuang saja smile

20   chain=srcnat action=masquerade out-interface=ether3 ---> ini yg benar yg mana nih yg ke internet? smile

skrg :

ether1=lan
ether2=internet/public

sebelumnya :

20   chain=srcnat action=masquerade out-interface=ether3

ether 3=publik /internet
ether 4=proxy

---

in-interface mengarah ke lan... client ga bisa browsing..

ya, insyaAlloh bila konfigurasinya sdh disesuaikan dgn punya abdi (tidak ada firewall dsb yg menghambat) - mudah2an bisa jalan smile sila dicoba dulu saja smile

ok, sepertinya dari abdi cukup sekian dulu ya smile

insyaAlloh, HTH.

@ebilma smile

punteun, tadi pagi kelupaan jawab euy smile

ether1 dan ether 5 mengarah kemana??

ether5 ke LAN, (edit : punteun, kelupaan)
ether1 ke internet smile

19   chain=dstnat action=dst-nat to-addresses=10.10.12.2 to-ports=3128
     protocol=tcp src-address=10.10.10.0/24 dst-address=0.0.0.0/0
     in-interface=ether4 dst-port=80
---> in-interface disiini pastikan port ke LAN, bukan ke proxy

20   chain=srcnat action=masquerade out-interface=ether3

ether 3=publik /internet
ether 4=proxy

interface yg kearah proxy jangan dirubah - cukup interface dari LAN saja, dan yg ke internet smile

pada iptables -t nat -nvL udah ada aktivitas mirip punya mas abdi.. tapi pada access.log tetap ga bisa tercache...

gmn maksudnya? smile boleh lihat hasil perintah ls -lh access.log? dan tail access.log-nya?

insyaAlloh, HTH.

@adam smile

#FB
refresh_pattern .facebook.com.*\.(png|gif)  131400  99999% 131400  override-expire ignore-reload store-stale
refresh_pattern .fbcdn.net.*\.(jpg|gif|png) 131400   99999% 131400  ignore-no-cache override-expire ignore-reload store-stale negative-ttl=0

punteun, baru lihat sekilas - itu hampir semua timer refresh_pattern kok minimum-nya besar sekali?

bila dibaca2 dari squid.conf - insyaAlloh sdh cukup jelas ya :

#  TAG: refresh_pattern
#    usage: refresh_pattern [-i] regex min percent max [options]
#
#    By default, regular expressions are CASE-SENSITIVE.  To make
#    them case-insensitive, use the -i option.
#
#    'Min' is the time (in minutes) an object without an explicit
#    expiry time should be considered fresh. The recommended
#    value is 0, any higher values may cause dynamic applications
#    to be erroneously cached unless the application designer
#    has taken the appropriate actions.

#
#    'Percent' is a percentage of the objects age (time since last
#    modification age) an object without explicit expiry time
#    will be considered fresh.
#
#    'Max' is an upper limit on how long objects without an explicit
#    expiry time will be considered fresh.

...
...

#    Basically a cached object is:
#
#        FRESH if expires < now, else STALE
#        STALE if age > max
#        FRESH if lm-factor < percent, else STALE
#        FRESH if age < min
#        else STALE
...
...

refresh_pattern dalam satuan menit smile
jadi bila 131400/60 = 2190 jam?

ane kan pake mikrotik + proxy squid..
nah yang jadi masalah kenapa kok gambar pemain poker pada kembar semua ya..? padahal dulu gak begini... ini saya share script squidnya..

punteun, bagian yang ini kebetulan gak bisa bantu smile

insyaAlloh, HTH.

halo ebilma smile

maksudnya gmana bro?? port 3128 saya ganti dengan 80??

smile gak, tadi abdi agak kelupaan lihat urutannya smile

hmm, punteun, ini hasil ujicoba di-lab - topologinya sedikit beda, tapi mudah2an konfignya sama (punteun, bukan maksud hati sombong/takabur - tapi memang agak repot/rumit merubah kabel labnya soalnya terlalu banyak) :

                                       [internet]
                                              |
[r1]---10.10.2.0/24---[r4]---10.10.3.0/24---[r5]
 |                                             |
LAN 10.10.1.0/24                       PROXY 10.10.4.2/24

pada r1 :

[admin@r1] > /ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=dstnat action=dst-nat to-addresses=10.10.4.2 protocol=tcp src-address=10.10.1.0/24 dst-address=0.0.0.0/0 in-interface=ether5 
     dst-port=80 

pada r5 :

[admin@r5] > /ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade out-interface=ether1 

pada proxy :

sudo iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 678 packets, 65033 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128 

pada /etc/squid3/squid.conf :

http_port 3128 transparent
acl mynet src 10.10.1.0/24
http_access allow mynet

ps -Af|grep squid
root     11663     1  0 17:26 ?        00:00:00 /usr/sbin/squid3 -D -YC -f /etc/squid3/squid.conf
proxy    11666 11663  0 17:26 ?        00:00:00 (squid) -D -YC -f /etc/squid3/squid.conf

hasilnya :

wget http://repo/iso/centos/5.6/isos/i386/CentOS-5.6-i386-LiveCD.iso
--2011-04-19 17:51:14--  http://repo/iso/centos/5.6/isos/i386/CentOS-5.6-i386-LiveCD.iso
Resolving repo... a.b.c.d, 2403:da00:1:3::1e
Connecting to repo|a.b.c.d|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 726630400 (693M) [application/octet-stream]
Saving to: `CentOS-5.6-i386-LiveCD.iso'

 0% [                                                                                                  ] 7,086,275   59.9K/s  eta 3h 15m  

sudo tail /var/log/squid3/access.log 
1303210338.478 121478 10.10.1.2 TCP_MISS/200 7086720 GET http://repo/iso/centos/5.6/isos/i386/CentOS-5.6-i386-LiveCD.iso - DIRECT/a.b.c.d application/octet-stream

insyaAlloh, HTH smile

ini - di squid?

[

iptables -t nat -I PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 DNAT --to-destination 10.10.12.2  ....

sebetulnya pada squid tidak perlu ada redireksi lagi smile
cuma kalo mau diterapkan juga insyaAlloh tidak apa2 smile

coba ganti ke :

iptables -t nat -I PREROUTING -i LAN -p tcp --dport -j REDIRECT --to-ports 3128


terus untuk konfigurasi squidnya (bila tanpa iptables diatas) :

http_port 3128 transparent

coba rubah port-nya jadi 80 smile

punteun, kelupaan tadi baru perhatikan kalo hasil redireksinya ke port 80 bukan ke 3128 smile

[admin@r1] > /ip firewall nat add chain=dstnat in-interface=LAN dst-address=0.0.0.0/0 protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.12.2

insyaAlloh, HTH.

punteun, abdi kurang hafal dgn perintah mikrotik,
tapi mudah2an perintah iptables ini bisa dijadikan referensi :

iptables -t nat -I PREROUTING -i LAN -s IP_LAN -p tcp --dport 80 -j DNAT --to-destination IP_PROXY

bila untuk redirect/LAN sederhana, insyaAlloh sebenarnya cukup itu aja - sepertinya tidak perlu perlu perintah yg lain kecuali NAT MASQUERADE untuk interface WAN (bukan SNAT - ada perbedaan sedikit antara keduanya).

untuk squid - coba cek ps -Af|grep squid ---> jangan berpatokan pada access.log, dan pastikan saja konfigurasi squid sudah ok semua smile

insyaAlloh, HTH.

50

(3 replies, posted in Security)

halo derry smile

bagaiimana cara pengujian VPN yang menggunakan IPSec dan VPN yang menggunakan SSL yaa ? dari sisi keamananya, kira2 ada metode atau parameter khusus yang bisa dibadingkan antara keduanya ? mohon pencerahanya.

hmm, punteun, menurut abdi - sebelum mengadakan pengujian protokol (yg *mungkin* sdh terlalu jauh/maju/mahir  bagi seorang pemula seperti abdi - apalagi bila disuruh membuat protokolnya sendiri, wah - abdi sepertinya tidak mampu) sebaiknya @derry membaca2 dulu referensi tentang apa itu IPSec dan SSL VPN, kegunaannya - dan posisinya pada stack OSI atau TCP/IP - serta belajar untuk implementasi (desain & konfigurasi) dulu. InsyaAlloh bila sdh dicoba - rekan @derry bisa mempelajarinya smile

referensi :
IPSec http://en.wikipedia.org/wiki/Ipsec
SSL http://en.wikipedia.org/wiki/Transport_Layer_Security

insyaAlloh, HTH.