WNDW: Skenario 1: Akses point dengan Masquerading

From OnnoWiki
Jump to navigation Jump to search

Ini adalah yang paling sederhana di antara semua skenario, dan amat berguna di situasi di mana anda ingin sebuah akses point untuk kantor. Ini paling mudah di situasi di mana:

  1. Ada Firewall khusus dan gateway yang menjalankan Linux, dan anda hanya ingin menambahkan wireless interface.
  2. Anda mempunyai komputer bekas yang tua atau laptop yang ada, dan lebih suka untuk menggunakannya sebagai akses point.
  3. Anda ingin lebih banyak kemampuan dalam mengamati, mencatatkan dan/atau keamanan daripada apa yang disediakan oleh kebanyakan akses point komersial, tetapi tidak mau berroyal-royal dengan akses point perusahaan.
  4. Anda ingin sebuah mesin untuk bertindak sebagai 2 akses point (dan firewall) agar anda bisa memberikan akses jaringan yang aman ke ke intranet, maupun tamu dengan akses terbuka.


Setup awal

Mulailah dengan komputer yang sudah terkonfigurasi yang menjalankan GNU/Linux. Ini bisa berupa instalasi Ubuntu Server, atau Fedora Core. Komputer harus mempunyai sedikitnya 2 interface agar dapat berfungsi, dan sedikitnya salah satunya harus nirkabel. Sisa deskripsi ini mengasumsikan bahwa port Ethernet (eth0) yang tersambung kabel dihubungkan ke Internet, dan bahwa ada interface nirkabel (wlan0) yang akan menyediakan fungsi akses point. Untuk mencari tahu apakah chipset anda mendukung cara master, coba perintah berikut dengan user root:

# iwconfig wlan0 mode Master 

ganti wlan0 dengan nama interface nirkabel anda.

Jika anda mendapat error, maka kartu nirkabel anda tidak mendukung mode akses point. Anda masih bisa menguji susunan yang sama untuk mode Ad-hoc, yang didukung oleh semua chipsets. Ini memerlukan anda untuk menyetel semua laptop yang sedang bersambungan dengan “akses point” ke mode Ad-hoc juga, dan mungkin tidak berjalan sesuai dengan apa yang anda harapkan. Biasanya lebih baik menemukan kartu nirkabel yang akan mendukung mode AP. Lihat situs web HostAP dan MADWiFi untuk memperoleh daftar card yang didukung.

Sebelum meneruskan lebih lanjut, pastikanlah dnsmasq terinstal di mesin anda. Anda dapat menggunakan manajer paket grafis dari distribusi anda untuk menginstal dnsmasq. Dalam Ubuntu anda dengan sederhana dapat menjalankan perintah berikut sebagai root:

# apt-get install dnsmasq 

Mengkonfigurasi interface Atur server anda agar eth0 terhubung ke Internet. Gunakan alat konfigurasi grafis yang datang dengan distribusi anda. Jika jaringan Ethernet anda memakai DHCP, anda bisa menggunakan perintah berikut sebagai root:

# dhclient eth0 

Anda seharusnya menerima IP address dan default gateway. Selanjutnya, konfigurasi interface nirkabel anda ke mode Master dan beri nama pilihan anda:

# iwconfig wlan0 essid “jaringan saya” mode Master enc off

Switch enc off mematikan enkripsi WEP. Untuk mengaktifkan WEP, tambahkan string hexkey dengan panjang yang benar:

# iwconfig wlan0 essid “jaringan saya” mode Master enc 1A2B3C4D5E 


Atau anda dapat menggunakan string teks yang dapat dibaca dengan memulai dengan “s:”


# iwconfig wlan0 essid “jaringan saya” mode Master enc “s:apple” 


Sekarang berilah interface nirkabel anda IP address dalam sebuah subnet privat, namun pastikan subnet tersebut tidaklah sama dengan subnet Ethernet adapter anda:

# ifconfig wlan0 10.0.0.1 netmask 255.255.255.0 broadcast 10.0.0.255 up 


Mengkonfigurasi masquerading di kernel

Supaya kita dapat menerjemahkan address antara kedua interface pada komputer, kita perlu untuk mengaktifkan masquerading (NAT) di kernel linux. Pertama kita muat modul kernel yang relevan:

# modprobe ipt MASQUERADE 

Sekarang kita akan hapus semua peraturan firewall yang sudah ada untuk memastikan bahwa firewall tidak menghalangi kita dari meneruskan paket di antara kedua interface. Jika firewall yang sudah ada sedang berjalan, pastikan anda tahu bagaimana caranya nanti untuk memulihkan peraturan yang sudah ada sebelum melanjutkan.

# iptables -F 

Aktifkan fungsi NAT di antara kedua interface

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 

Akhirnya kita perlu memungkinkan kernel untuk dapat meneruskan paket di antara interface:

# echo 1 > /proc/sys/net/ipv4/ip_forward 

Pada Linux berbasis distribusi Debian seperti Ubuntu, pergantian ini juga bisa dibuat dengan mengedit file/etc/network/options, dan pastikan bahwa ip_forward diset ke yes:

ip_forward=yes 

dan me-restart interface jaringan dengan:

# /etc/init.d/network restart 

atau

# /etc/init.d/networking restart 


Mengkonfigurasi server DHCP

Pada tahapan ini kita harusnya sudah mempunyai akses point yang beroperasi. Hal ini dapat diuji dengan menyambungkan dengan jaringan nirkabel “jaringan saya” dari mesin lain dan memberi mesin itu sebuah alamat IP dalam wilayah alamat IP yang sama dengan interface nirkabel pada server (pada contoh digunakan 10.0.0.0/24). Jika anda sudah mengaktifkan WEP, pastikan supaya memakai kunci yang sama dengan yang anda tetapkan di akses point.

Untuk membuat lebih mudah bagi orang untuk menyambung ke server tanpa mengetahui wilayah alamat IP jaringan, kita akan membuat server DHCP untuk secara otomatis membagi-bagikan address kepada klien nirkabel.

Kita menggunakan program dnsmasq untuk tujuan ini. Seperti yang ditunjukkan oleh namanya, program ini menyediakan caching DNS server serta server DHCP. Program ini dikembangkan khususnya untuk penggunaan dengan firewall yang melakukan NAT. Kemampuan caching DNS server terutama berguna jika hubungan Internet anda mempunyai latensi sambungan yang tinggi dan/atau sambungan bandwidth rendah, seperti VSAT atau dial-up. Ini berarti bahwa banyak pencarian DNS yang harus di resolve secara lokal, menghemat banyak trafik di sambungan Internet, dan juga membuat koneksi terasa lebih cepat bagi mereka yang tersambung.

Install dnsmasq menggunakan manajer paket distribusi anda. Jika dnsmasq tidak tersedia sebagai paket, download source kode dan install secara manual. Ini tersedia di http://www.thekelleys.org.uk/dnsmasq/doc.html.

Apa yang kita butuhkan untuk menjalankan dnsmasq hanya mengedit beberapa baris pada file konfigurasi dnsmasq, /etc/dnsmasq.conf.

File konfigurasi sudah dikomentari secara baik, dan mempunyai banyak pilihan untuk berbagai macam konfigurasi. Untuk mengaktifkan server dasar DHCP dan membuatnya berfungsi, kita hanya perlu untuk menghapus komentar dan/atau menyunting dua garis.

Temukan garis yang dimulai dengan:

interface=

pastikan kita mengeditnya menjadi:

interface=wlan0

ubah wlan0 agar sesuai dengan nama interface wireless anda. Kemudian cari baris yang dimulai dengan:

#dhcp-range= 

Hapus garis komentar dan sunting agar sesuai dengan alamat yang digunakan, misalnya:

dhcp-range=10.0.0.10.10.0.0.110.255.255.255.0.6h 

Kemudian simpan file dan jalankan dnsmasq melalui perintah:

#/etc/init.d/dnsmasq start 

Itu saja, sekarang anda dapat bersambungan dengan server sebagai akses point, dan mendapatkan alamat IP menggunakan DHCP. Ini akan memungkinkan anda untuk bersambungan dengan Internet melalui server.


Menambahkan keamanan ekstra: mengkonfigurasi Firewall

Ketika ini selesai dan telah di uji, anda dapat menambahkan tambahan peraturan firewall dengan menggunakan tool firewall yang tersedia di distribusi anda. Beberapa front-end / tool administrator untuk mengkonfigurasi firewall antara lain adalah:

  • firestarter – klien grafis untuk Gnome, yang memerlukan server anda menjalankan Gnome
  • knetfilter – klien grafis untuk KDE, yang memerlukan server anda menjalankan KDE
  • Shorewall – sekumpulan script dan file konfigurasi yang akan membuatnya lebih mudah untuk menyusun iptables * firewall. Ada juga front-end untuk shorewall, seperti webmin-shorewall.
  • fwbuilder – sangat powerful, tapi merupakan tool grafik yang agak rumit dan memungkinkan anda untuk menciptakan script iptables pada mesin yang terpisah dari server anda, lalu mentransfer-nya ke server kemudian. Ini tidak mengharuskan anda untuk menjalankan desktop grafik pada server, dan merupakan pilihan terbaik bagi mereka yang sangat perhatian pada masalah keamanan.

Ketika semua sudah terkonfigurasi dengan baik, pastikan semua setting tersirat di script di sistem startup. Dengan cara ini, perubahan yang anda buat akan terus berjalan jika mesin harus di-boot ulang.


Pranala Menarik