Home

Extended Access-List Configuration (and Named Access-list)

April 5, 2011

Miftah Rahman Config Router 3 Comments

contoh kasus :

lo pengen nge BLOK pengguna (baca : host) dengan IP 172.16.10.2 untuk tidak bisa melakukan sesi telnet (ga bisa telnet) ke Router dengan IP 172.16.20.2

  1. access-list 110 deny //karena kita mo blok telnet (biar ga di isengin routernya) so..kita ga bisa pake standar ACL (singkatan dari akses list) yang cuma bisa blok IP doank..so kita pake nomor 100 keatas…dalam kasus ini gw pake 110…terserah si lo mo angka berapa aja
    • karena kita mo blok telnet…nah…kita liat dulu…telnet itu layer keberapa sih ?? ternyata telnet itu ada di layer 4 (transport)…telnet itu memakai fitur transfer control protokol (tcpmesti tau ni..lo mesti blok apa…yg di gunain untuk perintah kedalam router apa….jgn ampe bingung loe…psst…gw aja kadang suka bingung)…so..kita pilih option TCP untuk command yang akan kita ketik…
  2. karena kita mo blok pengguna / host..maka kita pilih option host, klo lo mo blok beberapa host…pilih opsi lain…jadi di line ini lo bisa memutuskan…mo satu orang aja di blok?? ato beberapa di blok ?? ato semuanya di blok buat akses telnet kecuali elo ?!?
  3. access-list 110 deny tcp host 172.16.10.2 host 172.16.20.2 // lo bacanya…host dengan alamat IP 10.2 dilarang ke host 20.2
    • nah kita liat option2 yang berada dibelakangnya ( liat pake tanda “?” )..disini pun lo bisa berkreasi (tergantung kebutuhan dan tergantung permintaan…permintaan yang DIATAS tentunya -_-; )…karena gw cuma mau blok 1 doank…gw pake option eq (equal)
  4. nah…disini lo bisa liat dengan tanda “?” (gw lupa input..) ada fitur untuk telnet , www, smtp, pop3, ftp (and many more…)..so…kita pake telnet , fitur www…buat ngeblok browser internetan (nah…cocok neeeh…wkwkw)…smtp dan pop3 buat imel-imel-an…fitur ftp buat tuker2an file
  5. KARENAAAA LUUU PENGENNN CUMAAA SATUUU KOMPUTERRR DOANKKKK (kenapa ni gw begini ?!?!) so paket2 laen yg ga berhubungan dengan telnet jgn di blok donk ?? maka kita buat access-list 110 permit ip any 0.0.0.0 255.255.255.255 // baca : any (semua) IP traffic alias paket2 laen yang berasal dari semua IP SELAIN telnet diperbolehkan, karena INGAAAATTT (mulai lagi gw) klo kita ga nambahin kata permit, maka akan terjadi implicit deny…yaitu..klo ga match dengan filteran (baca : rule yang diatas) tadi ya dibuang….so…router baca “ni paket A buat telnet…di BLOK !!“…”ni paket B bukan buat telnet…ya GW BLOK juga” (in case lo kaga pake kata permit)

dan seperti biasa…ACL yang lo buat (akses-list…lebi gampang nyebut ACL..wkwkw) GA AKAN BERGUNA KLO LO GA IMPLEMENTASIKAN ke router

router(config)#int fa0/0 // klo lo emang mo implementasikan ACL ini di kabel fast ethernet yang kecolok di nomor fa0/0 di router

router(config-if)#ip access-group 110 in //implementasi ACL 110 in..kenapa in ?? karena lo pengen nge-filter paket2 yang MAU MASUK ke router kan…klo lo mo filter paket2 yang MAU KELUAR dari router..lo pake kata out

enaknya akses list tipe extended adalah…lo bener2 bisa konfigurasi sampe sedetil2nya….

lo bisa berkreativitas sendiri….mo port mana yang mo di blok…fitur apa yg di blok…host mana yang di blok…range ip mana saja yang di blok…go BLOK !! *kidding*

=============================================================

untuk named ACL

router(config)#ip access-list standard [nama ACL]

router(config)#ip access-list standard ACLuntukFinance //liat bedanya…biasanya langsung ketik access-list…ga ada kata ip di depannya…lalu kata standard…karena named ACL itu emang dikategorikan standard ACL…ACLuntukFinance adalah nama dari ACL itu sendiri

next task ahead…gw akan bahas teori2 Protokol2 WAN (Wide Area network) kek Leased Line, Frame Relay, ISDN…dll

Standard Access-list Configuration

March 23, 2011

Miftah Rahman Config Router 1 Comment

Standard Access-list

wokeh…let me explain…

  1. sebenernya opsi nya ada banyak…tapi yg penting cuma 2, standard dan extended, klo lo mo konfig standard…range “list” dari akses list nya dari 1 sampe  99, kalau extended…minimal lo harus ketik access-list 100 (kenapa mesti begitu…ya dari sononya begitu :D, tapi klo lo tanya gw sih…biar gampang “organize” nya…“ooo…jadi untuk konfigurasi akses list yang standar…maksimal nomor akses list nya 99 yah ?? antara 1 ato 2 digit kan ?? ga bole lebih kan !? “…yup !! anda benar, jadi..konfigurasi akses-list yg rumit2 di nomor 100 keatas…biar gampang ingetnya juga sih…)
  2. ada 3 opsi
    • Deny : yaitu pernyataan bahwa packet akan di tolak…di tolak bagaimana eneh?? ditolak berdasarkan kata2 apa yang mengikuti pernyataan deny itu.
    • Permit : nuff’ said
    • Remark : bikin komentar tentang akses list yang kita buat per line (inget..1 akses list bisa nyimpen beberapa line (baca: beberapa filter packet)
  3. nah…ini dia yang “mengiringi” alias mengikuti penyataan deny ato permit yang kita buat
    • A.B.C.D : maksudnya ini adalah alamat ip yang mo di filter
    • any : kalo lo ketik permit any artinya lo mengizinkan semua packet masuk/keluar (inget…akses list bisa di taro di pintu masuk router ato di pintu keluar router dalam mengirimkan data)…kebalikannya dari deny any (kalimat deny any bisa TIDAK dituliskan jikalau baris/line terakhir dari suatu akses list yang kita buat tidak terdapat kata2 permit any), masi bingung? nanti kita liat penjelasan yang nomor 4
    • Host : ini mirip dengan A.B.C.D…hanya saja lebih spesifik, host digunakan untuk memfilter 1(SATU) PC ato SERVER (sebut saja bunga *eh* anggap saja begitu 😀 ), klo A.B.C.D kita bisa buat range (range ???…ntar gw jelasin)
  4. nah….access-list 10 deny host 172.16.30.2 baca nya adalah “barangsiapa atau siapa saja (baca : PC ato Server ato Printer ato yang laen) YANG mempunyai alamat IP 172.16.30.2  akan DITOLAK masuk / keluar”
  5. access-list 10 deny 172.16.30.2 0.0.0.255 (ini yang bener….yang digambar salah…gw crop gambarnya kurang panjang, ada kata2 “invalid input detected” nya ga ke crop) lo bisa artikan “ip yang diblok, RANGE nya harus dari 172.16.30.2 sampe 172.16.30.255” (angka 0 bisa lo artikan harus sama dengan ip nya, angka 255 berarti bebas sampe limitnya yaitu 255 itu sendiri)

WILDCARD MASK TUTORIAL DALAM TAHAP PENGEMBANGAN…SO.STAY TUNED IN !!! *halah…

show access-list (untuk melihat konfigurasi akses list kita)

inilah akses list yang sudah dibuat

bacanya ini akses list adalah

  • akses list ini dikasi nomor 10
  • tidak memperbolehkan host (baca: server/pc/ato device lain) yang beralamat 172.16.30.2 masuk ato keluar (tergantung di mana lo tempatin ini akses list)
  • tidak memperbolehkan ip dengan range 172.16.30.2 sampa 172.16.30.255 masuk ato keluar (tergantung di mana lo tempatin ini akses list)
  • jika semua kondisi diatas ditolak…maka packet itu BOLEH dimasukkan kedalam jaringan/dikeluarkan keluar jaringan (liat..gw konfig permit any…..klo gw ga ketik permit any di akhir akses list…makanya yang terjadi adalah implicit deny…yaitu ketika semua kondisi tertolak…maka packet akan dibuang)

MENGAPLIKASIKAN AKSES LIST

Router(config)#int fa0/0

Router(config-if)#ip access-group 10 in // mengaplikasikan akses list nomor 10 ke interface fastethernet 0/0 dengan tujuan inbound

Older Entries Newer Entries