Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

pak opick kalo konfig file /etc/dhcp3/dhcpd.conf
yang diajarin sama pak wijayakno itu gak bisa pak
nah kalo yg pak opick kasih itu saya masih bingung cara ngerubahnya dari script asli nya ituh
belum familiar pak

class "allocation-class" {
    match pick-first-value (option dhcp-client-identifier, hardware);
}

subclass "allocation-class" 00:0c:ea:50:dc:01;
subclass "allocation-class" 00:0c:ea:50:dc:02;
subclass "allocation-class" 00:0c:ea:50:dc:03;


subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 192.168.0.1;
    option netbios-name-servers 192.168.0.1;
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
    option subnet-mask 255.255.255.0;
    log-facility local7;

    pool {
           allow members of "allocation-class";
           range 192.168.0.100 192.168.0.200;
    }

}

apa yg bingung pak?!
nanti MAC-Address-nya masukkan ke subclas, ini sy kasih contoh 3 pc klo lebih tinggal nambahkan aja...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

52 (edited by barob 06-05-2010 10:35:39)

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

pak opick klient nya gak bisa koneksi ke server walaupun kilent nya sudah terdaftar mac address nya ! help ???

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

pak opick klient nya gak bisa koneksi ke server walaupun kilent nya sudah terdaftar mac address nya ! help ???

service dhcp3-server -nya dah di restart?!
dan di client repair aja...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

kang opick dan master2 yang lain tolong donk kang
apa yang harus saya lakukan kalo klien nya yang terdaftar mac address
gak dapet ip, service dhcp3-server sudah direstart
klient nya sudah di repair dan masih juga gak dapet ip address

tolong pak master master semuanya

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya
bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya...

maaf yah, belum ada waktu untuk ngoprek lagi khususnya mencoba masalah ini....

barob wrote:

bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....

sama saja caranya di iptables...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:
barob wrote:

bang opick kalo gak bisa konfigurasi yang dinamic ya gak papa bang aku juga gak bisa2 nyobainnya...

maaf yah, belum ada waktu untuk ngoprek lagi khususnya mencoba masalah ini....

barob wrote:

bang mo nanya lagi nih bang kan kalo klient diberi ipstatic terus pake ip tables untuk mengamankannya, kalo untuk konfigurasi sebagai gatewaynya gimana bang konfigurasinya saya belum bisa gateway bang masih newbie....

sama saja caranya di iptables...

kalo waktunya sibuk bagi bang opick yha saya hanya bisa ucapin terimakasih bang atas bantuannya


nah kalo konfigurasi sebagai gateway nya saya belum pernah sama sekali bang
tolong bang bantuannya bagaimana perintah gateway nya bang sebelumnya saya ucapin terima kasih yang sebesar-besarnya buat para master2 di forum ini yang telah sangat membantu

58 (edited by Adrian1 23-05-2010 10:14:08)

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

@ mas Opik mohon bantuannya mas
script firewallnya setelah berjalan kurang lebih 5 harian pagi ini dia nolak akses klien dan admin (billing) pesan erorrnya :

ssh start/running, process 2318
FIREWALL STATUS: All Firewall Drop & Reset
FIREWALL STATUS: MTU Setting
FIREWALL STATUS: Mangle created for Proxy Port at number 4
FIREWALL STATUS: Drop all FORWARD on eth1
FIREWALL STATUS: IP & MAC Filtering on device eth1
FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS:
192.168.0.101 [00:30:67:11:79:CF] => A.dns.aryanova.net
192.168.0.102 [00:30:67:0B:40:5D] => B.dns.aryanova.net
192.168.0.103 [00:30:67:0B:42:69] => C.dns.aryanova.net
192.168.0.104 [00:30:67:0B:42:DD] => D.dns.aryanova.net
192.168.0.105 [00:30:67:0B:40:9F] => E.dns.aryanova.net
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>
192.168.0.100 [00:19:21:9A:AA:FA] => ADMIN.dns.aryanova.net this Administrator Host
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>  this Administrator Host
FIREWALL STATUS: Drop all INPUT on eth1
FIREWALL STATUS: Port Filtering on ppp+
FIREWALL STATUS: Drop all INPUT on ppp+
FIREWALL STATUS: Log created...
ssh stop/waiting
ssh start/running, process 2543
Plugin rp-pppoe.so loaded.
RP-PPPoE plugin version 3.8p compiled against pppd 2.4.5
ssh stop/waiting
ssh start/running, process 2583

scriptnya  gubahannya mas Opik yang saya ambil dari tutor ubuntu server saya pergunakan pada ubuntu server 10.4. yang bikin bingung script ini sdh berjalan mas selama 5 hari. hari ke enam ( hari ini ) tiba2 ga bisa konek saat di check di server langsung pun tak ada pesan erorr. pesan erorr itu muncul saat service networknya di restart baru deh penyakitnya keliatan.
mohon bantuannya bang.
terimakasih

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

Adrian1 wrote:

@ mas Opik mohon bantuannya mas
script firewallnya setelah berjalan kurang lebih 5 harian pagi ini dia nolak akses klien dan admin (billing) pesan erorrnya :

ssh start/running, process 2318
FIREWALL STATUS: All Firewall Drop & Reset
FIREWALL STATUS: MTU Setting
FIREWALL STATUS: Mangle created for Proxy Port at number 4
FIREWALL STATUS: Drop all FORWARD on eth1
FIREWALL STATUS: IP & MAC Filtering on device eth1
FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS:
192.168.0.101 [00:30:67:11:79:CF] => A.dns.aryanova.net
192.168.0.102 [00:30:67:0B:40:5D] => B.dns.aryanova.net
192.168.0.103 [00:30:67:0B:42:69] => C.dns.aryanova.net
192.168.0.104 [00:30:67:0B:42:DD] => D.dns.aryanova.net
192.168.0.105 [00:30:67:0B:40:9F] => E.dns.aryanova.net
Bad argument `ACCEPT'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>
192.168.0.100 [00:19:21:9A:AA:FA] => ADMIN.dns.aryanova.net this Administrator Host
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `tcp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `udp'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `mac'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `ppp+'
Try `iptables -h' or 'iptables --help' for more information.
[] =>  this Administrator Host
FIREWALL STATUS: Drop all INPUT on eth1
FIREWALL STATUS: Port Filtering on ppp+
FIREWALL STATUS: Drop all INPUT on ppp+
FIREWALL STATUS: Log created...
ssh stop/waiting
ssh start/running, process 2543
Plugin rp-pppoe.so loaded.
RP-PPPoE plugin version 3.8p compiled against pppd 2.4.5
ssh stop/waiting
ssh start/running, process 2583

scriptnya  gubahannya mas Opik yang saya ambil dari tutor ubuntu server saya pergunakan pada ubuntu server 10.4. yang bikin bingung script ini sdh berjalan mas selama 5 hari. hari ke enam ( hari ini ) tiba2 ga bisa konek saat di check di server langsung pun tak ada pesan erorr. pesan erorr itu muncul saat service networknya di restart baru deh penyakitnya keliatan.
mohon bantuannya bang.
terimakasih

coba jabarkan detail script-nya...

di letakkan di versi brapa pun gak ada masalah koq hanya diatas versi 9.04 untuk PREROUTING gaj bisa di beri -j DROP.... tetapi diatas kebanyakan penulisan MAC-Address yg salah....

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

coba jabarkan detail script-nya...

di letakkan di versi brapa pun gak ada masalah koq hanya diatas versi 9.04 untuk PREROUTING gaj bisa di beri -j DROP.... tetapi diatas kebanyakan penulisan MAC-Address yg salah....

mohon maaf sebelumnya mas sdh banyak merepotkan. memang untuk -j DROP saya beri comment mas biar ga di baca. dan ini mas detail scriptnya:

#! /bin/bash
# Bash script firewall with IP Address and MAC Address filtering
# (C) 2009 by th@opikdesign.com

###### VARIABLE

files1="/etc/network/lists.filter"
files2="/etc/network/administrator.filter"

device=eth1
ip_subnet=192.168.0.0/24

device_inet=ppp+

ssh=212
webmin=10000
samba_cups=135,137,138,139,445,631
http=80
http_SSL=443
smtp=25
smtp_SSL=465
pop3=110
pop3_SSL=995
DNS=53
ftp=20,21
ftp_SSL=115,989,990
proxy=3128
havp=8080
icp=3130
time=13,123
range_port=1025:65535

###### SCRIPT

echo "FIREWALL STATUS: All Firewall Drop & Reset";
/sbin/iptables -t mangle -F
/sbin/iptables -t nat -F
/sbin/iptables -t filter -F
/sbin/iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

echo "FIREWALL STATUS: MTU Setting";
/sbin/iptables -t mangle -A FORWARD -o $device -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -t mangle -A FORWARD -o $device_inet -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

echo "FIREWALL STATUS: Mangle created for Proxy Port at number 4";
/sbin/iptables -t mangle -A OUTPUT -m tos --tos Maximize-Reliability -j MARK --set-mark 0x04
/sbin/iptables -t mangle -A OUTPUT -m tos --tos 0x04 -j MARK --set-mark 0x4
/sbin/iptables -t mangle -A FORWARD -m tos --tos 0x04 -j MARK --set-mark 0x04
/sbin/iptables -t mangle -A POSTROUTING -m tos --tos 0x04 -j MARK --set-mark 0x04

#echo "FIREWALL STATUS: Drop all PREROUTING on $device";
#/sbin/iptables -t nat -I PREROUTING -i $device -j DROP
echo "FIREWALL STATUS: Drop all FORWARD on $device";
/sbin/iptables -t filter -I FORWARD -i $device -j DROP
echo "FIREWALL STATUS: IP & MAC Filtering on device $device";

echo "FIREWALL STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: ";

cat $files1 | while read ip_address mac_address client; do

/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p tcp -m tcp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p udp -m udp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t filter -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $ip_address -o $device_inet -j MASQUERADE
echo "$ip_address [$mac_address] => $client";

done

cat $files2 | while read ip_address mac_address client; do

/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p tcp -m tcp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t nat -I PREROUTING -i $device -s $ip_address -p udp -m udp --dport $http -j REDIRECT --to-ports $proxy
/sbin/iptables -t filter -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $samba_cups -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $http,$http_SSL,$smtp,$smtp_SSL,$pop3,$pop3_SSL,$DNS,$ftp,$ftp_SSL -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $proxy,$havp,$icp,$time -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m multiport --dports $ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m multiport --dports $ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p tcp -m tcp --dport $range_port -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device -s $ip_address -m mac --mac-source $mac_address -p udp -m udp --dport $range_port -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s $ip_address -o $device_inet -j MASQUERADE
echo "$ip_address [$mac_address] => $client this Administrator Host";
done

echo "FIREWALL STATUS: Drop all INPUT on $device";
/sbin/iptables -t filter -A INPUT -i $device -j DROP
echo "FIREWALL STATUS: Port Filtering on $device_inet";
/sbin/iptables -t filter -A INPUT -i $device_inet -p tcp -m multiport --dports $http,$http_SSL,$ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT -i $device_inet -p udp -m multiport --dports $http,$http_SSL,$ssh,$webmin -j ACCEPT
/sbin/iptables -t filter -A INPUT ! -s $ip_subnet -i $device_inet -p tcp -m multiport --dports $smtp,$smtp_SSL -j DROP
/sbin/iptables -t filter -A INPUT -i $device_inet -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -t filter -A INPUT -i $device_inet -p udp -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -t filter -A INPUT -i $device_inet -p icmp -m icmp --icmp-type 8 -j DROP
/sbin/iptables -t filter -A FORWARD -i $device_inet -p icmp -m length --length 92 -j DROP
/sbin/iptables -t filter -A INPUT -i $device_inet -p icmp --icmp-type echo-request -j DROP

echo "FIREWALL STATUS: Drop all INPUT on $device_inet";
/sbin/iptables -t filter -A INPUT -i $device_inet -j DROP
echo "FIREWALL STATUS: Log created...";
/sbin/iptables -t filter -A INPUT -p tcp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied TCP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p udp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied UDP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p icmp -m limit --limit 5/min -j LOG --log-prefix "Iptables: Denied ICMP Port: " --log-level 7
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $http,$http_SSL -j LOG --log-prefix "HTTP_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $proxy,$havp -j LOG --log-prefix "PROXY_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $http,$http_SSL -j LOG --log-prefix "HTTPS_CONN: UDP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $proxy,$havp -j LOG --log-prefix "PROXY_CONN: UDP port: "
/sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m multiport --dports $ssh -j LOG --log-prefix "SSH_CONN: TCP port: "
/sbin/iptables -t filter -A INPUT -p udp -m state --state NEW -m multiport --dports $ssh -j LOG --log-prefix "SSH_CONN: UDP port: "

mohon bantuannya mas.
terimakasih

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

untuk script-nya sepertinya gak ada yg salah....
coba di share file /etc/network/lists.filter dan /etc/network/administrator.filter

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

untuk script-nya sepertinya gak ada yg salah....
coba di share file /etc/network/lists.filter dan /etc/network/administrator.filter

apa mungkin kernel atau versi iptablenya yg mas???

lists.filter
192.168.0.101 00:30:67:11:79:CF A.dns.aryanova.net
192.168.0.102 00:30:67:0B:40:5D B.dns.aryanova.net
192.168.0.103 00:30:67:0B:42:69 C.dns.aryanova.net
192.168.0.104 00:30:67:0B:42:DD D.dns.aryanova.net
192.168.0.105 00:30:67:0B:40:9F E.dns.aryanova.net

administrator.filter
192.168.0.100 00:19:21:9A:AA:FA ADMIN.dns.aryanova.net

iptables v1.4.4
mohon maaf mas jadi ngerepotin banget
terimakasih

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

dilihat dari susunan error diatas, yg error adalah pada group administrator...
coba file /etc/network/administrator.filter tambahkan space enter 1x lagi jadi cursor terakhir dibawah...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

dilihat dari susunan error diatas, yg error adalah pada group administrator...
coba file /etc/network/administrator.filter tambahkan space enter 1x lagi jadi cursor terakhir dibawah...

mas opik sudah saya coba mas sarannya tetap erorr itu muncul.
saya coba untuk membuat file baru dengan ip, mac tanpa hostname dengan line baru pada file nya. posisi crusor ada di bawah line ip dan mac. tetap sama mas.
mas opik klo untuk bad argument yang ppp+ itu kira2 di bagian mana nya mas apa karena mac addressnya bad jadi ngikut juga gitu karena satu file???
terimakasih

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

maksudnya 1 spasi kosong dibawahnya...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

maksudnya 1 spasi kosong dibawahnya...

kayanya saya salah persepsi nih mas.
maksud mas Opik

opikdesign wrote:

"tambahkan space enter 1x lagi jadi cursor terakhir dibawah..."

apakah maksudnya setelah mengetik <ip address> <mac address> <hostname> kemudian enter dan save filenya apakah begitu mas?? jika benar demikian sdh saya lakukan mas dan masih error mohon maaf jika salah persepsi mas
roll

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

mas coba di buang semua confignya ip tables nya  dan diulang dari awal semuanya kembali dari nol
dan coba posting confignya dari awalnya

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

barob wrote:

mas coba di buang semua confignya ip tables nya  dan diulang dari awal semuanya kembali dari nol
dan coba posting confignya dari awalnya

Maaf mas Barob. maksudnya dari awal itu dari mana nih??? bisa tolong lebih detil lagi maklum mas masih newbie.

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

Adrian1 wrote:
opikdesign wrote:

maksudnya 1 spasi kosong dibawahnya...

kayanya saya salah persepsi nih mas.
maksud mas Opik

opikdesign wrote:

"tambahkan space enter 1x lagi jadi cursor terakhir dibawah..."

apakah maksudnya setelah mengetik <ip address> <mac address> <hostname> kemudian enter dan save filenya apakah begitu mas?? jika benar demikian sdh saya lakukan mas dan masih error mohon maaf jika salah persepsi mas
roll

sy periksa script-nya gaj ada masalah dan file list-nya jg gak masalah.... sy jg gak pernah ngalami yg jelas salah pada penulisan di file list-nya

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

sy periksa script-nya gaj ada masalah dan file list-nya jg gak masalah.... sy jg gak pernah ngalami yg jelas salah pada penulisan di file list-nya

berarti masalah ada pada file listnya yah mas. oke deh mas nanti saya coba oprek2 lagi file listnya. jika ga berhasil juga mentoknya yah install ulang lagi jika masih juga yah mungkin tidak menggunakan mac address. yang terpenting sih sedikit menjaga agar pihak2 asing agak sedikit kesulitan masuk hehehehe big_smile
terimakasih banyak mas Opik atas waktunya.
sekali lagi terimakasih banyak

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

Ini untuk pengamanan jaringan local terutama untuk RT/RW Net, untuk MAC-Filtering masih bisa dibobol dgn cloning MAC tetapi lebih baik ada MAC-Filtering, klo ip sama dalam satu jaringan pasti akan konflik.

Bagaimana klo IP-Filtering tetapi menggunakan DHCP Server, masih bisa jawabnya, menggunakan MAC-ADD untuk menentukan IP, jadi semua client akan ditentukan IP-nya oleh DHCP Server berdasarkan MAC-ADD-nya masing2.

sebagai berikut tutorialnya:

sebelumnya, kita anggap setting jaringan sudah bener dan berjalan normal, tentunya package repo DHCP3-server sudah terinstall. Dan kita menganggap device untuk jaringan local eth0 dgn IP server 192.168.0.1, sudah terdapat BIND9 untuk DNS Server.

1. buat daftar, catat semua MAC-ADDRESS Client dan tentukan IP-nya.
2. rubah settingan file /etc/dhcp3/dhcpd.conf

ddns-update-style none;

subnet 192.168.0.0 netmask 255.255.255.0 {

    option domain-name-servers 192.168.0.1;
    option netbios-name-servers 192.168.0.1;
    option routers 192.168.0.1;
    option broadcast-address 192.168.0.255;
    option subnet-mask 255.255.255.0;

    default-lease-time 600;
    max-lease-time 144000;

    log-facility local7;

    host hostname {
        hardware ethernet AA:BB:CC:DD:EE:FF;
        fixed-address 192.168.0.abc;
    }

}

keterangan:
hostname >>> ganti sesukanya untuk mempermudah ID client
MAC-ADDRESS AA:BB:CC:DD:EE:FF akan diberi IP 192.168.0.abc

Jika kalo client banyak, maka ulangin dan masukkan hostname, MAC-ADDRESS dan penentuan IP sebanyak yg dibutuhkan:

    host hostname {
        hardware ethernet AA:BB:CC:DD:EE:FF;
        fixed-address 192.168.0.abc;
    }

2. Buat Bash Script file /etc/network/filter.rules :

#!/bin/bash
# Bash script IP Address and MAC Address Filtering
# (C) 2009 by th@opikdesign.com

files="/etc/network/filter.list"
device="eth0"

echo " "
echo "MAC FILTER STATUS: All connection to droped on device $device"

iptables -I PREROUTING -t nat -i $device -j DROP
iptables -I FORWARD -i $device -j DROP
iptables -A INPUT -i $device -j DROP

echo " "
echo "MAC FILTER STATUS: Running on device $device"
echo "MAC FILTER STATUS: Allow access for IP-ADDRESS and MAC-ADDRESS: "

cat $files | while read ip_address mac_address; do
iptables -A INPUT -t filter -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
iptables -I PREROUTING -t nat -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
iptables -I FORWARD -i $device -s $ip_address -m mac --mac-source $mac_address -j ACCEPT
echo "$ip_address [ $mac_address ] "
done

keterangan:
Jika default device untuk local bukan eth0, maka bisa di rubah:

device="eth0"

3. Buat file /etc/network/filter.list sebagai database yg berisi MAC-ADDRESS client dgn IP yg telah di tentukan di /etc/dhcp3/dhcpd.conf tersebut diatas, contoh:

192.168.0.10    00:11:D8:CF:A5:21
192.168.0.11    00:0C:46:A7:22:9A
192.168.0.12    00:15:AF:41:3B:EC

4. Beri chmod 0777 ato +x untuk file /etc/network/filter.rules

# chmod +x /etc/network/filter.rules

5. Agar setiap kali reboot ato startup program langsung jalan maka buka file /etc/rc.local dan tambahkan /etc/network/filter.rules pada baris terakhir tetapi hapus baris exit 0

6. Lakukan reboot pada server tersebut.


pada dasarnya, lebih bagus klo tanpa DHCP-Server sih jadi bener2 secure, tp siapa yg mau gantiin IP client yg rumahnya jauh2 dan hrs ketok pintu dulu apalagi klo client-nya dah buanyak sekali, akhirnya pake DHCP-server, jika MAC-ADDRESS sudah ada yg clone sebaiknya segera ganti IP Client pada /etc/dhcp3/dhcpd.conf agar ke blok ip-nya.

Akhir kata, semoga berguna bagi member KIOS, dan terima kasih kepada mas si_faisal yg suka jahilin RT/RW Net orang lain, karena beliau jadi sy ter-inspirasi untuk membuat ini untuk memperkecil gangguan security.


HTH

maaf bung opik, nanya lagi nih...ato master2 laen mgkn ad saran
aq pake topologi kayak gini:
inet====adsl modem bridge===eth0 linux server eth1===hub===client
                                                                                        !!
                                                                                        !!
                                                                                     AP sebagai bridge===client

selama ini server ud jalan pake tutorial bang opik, ud fix semua termasuk webhtb dan semuanya, pake dhcp server juga tp gak ad filter mac address..
nah misal kl pake filter mac address bagaimana nasib client yang baru yg pake laptop, ap setiap ad pengunjung yg aksess hotspot selalu didefiniskan mac-addresnya?
moga kata2q gak menyinggung master2 semua.....

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

mungkin repo linuxnya belum di update dan biasanya kalo belum diupdate sering error setelah beberapa hari

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

@yudiarbi

klo memakai MAC Filtering, klo ada client baru yg harus dilakukan adalah mendaftarkan MAC-ADDRESS-nya.... jika gak didaftarkan maka dia gak bisa melakukan koneksi...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

opikdesign wrote:

@yudiarbi

klo memakai MAC Filtering, klo ada client baru yg harus dilakukan adalah mendaftarkan MAC-ADDRESS-nya.... jika gak didaftarkan maka dia gak bisa melakukan koneksi...

berarti setiap ad pengunjung yg mau connect hrs kita definisikan mac address-nya?bagaimana mengetahui mac-address tanpa melihat Lan-nya sendiri di komputer yg bersangkutan?ngeceknya tetep pake nbtscan itu pak di server?trus tinggal merestart dhcp servernya?kl misal ad cara lain misal setiap connect ke internet client hotspot memasukkan username yg kita definisikan itu bisa gak?

Re: Cara Membuat IP-FILTER dan MAC-FILTER berjalan bersama dgn DHCP Server

yudiarbi wrote:

kl misal ad cara lain misal setiap connect ke internet client hotspot memasukkan username yg kita definisikan itu bisa gak?

bisa aja dgn cara password, signal AP di encrypt dan semua AP ada fasilitasnya untuk itu koq...
setelah itu di AP bisa dilihat MAC-Add yg connect baru di daftarkan ato hanya security di AP jg bisa koq...

Facebook OPiKdesign
http://badge.facebook.com/badge/100000147194199.279.411965916.png
* IT Consultant * Networking Specialist for Internet Cafe/HotSpot/SOHO * Maintenance * Graphic & Web Design, 3D Modeling & 2D/3D Animation * Hosting & Domain * email to: th@opikdesign.com