2.4.3 Contoh sintaks rule IPFW dan prosesnya

CMD 0001 allow icmp from 192.168.1.1 to any out via rl0 Perintah di atas berarti tambahkan CMDsatu aturan baru dengan nomor rule 0001 untuk menerima paket yang mengunakan protocol ICMP yang bersumber dari fromkomputer dengan ip 192.168.1.1 paket tersebut memiliki tujuan to luar tanpa batasan IP any dan melalui via interface card 1. CMD merupakan gabungan dari sintaks ipfw add. Proses IPFW Dibawah ini merupakan contoh beberapa rule firewall yang ditampilkan dengan perintah: ipfw list • Maksud dari rule pertama adalah tambahkan aturan baru cmd dengan nomor aturan 100 untuk menyetujui allow paket yang bersumber dari mana saja anydengan tujuan to kemana sajaanymelalui loopback interface lo0. cmd 100 allow ip from any to any via lo0 • Maksud dari rule kedua adalah tambahkan aturan barucmd dengan nomor aturan 200 untuk menolak deny paket yang bersumber dari mana saja any dengan tujuan to 127.0.0.08 cmd 200 deny ip from any to 127.0.0.08 • Maksud dari rule baris ketiga adalah tambahkan aturan baru cmd dengan nomor aturan 300 yang bersumber dari 127.0.0.08 dengan tujuan to kemana saja. cmd 300 deny ip from 127.0.0.08 to any • Maksud dari rule baris keempat adalah tambahkan aturan baru cmddengan nomor aturan 400 untuk menyetujui allow paket yang menggunakan protocol TCP yang bersumber dari from 192.168.1.2 dengan tujuan to 172.21.202.1 dan port tujuan 23 yang akan masuk in melalui interface lanIF_LAN. cmd 400 allow tcp from 192.168.1.2 to 172.21.202.1 23\ in via IF_LAN • Maksud dari rule baris kelima adalah tambahkan aturan baru cmd dengan nomor aturan 500 untuk menolak paket yang bersumber dari manafrom any saja dan mempunyai tujuan kemana saja to any. cmd 500 deny ip from any to any Keseluruhan dari script di atas terangkum dalam satu script file dibawah ini: cmd 100 allow ip from any to any via lo0 cmd 200 deny ip from any to 127.0.0.08 cmd 300 deny ip from 127.0.0.08 to any cmd 400 allow tcp from 192.168.1.2 to 172.21.202.1 23\ in via IF_LAN cmd 500 deny ip from any to any Misalkan mesin internet dengan no ip 172.21.202.1 menerima sebuah paket telnet dari internal dengan ip 192.168.1.2. Maka sebuah paket akan mempunyai atribut seperti berikut ini: IP Sumber Port Asal IP Tujuan Port Tujuan Protocol 172.21.202.1 3333 192.168.1.2 23 TCP Langkah langkahnya sebagai berikut: 1 Kernel menerima paket melalui interface rl0 2 Kernel akan membandingkan paket dengan aturan100: cmd 100 allow ip from any to any via lo0 cmd 200 deny ip from any to 127.0.0.08 cmd 300 deny ip from 127.0.0.08 to any cmd 400 allow tcp from 192.168.1.2 to \ 172.21.202.1 23 in via IF_LAN cmd 500 deny ip from any to any 3 Kernel tidak menemukan kecocokan. Proses dilanjutkan ke rule 200: cmd 100 allow ip from any to any via lo0 cmd 200 deny ip from any to 127.0.0.08 cmd 300 deny ip from 127.0.0.08 to any cmd 400 allow tcp from 192.168.1.2 to \ 172.21.202.1 23 in via IF_LAN cmd 500 deny ip from any to any 4 Kernel tidak menemukan kecocokan. Proses dilanjutkan ke rule 300: cmd 100 allow ip from any to any via lo0 cmd 200 deny ip from any to 127.0.0.08 cmd 300 deny ip from 127.0.0.08 to any cmd 400 allow tcp from 192.168.1.2 to \ 172.21.202.1 23 in via IF_LAN cmd 500 deny ip from any to any 5 Kernel tidak menemukan kecocokan. Proses dilanjutkan ke rule 400: cmd 100 allow ip from any to any via lo0 cmd 200 deny ip from any to 127.0.0.08 cmd 300 deny ip from 127.0.0.08 to any cmd 400 allow tcp from 192.168.1.2 to 172.21.202.1 23\ in via IF_LAN cmd 500 deny ip from any to any 6 Kernel menemukan kecocokan, maka paket diijinkan 7 Paket disampaikan ke SSH daemon port 22 protokol TCP untuk diproses 8 SSH daemon merespon kembali PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI 9 Jika tidak menemukan kecocokan paket yang ada akan di buang berdasarkan rule 65535 Dalam penulisan script firewall harus dilakukan secara berurutan karena di jalankan berdasarkan nomor urut yang ada, sehingga kesalahan dalam penomoran dapat berakibat fatal bagi keamanan suatu jaringan.

2.5 PORT