Pengenalan
Pada umumnya untuk menghubung ke Internet orang sering menggunakan fasilitas router. Namun kadang kala menghubung langsung ke modem ADSL (sering disebut sebagai ‘DSL’) menggunakan PPPoE.

Bila Anda ingin menghubung Internet langsung ke modem ADSL menggunakan PPPoE, modem harus sudah terseting dalam mode Bridge.

Dan tentu saja… Anda harus telah berlangganan / terdaftar pada Penyelenggara Jasa Internet (ISP), dan sambungan Internet Anda terpasang dan berfungsi dengan baik. Lampu “DSL” (atau “ADSL”) pada modem anda biasanya menunjukkan bahwa jalur tersebut telah disinkronkan.

Anda juga membutuhkan “username” dan “password” dari ISP. Anda juga harus memiliki kartu ethernet yang tersambung ke modem PPPoE anda dengan kabel yang sesuai.

Konfigurasi PPPoE dengan baris perintah

Untuk menyiapkan modem, kita akan membutuhkan sebuah terminal. Untuk membuka sebuah terminal, gunakan papan menu : Applications > Accessories > Terminal.

Anda memerlukan paket PPPoE terinstal agar perintah di depan dapat bekerja. Paket ini telah terinstal secara default, namun dapat saja hilang jika konfigurasi telah diubah. Jika perintah di depan tidak bekerja, Anda perlu menginstal paket ini (lihat bagian instalasi paket PPPoE).

Di terminal ketik:

sudo pppoeconf

Sebuah menu program berbasis teks akan membantu Anda melalui langkah-langkah berikutnya, yakni:

1. Pastikan bahwa kartu Ethernet anda terdeteksi.
2. Masukkan username anda (dari ‘Penyelenggara Jasa Internet’ ISP).
3. Masukkan password anda (dari ISP juga).
4. Jika sebelumnya Anda mempunyai konfigurasi Sambungan PPPoE, Anda akan diberi tahu bahwa konfigurasi telah diubah.
5.
Pilihan-pilihan populer (Popular options): Anda ditanya tentang pilihan-pilihan ‘noauth’ dan ‘defaultroute’ dan untuk membuang pilihan ‘nodetach’ – pilih “Yes”.
6.
Menggunakan peer DNS (Use peer DNS ) – pilih “Yes”.
7.
Masalah MSS terbatas (Limited MSS problem) – pilih “Yes”.
8.
Ketika Anda ditanya apakah Anda ingin menyambung saat start up, pilih “Yes” jika itu yang Anda inginkan.
9. Terakhir Anda ditanya apakah Anda ingin segera membuat sambungan.

Sekali Anda telah menyelesaikan langkah-langkah di atas, sambungan anda seharusnya sedang bekerja.

Mengatur sambungan secara manual

Untuk memulai sambungan ADSL anda seperlunya, di terminal ketik:

pon dsl-provider

Untuk menghentikan sambungan ADSL, di terminal ketik:

poff dsl-provider

Masalah-masalah

Jika sambungan anda tidak berkerja, coba nyalakan ADSL yang telah terkonfigurasi sebelumnya secara manual (lihat bagian sebelumnya). Untuk melihat log, di terminal ketik:

plog

Instalasi paket PPPoE

Untuk memeriksa apakah paket PPPoE telah terinstal, di terminal ketik:

dpkg -s pppoeconf

Jika telah terinstal maka Anda seharusnya melihat keluaran seperti yang ditunjukkan dua baris berikut:

Package: pppoeconf
Status: install ok installed

Jika belum terinstal, masukkan CD Ubuntu anda dan di terminal ketik:

sudo apt-get install pppoeconf

Jika paket tidak ditemukan, Anda mungkin harus menambahkan CD Ubuntu anda pada daftar repositori perangkat lunak. Untuk menambahkannya, pastikan bahwa CD anda berada dalam CD drive dan di terminal ketik:

sudo apt-cdrom add

Jika semuanya itu gagal, Anda dapat mengunduh paket pppoeconf dari http://packages.ubuntu.com/. Tentu saja Anda harus memiliki sambungan Internet (Anda bisa menggunakan jasa Warung Internet), lalu Anda bisa memindahkannya melalui media seperti CDR atau USB stick. Klik ganda pada berkas paket untuk menginstalnya.

Isu-isu boot

Jika Anda mendapati bahwa Anda harus menjalankan pppoeconf setiap Anda boot, Anda dapat mencoba dua hal:

*
Sunting /etc/network/interfaces seperti yang dijelaskan di sini, pastikan baris-baris ‘pppoe maintained’ berada sebelum ‘auto dsl-provider’:

# added by pppoeconf
auto eth0
iface eth0 inet manual
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf

auto dsl-provider
iface dsl-provider inet ppp
provider dsl-provider

* Masih gagal, sunting /etc/rc.local, dan sebelum baris terakhir (“exit 0″), tambah:

ifconfig eth0 up
pon dsl-provider

Log-log error

Jika Anda memiliki masalah-masalah dengan sambungan anda, Anda boleh mencari informasi berharga di dalam log-log pesan sistem. Anda dapat mengakses log-log sistem dengan sebuah terminal maupun sebuah antarmuka grafis.

*
Untuk menggunakan penampil log grafis, di menu bar : System > Administration > System Log. Anda akan mendapati pesan-pesan sistem di /var/log/messages.
* Untuk menggunakan terminal, ketik:
sudo dmesg

sumber: http://wiki.ubuntu-id.org

1. Membuat DNS server untuk domain linuxer.local
2. Membuat DNS server virtual untuk domain fxekobudi.local, sarolangun.local
3. Membuat Web server untuk domain linuxer.local, fxekobudi.local, dan sarolangun.local
4. Membuat Database server menggunakan MySQL yang akan digunakan oleh aplikasi open source (Wordpress, Joomla, dan Drupal) pembangun situs lokal pada domain yang telah saya sebutkan di atas.

Sebelum mulai melangkah ke konfigurasi DNS dan LAMP (Linux-Apache-PHP-MySQL), berikut ini adalah konfigurasi pada Laptop yang saya gunakan:

IP Loopback: 127.0.0.1
IP Address NIC: 192.168.0.44
Netmask: 255.255.255.192 (/26)

Paket BIND: bind-9.5.0-18.a7, bind-libs-9.5.0-18.a7, bind-utils-9.5.0-18.a7, bind-chroot-9.5.0-18.a7
Paket APACHE: httpd-2.2.6-3, httpd-tools-2.2.6-3, system-config-httpd-1.4.4-1, httpd-manual-2.2.6-3
Paket MySQL: mysql-libs-5.0.45-4.fc8, mysql-5.0.45-4.fc8, mysql-server-5.0.45-4.fc8
Paket PHP: php-common-5.2.4-3, php-5.2.4-3, php-gd-5.2.4-3, php-cli-5.2.4-3, php-mysql-5.2.4-3

Semua paket sudah disertakan dalam DVD Installer Fedora 8, jadi jika belum terinstal, silahkan instal dengan menggunakan media DVD atau bisa juga menggunakan repository Fedora 8. Untuk mengecek apakah sudah terinstal atau belum, gunakan command: $ rpm -qa | grep [nama-paket]

1. DNS SERVER
Instal paket:
# yum install bind bind-libs bind-utils bind-chroot

Tidak seperti pada fedora 7, Anda dapat menemukan named.conf setelah instalasi bind. Sehingga hanya perlu mengedit konfigurasinya saja.

# vim /var/named/chroot/etc/named.conf

options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory “/var/named”;
dump-file “/var/named/data/cache_dump.db”;
statistics-file “/var/named/data/named_stats.txt”;
memstatistics-file “/var/named/data/named_mem_stats.txt”;
allow-query { localhost; };
recursion yes;
};

logging {
channel default_debug {
file “data/named.run”;
severity dynamic;
};
};

zone “.” IN {
type hint;
file “named.ca”;
};

include “/etc/named.rfc1912.zones”;

// ————-
// Resolve DNS
// ————-
zone “linuxer.local” IN {
type master;
file “./zone/linuxer.local.zone”;
allow-update { key “rndckey”; };
allow-transfer { 192.168.0/26; };
};

// ————-
// Reverse DNS
// ————-
zone “0.168.192.in-addr.arpa” IN {
type master;
file “./zone/0.168.192.in-addr.arpa.zone”;
allow-update { key “rndckey”; };
allow-transfer { 192.168.0/26; };
};

include “/etc/named.primary.conf”;

Isi file /var/named/chroot/var/named/zone/linuxer.local.zone:

$ttl 38400
@ IN SOA ns.linuxer.local. root.linuxer.local (
1196006770
10800
3600
604800
38400 )
IN NS fxekobudi.linuxer.local.
IN MX 20 mail.linuxer.local.
fxekobudi IN A 192.168.0.44
www IN CNAME fxekobudi
ftp IN CNAME fxekobudi

Isi file /var/named/chroot/var/named/zone/0.168.192.in-addr.arpa.zone:

$ttl 38400
@ IN SOA ns.linuxer.local. root.linuxer.local (
1196006769
10800
3600
604800
38400 )
IN NS fxekobudi.linuxer.local.
44 IN PTR fxekobudi.linuxer.local.

Konfigurasi untuk file /var/named/chroot/etc/named.primary.conf:
# vim /var/named/chroot/etc/named.primary.conf

// —————————-
// Virtual Domain fxekobudi.local
// —————————-
zone “fxekobudi.local” IN {
type master;
file “./zone/fxekobudi.local.zone”;
allow-update { key “rndckey”; };
allow-transfer { 192.168.0/26; };
};

// —————————-
// Virtual Domain sarolangun.local
// —————————-
zone “sarolangun.local” IN {
type master;
file “./zone/sarolangun.local.zone”;
allow-update { key “rndckey”; };
allow-transfer { 192.168.0/26; };
};

Isi file /var/named/chroot/var/named/zone/fxekobudi.local.zone:

$ttl 38400
@ IN SOA ns.linuxer.local. root.linuxer.local (
1196006770
10800
3600
604800
38400 )
IN NS fxekobudi.fxekobudi.local.
IN MX 20 mail.fxekobudi.local.
fxekobudi IN A 192.168.0.44
www IN CNAME fxekobudi
ftp IN CNAME fxekobudi

Isi file /var/named/chroot/var/named/zone/sarolangun.local.zone:

$ttl 38400
@ IN SOA ns.linuxer.local. root.linuxer.local (
1196006770
10800
3600
604800
38400 )
IN NS fxekobudi.sarolangun.local.
IN MX 20 mail.sarolangun.local.
fxekobudi IN A 192.168.0.44
www IN CNAME fxekobudi
ftp IN CNAME fxekobudi

Konfigurasi untuk file /etc/resolv.conf:
search linuxer.local
search fxekobudi.local
search sarolangun.local
nameserver 127.0.0.1
nameserver 192.168.0.44

Tes konfigurasi DNS server:
$ dig linuxer.local
$ nslookup www.linuxer.local

Jalankan daemon DNS server untuk runlevel yang diinginkan:
# /sbin/chkconfig –levels 235 named on

2. WEB SERVER
Instal paket:
# yum install httpd
Edit file konfigurasi apache:
# vim /etc/httpd/conf/httpd.conf
Berikut beberapa konfigurasi yang perlu Anda lakukan:

### Section 1: Global Environment
User apache
Group apache

### Section 2: ‘Main’ server configuration
DocumentRoot “/var/www/html”

DirectoryIndex index.html index.html.var index.php

### Section 3: Virtual Hosts
# Konfigurasi virtual host
Include ./conf/vhosts.conf

Buat file virtual host:
# vim /etc/httpd/conf/vhosts.conf

NameVirtualHost 192.168.0.44:80

ServerAdmin admin@linuxer.local
DocumentRoot /var/www/html
ServerName linuxer.local
ServerAlias www.linuxer.local
ErrorLog logs/error_log
CustomLog logs/access_log combined

ServerAdmin admin@linuxer.local
DocumentRoot /var/www/html/fxekobudi
ServerName fxekobudi.local
ServerAlias www.fxekobudi.local
ErrorLog logs/fxekobudi.local-error_log
CustomLog logs/fxekobudi.local-access_log combined

ServerAdmin admin@linuxer.local
DocumentRoot /var/www/html/sarolangun
ServerName sarolangun.local
ServerAlias www.sarolangun.local
ErrorLog logs/sarolangun.local-error_log
CustomLog logs/sarolangun.local-access_log combined

Jalankan daemon web server untuk runlevel yang diinginkan:
# /sbin/chkconfig –levels 235 httpd on

3. DATABASE SERVER
Instal paket:
# yum install mysql-libs mysql mysql-server
Jalankan daemon mysql server untuk runlevel yang diinginkan:
# /sbin/chkconfig –levels 235 mysqld on

Gunakan phpMyAdmin untuk mempermudah administrasi. Baca artikel saya tentang instalasi phpMyAdmin.
Buat user selain root untuk mengakses database, gunakan interface phpMyAdmin saja.

4. PHP
Instal paket:
# yum install php-common php php-gd php-mysql
Untuk edit file php.ini, gunakan command berikut:
vim /etc/php.ini
Pada bagian
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
; Error handling and logging ;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Rubah pada baris 356:
display_errors = On

Pada baris 619, tambahkan extension=gd.so agar script php dapat memanggil modul gd yang akan digunakan untuk Joomla:
sumber:http://doc.centro-komputer.com

Di sekolah tempat saya bekerja ada 2 koneksi internet, kok banyak amat ya? karena di sekolah saya untuk aktifitas berinternet-ria sangat tinggi, maklum sekolah IT .dulu awalnya pake telkom speedy, teman² tahu sendirilah kualitas dari speedy emang sering bikin pelanggannya kecewa. walhasil harus tambah satu keneksi lagi selain telkom, dipilihlah ISP yang dikenal paling bagus servicenya di kota Bangil yaitu Spin-Net. OK sekarang Jalan dgn 2 ISP. koneksi dari speedy dipake untuk pembelajaran di Lab_TKJ sedangkan koneksi dari ISP satunya lagi dipake untuk ruag TU dan ruang Guru. belum berlangsung satu bulan para guru yang mengajar TKJ mengeluh karena katanya speedynya lambat dan sering RTO(request time out), saya disuruh nyoba internetan di Lab_TKJ ternyata memang ga bagus. saya periksa topologinya sepertinya sudah terpasang dengan benar, kemudian lakukan ping yahoo.com dan hasil time reply nya sangat besar (rata² 2371ms), saya lanjutkan ping ke DNS servernya spedy(ping 202.134.0.155) hasilnya memang banyak RTO nya alias sering Disconnect. salah satu guru tanya ke saya “kenapa mas pur” trus saya jawab “sumber masalahnya emang dari telkomnya pak” dan saya coba telpon ke 147 jawabannya kurang memuaskan. yah begitulah layanan telkom…. daripada pusing saya tawarkan untuk menggabunggabungkan 2 koneksi tersebut dalam satu PC Router. koneksi pertama dari telkom speedy dan keneksinya kedua dari spinnet. maka jadilah satu ruoter dengan 2 koneksi isp dimana ketika salah satu koneksi padet bgt tarafiknya atau bahkan drop maka secara otomatis router akan langsung mengambil jalan ke koneksi yang satunya sehingga koneksi jadi seimbang (namanya juga Load balancing)

konfigurasi jaringan yang saya gunakan di router sekolah adalah sebagai berikut:

Sambungan ADSL melalui eth2 IP address 192.168.1.222
dengan gateway IP 192.168.1.1.

dari Spin-net melalui eth0 IP address 203.134.148.2 melalui WiFi / Wireless
dengan gateway 203.134.148.1Sambungan LAN melalui eth1 IP address 192.168.0.222.

Langkah konfigurasi pc-router menggunakan linux ubuntu adalah sebagai berikut.

$ sudo bash
tekan [enter] hingga muncul tanda string ( # )
Edit informasi interface pada file /etc/network/interfaces, dapat dilakukan menggunakan vi

# vi /etc/network/interfaces

Informasi penting yang perlu di-edit pada file interfaces adalah

auto eth0
iface eth0 inet static
address 203.134.148.2
netmask 255.255.255.240

auto eth1
iface eth1 inet static
address 192.168.0.222
netmask 255.255.255.0

auto eth2
iface eth2 inet static
address 192.168.1.222
netmask 255.255.255.0

Install aplikasi layanan ssh agar bisa remote dari komputer klien

# apt-get install openssh-server
# /etc/init.d/ssh restart

Selanjutnya kita perlu menset routing dan load balancing yang secara sederhana adalah sebagai berikut

# /sbin/ip link set lo up
# /sbin/ip link set eth0 up
# /sbin/ip link set eth1 up
# /sbin/ip link set eth2 up

# /sbin/ip route flush table adsl
# /sbin/ip route flush table spinnet
# /sbin/ip route flush table internet

# /sbin/ip addr add 127.0.0.1/8 brd 127.0.0.255 dev lo

# /sbin/ip addr add 192.168.1.222/24 brd 192.168.1.255 dev eth2
# /sbin/ip addr add 203.134.148.2/28 brd 203.134.148.15 dev eth0
# /sbin/ip addr add 192.168.0.222/24 brd 192.168.0.255 dev eth1

# /sbin/ip rule add prio 10 table main
# /sbin/ip rule add prio 20 table adsl
# /sbin/ip rule add prio 30 table spinnet
# /sbin/ip rule add prio 40 table internet

# /sbin/ip route del default table main
# /sbin/ip route del default table adsl
# /sbin/ip route del default table spinnet
# /sbin/ip route del default table internet

# /sbin/ip rule add prio 20 from 192.168.1.0/24 table adsl
# /sbin/ip route add default via 192.168.1.1 dev eth2 src 192.168.1.222 proto static table adsl
# /sbin/ip route append prohibit default table adsl metric 1 proto static
# /sbin/ip rule add prio 30 from 203.134.148.0/28 table spinnet
# /sbin/ip route add default via 203.134.148.1 dev eth0 src 203.134.148.2 proto static table spinnet

# /sbin/ip route append prohibit default table spinnet metric 5 proto static# Set up load balancing gateways
# /sbin/ip rule add prio 40 table internet
# /sbin/ip route add default proto static table internet
# nexthop via 192.168.1.1 dev eth2 weight 1
# nexthop via 203.134.148.1 dev eth0 weight 1

Konfigurasi di atas membutuhkan tiga (3) tabel routing tambahan, yaitu, adsl, spinnet dan internet yang kita masukan dalam file /etc/iproute2/rt_tables, isinya kira-kira sbb,

120 adsl
121 spinnet
123 internet

Selanjutnya kita perlu menset NAT / proxy agar dapat sekaligus melakukan NAT ke dua (2) interface yang berbeda, yaitu, 192.168.1.222 dan 203.134.148.2. Adapun perintahnya adalah sebagai berikut,

# /bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# /sbin/iptables -F
# /sbin/iptables -P INPUT DROP
# /
# /sbin/iptables -A INPUT -i eth1 -j ACCEPT
# /sbin/iptables -A INPUT -i eth0 -p tcp -s 0/0 –dport 25 -j ACCEPT
# /sbin/iptables -A INPUT -i eth2 -p tcp -s 0/0 –dport 25 -j ACCEPT
# /sbin/iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
# /sbin/iptables -A INPUT -p tcp -i eth0 -j REJECT –reject-with tcp-reset
# /sbin/iptables -A INPUT -p tcp -i eth2 -j REJECT –reject-with tcp-reset
# /sbin/iptables -A INPUT -p udp -i eth0 -j REJECT –reject-with icmp-port-unreachable
# /sbin/iptables -A INPUT -p udp -i eth2 -j REJECT –reject-with icmp-port-unreachable
# /sbin/iptables -t nat -A POSTROUTING -o eth2 -j SNAT –to 192.168.1.222
# /sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to 203.134.148.2

booting ulang atau restart komputer
# reboot

Selesai dah pekerjaan bikin PC Router dengan Load Balancing.

sumber : http://ubuntupasuruan.wordpress.com/2008/03/02/membuat-router-load-balancing-menggunakan-linux-ubuntu/

#Settingan NIC untuk main gateway agar connect ke internet#
1. Minta IP public ke ISP lengkap dengan gateway, netmask, broadcast dan dns nya

2. Configurasi eth0 dan eth1
sudo vi /etc/network/interfaces

isikan dengan text ini :
#The primary network Interface
auto eth0
iface eth0 inet static
address [ip public untuk pc ubuntu]
gateway [ip public dari ISP]
netmask [netmask dari ISP]
dns-nameserver [ip dns dari ISP]

#The secondary network interface
auto eth1
iface eth1 inet static
address [ip private untuk pc ubuntu]
gateway [ip public eth0]
netmask [netmask ip LAN]

Setelah itu simpan dengan command :wq

3. Mengaktifkan Forwarding
Secara default Linux tidak mengizinkan komputer lain mengunakan Linux itu sebagai router atau gateway, sehingga isi file sysctl.conf pada /etc/sysctl.conf yaitu:
#net/ipv4/ip_forward=0

Ubahlah nilai nya menjadi:
>net/ipv4/ip_forward=1
Save [:wq]

4. Konfigurasi Iptables
Iptables dapat melewatkan (forwarding) semua permintaan dari komputer yang satu menuju komputer lainnya, misalnya tipe masqueranding (NAT). NAT inijuga berarti gateway mewakili komputer beralamat IP lokal dalam mengakses intetnet.

Langkah pertama-tama iptables di matiin dulu, dengan command :

#/etc/init.d/iptables stop

Tambahkan iptables untuk source NAT sesuai dengan ip di Eth0
#iptables -t nat -A POSTROUTING -o eth0 -s [ip network private/24=eth1] -j SNAT –to-source [ip public=eth0]
#iptables-save /etc/sysconfig/iptables
#/etc/init.d/iptables restart
#iptables-save

SNAT/forwarding selesai, tidak ada proteksi.

Restart network dengan command
/etc/init.d/network restart

Setting konfigurasi network untuk PC client dengan diarahkan gateway ke ip eth1 pada pc ubuntu

Untuk testnya buka browser pad pc client, coba buka www.google.com jika jalan berarti berhasil

Transparan Proxy

Untuk Transparan Proxy di pc ubuntu harus sudah terinstal squid sebagi aplikasi proxy.
Cek terlebih dahulu apakah pc ubuntu sudah terinstal paket squid, gunakan command :
dpkg -l squid

Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad)
||/ Name Version Description
+++-======================================================
ii squid 2.5.12-4ubuntu2 Internet Object Cache (WWW proxy cache)

ini menandakan squid telah terinstal
Jika belum gunakan command :
apt-get install squid
biarkan proses instal berjalan.

Jika instalasi selesai cari file squiq.conf
gunakan command fine
# find / -name squid.conf
/etc/squid/squid.conf
/usr/share/doc/squid/examples/squid.conf
ketemu tuh

siap konfigurasi
#vi /etc/squid/squid.conf
Secara default konfigurasi bawaan squid sendiri sudah dapt digunakan (untuk mengaktifkan rule hilangkan tanda ” # ” didepan kalimat, dan kita hanya mengikuti rule nya squid. jika ingin di rubah ada bagian yang mungkin perlu dirubah konfigurasinya :

http_port 8080
ini adalah bagian (directives) yang mendefinisikan nomor port di mana squid akan berjalan. Pada port ini browser-browser client koneksi ke squid server. Default port squid adalah 3128 tetapi 8080 jug asering digunakan sebagai port squid.

cache_mgr juni@pesat.net.id
Bagian ini mendefinisikan email address dari cache manager yang akan menerima email bilamana cache server mati. Defaultnya webmaster

cache_effective_user squid
cache_effective_group squid
Bagian ini mendefinisikan user dan group efektif yang menjalankan squid server. Di sini diset user dan group efektif squid. User dan group squid harus sudah ada pada sistem. Default user nobody dan groups nobody

visible_hostname juni.net.id
Direktive diatas ini mendefinisikan hostname squid server. Default none

cache_dir ufs /var/spool/squid 500 16 256
Directive cache_dir mendefinisikan letak direktori yang akan digunakan sebagai tempat penyimpanan halaman-halaman (object) web dengan format penyimpanan sesuai sistem anda. Angka 500 menunjukan ukuran direktori cache dalam Megabyte sebaiknya sebesar mungkin karena semakin besar berarti semakin banyak kemampuan menyimpan halaman-halaman web, defaultnya adalah 100 Megabytes.
Angka 16 menunjukan jumlah subdirektori level pertama yang akan dibuat dibawah direktori cache/usr/local/squid/var/cache, defaultnya 16.
Angka 256 menunjukan jumlah subdirektori level kedua yang akan dibuat dibawah subdirektori level pertama, defaultnya 256.

http_access allow all
acl all src 0.0.0.0/0.0.0.0
Bagian ini mendefinisikan mengizinkan semua ip melewati squid server tanpa ada filter(gantikan 0.0.0.0/0.0.0.0 dengan [ip private]/[subnet]), Default http_access deny all

konfigurasi squid selesai
jangan lupa disimpannya …
Jalankan squid dengan command :
#/etc/init.d/squid start

Test squid
buka browser di pc client setting proxy nya dengan cara :
clik tool
clik internet option
clik Connection
clik LAN setting
Pada Proxy server centang tulisan use a proxy server for your LAN
pada address isikan ip eth1 pada server squid.
pada Port isikan port squid 8080 (tergantung konfigurasi squid anda)
clik OK dan OK
Silakan browser ke www.google.com
jika jalan squid anda berhasil.

Untuk mengecek di server squid atau melihat log dari server squid apakah pc client melewati squid ?
Gunakan command :
#tail -f /var/log/squid/access.log
untuk direktori lihat pada konfigurasi squid anda.
Jika ada ip pc client yang sedang akses ke www.google.com, maka squid anda berhasil.

Transparan Proxy
Fungsi transparan proxy di sini adalah membelokan (REDIRECT) permintaan web atau port 80 ke proxy atau port 3128 (default squid). Disini kita perlu bantuan program iptables :
#iptables -A nat PREROUTING -i eth1 -p tcp -[ip network eth1]/[subnet] –dport 80 -j DNAT –to [ip eth1]:8080

Selanjutnya diperlukan konfigurasi di squid.conf perlu ditambahkan :
http_accel_host virtual
http_accel_port 80
http_accel_with_proxy on
http_accel_uses_host_header on

jangan lupa di save ya

restart squid
#/etc/init.d/squid restart

Test Transparan Proxy
Pada browser (IE) PC Client jangan di setting proxy / tanpa proxy lakukan browser ke www.google.com.
Kemudian lihat log pada squid server dengan command :
#tail -f /var/log/squid/access.log

Jika ada ip PC client yang sedang browser ke www.google.com, maka tranparan proxy anda berhasil.

Ingat Gateway PC Client adalah eth1 pada server squid !!!

SELESAI LAH SUDAH SELAMAT MENCOBA
sumber : http://smkm2-kng.sch.id/?pilih=news&mod=yes&aksi=lihat&id=19
sumber : http://www.freewebs.com/juniwel/tutorial.html

Jika kita mempunyai beberapa komputer yang saling terhubung lewat jaringan (ethernet misalnya), kita dapat menggunakan Slackware sebagai pintu gerbang (router/gateway) untuk menyambungkan semua komputer ke internet.

Router dan gateway sendiri sebenarnya secara teori mempunyai filosofi arti yang berbeda, gateway sebenarnya mengacu pada alat yang difungsikan untuk menjembatani dua buah jaringan yang mempunyai topologi berbeda, berbeda subnet, dsb, sedangkan router untuk mengatur pengalamatan paket-paket data dalam jaringan yang berbeda sehingga komunikasi dapat terlaksana.

Akan tetapi dalam kenyataan sehari-hari, router dan gateway seringkali hanya ditangani oleh sebuah alat saja. Hal inilah yang menyebabkan router selalu diidentikkan dengan gateway, demikian pula sebaliknya.

Router banyak didistribusikan dalam bentuk paket perangkat keras terpadu bermerek seperti Cisco, Huawe dan lain-lain dengan harga yang relatif mahal. Tetapi kita juga dapat membangun sebuah PC Router dengan biaya yang relatif murah menggunakan Slackware

NAT (Network Address Translation)

Misalkan, ada lima buah PC yang terhubung ke akses Internet, maka secara gamblang akan dibutuhkan juga paling tidak lima sambungan telepon untuk masing-masing PC tersebut. Tentunya pembiayaan untuk sambungan ini akan menjadi sangat mahal, bukan? Nah, disinilah fungsi NAT di perlukan.

Dengan konsep NAT, hanya diperlukan satu buah sambungan telepon saja ke sebuah PC (PC dengan min. 2 buah NIC biasanya), kemudian empat PC yang lain dihubungkan ke switch. Kemudian switch dihubungkan dengan salah satu NIC (Network Internet Card) komputer yang terhubung dengan Internet. Dimana komputer tersebut difungsikan sebagai gateway dengan oleh mesin slackware yang terinstal didalamnya. NAT secara otomatis akan menterjemahkan alamat IP dari setiap komputer di jaringan lokal menjadi satu alamat IP publik. Gateway juga dapat berfungsi sebagai firewall yang melindungi client dari akses yang tidak diinginkan.

Konfigurasi mesin Slackware untuk Gateway

Sebelum membuat mesin slackware menjadi gateway dalam jaringan lokal yang kita miliki tentunya hal pertama yang perlu dilakukan adalah menginstall distro slackware pada komputer yang akan dijadikan gateway. Ini juga berlaku untuk distro linux lainya, tinggal menyesuaikan saja konfigurasi yang ada sesuai distronya Smile Disini saya menggunakan Slackware 12

Jika kita sudah memiliki mesin slackware yang akan dijadikan Gateway, pertama-tama kita pastikan terlebih dulu apakan ethernet yang terpasang pada mesin slackware sudah up apa belum ? (Untuk keperluan Gateway, membutuhkan min. 2 NIC. Tergantung jumlah network yang akan kita hubungkan). Diasumsikan NIC pertama terhubung ke ISP tempat kita berlangganan akses internet dan NIC kedua terhubung ke jaringan lokal milik kita. Untuk mengecek keadaan ethernet, bisa dilakukan dengan perintah ifconfig.

root@darkstar:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:5F:FF:FF
inet addr:10.10.1.2 Bcast:10.10.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe5f:ffff/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:72 errors:0 dropped:0 overruns:0 frame:0
TX packets:43 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:7380 (7.2 KiB) TX bytes:6633 (6.4 KiB)
Interrupt:17 Base address:0×1080

eth1 Link encap:Ethernet HWaddr 00:0C:29:5F:FF:09
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe5f:ff09/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:468 (468.0 b)
Interrupt:18 Base address:0×1400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:664 (664.0 b) TX bytes:664 (664.0 b)

Apabila ada output seperti diatas berarti ethernet kita sudah terdeteksin dengan baik oleh kernel dan keduanya dalam keadaan up / aktif. Tingal sesuaikan IP Addressnya dengan network yang kita miliki. Tetapi jika dalam keadanya kita mengeksekusi perintah ifconfig tadi di atas hanya keluar output berupa :

root@darkstar:~# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:664 (664.0 b) TX bytes:664 (664.0 b)

Maka ada 2 kemungkinan apakah ethernet kita belum up atau tidak dikenali oleh kernel slackware ? Untuk memastikan apakan ethernet kita dikenali oleh kernel bisa dilakukan cek menggunakan perintah :

root@darkstar:~# dmesg | grep eth
eth0: registered as PCnet/PCI II 79C970A
eth1: registered as PCnet/PCI II 79C970A
eth0: no IPv6 routers present
eth1: no IPv6 routers present

Terlihat bahwa eth0 dan eth1 terdeteksi oleh kernel, maka selankutnya kita tinggal meng-up-kan ethernet agar dapat di gunakan dengan perintah :

root@darkstar:~# ifconfing eth0 up
root@darkstar:~# ifconfing eth1 up

Selanjutnya mengkonfigurasi IP Address pada masing-masing NIC sesuai dengan konfigurasi jaringan kita. Untuk mengkonfigurasi alamat IP pada mesing slackware dapat dengan kita lakukan dengan mengedit file rc.inet1.conf yang berada pada /etc/rc.d/ .

root@darkstar:~# vi /etc/rc.d/rc.inet1.conf
# =============================

# Config information for eth0:
IPADDR[0]=”202.83.xxx.xxx”
NETMASK[0]=”255.255.255.0″
USE_DHCP[0]=””
DHCP_HOSTNAME[0]=””

# Config information for eth1:
IPADDR[1]=”192.168.1.xxx”
NETMASK[1]=”255.255.255.0″
USE_DHCP[1]=””
DHCP_HOSTNAME[1]=””

# Default gateway IP address:
GATEWAY=”202.83.xxx.xxx”

Sampai sini kita sudah mengkonfigurasi alamat IP pada masing-masing NIC, disini (xxx) merupakan IP kita (jadi sesuaikan sendiri yach Smile) Selanjutnya kita memasukan konfigurasi DNS dari ISP kita ke mesin slackware dengan mengedit file resolv.conf yang ada pada /etc .

root@darkstar:~# vi /etc/resolv.conf
search xborneo.org
nameserver 219.155.xxx.xxx
nameserver 202.134.xxx.xxx

Terakhir yang perlu kita lakukan adalah membuat NAT dari alamat-alamat jaringan lokal kita ke alamat IP public milik ISP langganan. Jadi nantinya semua package yang berasal dari jaringan lokal kita akan di translasikan ke alamat ip yang valid di internet (IP Public ISP). Ini juga merupakan salah satu cara untuk mensiasati semakin terbatasnya IPv4 di internet.

root@darkstar:~# echo “iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j SNAT –to 202.83.xxx.xxx” >> /etc/rc.d/rc.local

Nah pada line diatas kita memasukan rule dengan perintah iptables dan menyimpannya pada file rc.local yang berada pada /etc/rc.d yang nantinya akan selalu di eksekusi setiap kali mesin slackware booting. Disini -s 192.168.1.0/24 merupakan network jaringan lokal milik kita dan 202.83.xxx.xxx adalah alamat IP Public yang diberikan ISP langganan kita.

Oke, selesai sudah semua yang perlu kita lakukan untuk mesih gateway kita. Langkah terakhir adalah me-reboot ulang mesin slackware kita untuk menghubungkan jaringan lokal kita ke internet

Terdapat sejumlah alat yang baik untuk membantu keamanan jaringan, dan semakin banyak disertakan dalam distribusi Linux.

PACKET SNIFFERS

Salah satu cara umum yang digunakan penyusup untuk memperoleh akses ke banyak sistem di jaringan anda adalah dengan menggunakan sebuah packet sniffer pada host yang telah diganggu. Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti “Password” dan “Login” dan “su” dalam aliran paket dan kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar. Password teks biasa adalah sangat rentan terhadap serangan ini.

Contoh: host A telah diganggu. Penyerang menginstal sebuah sniffer. Sniffer mencatat login admin ke host B dari host C. Ia memperoleh password personal admin ketika ia login ke B. Kemudian, admin melakukan ’su’ untuk mengatasi suatu masalah. Mereka sekarang memiliki password root untuk Host B. Kemudian admin membolehkan seseorang telnet dari rekeningnya ke host Z di site lain. Sekarang penyerang memiliki password/login di host Z.

Di masa sekarang, penyerang bahkan tidak perlu mengganggu sebuah sistem untuk melakukan hal ini, mereka dapat membawa laptop atau pc ke suatu gedung dan menyadap ke jaringan anda.

Dengan menggunakan ssh atau metode password terenkripsi lainnya dapat mencegah serangan ini. Hal-hal seperti APOP untuk rekening pop juga dapat mencegah serangan ini. (Login pop normal sangat rentan untuk hal ini, sama seperti segala sesuatu yang mengirim password teks biasa melalui kabel).

PELAYANAN SISTEM dan tcp_wrappers

Segera setelah anda menaruh sistem Linux anda di sembarang jaringan, hal pertama yang harus dilihat adalah pelayanan yang butuh anda tawarkan. Pelayanan-pelayanan yang tidak perlu anda tawarkan seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk mencari lubang.

Terdapat sejumlah cara untuk meniadakan pelayanan dalam Linux. Anda dapat melihat pada file /etc/inetd.conf dan melihat pelayanan apa yang ditawarkan oleh inetd anda. Tiadakan segala yang tidak anda butuhkan dengan mengkomentari mereka (taruh # di awal baris), dan kemudian mengirimkan proses inetd anda sebuah SIGHUP.

Anda dapat pula menghilangkan (atau mengkomentari) pelayanan-pelayanan di file /etc/services. Hal ini berarti client lokal anda tidak akan menemukan pelayanan (contoh, jika anda menghilangkan ftp, dan berusaha dan ftp ke site remote dari mesin tersebut maka akan gagal dengan pesan pelayanan yang tidak dikenal). Tidaklah berharga untuk menghilangkan pelayanan, karena tidak memberikan keamanan tambahan. Jika orang lokal ingin menggunakan ftp bahkan yang telah anda komentari, mereka ingin membuat client mereka menggunakan port ftp umum dan masih dapat bekerja baik.

Beberapa pelayanan yang ingin anda biarkan ada adalah:

ftp
telnet
mail, seperti pop-3 atau imap
identd
time
Jika anda tahu anda tidak ingin menggunakan beberapa paket tertentu, anda dapat menghapusnya. rpm -e dalam distribusi Red Hat akan menghapus seluruh paket. Dalam debian dpkg akan melakukan hal yang sama.

Sebagai tambahan, anda benar-benar ingin meniadakan utilitas rsh/rlogin/rcp, termasuk login (digunakan oleh rlogin), shell (digunakan oleh rcp), dan exec (digunakan oleh rsh) dari dimulai dalam /etc/inetd.conf. Protokol-protokol ini sangat tidak aman dan menjadi penyebab eksploit dahulu.

Anda perlu memeriksa /etc/rc.d/rcN.d, dengan N adalah run level sistem anda dan melihat apakah pelayanan dimulai dalam direktori tersebut tidak dibutuhkan. File dalam /etc/rc.d/rcN.d sebenarnya adalah link simbolik ke direktori /etc/rc.d/init.d. Mengganti nama file dalam direktori init.d memiliki efek meniadakan seluruh link simbolik dalam /etc/rc.d/rcN.d. Jika anda hanya ingin meniadakan pelayanan untuk runlevel tertentu, ganti nama file yang sesuai dengan huruf kecil.

Jika anda memiliki file rc bergaya BSD, anda mungkin ingin memeriksa /etc/rc* untuk program-program yang tidak anda butuhkan.

Kebanyakan distribusi Linux menyertakan tcp_wrappers “wrapping” seluruh pelayanan tcp. Sebuah tcp_wrappers (tcpd) dipanggil dari inetd selain dari server sebenarnya. tcpd kemudian memeriksa host yang membutuhkan pelayanan dan kemudian mengeksekusi atau menolak akses server sebenarnya dari host tersebut. tcpd memungkinkan anda membatasi akses ke pelayanan tcp anda. Anda perlu membuat /etc/hosts.allow dan menambahkan hanya host yang membutuhkan akses ke pelayanan mesin anda.

Jika anda adalah pemakai dialup rumahan, kami menyarankan anda menolak seluruhnya. tcpd juga mencatat usaha yang gagal untuk mengakses pelayanan, sehingga ini dapat memberi anda ide bahwa anda sedang diserang. Jika anda menambahkan pelayanan baru, anda harus pasti mengkonfigurasinya untuk menggunakan tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up normal dapat mencegah orang luar koneksi ke mesin anda, namun masih memiliki kemampuan untuk menerima surat, dan membuat hubungan jaringan ke Internet. Untuk melakukan ini, anda mungkin menambahkan perintah berikut ke /etc/hosts.allow:

ALL: 127.

Dan tentu saja /etc/hosts.deny akan berisi:

ALL: ALL

yang akan mencegah koneksi eksternal ke mesin anda, namun masih memungkinkan anda dari dalam berhubungan ke server di Internet.

VERIFIKASI INFORMASI DNS

Memelihara informasi DNS tentang seluruh host di jaringan anda agar tetap baru dapat membantu meningkatkan keamanan. Bilamana ada host yang tidak dijinkan terhubung ke jaringan anda, anda dapat mengenalinya dengan tidak adanya masukan DNS. Banyak pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host yang tidak memiliki masukan DNS yang valid.

identd

identd adalah program kecil yang umumnya berjalan di inetd. Ia mencatat pelayanan tcp apa yang dijalankan pemakai, dan kemudian melaporkannya kepada yang meminta.

Banyak orang salah mengerti kegunaan identd, sehingga meniadakannya atau memblok seluruh site yang memintanya. identd ada bukan untuk membantu remote site. Tidak ada cara untuk mengetahui jika data yang anda peroleh dari remote identd benar atau tidak. Tidak ada autentikasi dalam permintaan identd.

Lalu mengapa anda ingin menjalankannya? Karena ia membantu anda, dan adalah titik data lain dalam penelusuran. Jika identd anda tidak terganggu, maka anda mengerti ia memberi tahu remote site nama pemakai atau uid orang-orang yang menggunakan pelayanan tcp. Jika admin pada remote site datang kepada anda dan memberitahu pemakai anda berusaha menghack ke site mereka, anda dapat secara mudah mengambil tindakan terhadap pemakai tersebut. Jika anda tidak menjalankan identd, anda harus melihat banyak catatan, memperkirakan siapa yang ada pada saat itu, dan secara umum membutuhkan waktu yang lebih banyak untuk menelusuri pemakai.

identd yang disertakan dalam banyak distribusi lebih mudah dikonfigurasi daripada yang diperkirakan orang. Anda dapat meniadakan identd untuk pemakai tertentu (mereka dapat membuat file .noident), anda dapat mencatat seluruh permintaan identd (Saya menyarankannya), anda bahkan dapat memiliki identd mengembalikan uid daripada nama pemakai atau bahkan NO-USER.

SATAN, ISS, dan Scanner Jaringan Lainnya

Terdapat sejumlah paket software berbeda yang melakukan penelusuran berdasarkan port dan pelayanan mesin atau jaringan. SATAN dan ISS adalah dua yang paling dikenal. Software ini berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu jaringan) di semua port yang ada, dan berusaha menentukan pelayanan apa yang sedang berjalan. Berdasarkan informasi ini, anda dapat menemukan mesin yang rentan terhadap eksploitasi tertentu pada server.

SATAN (Security Administrators Tool for Analyzing Networks) adalah sebuah penelusur port dengan antara muka web. Ia dapat dikonfigurasi untuk melakukan pemeriksaan ringan, menengah, atau berat pada mesin atau pada jaringan mesin. Akan merupakan ide yang baik untuk memperoleh SATAN dan memeriksa mesin atau jaringan anda, dan membenahi masalah-masalah yang ditemukan. Pastikan anda memperoleh SATAN dari sun-site atau FTP atau web site yang bereputasi.

ISS (Internet Security Scanner) adalah penelusur berdasarkan port yang lain. Ia lebih cepat daripada SATAN, dan mungkin lebih baik untuk jaringan yang besar. Namun demikian, SATAN memberikan lebih banyak informasi.

Mendeteksi penelusuran port. Terdapat beberapa alat yang dirancang untuk memberitahu anda adanya probe SATAN dan ISS dan software penelusuran lainnya. Namun demikian, dengan pemakaian tcp_wrappers yang liberal dan memastikan untuk melihat file log anda secara berkala, anda dapat mengetahui probe tersebut. Bahkan pada setting terendah, SATAN masih meninggalkan jejak pada log di sistem Red Hat.

Sendmail, qmail dan MTA

Salah satu pelayanan penting yang dapat anda sediakan adalah server surat. Sayangnya, ia juga sangat rentan diserang, karena banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus.

Jika anda menggunakan sendmail, penting untuk menjaga versi anda agar up to date. Sendmail memiliki sejarah panjang di eksploitasi keamanan. Selalu pastikan anda menjalankan versi terbaru.

Jika anda bosan mengupgrade versi sendmail anda setiap minggu, anda dapat mempertimbangkan beralih ke qmail. qmail dirancang dengan perhatian pada keamanan sejak awalnya. Ia cepat dan stabil dan aman. http://www.qmail.org

SERANGAN DENIAL OF SERVICES

Serangan denial of service adalah saat ketika penyerang berusaha menggunakan beberapa sumber daya hingga terlalu sibuk untuk menjawab permintaan yang resmi, atau menolak pemakai resmi mengakses mesin anda.

Serangan-serangan semacam ini meningkat dengan cepat pada tahun-tahun belakangan ini. Beberapa yang populer dan terbaru ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul setiap saat, sehingga ini hanya merupakan contoh. Baca list Linux security dan list serta archive bugtraq untuk informasi terkini.

SYN Flooding – SYN flooding adalah serangan denial of service jaringan. Ia mengambil keuntungan dari “loophole” dalam koneksi TCP yang tercipta. Kernel Linux terbaru (2.0.30 ke atas) memiliki beberapa pilihan konfigurasi untuk mencegah serangan SYN flood dari menolak orang akses ke mesin atau pelayanan anda. Lihat bagian keamanan kernel untuk pilihan perlindungan kernel yang tepat.
Pentium “F00F” Bug – Ini baru ditemukan bahwa serangkaian kode assembly yang dikirim ke prosesor asli Intel Pentium akan mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor Pentium (bukan klon, atau Pentium Pro atau PII), tidak tergantung pada sistem operasi yang dijalankan. Kernel Linux 2.0.32 ke atas memiliki pemecahan atas bug ini, mencegahnya mengunci mesin anda. Kernel 2.0.33 memiliki versi perbaikan atas hal ini, dan disarankan daripada 2.0.32. Jika anda menggunakan Pentium, anda harus upgrade sekarang!
Ping Flooding – Ping flooding adalah serangan denial of service brute force sederhana. Penyerang mengirim “flood” paket ICMP ke mesin anda. Jika mereka melakukan ini dari host dengan bandwidth yang lebih baik daripada milik anda, mesin anda tidak akan mampu mengirim sesuatu ke jaringan. Variasi serangan ini, disebut “smurfing” mengirim paket ICMP ke host dengan IP kembalian mesin anda, memungkinkan mereka membanjiri anda dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakan alat seperti tcpdump untuk menentukan asal paket (atau tampaknya berasal), kemudian hubungi provider anda dengan informasi ini. Ping flood dapat secara mudah dihentikan di level router atau dengan menggunakan firewall.
Ping o’ Death – Serangan Ping o’ Death disebabkan lebih besarnya paket ICMP ECHO REQUEST yang datang daripada yang dapat ditangani struktur data kernel . Oleh karena mengirim sebuah paket “ping” besar (65.510 byte) ke banyak sistem akan membuat mereka hang atau bahkan crash, masalah ini secara cepat disebut “Ping o’ Death”. Ini telah lama diperbaiki, dan tidak perlu dikhawatirkan lagi.
Teardrop / New Tear – Salah satu eksploit terbaru yang melibatkan bug yang ada di kode fragmentasi IP pada platform Linux dan Windows. Telah diperbaiki dalam kernel versi 2.0.33, dan tidak membutuhkan pilihan pada saat kompilasi untuk menggunakan perbaikan. Linux tampaknya tidak rentan terhadap eksploitasi “new tear”.
Anda dapat menemukan banyak kode eksploitasi, dan deskripsi lebih mendalam tentang bagaimana mereka bekerja di mesin pencari.

Keamanan NFS (Network File System)

NFS adalah protokol file sharing yang paling banyak digunakan. Ia memungkinkan server menjalankan nfsd dan mountd untuk mengekspor seluruh filesystem ke mesin lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa dukungan client jika mereka bukan mesin Linux). Mountd mencatat filesystem yang termount di /etc/mtab, dan dapat menampilkannya.

Banyak site menggunakan NFS untuk bertugas sebagai direktori home untuk pemakai, sehingga tak peduli mesin apa yang dimasuki, mereka akan selalu memiliki file-filenya.

Terdapat sedikit “keamanan” dibolehkan dalam mengekspor filesystem. Anda dapat membuat peta nfsd pemakai root remote (uid=0) ke pemakai nobody, membatasi akses total ke file-file yang diekspor. Namun demikian, karena pemakai individu memiliki akses ke file-file mereka (atau paling tidak uid yang sama), superuser remote dapat login atau su ke rekening mereka dan memiliki akses total ke file-file mereka. Ini hanya penghalang kecil bagi seorang penyerang yang memiliki akses untuk melakukan mount filesystem remote anda.

Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-mesin yang anda butuh untuk ekspor saja. Jangan pernah mengekspor seluruh direktori root anda, ekspor hanya direktori yang perlu anda ekspor. Lihat NFS HOWTO untuk informasi lebih jauh tentang NFS.

NIS (Network Information Service)

Network Information Service (dahulu YP) adalah suatu cara mendistribusikan informasi ke sekelompok mesin. Master NIS menyimpan tabel informasi dan mengkonversinya ke file peta NIS. Peta ini kemudian melayani jaringan, memungkinkan mesin klien NIS untuk memperoleh login, password, direktori home dan informasi shell (seluruh informasi di file /etc/passwd standar). Hal ini memungkinkan pemakai merubah password mereka sekali dan berlaku pula di seluruh mesin dalam domain NIS.

NIS tidak seluruhnya aman. Ia tidak pernah dimaksudkan demikian. Ia dimaksudkan untuk berguna dan sederhana. Setiap orang dapat menduga nama domain NIS anda (di setiap tempat di Net) dapat memperoleh salinan file passwd, dan menggunakan Crack dan John the Ripper terhadap password pemakai anda. Juga, adalah mungkin untuk menipu NIS dan melakukan berbagai trik kotor. Jika anda harus menggunakan NIS, pastikan anda paham bahayanya.

FIREWALL

Firewall adalah suatu cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. Umumnya host firewall terhubung ke Internet dan LAN lokal anda, dan akses LAN anda ke Internet hanya melalui firewall. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda.

Terdapat beberapa tipe dan metode setting firewall. Mesin-mesin Linux dapat menjadi firewall yang baik dan murah. Kode firewall dapat dibangun langsung ke dalam kernel 2.0 atau lebih tinggi. Alat ipfwadm user space memungkinkan anda merubah tipe lalu lintas jaringan yang anda bolehkan secara on the fly. Anda dapat pula mencatat tipe lalu lintas jaringan tertentu.

Firewall adalah teknik yang sangat berguna dan penting dalam mengamankan jaringan anda. Penting untuk menyadari bahwa anda tidak boleh pernah berpikir bahwa dengan memiliki firewall, anda tidak perlu mengamankan mesin-mesin di baliknya. Ini kesalahan fatal. Periksa Firewall-HOWTO yang sangat bagus di arsip terbaru sunsite untuk informasi mengenai firewall dan Linux.

KERNEL

Ini adalah deskripsi pilihan konfigurasi kernel yang terkait dengan keamanan, dan sebuah penjelasan apa yang dilakukannya, dan bagaimana menggunakan mereka.

Oleh karena kernel mengendalikan jaringan komputer anda, penting agar kernel sangat aman, dan kernel sendiri tidak akan diganggu. Untuk mencegah serangan jaringan terkini, anda harus berusaha dan memelihara versi kernel anda. Anda dapat menemukan kernel terbaru di http://www.kernel.org

Pilihan Kompilasi Kernel

IP: Drop source routed frames (CONFIG_IP_NOSR) Pilihan ini seharusnya diset. Source routed frame berisikan seluruh jalur ke tujuan. Artinya router yang dilalui paket tidak perlu memeriksa paket, dan hanya memforwardnya saja. Hal ini dapat mengakibatkan masuknya data ke sistem anda yang mungkin menjadi eksploitasi potensial.

IP: Firewalling (CONFIG_IP_FIREWALL) Pilihan ini perlu jika anda ingin mengkonfigurasi mesin anda sebagai firewall, melakukan masquerading, atau ingin melindungi stasiun kerja dial-up anda dari seseorang yang masuk melalui antar muka dial-up PPP anda.

IP: forwarding/gatewaying (CONFIG_IP_FORWARD) Jika anda menset IP forwarding, mesin Linux anda maka menjadi router. Jika mesin anda ada pada jaringan, anda harus memforward data dari satu jaringan ke yang lain, dan mungkin membalik firewall yang ada di sana untuk mencegah hal ini terjadi. Pemakai dial-up normal mungkin ingin meniadakannya, dan pemakai lain harus berkonsentrasi pada implikasi keamanan melakukan hal ini. Mesin-mesin firewall akan mengadakannya, dan digunakan bersamaan dengan software firewall. Anda dapat mengadakan IP forwarding secara dinamik menggunakan perintah berikut :

root# echo 1 > /proc/sys/net/ipv4/ip_forward

dan meniadakannya dengan perintah :

root# echo 0 > /proc/sys/net/ipv4/ip_forward

File ini (dan banyak file lain di /proc) akan selalu tampak berukuran nol, tetapi kenyataannya tidak. Ini adalah feature kernel yang baru diperkenalkan, sehingga pastikan anda menggunakan kernel 2.0.33 atau lebih baru.

IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) Pilihan ini memberi anda informasi tentang paket yang diterima firewall anda, seperti pengirim, penerima, port, dsb.

IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG) Umumnya pilihan ini ditiadakan, tetapi jika anda membangun host firewall atau masquerading, anda mungkin ingin mengadakannya. Ketika data dikirim dari satu host ke yang lain, ia tidak selalu dikirim sebagai satu paket data, tetapi dipecah-pecah ke beberapa bagian. Masalah dengan hal ini adalah nomor port selalu disimpan dalam bagian pertama. Artinya seseorang dapat memasukkan informasi ke paket-paket sisanya yang tidak seharusnya ada.

IP: syn cookies (CONFIG_SYN_COOKIES) SYN Attack adalah serangan denial of service (DoS) yang menghabiskan seluruh sumber daya mesin anda, memaksa anda untuk reboot. Kami tidak dapat memikirkan alasan anda meniadakan pilihan ini.

Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING) Ini adalah pilihan yang tersedia pada seri kernel 2.1 yang akan menandai paket NCP untuk keamanan yang lebih kuat. Secara normal anda dapat membiarkannya tidak ada, tetapi ia ada jika anda membutuhkannya.

IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK) Ini adalah pilihan yang baik yang memungkinkan anda menganalisa 128 byte pertama paket dalam program userspace, untuk menentukan bilamana anda ingin menerima atau menolak paket, berdasarkan validitasnya.

Device Kernel

Terdapat sejumlah device blok dan karakter untuk Linux yang dapat membantu anda dengan keamanan.

Dua device /dev/random dan /dev/urandom disediakan oleh kernel untuk menerima data random setiap saat.

/dev/random dan /dev/urandom keduanya cukup aman digunakan dalam menghasilkan kunci PGP, tantangan SSH, dan aplikasi lain di mana bilangan random yang aman dibutuhkan. Penyerang seharusnya tidak dapat memperkirakan nomor berikutnya bila diberi urutan awal nomor-nomor dari sumber ini. Telah ada banyak usaha untuk memastikan bahwa nomor yang anda peroleh dari sumber ini adalah random dalam setiap arti kata random.

Perbedaannya adalah bahwa /dev/random menghasilkan byte random dan membuat anda menunggu lebih banyak untuk dikumpulkan. Perhatikan bahwa pada beberapa sistem, ia dapat memblok untuk waktu lama menunggu masukan baru pemakai untuk diberi ke sistem. Sehingga anda perlu berhati-hati sebelum menggunakan /dev/random. (Mungkin hal terbaik yang dapat dilakukan adalah menggunakan ketika anda menciptakan informasi sensitif, dan anda mengatakan kepada pemakai untuk menekan keyboard secara berulang-ulang hingga anda mencetak “OK, enough”).

/dev/random adalah entropi kualitas tinggi, dihasilkan dari pengukuran waktu inter-interrupt dsb. Ia memblok hingga cukup data random bit tersedia.

/dev/urandom adalah serupa, kecuali ketika penyimpanan entropi berjalan rendah ia akan mengembalikan hash kuat secara kriptografi. Ini tidak aman, tetapi cukup bagi kebanyakan aplikasi.

Anda mungkin membaca dari device menggunakan sesuatu seperti:

root# head -c 6 /dev/urandom | uuencode -

Ini akan mencetak enam karakter random di layar, sesuai untuk pembuatan password. Lihat /usr/src/linux/drivers/char/random.c untuk deskripsi algoritma.

Sumber: Internet-primadonal.com

Backup dari http://aa.cakralintas.net.id (my old home).
Tutorial ini sebagian diambil dari beberapa site referensi, sebagian diterjemahkan dan diperjelas untuk memudahkan dalam installasi program.

Judulnya English, tapi pembahasannya menggunakan bahasa Indonesia dengan tujuan sebagai berikut :

1. Mudah dipahami oleh linux user pemula
2. Mudah dimengerti jika menggunakan bahasa Indonesia

Latar Belakang

Pembuatan tutorial ini dilatarbelakangi karena banyaknya permintaan dari penggemar masterpop3 ( ..huehue artis linux ), mengenai bagaimana cara memblok traffic p2p. Permintaan kebanyakan berasal dari pemilik/pengelola warnet, operator jaringan, admin jaringan , yang menginginkan di jaringan mereka tidak terganggu oleh program/traffic p2p yang diakibatkan oleh salah satu usernya yang bisa mengganggu traffic seluruh networknya.

Pendahuluan

Setelah googling sana sini akhirnya dapet kata kunci untuk solusi di atas yaitu menggunakan ‘layer7′ module iptables, selanjutnya kita sebut L7-filter.
L7-filter adalah module untuk Linux Netfilter (iptables) yang mengidentifikasi paket yang berada di application layer data (lapisan data aplikasi). Paket data yang masuk dalam layer ini bisa berupa Kazza, HTTP, Jabber, Citrik, Bittorent, FTP, Gnutella, eDonkey, eMule, Limewire, dll, tanpa memperhatikan source/destination port. Ini bisa menjadi pelengkap yang sempurna yang bisa digabungkan dengan kesesuaian IP address , port number, dll.

Feature L7-filter

• Patches for Linux 2.4 and 2.6
• Support for TCP, UDP and ICMP over IPv4
• Uses Netfilter’s connection tracking of FTP, IRC, etc
• Examines data across multiple packets
• Number of packets examined tunable on the fly through /proc
• Number of bytes examined tunable at module load time
• Distinguishes between new connections (those still being tested) and old unidentified connections
• Gives access to both Netfilter and QoS (rate limiting) features
• With the Netfilter “helper” match, you can distinguish between parent and child connections (e.g. ftp command/data)

Tujuan :

Implementasi L7-filter saya buat dengan tujuan sebagai berikut :
1. cara memblok traffic p2p dengan iptables
2. membatasi penggunaan traffic p2p dengan QoS (seperti cbq/htb)

Catatan: tidak semua user yang ingin dibatasi oleh penggunaan L7-filter ini, jadi kembali kepada keputusan anda sebagai pemegang kekuasaan jaringan. Jika menginginkan seperti tujuan yang saya sebutkan, mari kita lanjutkan projek kita.

Installasi

Saatnya kita obrak-abrik PC Linux kita. Pertama siapkan peralatan.
Peralatan yang dibutuhkan adalah :
1. source kernel 2.6 atau kernel 2.4 download dari kernel.org
2. source iptables dari netfilter.org
3. paket patch l7-filter kernel version (netfilter-layer7-vX.Y.tar.gz)
4. paket file Protocol definitions (l7-protocols-YYYY-MM-DD.tar.gz)

Kernel Patch

Dalam ujicoba ini saya menggunakan kernel 2.6.18 di fedora-6. langkah-langkahnya sebagai berikut :

1. download kernel 2.6.18 dari kernel.org

~]# mkdir /download
~]# cd /download
~]# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.tar.bz2
~]# tar xjf linux-2.6.18.tar.bz2 -C /usr/src/
~]# ln -s /usr/src/linux-2.6.18 /usr/src/linux

2. download l7-filter kernel version

~]# cd /download
~]# wget http://optusnet.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.7.tar.gz
~]# tar xzf netfilter-layer7-v2.7.tar.gz

3. Patch kernel dengan Layer7 patch

~]# cd /usr/src/linux
~]# patch -p1 < /download/netfilter-layer7-v2.7/kernel-2.6.18-layer7-2.7.patch
patching file include/linux/netfilter_ipv4/ip_conntrack.h
patching file include/linux/netfilter_ipv4/ipt_layer7.h
patching file net/ipv4/netfilter/Kconfig
patching file net/ipv4/netfilter/Makefile
patching file net/ipv4/netfilter/ip_conntrack_core.c
patching file net/ipv4/netfilter/ip_conntrack_standalone.c
patching file net/ipv4/netfilter/ipt_layer7.c
patching file net/ipv4/netfilter/regexp/regexp.c
patching file net/ipv4/netfilter/regexp/regexp.h
patching file net/ipv4/netfilter/regexp/regmagic.h
patching file net/ipv4/netfilter/regexp/regsub.c

4. Saatnya Kompile dan Install Kernel

~]# make menuconfig

• Prompt for development and/or incomplete code/drivers” (under “Code maturity level options”)
• “Network packet filtering” (Networking ? Networking support ? Networking Options)
• “Netfilter Xtables support” (Network packet filtering ? Core Netfilter Configuration)
• “Connection tracking” (… ? Network packet filtering ? IP: Netfilter Configuration ? Connection tracking)
• “Connection tracking flow accounting” and “IP tables support” (on the same screen)
• And finally, “Layer 7 match support”
• Selanjutnya anda diberi kekuasaan untuk memilih mana yang diaktifkan sebagai module dan mana yang dimasukan dalam kernel (built-in)

Perhatian:
Beberapa user melaporkan terjadinya kernel crash ketika menggunakan SMP dengan l7-filter. Dan ada juga yang melaporkan SMP System mereka berjalan normal.
Jika anda punya Multi-CPU Machine, sebaiknya di test dulu sebelum digunakan di server produktif.

~]# make
~]# make modules_install install

Iptables Patch

Download source iptables dari netfilter.org

~]# cd /download
~]# wget http://netfilter.org/projects/iptables/files/iptables-1.3.5.tar.bz2
~]# tar xjf iptables-1.3.5.tar.bz2
~]# cd iptables-1.3.5
~]# patch -p1 < /download/netfilter-layer7-v2.7/iptables-layer7-2.7.patch
patching file extensions/.layer7-test
patching file extensions/libipt_layer7.c
patching file extensions/libipt_layer7.man

~]# chmod +x extensions/.layer7-test

Sebelum melakukan perintah ‘make’ , pastikan anda sudah memeriksa dan menyesuaikan PREFIX dir installasi iptables di file ‘Makefile’.

~]# vi Makefile

PREFIX:=/usr
LIBDIR:=/lib
BINDIR:=/sbin
MANDIR:=/usr/share/man
INCDIR:=$(PREFIX)/include

~]# make KERNEL_DIR=/usr/src/linux
~]# make install KERNEL_DIR=/usr/src/linux

Untuk melakukan patch iptables , anda harus sudah mengkompile dan menginstall kernel source.

Protocol Definitions (Pattern Files)

Saatnya memasang file protocol definisi untuk layer7-filter module.

Download file Protocol definitions

~]# cd /download
~]# wget http://optusnet.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2006-12-12.tar.gz
~]# tar xzf l7-protocols-2006-12-12.tar.gz
~]# cd l7-protocols-2006-12-12
~]# make install
~]# mkdir -p /etc/l7-protocols
~]# cp -R * /etc/l7-protocols

‘make install’ di atas hanya mengkopi file paket protocol ke dir /etc/l7-protocols

Setelah semuanya sudah terinstall , reboot PC Linux anda.

Setting iptables blok p2p

Himbauan dari situs resminya sih katanya disarankan jangan di blok, kita tanya kenapa ?
Saya Quote aja yah :

===========================================================
Blocking ?
Don’t. Here’s why:

• l7-filter matching isn’t foolproof: there may be both false positives (one protocol can look like another) and false negatives (applications can do obscure things that we didn’t count on). Patterns that are known to regularly generate false positives are marked “overmatching” on the protocols page, but others may also do so occasionally.
• Almost every type of Internet traffic has legitimate uses. For instance, P2P protocols, while widely used to violate copyright, are also an efficient way to distribute open source software and legally free music.
• Programs can respond to being blocked by port-hopping, switching between TCP and UDP, opening a new connection for every trivial operation, using encryption, or employing other evasion tactics. Trying to block such protocols has consequences on two levels:
  
  1. In the case of port/protocol-hopping, you make it harder for yourself to identify protocols that already act this way.
  2. You encourage programmers to include these “features” in new programs, making it harder for everyone in the future. For example: In early 2006, Bittorrent started moving towards end-to-end encryption because many networks were either blocking it or severely restricting its bandwidth.

• l7-filter patterns are not generally designed with blocking in mind. We consider a protocol to be well identified if the identification is useful for controlling its bandwidth. This means, for instance, that for P2P applications, we do not focus on catching connections that are not downloads.
• Blocking with l7-filter provides no security, since any reasonably determined person can easily circumvent it.
  Instead of dropping packets you don’t like, we recommend using Linux QoS to restrict their bandwidth usage. See the next section. If you insist on using l7-filter to drop packets, make sure you have investigated other options first, such as the features of your HTTP proxy (useful for worms).

===========================================================

Tapi karena anda bersikeras ngotot supaya traffic p2p di blok saja, mari kita lanjutkan projek kita.

Cara Setting Iptables untuk Blok traffic p2p

Caranya kita cegat lewat table mangle di chain PREROUTING .

iptables -t mangle -A PREROUTING -m layer7 --l7proto 100bao -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto applejuice -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto ares -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto directconnect -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto fasttrack -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto freenet -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto gnucleuslan -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto gnutella -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto goboogy -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto hotline -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto imesh -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto kugoo -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto mute -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto napster -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto openft -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto poco -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto soribada -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto soulseek -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto tesla -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto thecircle -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto xunlei -j DROP

Emule p2p termasuk ke dalam proto edonkey.
Kazaa p2p termasuk ke dalam proto fasttrack
LimeWire p2p termasuk ke dalam proto gnutella

Jika DAP (Download Accelerator Plus) ingin di blok juga :

iptables -t mangle -A PREROUTING -m layer7 --l7proto http-dap -j DROP

Blok Fresh Download :

iptables -t mangle -A PREROUTING -m layer7 --l7proto http-freshdownload -j DROP

Blok p2p AudioGalaxy :

iptables -t mangle -A PREROUTING -m layer7 --l7proto audiogalaxy -j DROP

Dan Jika anda ingin memblok file RPM (File paketnya Redhat/FC, Suse) :

iptables -t mangle -A PREROUTING -m layer7 --l7proto rpm -j DROP

Blok juga traffic sebangsa Malware :

iptables -t mangle -A PREROUTING -m layer7 --l7proto code_red -j DROP
iptables -t mangle -A PREROUTING -m layer7 --l7proto nimda -j DROP

Selengkapnya lihat di file protocol definition :
http://l7-filter.sourceforge.net/protocols

Melihat statistik rule blok p2p

Ketik: ~]# watch iptables -t mangle -L -v

Every 2.0s: iptables -t mangle -L -v                                 Thu Dec 14 21:29:46 2006

Chain PREROUTING (policy ACCEPT 83 packets, 5657 bytes)
pkts bytes target  prot opt in    out     source         destination
0     0    DROP   all  --  any    any     anywhere       anywhere       LAYER7 l7proto 100bao
10   8091  DROP   all  --  any    any     anywhere       anywhere       LAYER7 l7proto fasttrack
48   12091 DROP   all  --  any    any     anywhere       anywhere       LAYER7 l7proto gnutella

Pembatasan Bandwidth traffic p2p

Untuk membatasi bandwidth traffic p2p bisa digabung dengan QoS cbq atau htb , dengan cara di mangling (Rule MARK).

Contoh :

iptables -t mangle -A PREROUTING -m layer7 --l7proto edonkey -j MARK --set-mark 0x3

Selanjutnya pasang di file cbq atau htb dengan parameter MARK=3.

Ref.http://www.nixnux.or.id/2006/12/14/howto-block-p2p-traffic/#more-125

===============================================================
/sbin/q_parser eth0 1128 1128 /etc/limit.cfg > /etc/rc.d/limit.sh
/bin/chmod +x /etc/rc.d/limit.sh
/etc/rc.d/limit.sh
===============================================================

# chmod +x tukar
# tukar
# touch lihat
# vi lihat

=====================================
/sbin/q_show -i eth0 -f /etc/limit.cfg
=====================================

# chmod +x lihat
# lihat
contoh isi /etc/limit.cfg
==========================================
class Server {
bandwidth 1128;
limit 1128;
burst 2;
priority 1;
client 1_Server_1 {
bandwidth 384;
limit 1024;
burst 2;
priority 1;
dst {
192.168.1.2/32;
};
};

client 2_Server_2 {
bandwidth 384;
limit 1024;
burst 2;
priority 1;
dst {
192.168.1.103/32;
};
};
client 3_Server_3 {
bandwidth 256;
limit 512;
burst 2;
priority 1;
dst {
192.168.1.104/32;
};
};

Class User {
bandwidth 256;
limit 256;
burst 2;
priority 1;
client 1_User_1 {
bandwidth 64;
limit 128;
burst 2;
priority 1;
dst {
192.168.1.4/32;
};
};

client 2_User_2 {
bandwidth 64;
limit 128;
burst 2;
priority 1;
dst {
192.168.1.5/32;
};
};
client 3_User_3 {
bandwidth 64;
limit 128;
burst 2;
priority 1;
dst {
192.168.1.6/32;
};
};

};

class default { bandwidth 2; };

# end of config

Disable potential security threats in /etc/inetd.conf:
#telnet stream tcp nowait root /usr/libexec/telnetd telnetd -l
#shell stream tcp nowait root /usr/libexec/rshd rshd
#login stream tcp nowait root /usr/libexec/rlogind rlogind
#finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s
#exec stream tcp nowait root /usr/libexec/rexecd rexecd

Note: You must either reboot or restart inetd for the above changes to take effect.

Run cvsup to update the crypto sources:
# /usr/local/bin/cvsup -g -L 2 /usr/src/stable-supfile

If you’ve created the /usr/local/bin/cvsrun script, you can instead run:

# /usr/local/bin/cvsrun

If you need help setting up /usr/src/stable-supfile, see the Updating Sources with CVSup cheat sheet.

Edit /etc/make.conf and verify that the following option is not present or is commented out:
NO_OPENSSH= yes

Make the world to build and install the crypto collection. If you need information on making the world, see the Make World cheat sheet.

If not already installed, install the rsaref port:
# cd /usr/ports/security/rsaref && make

You will be prompted to accept the license agreement. Once you agree, the compilation will continue.

# make install && make clean

Generate the OpenSSH host keys:
# /usr/bin/ssh-keygen -N “” -f /etc/ssh/ssh_host_key (SSH-1)
# /usr/bin/ssh-keygen -d -N “” -f /etc/ssh/ssh_host_dsa_key (SSH-2)

Edit /etc/rc.conf and add the line:
sshd_enable=”YES”

Reboot, or start the OpenSSH daemon manually:
# /usr/sbin/sshd

You should be able to log in from a remote computer using software that supports either SSH-1 or SSH-2 (such as Van Dyke Technologies’ SecureCRT).

ref.http://www.freebsddiary.org/