Rabu, 26 Januari 2011

OPTIMASI PROXY

Proxy-Server



Proxy server adalah sebuah server pada jaringan komputer yang memberikan pelayanan pada komputer client untuk dapat melakukan koneksi tidak langsung (indirect connection) dengan jaringan yang lainnya.
Client meminta koneksi ke arah proxy server kemudian server melakukan koneksi ke arah server tujuan, atau mengambil data dari dalam tempat penyimpanan sementara (cache).

Untuk mesin Linux, dapat menggunakan aplikasi "squid". Dimana pada squid tersebut dapat melakukan pembatasan akses. File konfigurasi squid berada di direktori /etc/squid/, dan file konfigurasinya bernama "squid.conf". Squid menggunakan port tertentu untuk menerima request dari client, defaultnya adalah 3128. Untuk menggunakan proxy, client dapat merubah preferences / options pada software web browsernya dengan mengarahkan IP proxy dan portnya.

 
TRANSPARENT PROXY

Transparent proxy adalah suatu cara supaya client dapat tetap mengakses ke jaringan lain tanpa harus memasukkan IP proxy server pada web browsernya. Cara kerja dari tranparent proxy adalah :
1. PC Client akan menanyakan pada DNS no IP dari site yang akan diakses, DNS server akan melanjutkan (forward) request DNS tersebut ke Server DNS suatu ISP.
2. Setelah mendapatkan balasan PC Client akan mengakses web.
3. PC Client yang akan mengakses suatu web di internet (tcp 80), paket requestnya akan ditangkap terlebih dahulu oleh PC Router.
4. Paket yang tertangkap akan dibelokkan (REDIRECT) ke arah port aplikasi proxy, sehingga yang awalnya mengakses ke port 80 akan dipindahkan ke port 3128. Komponen yang diperlukan untuk membangun transparent proxy adalah :
– Aplikasi proxy, pada praktikum ini menggunakan "squid"
– Aplikasi REDIRECT, pada praktikum ini menggunakan "iptables"
– Aplikasi DNS forwarder (optional), pada praktikum ini menggunakan "bind9"

LANGKAH-LANGKAH PRAKTIKUM

Network Address Translation
  1. Siapkan jaringan seperti pada gambar topologi (Gb. 5) dan pastikan tidak ada firewall di mesin PC router !!! (hapus dengan iptables -F dan iptables -t nat -F)

2. Pada PC router, ethernet yang mengarah ke switch menggunakan IP DHCP, sedangkan ethernet yang mengarah ke LAN diberikan IP dengan blok terakhir 1. Contoh pada jaringan 192.168.1.0/24 diberi IP 192.168.1.1.
3. Aktifkan IP-forwarding : # echo 1 > /proc/sys/net/ipv4/ip_forward
4. Pada PC client diberikan alamat IP static sesuai dengan jaringannya. Misal jaringan 192.168.1.0/24 diberi IP 192.168.1.100.
5. Pastikan PC client dan PC router bisa saling terkoneksi dengan melakukan ping atau traceroute (mtr).
Contoh :
- Dari PC client
# ping 192.168.1.1
- Dari PC router
# ping 192.168.1.100
Gb 5: Topologi Praktikum
6. Lakukan mtr ke arah IP server ns1.eepis-its.edu (202.154.187.2) dan ke arah PC client di jaringan lainnya dari PC client maupun PC router.
# mtr 202.154.187.2
# mtr 192.168.2.55
7. Tambahkan NAT pada PC router, dengan IP network sesuai dengan jaringan masingmasing
# iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
8. Catat hasil iptables pada PC router
# iptables -t nat -nL
9. Lakukan mtr ke arah IP server ns1.eepis-its.edu dan ke arah PC client di jaringan
lainnya
10.Buka website http://noc.eepis-its.edu dari PC client. (buat screenshotnya)
PROXY-SERVER
1. Pastikan belum terinstall aplikasi proxy di mesin pc router, dengan cara :
# dpkg -P squid
2. Hapus rule NAT di pc router
# iptables -t nat -F
3. Lakukan ping atau mtr dari PC client ke arah server noc.eepis-its.edu (202.154.187.2)
dan pastikan TIDAK terkoneksi !!!
4. Lakukan installasi aplikasi proxy "squid" di mesin PC router
# apt-get install squid
5. Rubah konfigurasi pada /etc/squid/squid.conf di mesin PC router, supaya
memperbolehkan IP client di jaringannya dapat mengakses ke jaringan luar.
# vim /etc/squid/squid.conf
Cari bagian :
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
tips: Pada vim dapat dilakukan dengan : ESC – tekan tombol / - ketik "our_network"
Rubah menjadi : (isi dengan IP jaringan dan hilangkan tanda # didepannya)
acl our_networks src 192.168.1.0/24
http_access allow our_networks
Simpan file konfigurasi tersebut dengan ":wq"
6. Restart aplikasi squid dengan cara :
# /etc/init.d/squid restart
7. Pada PC client, buka aplikasi web browser (iceweasel), rubah preferences untuk proxy.
Isikan dengan IP mesin proxy dan portnya.
Contoh :
HTTP Proxy : 192.168.1.1 dengan port : 3128
8. Pada PC Client, lakukan akses ke alamat web http://noc.eepis-its.edu atau
http://www.eepis-its.edu (Tidak mengakses ke INTERNET !!!)
9. Pada PC router, tampilkan report dari client yang menggunakan proxy. File report ada
di /var/log/squid/access.log
# tail -f /var/log/squid/access.log
TRANSPARENT PROXY
1. Matikan preferences untuk menggunakan Proxy pada web browser di PC Client
2. Akses ke web http://www.eepis-its.edu, seharusnya akses akan gagal dengan web
browser gagal untuk meresolv nama dari domain tersebut.
Bagian DNS
3. Pada PC router lakukan installasi aplikasi DNS "bind9"
# apt-get install bind9
4. Rubah konfigurasi pada file /etc/bind/named.conf.options
# vim /etc/bind/named.conf.options
Rubah bagian : (hilangkan tanda // di depannya)
// query-source address * port 53;
Menjadi :
query-source address * port 53;
Rubah bagian :
// forwarders {
// 0.0.0.0;
// };
Menjadi : (hilangkan tanda // dan ganti IP 0.0.0.0 menjadi IP DNS – ISP 202.154.187.2)
forwarders {
202.154.187.2;
};
5. Restart aplikasi DNS
# /etc/init.d/bind9 restart
Bagian Proxy
6. Rubah konfigurasi file /etc/squid/squid.conf pada mesin PC Router
# vim /etc/squid/squid.conf
Rubah bagian :
http_port 3128
Menjadi : (menambahkan kata "transparent")
http_port 3128 transparent
Simpan dengan "ESC - :wq"
7. Restart aplikasi squid dengan cara :
# /etc/init.d/squid restart
Bagian Firewall
8. Tambahkan aturan firewall pada mesin PC Router untuk membelokkan request ke DNS
(udp 53) dan ke WEB (tcp 80)
# iptables -nL -t nat
Menambahkan redirect untuk WEB ke arah port proxy
# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p tcp –dport 80 -j REDIRECT –toports
3128
Menambahkan redirect untuk DNS ke arah bind9
# iptables -t nat -I PREROUTING -s 192.168.1.0/24 -p udp –dport 53 -j REDIRECT –
to-ports 53
Lihat isi firewall dengan iptables -t nat -nvL
Bagian akses
9. Pada Client jalankan "nslookup www.eepis-its.edu" dengan menggunakan terminal
10.Akses ke website http://www.eepis-its.edu atau http://noc.eepis-its.edu
11.Pada mesin PC router, catat hasil akses dengan cara :
# tail -f /var/log/squid/access.log
Diposting oleh di Tidak ada komentar:

Rabu, 12 Januari 2011

praKBM

Core, Distribution, Access Layer 

 Para nettes yang budiman, dalam mendisain topologi network, kita harus merancang sedemikian rupa sehingga kedepan network yang kita kelola mudah untuk di kembangkan dan di menej sesuai kebutuhan di lapangan seperti kebijakan di instansi anda masing-masing. Pendapat ini ada benarnya juga ketika kita hanya menghubungkan 2 PC atau network kecil saja, tetapi kalau acuan kita adalah QOS (Quality of Service) maka mau tidak mau kita harus mendesain dari awal network kita seperti gambardi bawah ini :


1.  Core Layer

Pada layer ini bertanggung jawab untu mengirim traffic scara cepat dan andal. Tujuannya hanyalah men-switch traffic secepat mungkin (dipengaruhi oleh kecepatan dan latency). Kegagalan pada core layer dan desain fault tolerance untuk level ini dapat dibuat sbb :
Yang tidak boleh dilakukan :
  • tidak diperkenankan menggunakan access list, packet filtering, atau routing VLAN.
  • tidak diperkenankan mendukung akses workgroup.
  • tidak diperkenankan memperluas jaringan dengan kecepatan dan kapasitas yang lebih besar.
Yang boleh dilakukan :
  • melakukan desain untuk keandalan yang tinggi ( FDDI, Fast Ethernet dengan link yang redundan atau ATM).
  • melakukan desain untuk kecepatan dan latency rendah.
  • menggunakan protocol routing dengan waktu konvergensi yang rendah.
2.  Distribution Layer

Pada layer ini sering disebut juga workgroup layer, merupaan titik komunikasi antara access layer dan core layer. Fungsi utamanya adalah routing, filtering, akses WAN, dan menentukan akses core layer jika diperlukan. Menentukan path tercepat/terbaik dan mengirim request ke core layer. Core layer kemudian dengan cepat mengirim request tersebut ke service yang sesuai.

3.  Access Layer

Pada layer ini menyediakan aksess jaringan untuk user/workgroup dan mengontrol akses dan end user local ke Internetwork. Sering di sebut juga desktop layer. Resource yang paling dibutuhkan oleh user akan disediakan secara local. Kelanjutan penggunaan access list dan filter, tempat pembuatan collision domain yang terpisah (segmentasi). Teknologi seperti Ethernet switching tampak pada layer ini serta menjadi tempat dilakukannya routing statis.
Kebetulan dalam jaringan Internal UAD sudah menerapkan desain tersebut diatas dengan detail spesifikasi teknis sbb:
  • Core Layer di tangani mesin core.uad.ac.id BSD Minded dipadukan dengan Cisco Catalyst L3 (support multilayer) [118.97.x.x] dimana menangani jalur backbone utama ke ISP dan jalur Inherent
  • Distribution Layer di tangani mesin router Mikrotik 3.23 level 6 menangani routing terpusat, jadi semua unit /lokasi tidak ada NAT kecuali untuk Lab, sehingga kita bisa terhubung ke semua device pada masing-masing unit /kampus.
  • Access Layer ditangani mesin Mikrotik Router 3.23 level 6 dengan di bantu managable switch besutan Nortel dengan spesifikasi Nortel 2550T menangani VLAN di masing-masing kampus.
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)