IPTables Table Concept | Linux Based Firewall | Mikrotik

INPUT, OUTPUT, FORWARD, NAT Flow Concept
INPUT, OUTPUT, FORWARD, NAT Flow Concept

Konsep Traffic Flow table di iptables, INPUT, OUTPUT, FORWARD, NAT (PREROUTING & POSTROUTING). Sederhananya Input adalah traffic yang ditujukan kepada “saya” (saya disini adalah perangkat yang kita konfig). Output adalah traffic yang ‘berasal’ dari “saya”. Forward adalah traffic yang saya teruskan. Dan NAT adalah Traffic yang saya ‘mainkan’ source IP&/port atau destination IP/&port (&/ maksudnya dan atau).

Yang perlu diingat lagi, di IPtables kita main di Layer 3 dan Layer 4, Jadi yang kita mainkan adalah source/destination IP Address, source/destionation port yang bisa dipake sebagai indentitas protocol. Lalu default Rule di IPTables adalah ALLOW, bisa dirubah menjadi DROP, tergantung skenarionya mau Deny Few Allow All, Atau Allow Few Deny All. Oke lanjut, lebih mendetail dikit πŸ˜€

1. INPUT

Seperti yang udah disebutkan diatas, Input adalah segala traffic yang ditujukan ke “saya”, contoh trafficnya adalah ping yang ditujukan ke “saya”, ada SNMP Trap yang ditujukan ke saya, aku punya service http, ftp, dns… nah kita bisa ngatur siapa aja yang boleh ngakses services itu dengan memfilter traffic source IP di rule input ini. Contohnya kita mainkan Input misal kita nggak mau diping, yaudah tinggal drop input icmp. ohh nggak mau di ping dari 1.1.1.1, yaudah tinggal drop input icmp source 1.1.1.1. layanan webservernya nggak boleh diakses dari 1.1.1.1 yaa kita drop input protocol tcp port 80 source 1.1.1.1. Atau ibarat routernya lagi PMS, nggak pengen diganggu, semua input di DROP, bisaaa…. input -j dropΒ πŸ˜€

Input biasanya dipake untuk memfilter request yang ditujukan ke ‘saya’. Sehingga sebelum request ini sampai ke proses yang lebih tinggi, sudah di drop dulu. Misal kita ngefilter input request http, jadi request itu sudah di drop dulu di layer 3 sebelum sampai ke apache yang notabene aplikasi, di layer 7, Lumayan kan ngehemat resource karena apache tidak perlu melayani request itu πŸ™‚ daripada kalo ditempatin di output kan request itu udah nglewatin prosesnya si apache πŸ™‚

Tips bikin rule firewall versiku biasanya aku urutkan dari layer bawah, firewall biasa main di layer 3 & 4, jadi biar gampang urutannya versiku :

concept –> Traffic dari X ke Y isinya Protocol Z mau diapain..

bahasa manusia –> traffic masuk dari 1.1.1.1 ke saya protocol TCP HTTP (TCP80) jangan diterima

firewall rule –> iptables -A INPUT -s 1.1.1.1 -p tcp –dport 80 -j DROP

2. OUTPUT

Kebalikannya INPUT, Kalau Output adalah traffic dari ‘saya’ keluar. misal aku ping kemana gitu, atau aku request web ke google. aku buka facebook. Traffic yang digenerate oleh saya sendiri. OUTPUT misal dipake buat ngefilter supaya BGP (bgp pake TCP 179) yang digenerate tidak keluar di interface ethx, tapi keluar lewat ethy, jadinya kayak passive interface πŸ˜€

3. Forward

Segala sesuatu traffic yang “lewat”, maksudnya masuk dari interface x dan keluar di interface y. Nangkeplah yang ini πŸ˜€

4. NAT

NAT pokoknya berhubungan dengan ganti-mengganti, source/destination IP&/port, kalo aku bilang sih seamless redirection..haha… NAT dia juga ada hubungannya dengan FORWARD, jadi kalo FORWARD di tutup, jadi NATnya gimana? coba tebak sendiri πŸ™‚ . Nah di NAT ada yang namanya PREROUTING dan POSTROUTING apakah itu??

4A. PREROUTING

ini adalah posisi proses yang terjadi ketika packet itu belum di routing (ditentukan next-hopnya berdasarkan table routing), gampangnya ini di posisi awal-awal packet masuk router. disini kita bisa modifikasi destination IP/Port dll, pokoknya yang berhubungan dengan destination, mumpung belum ditanyain ‘tujuan lu mau kemana’, belum ditentuin routenya πŸ™‚ . Jadi kalo mau mainan redirect-redirect-an, Transparent Proxy, maian DMZ, disini nih mainnya, PREROUTING.

4B. POSTROUTING

yang ini proses di akhir-akhir, setelah ditentukan routenya, dan sebelum paket itu diberangkatkan di out interface. disini kita mainin source attribute, misal source IP Address. Penerapannya adalah biasanya untuk masking IP Private ke IP Public supaya konek ke internet πŸ™‚

Nah itu tadi konsep tablenya, lalu apa aja sih faktor2 yang bisa kita pake untuk filtering, source/destination IP, Port (protocol). Ada lagi yang namanya Connection State, itu tuh yang NEW, RELATED, ESTABLISHED, INVALID. nanti deh moga bisa ketulis di post berikutya πŸ˜€

5 thoughts on “IPTables Table Concept | Linux Based Firewall | Mikrotik

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s