Firewall dan Network Address Translation (NAT)

1 Firewall

IPTABLES adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan penyaringan terhadap lalu lintas data. Secara sederhana digambarkan sebagai pengatur lalu lintas data. 

Dengan IPTABLES inilah kita akan mengatur semua lalu lintas dalam komputer, baik yang masuk ke komputer, keluar dari komputer, ataupun lalu lintas data yang sekedar melewati komputer. 

IPTABLES fapat digunakan untuk melakukan seleksi terhadap paket -paket yang datang baik input, output maupun forward berdasarkan IP address, identitas jaringan, port, source (asal), destination (tujuan), protokol yang digunakan bahkan berdasarkan tipe koneksi terhadap setiap paket (data yang diinginkan).

IPTABLES dapat melakukan perhitungan terhadap paket dan menerapkan prioritas trafik berdasar jenis layanan (service). IPTABLES dapat digunakan untuk mendefinisikan sekumpulan aturan keamanan berbasis port untuk mengamankan host-host tertentu.

IPTABLES juga dapat dimanfaatkan untuk membangun sebuah router atau gateway, tentunya hanya untuk sistem operasi Linux. Firewall IPTABLES packet filtering memiliki tiga aturan (policy), yaitu:

a. INPUT

• Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall, misal: hanya komputer IP 192.168.1.100 yang bisa mengakses SSH ke firewall dan yang lain tidak boleh.

b. OUTPUT

• Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset, karena bisa membatasi kemampuan firewall itu sendiri.

c. FORWARD

• Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Aturan forward paling banyak dipakai saat ini untuk  mengatur koneksi internet berdasarkan port, mac address dan alamat IP. 

Selain aturan (policy), firewall IPTABLES juga mempunyai parameter yang disebut dengan TARGET, yaitu status yang menentukan koneksi di IPTABLES diizinkan lewat atau tidak. TARGET ada tiga macam yaitu:

- ACCEP

• Akses diterima dan diizinkan melewati firewall.

- REJECT

• Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat pesan “Connection Refused”. Target Reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan DROP.

- DROP

• Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan – akan server yang dihubungi mengalami permasalahan teknis. 
• Pada koneksi internet yang sibuk dengan trafik tinggi, Target Drop sebaiknya jangan digunakan.

2 Network Address Translation (NAT)

Pada jaringan komputer, proses Network Address Translation (NAT) adalah proses penulisan ulang (masquerade) pada alamat IP asal (source) dan/atau alamat IP tujuan (destination), setelah melalui router atau firewall.

NAT digunakan pada jaringan dengan workstation yang menggunakan IP private supaya dapat terkoneksi ke Internet dengan menggunakan satu atau lebih IP public.

Pada mesin Linux, untuk membangun NAT dapat dilakukan dengan menggunakan IPTABLES (Netfilter). Dimana pada IPTABLES memiliki tabel yang mengatur NAT. NAT dapat dikerjakan oleh kernel Linux dengan salah satu dari dua cara berikut :

a. Source NAT

• SNAT digunakan untuk menyembunyikan asal paket-paket dengan melakukan pemetaan alamat asal paket-paket yang akan menuju jaringan eksternal ke suatu IP address atau range address tertentu. 
• Dengan kemampuan seperti ini, SNAT bisa digunakan sebagai server Masquerader.

b. Destination NAT

• DNAT sering digunakan untuk me-redirect secara transparan paket-paket yang masuk ke suatu lokasi/tujuan, misalnya diarahkan ke mesin yang berfungsi sebagai server proxy atau firewall SOCKS.
• Salah satu versi dari NAT adalah IP Masquerade, yang mengijinkan beberapa workstation atau host terkoneksi ke internet tanpa harus memiliki IP address yang dapat dikenal di jaringan eksternal internet. 
• Server yang memiliki fungsi sebagai gateway menyediakan suatu masquerader menggunakan IPTABLES untuk membuat host-host lokal dikenal di jaringan internet dimana IP address yang tercatat adalah IP address gateway.

Proses masquerade IP dikerjakan menggunakan subsitusi IP address dan nomor port. IP address paket dari jaringan lokal diubah berdasarkan pada tujuannya. Berikut ini adalah aturan sederhananya :

a. Paket yang menuju jaringan eksternal (meninggalkan jaringan lokal menuju ke gateway). IP address asal paket diubah ke IP address mesin maquerader. IP address masquerader bersifat unik pada jaringan eksternal.

b. Paket yang masuk dari jaringan eksternal (menuju jaringan lokal melalui gateway). Alamat paket diubah ke IP address host jaringan lokal. Mesin-mesin di dalam jaringan lokal memiliki alamat private network yang tidak valid (tidak dikenal) pada jaringan eksternal. 

IP Masquerade menggunakan port forwarding untuk mengubah suatu IP address paket. Pada saat sebuah paket sampai dari jaringan eksternal, alamat portnya diperiksa dan dibandingkan terhadap isi tabel masquerade. 

Jika port yang dibandingkan ditemukan, IP address yang ada pada header paket diubah dan dikirim ke IP address yang telah di-masquerade. Ada 3 hal yang harus diperhatikan dalam implementasi NAT :

- Semua aturan penterjemahan address ke chain-chain dalam tabel NAT.

- Tabel NAT menggunakan chain-chain seperti berikut ini :

• a) PREROUTING, digunakan untuk memilah paket yang akan diteruskan
• b) POSTROUTING, digunakan untuk memilah paket yang telah diteruskan
• c) FORWARD, digunakan untuk memilih paket yang melalui router.

- Memasukkan modul-modul kernel untuk menangani protokol-protokol khusus.

Suplemen :

Rujukan :
http://siriauganteng.blogspot.com/2017/09/network-address-translationnat.html
https://commons.wikimedia.org/wiki/File:Network_Address_Translation_(file2).jpg