Home

Standard Access-list Configuration

March 23, 2011

Miftah Rahman Config Router 1 Comment

Standard Access-list

wokeh…let me explain…

  1. sebenernya opsi nya ada banyak…tapi yg penting cuma 2, standard dan extended, klo lo mo konfig standard…range “list” dari akses list nya dari 1 sampe  99, kalau extended…minimal lo harus ketik access-list 100 (kenapa mesti begitu…ya dari sononya begitu :D, tapi klo lo tanya gw sih…biar gampang “organize” nya…“ooo…jadi untuk konfigurasi akses list yang standar…maksimal nomor akses list nya 99 yah ?? antara 1 ato 2 digit kan ?? ga bole lebih kan !? “…yup !! anda benar, jadi..konfigurasi akses-list yg rumit2 di nomor 100 keatas…biar gampang ingetnya juga sih…)
  2. ada 3 opsi
    • Deny : yaitu pernyataan bahwa packet akan di tolak…di tolak bagaimana eneh?? ditolak berdasarkan kata2 apa yang mengikuti pernyataan deny itu.
    • Permit : nuff’ said
    • Remark : bikin komentar tentang akses list yang kita buat per line (inget..1 akses list bisa nyimpen beberapa line (baca: beberapa filter packet)
  3. nah…ini dia yang “mengiringi” alias mengikuti penyataan deny ato permit yang kita buat
    • A.B.C.D : maksudnya ini adalah alamat ip yang mo di filter
    • any : kalo lo ketik permit any artinya lo mengizinkan semua packet masuk/keluar (inget…akses list bisa di taro di pintu masuk router ato di pintu keluar router dalam mengirimkan data)…kebalikannya dari deny any (kalimat deny any bisa TIDAK dituliskan jikalau baris/line terakhir dari suatu akses list yang kita buat tidak terdapat kata2 permit any), masi bingung? nanti kita liat penjelasan yang nomor 4
    • Host : ini mirip dengan A.B.C.D…hanya saja lebih spesifik, host digunakan untuk memfilter 1(SATU) PC ato SERVER (sebut saja bunga *eh* anggap saja begitu 😀 ), klo A.B.C.D kita bisa buat range (range ???…ntar gw jelasin)
  4. nah….access-list 10 deny host 172.16.30.2 baca nya adalah “barangsiapa atau siapa saja (baca : PC ato Server ato Printer ato yang laen) YANG mempunyai alamat IP 172.16.30.2  akan DITOLAK masuk / keluar”
  5. access-list 10 deny 172.16.30.2 0.0.0.255 (ini yang bener….yang digambar salah…gw crop gambarnya kurang panjang, ada kata2 “invalid input detected” nya ga ke crop) lo bisa artikan “ip yang diblok, RANGE nya harus dari 172.16.30.2 sampe 172.16.30.255” (angka 0 bisa lo artikan harus sama dengan ip nya, angka 255 berarti bebas sampe limitnya yaitu 255 itu sendiri)

WILDCARD MASK TUTORIAL DALAM TAHAP PENGEMBANGAN…SO.STAY TUNED IN !!! *halah…

show access-list (untuk melihat konfigurasi akses list kita)

inilah akses list yang sudah dibuat

bacanya ini akses list adalah

  • akses list ini dikasi nomor 10
  • tidak memperbolehkan host (baca: server/pc/ato device lain) yang beralamat 172.16.30.2 masuk ato keluar (tergantung di mana lo tempatin ini akses list)
  • tidak memperbolehkan ip dengan range 172.16.30.2 sampa 172.16.30.255 masuk ato keluar (tergantung di mana lo tempatin ini akses list)
  • jika semua kondisi diatas ditolak…maka packet itu BOLEH dimasukkan kedalam jaringan/dikeluarkan keluar jaringan (liat..gw konfig permit any…..klo gw ga ketik permit any di akhir akses list…makanya yang terjadi adalah implicit deny…yaitu ketika semua kondisi tertolak…maka packet akan dibuang)

MENGAPLIKASIKAN AKSES LIST

Router(config)#int fa0/0

Router(config-if)#ip access-group 10 in // mengaplikasikan akses list nomor 10 ke interface fastethernet 0/0 dengan tujuan inbound

Teori Access List

March 4, 2011

Miftah Rahman Config Router 1 Comment

well…Access list adalah semacam list dimana disitu di “filter” siapa aja yang boleh masuk ke jaringan dan siapa yang tidak boleh (versi singkat jelas dan padat 🙂 )

banyak perusahaan yang memakai access-list…HANYA saja dengan memakai THIRD VENDOR alias memakai firewall dan biasanya bekerja sama dengan perusahaan2 IT Solution

banyak firewall2 sekarang sudah bisa menerapkan Access-list di dalam”tubuh” firewall mereka…

trus gunanya apa ni Access-list versi router ?? banyakkk 😛

salah satunya klo lo kerja di ISP…lumayan tuh nge blok2 web2 porno ato data2 yang tidak diinginkan (lu mayan lah daripada lu manyun 😀 )

ada 2 tipe Access-list

  1. Standard Access-list : yaitu hanya menggunakan “media” IP sebagai tolak ukur untuk memfilter packet data, access-list tipe ini hanya bisa nge-blok web (maap…situs anda di blokir oleh telkom 😀 )
  2. Extended Access-list : nah…klo lo pengen suatu departemen (contoh : akunting) bisa WWW (baca: internetan) tapi ga bisa Telnet, UDP, ato FTP, ato CCTV (apaan ni kamera pengintai masuk2 !?!?…wkwkw)…kita pake Extended
  3. Named Access-list : (zzz…katanya 2..tapi ada 3 niee )..slow man…ini cuma penamaan access-list aja biar lo tau access-list buat apa…mirip2 kayak penamaan VLAN gitu

DAN KENAPA GW BILANG TEORI AKSES LIST !! (teriak2 nih gw)

karena…karena ga teori…ga prakteknya ribet *nangis*

AKSES LIST (mulai sekarang gw bilangnya ini…tangan gw ga terbiasa ngetik access-list 😛 ) mirip2 dengan  programming if-then , yaitu jika suatu persyaratan terpenuhi, dia akan melakukan sesuatu sesuai dengan persyaratan, jika tidak ?? maka dia akan membuang (else)

dalam akses list terdapat implicit deny, yaitu suatu kondisi dimana jika semua persyaratan yang ada di tolak…MAKA langsung dibuang…bukan jika semua persyaratan yang ada ditolak…maka akan di hold atau di masukkan (ribet ?? sama gw jg…wkwkwk, nanti kita coba d di prakteknya)..so…jika lo bikin akes list yang lo PENGEN ketika semua persyaratan di tolak…tetep di terima masuk jaringan..lo mesti “permit any

dan…akses list yang telah kita buat…ga akan langsung ter-aplikasi-kan di router…ada perintahnya (ibarat lo bikin catetan belanja…lo HANYA bikin catetan belanja…belanjaannya ya lo mesti ke supermarket dulu)

akses list bisa di terapkan sebagai pintu masuk (inbound access-list) atau sebagai pintu keluar (outbound access-list) , beda ma rumah lo..pintu masuk & keluar sama

inbound access-list : sebuah paket akan di proses dulu oleh router dengan akses list yang dia punya sebelum di proses masuk dari router, jadi klo paket itu uda kena BANLIST ato BLACKLIST dari akseslist nya si router…jgn harap bisa masuk dari jaringan trus ke router

outbound access-list : paket akan di proses ketika ingin keluar ke jaringan suatu router (ibaratnya itu packet di stop dulu di depan gerbang..”mo kemana dek”..”mo keluar bang”…”uda ijin belum dek?”..”belum bang”…”ooo tida bisaaa” wkwkwk)

hanya 1 akses-list per interface/kabel…yaitu 1 inbound dan 1 outbound…ga bisa lebih

note :

  • list yang uda lo buat…bisa ditambah lagi…dan akan di tempatkan dipaling bawah
  • sangat disarankan pake notepad…biar lo ga pusing mikirin akses list
  • mo ngapus 1 baris??? ga bisa…makanya gw saranin lo pake notepad..simpen…karena klo ngapus si akses list…list yang ada keapus semua
  • seperti yang gw bilang….klo kondisi di tolak semua…lo harus “permit any”…biar itu packet masuk ke jaringan..klo ga…di tolak (implicit deny)
  • akses list HANYA lah akses list…ga akan bekerja sebelum lo aplikasikan ke router
  • akses list hanya mem filter packet yang keluar-masuk router…selain itu engga
  • tempatkan standar akses list sedekat mungkin dengan tujuan packet
  • tempatkan extended akses list sedekat mungkin dengan sumber packet (biar langsung di filter…lo ga pengen kan packet lo uda keluar jaringan trus ngalor-ngidul di jaringan trus ujung2nya di tolak…kebalikan dari standar akses list)
  • RIBET ??? SAMA !!…artikel berikutnya kita bahas praktek implementasi dari akses list