Product SiteDocumentation Site

Bab 10. Infrastruktur Jaringan

10.1. Gateway
10.2. setifikat X.509
10.2.1. Membuat sertifikat tepercaya yang gratis
10.2.2. Infrastruktur Kunci Publik: easy-rsa
10.3. Virtual Private Network
10.3.1. OpenVPN
10.3.2. Virtual Private Network dengan SSH
10.3.3. IPsec
10.3.4. PPTP
10.4. Kualitas Layanan
10.4.1. Prinsip dan Mekanisme
10.4.2. Mengkonfigurasi dan Mengimplementasi
10.5. Routing Dinamis
10.6. IPv6
10.6.1. Tunneling
10.7. Domain Name Servers (DNS)
10.7.1. Perangkat lunak DNS
10.7.2. Mengkonfigurasi bind
10.8. DHCP
10.8.1. Mengkonfigurasi
10.8.2. DHCP dan DNS
10.9. Alat Diagnosis Jaringan
10.9.1. Diagnosis Lokal: netstat
10.9.2. Diagnosis Jarak Jauh: nmap
10.9.3. Sniffer: tcpdump dan wireshark
Linux memperoleh seluruh warisan Unix untuk jaringan, dan Debian menyediakan set lengkap peralatan untuk membuat dan mengelola mereka. Bab ini mengulas peralatan tersebut.

10.1. Gateway

Gateway adalah sebuah sistem yang menghubungkan beberapa jaringan. Istilah ini sering mengacu pada "titik keluar" jaringan lokal pada jalur wajib untuk semua alamat IP eksternal. Gateway terhubung ke masing-masing jaringan yang dihubungkannya, dan bertindak sebagai sebuah router untuk menyampaikan paket-paket IP antara berbagai antarmuka.

KEMBALI KE DASAR paket IP

Sebagian besar jaringan saat ini menggunakan protokol IP (Internet Protocol). Protokol ini mensegmentasi data yang ditransmisikan ke paket-paket ukuran terbatas. Setiap packet berisi, selain muatan datanya, sejumlah rincian yang diperlukan untuk routing yang tepat.

KEMBALI KE DASAR TCP/UDP

Banyak program yang tidak menangani sendiri paket-paket individu, walaupun data yang mereka transmisikan berjalan melalui IP; mereka sering memakai TCP (Transmission Control Protocol). TCP adalah suatu lapisan di atas IP yang mengizinkan terjalinnya koneksi yang didedikasikan ke stream data antara dua titik. Program kemudian hanya melihat suatu titik masuk tempat data diasupkan dengan garansi bahwa data yang sama keluar tanpa ada kehilangan (dan dalam urutan yang sama) di titik keluar di ujung lain koneksi. Walaupun banyak jenis kesalahan dapat terjadi dalam lapisan-lapisan yang lebih rendah, mereka dikompensasi oleh TCP: paket hilang dipancarkan ulang, dan paket yang datang tak berurut (sebagai contoh, bila mereka memakai path yang berbeda) diurutkan ulang secara tepat.
Protokol lain yang mengandalkan IP adalah UDP (User Datagram Protocol). Berbeda dengan TCP, ini berorientasi paket. Sasarannya berbeda: tujuan UDP hanya untuk mentransmisikan satu paket dari sebuah aplikasi ke lainnya. Protokol tidak mencoba mengkompensasi kemungkinan kehilangan paket di jalan, maupun tidak memastikan bahwa paket diterima dalam urutan yang sama dengan saat dikirim. Keuntungan utama atas protokol ini adalah latensinya jauh lebih baik, karena kehilangan satu paket tidak menunda penerimaan semua paket yang mengikuti sampai satu yang hilang ditransmisikan ulang.
TCP dan UDP keduanya melibatkan port, yang merupakan “nomor ekstensi” untuk menjalin komunikasi dengan suatu aplikasi pada sebuah mesin. Konsep ini mengizinkan menjaga beberapa komunikasi yang berbeda secara paralel dengan korespondensi yang sama, karena komunikasi ini dapat dibedakan menurut nomor portnya.
Some of these port numbers — standardized by the IANA (Internet Assigned Numbers Authority) — are “well-known” for being associated with network services. For instance, TCP port 25 is generally used by the email server. The list of services associated with port numbers can be found in the /etc/services file, also explained in services(5), as well as in:
→ https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Ketika suatu jaringan lokal memakai sebuah rentang alamat privat (yang tidak dapat di-route di Internet), gateway perlu mengimplementasikan masquerading alamat sehingga mesin-mesin pada jaringan dapat berkomunikasi dengan dunia luar. Operasi masquerading adalah semacam proksi yang beroperasi pada level jaringa: setiap koneksi arah luar dari suatu mesin internal digantikan dengan suatu koneksi dari gateway itu sendiri (karena gateway memiliki alamat eksternal, yang dapat di-route), data yang melalui koneksi yang di-masquerade dikirim ke yang baru, dan data yang kembali dalam jawaban dikirim melalui koneksi yang di-masquerade ke mesin internal. Gateway memakai suatu rentang port TCP yang terdedikasi untuk tujuan ini, biasanya dengan nomor sangat tinggi (di atas 60000). Setiap koneksi yang datang dari suatu mesin internal kemudian muncul ke dunia luar sebagai suatu koneksi yang datang dari salah satu port yang dicadangkan ini.

KULTUR Rentang alamat privat

RFC 1918 mendefinisikan tiga rentang alamat IPv4 yang tidak dimaksudkan untuk di-route di Internet tapi hanya dipakai di jaringan lokal. Yang pertama, 10.0.0.0/8 (lihat bilah sisi KEMBALI KE DASAR Konsep penting jaringan (Ethernet, alamat IP, subnet, broadcast)), adalah suatu rentang kelas-A (dengan 224 alamat IP). Yang kedua, 172.16.0.0/12, mengumpulkan 16 rentang kelas-B (172.16.0.0/16 sampai 172.31.0.0/16), masing-masing memuat 216 alamat IP. Akhirnya, 192.168.0.0/16 adalah suatu rentang kelas-B (mengelompokkan 256 rentang kelas-C, 192.168.0.0/24 sampai 192.168.255.0/24, masing-masing dengan 256 alamat IP).
→ http://www.faqs.org/rfcs/rfc1918.html
Gateway juga bisa melaksanakan dua macam network address translation (atau NAT). Jenis pertama, Destination NAT (DNAT) adalah suatu teknik yang mengubah alamat IP tujuan (dan/atau port TCP atau UDP) (umumnya) untuk suatu koneksi masuk. Mekanisme pelacakan koneksi juga mengubah paket-paket yang mengikuti dalam koneksi yang sama untuk memastikan keberlangsungan dalam komunikasi. NAT jenis kedua adalah Source NAT (SNAT), dimana masquerading adalah suatu kasus khusus; SNAT mengubah alamat IP sumber (dan/atau port TCP atau UDP) (umumnya) dari suatu koneksi keluar. Seperti pada DNAT, semua paket dalam koneksi secara tepat ditangani oleh mekanisme pelacakan koneksi. Perhatikan bahwa NAT hanya relevan bagi IPv4 dan ruang alamatnya yang terbatas; dalam IPv6, ketersediaan luas dari alamat sangat mengurangi kebergunaan NAT dengan mengizinkan semua alamat "internal" dapat di-route secara langsung pada Internet (ini tidak mengimplikasikan bahwa mesin-mesin internal dapat diakses, karena firewal perantara dapat menyaring lalu lintas).

KEMBALI KE DASAR Penerusan port

Aplikasi konkrit DNAT adalah port forwarding. Koneksi masuk ke port tertentu dari suatu mesin diteruskan ke port pada komputer lain. Solusi lain mungkin ada untuk mencapai efek yang sama, terutama pada tingkat aplikasi dengan ssh (Lihat Bagian 9.2.1.4, “Menciptakan Tunnel Terenkripsi dengan Penerusan Port”) atau redir .
Teori cukup, mari kita praktek. Mengubah sistem Debian menjadi gateway adalah sekedar mengaktifkan opsi yang sesuai untuk kernel Linux, melalui sistem berkas virtual /proc/: 
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
This option can also be automatically enabled on boot if /etc/sysctl.conf or a configuration file in /etc/sysctl.d/ sets the net.ipv4.conf.default.forwarding option to 1.

Contoh 10.1. Berkas /etc/sysctl.conf

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
Efek yang sama dapat diperoleh untuk IPv6 hanya dengan mengganti ipv4 dengan ipv6 dalam perintah manual dan menggunakan net.ipv6.conf.all.forwarding dalam /etc/sysctl.conf.
Mengaktifkan masquerading IPv4 adalah operasi yang sedikit lebih kompleks yang melibatkan konfigurasi netfilter firewall.
Demikian pula dengan menggunakan NAT (untuk IPv4) membutuhkan konfigurasi netfilter. Karena tujuan utama komponen ini adalah penyaringan paket, rinciannya tercantum dalam Bab 14: “Keamanan (Lihat Bagian 14.2, “Firewall atau Penyaringan Paket”).