Pertama, untuk block ping dari luar, dari ip address mana saja,
Kita disini menggunakan linux Centos, menggunakan iptables,
Show iptables,
[root@ElastixA ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Secara default iptables accept semua,
Disini kita coba block semua traffic icmp dari semua host, jadi kalau ada yang ping kesini di reject,
Linux ip address set ke 172.17.17.11/24
[root@ElastixA ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:2C:DF:9B
inet addr:172.17.17.11 Bcast:172.17.17.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3054 errors:0 dropped:0 overruns:0 frame:0
TX packets:3832 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:534116 (521.5 KiB) TX bytes:547064 (534.2 KiB)
Command untuk block,
[root@ElastixA ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
Test ping dari ip 172.17.17.1
Reply from 172.17.17.11: Destination port unreachable.
Reply from 172.17.17.11: Destination port unreachable.
Reply from 172.17.17.11: Destination port unreachable.
Test ping dari ip 172.17.17.253
172.17.17.11 84 64 0ms port unreachable
172.17.17.11 84 64 1ms port unreachable
172.17.17.11 84 64 0ms port unreachable
-----------------------------------------------------------------------------------
Sekarang kita mau allow ip 172.17.17.253 supaya bisa ping ke ip 172.17.17.11,
Commad :
[root@ElastixA ~]# iptables -A INPUT -s 172.17.17.253 -j ACCEPT
Unreachable dari ip 172.17.17.1
Reply from 172.17.17.11: Destination port unreachable.
Reply from 172.17.17.11: Destination port unreachable.
Reply from 172.17.17.11: Destination port unreachable.
Bisa ping dari ip 172.17.17.253
1 172.17.17.253/24 172.17.17.0 ether2
2 X 172.17.18.1/24 172.17.18.0 ether2
[admin@MikroTik] > ping 172.17.17.11
HOST SIZE TTL TIME STATUS
172.17.17.11 56 64 0ms
172.17.17.11 56 64 2ms
172.17.17.11 56 64 1ms
sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=1ms max-rtt=2ms
List semua rules :
[root@ElastixA ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 172.17.17.253 anywhere
REJECT icmp -- anywhere anywhere icmp echo-request reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Yang harus diperhatikan disini, untuk rule harus berurutan, dimulai dari ip address yang di ACCEPT dahulu, kemudian setelah itu block semua.
Jadi urutan seperti ini :
[root@ElastixA ~]# iptables -A INPUT -s 172.17.17.253 -j ACCEPT
[root@ElastixA ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
Setelah itu save konfisgurasi, supaya reboot system tidak hilang rulesnya,
[root@ElastixA ~]# /sbin/service iptables save
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
boleh tanya?
ReplyDeleteecho-reply sama echo-request itu buat apa