"Diterjemahkan seadanya oleh yuzank.blogspot.com dari www.linuxhomenetworking.com"
Semua paket diperiksa oleh iptables melewati urutan built-in tabel (queue) untuk diproses. Masing-masing queue didedikasikan untuk menentukan nasib suatu paket. Masing-masing queue tersebut dikontrol oleh suatu penyesuaian transformasi paket / filtering chain,
Secara keseluruhan ada tiga jenis tabel.
Pertama, Tabel mangle yang bertanggung jawab atas perubahan kualitas pelayanan bit pada header TCP.Hal ini jarang digunakan di rumah atau lingkungan SOHO.
Kedua, Table filter queue yang bertanggung jawab untuk packet filtering. Ia memiliki tiga jenis built-in chain di mana kita dapat menempatkan pengaturan firewall. Ketiga jenis tersebut yaitu:
- Forward chain: filter paket menuju server yang dilindungi oleh firewall.
- Input chain: filter paket yang menuju ke firewall.
- Output chain: Filter paket yang keluar dari firewall.
Ketiga, Tabel NAT queue yang berfungsi untuk melakukan Network Address Translation. Terdapat dua jenis NAt yaitu:
- Pre-routing chain: penterjemahan paket jika alamat tujuan dari paket perlu diubah.
- Post-routing chain: penterjemahan paket jika alamat asal/sumber dari paket perlu diubah.
Table: Processing For Packets Routed By The Firewall
| Queue Type | Queue Function | Packet Transformation Chain in Queue | Chain Function |
|---|---|---|---|
| Filter | Packet filtering | FORWARD | Filters paket ke server yang dapat di akses oleh NIC(network interface controller) lain pada firewall. |
INPUT | Filters paket menuju firewall. | ||
OUTPUT | Filters paket keluar dari firewall | ||
| Nat | Network Address Translation | PREROUTING | Terjadi penterjemahan alamat sebelum routing. Pengubahan alamat IP tujuan sehingga sesuai dengan routing tabel firewall. Digunakan NAT pada alamat IP tujuan (Destination IP address) sering disebut sebagai destination NAT atau DNAT. |
POSTROUTING | Terjadi penterjemahan alamat setelah routing. Ini berarti tidak perlu melakukan modifikasi alamat IP tujuan paket pada pre-routing. Digunakan NAT pada alamat IP sumber/asal (source IP address) menggunakan salah satu dari one-to-one atau many-to-one NAT. Sering disebut source NAT, atau SNAT. | ||
OUTPUT | Network Address Translation (NAT) untuk paket yang di hasilkan oleh firewall. (jarang digunakan pada lingkungan SOHO) | ||
| Mangle | TCP header modification | PREROUTING POSTROUTING OUTPUT INPUT FORWARD | Modifikasi pada kualitas paket TCP sbelum routing terjadi. ( jarang digunakan pada lingkungan SOHO) |
Kita memerlukan tabel spesifik dan terurut/berantai(chain) untuk stiap aturan(rule) firewall yang dibuat. Pengecualian: Sebagian aturan(rule) yang berkaitan dengan filtering, jadi IPTables mengasumsikan bahwa setiap rantai(chain) yang didefinisikan tanpa suatu tabel terkait akan menjadi bagian dari tabel filter. Ada tabel filter terdapat secara default.
Untuk memperjelas, lihat alur paket yang ditangani oleh iptables. Pada gambar, paket TCP dari internet diterima oleh firewall interface pada network A untuk membuat sebuah koneksi data.
Pertam-tam paket si periksa oleh aturan/rule PREROUTING chain pada table mangle untuk di ketahui apakah paket cocok dengan DNAT. Jika iya maka roting paket diteruskan.
jika paket menuju jaringan yang diproteksi, maka paket tersebut akan disaring/filter oleh aturan/rule FORWARD chain pada tabel filter dan, jika diperlukan, paket menglami SNAT pada POSTROUTING chain sebelum sampai ke Network B. Ketika server tujuan memutuskan untuk membalas (reply), paket akan mengalami urutan langkah yang sama. FORWARD and POSTROUTING chains, keduanya dapat diseting untuk penerapan fitur quality of service (QoS) pada tabel mangle, tapi ini tidak biasa digunakan pada lingkungan SOHO.
Jika paket ditujukan ke firewall itu sendiri maka akan melewati INPUT chain pada tabel mangle, jika diseting(configured), sebelum disaring/filter oleh rule pada INPUT chain pada tabel filter terlebih dahulu. Jika berhasil melewati tes ini kemudian diproses oleh aplikasi yang dimaksud pada firewall.
Pada poin tertentu, firewall perlu untuk membalas (reply). reply ini dilewatkan dan diperiksa oleh rule pada OUTPUT chain pda tabel mangle, jika ada. Kemudian, rule pada OUTPUT chain pada tabel NAT menentukan apakah DNAT dijinkan dan rule pada OUTPUT chain pada tabel filter memeriksa untuk membatasi paket yang tidak sah. Akhirnya, sebelum paket dikrim kembali ke internet, SNAT dan QoS telah dilakukan oleh POSTROUTING chain.
Figure: Diagram Aliran Paket Iptables
No comments:
Post a Comment
Pengunjung yang terhormat, Silakan tinggalkan jejak Anda