Topology diatas mungkin menjelaskan, bahwa tujuan kita adalah membuat simple firewall dan hanya pc admin yang bisa melakukan telnet ke router simple firewall. dalam hal ini saya menggunakan acl sebagai jurus andalan. hehe.. acl (access list) adalah sebuah metode untuk membatasi access atau memperbolehkan access sebuah jaringan, dalam cisco router access list dibagi menjadi 2 :
- Standard Access List
- Extended Access List
Beda antara keduanya adalah Standard Access list menggunakan "ip" sebagai sumber metode access sedangkan Extended menggunakan banyak metode, dari ip, tcp, udp, icmp sebagai metode access itu sendiri. jelasnya adalah access list akan membatasi sumber terntentu terhadap tujuan.
perlu diketahui
PC admin menggunakan IP :192.168.2.88/24
PC admin menggunakan IP :192.168.2.88/24
PC host 192.168.2.1-254/24
Nah, config untuk Router simple firewallnya :
enable
conf t
enable password cisco
interface FastEthernet0/0
description link_to_wan
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
ex
interface FastEthernet0/1
description link_to_lan
ip address 192.168.2.1 255.255.255.0
ip access-group 100 out
ex
router rip
network 192.168.1.0
network 192.168.2.0
ex
ip access-list extended telnet
permit tcp host 192.168.2.88 any eq telnet
deny tcp any any
ex
access-list 100 permit tcp any eq 20 any
access-list 100 permit tcp any eq 21 any
access-list 100 permit tcp any eq 22 any
access-list 100 permit tcp any eq 25 any
access-list 100 permit tcp any eq 80 any
access-list 100 permit tcp any eq 81 any
access-list 100 permit tcp any eq 110 any
access-list 100 permit tcp any eq 143 any
access-list 100 permit tcp any eq 443 any
access-list 100 permit tcp any eq 993 any
access-list 100 permit tcp any eq 995 any
access-list 100 permit tcp any eq 389 any
access-list 100 permit tcp any eq 636 any
access-list 100 permit tcp any eq 3268 any
access-list 100 permit tcp any eq 3269 any
access-list 100 deny tcp any range 0 65535 any
access-list 100 permit udp any eq 53 any
access-list 100 deny udp any range 0 65535 any
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 permit ip any any
line vty 0 4
access-class telnet in
password cisco
end
write
Keterangan
port yang ada dapat di sesuaikan
access-list 100 permit tcp any eq 20 any !ftp
access-list 100 permit tcp any eq 21 any !ftp
access-list 100 permit tcp any eq 22 any !ssh apabila di butuhkan
access-list 100 permit tcp any eq 23 any !telnet apabila di butuhkan
access-list 100 permit tcp any eq 25 any !smtp
access-list 100 permit tcp any eq 80 any !HTTP
access-list 100 permit tcp any eq 81 any !HTTP alternative
access-list 100 permit tcp any eq 110 any !pop3
access-list 100 permit tcp any eq 143 any !IMAP
access-list 100 permit tcp any eq 443 any !https
access-list 100 permit tcp any eq 993 any !imap melalui SSL
access-list 100 permit tcp any eq 995 any !pop3 melalui ssl
(bisa di sesuaikan) contoh LDAP
access-list 100 permit tcp any eq 389 any
access-list 100 permit tcp any eq 636 any
access-list 100 permit tcp any eq 3268 any
access-list 100 permit tcp any eq 3269 any
access-list 100 deny tcp any range 0 65535 any
access-list 100 permit udp any eq 53 any !dns
access-list 100 deny udp any range 0 65535 any
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 permit ip any any
kurang jelas? anda bisa download file .pktnya disini.
Silahkan copas tapi jangan lupa link aslinya.
tutorial original from. kisahpemimpi.blogspot.com
Tidak ada komentar:
Posting Komentar