PT. Hawk Teknologi Solusi

Silahkan Cari Disini

Rabu, 17 Desember 2008

Mengatasi Worm Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec) dengan Mikrotik

Huh...
dua hari sudah aku dikerjain worm
dimulai dari telepon Mr. Denis MIT Hotel Menara Peninsula Tgl 17 Des 2008 yang melaporkan jaringan hotel kena virus yang mengakses url http:// trafficconverter . biz beliau minta url tersebut di blok disisi ISP Datautama.

Ok langkah pertama lempar semua traffic 80 ke proxy squid lalu saya filter url tersebut, berhasil?
ternyata tidak itu hanya sementara

Hari ini Tanggal 18 Des 2008 dapat email dari Mas Priyo bahwa limiter international dua kali di reboot karena CPU Loadnya tinggi sekali mh..... ada apa ini? pasti flood wah ini serangan
tapi sampe jam 14 lebih masih belum juga ditemukan siapa yang ngeflood semua normal2 saja di torch mh... kenapa ya, belum lagi selesai Mas Firman Pasuruan nanyain RB433AH nya sudah di pasang belum di cyber :( , belum makan pula , ditambah email internal yang menjengkelkan pingin rasanya matiin handphone terus kabur ke S*A huehehehehe , ya uda makan dulu di warteg terdekat kantor, krismon nih cari minuman import aja kagak ade hiks.

Ternyata memang makanan memberikan kekuatan baru dan ide-ide baru , ok baca lagi deh penjelasan tentang tingkah laku worm sialan itu di : http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=75911

atau kalau mau referensi yang sudah berbahasa Indonesia bisa dibaca di:
http://vaksin.com/2008/1208/conficker/conficker.htm
thanks Pak Alfons atas artikelnya, padahal bos vaksin sudah menyampaikan ke saya adanya serangan virus ini hehehe tapi baru sadar kalau sudah kena getahnya hehehe.

mh...
ada ide "tuing"
ok kalau mengandung loadadv . exe dst-addressnya cemplungin aja ke address-list terus di drop di firewall chain forward ok mainkan

berikut adalah screenshootnya

1. buat mangle


in interface adalah interface dalam yang menghadap ke jaringan kita



isi content dengan " loadadv . exe " lihat gambar , di destination address-list isi ! ournetwork, maksudnya agar content tsb hanya di cek kalau destinationnya bukan address-list ournetwork.


kalau ada content " loadadv . exe " masukkin ke dst-address-list = worm-dst

2. Buat firewall rule chain forward




dst-address-list pilih "worm-dst"



action drop
lalu ok
jangan lupa taro di paling atas ya

dengan demikian maka kalau ada destination address yang ditangkap karena digunakan untuk mendownload file " loadadv . exe " maka akan didrop sehingga proses download file jahanam tersebut tidak dapat dilakukan.

hasilnya:
1. MRTG turun ke level 10-11Mbps


2. di address-list terdapat ip2 yang digunakan untuk download loadadv . exe . tapi hati-hati, sistem mangle dengan content "loadadv . exe" ini juga cukup galak jadi kalau ada yang mengetikkan " loadadv . exe " dengan titik antara loadadv dan exe tanpa spasi pasti kena cekal juga destination addressnya hehehe makanya saya tulis " loadadv spasi . spasi exe " biar gak kecekal :)


Senin, 10 November 2008

Pemisahan Traffic ke IP Akamai Indosat

Sehubungan dengan adanya blok IP Akamai Indosat di advertise juga ke OpenIXP/NICE maka dalam implementasi http://inetshoot.blogspot.com/2008/11/simple-queue-iix-dan-international.html

IP Blok Akamai tersebut harus di pisahkan dari traffic IIX , kenapa?
  1. Karena traffic yang menuju ke IP Akamai tersebut akan dianggap traffic IIX sehingga terjadi ketidak efetifan dalam melimit traffic ke situs2 sbb: yahoo, microsoft, msn, symantech dll yang beberapa objectnya tersedia di Akamai tersebut dianggap sebagai traffic IIX.
  2. Dengan termarkingnya traffic menuju ke IP Akamai sebagai packet-iix maka queue terhadap packet-iix tersebut termasuk juga traffic menuju ke IP Akamai, yang jadi masalah Indosat mengadvertise IP Akamainya ke OpenIXP/NICE tetapi tidak mengizinkan object dari Akamai tersebut diambil (download) melalui OpenIXP/NICE , jadi outgoingnya saja (upload) melalui OpenIXP/NICE tapi incoming tetap lewat link International , nah ini yang jadi biang keroknya :(
  3. Berdasarkan penjelasan di point 2, artinya bandwidth International akan terutilize tidak sesuai dengan keinginan kita karena traffic dari IP Akamai tidak terlimit sesuai dengan queue Internationalnya tetapi sesuai dengan queue IIX karena paket2 tersebut termarking sebagai packet-iix.

Oleh karena itu caranya menurut saya adalah sbb:

1. Buat dulu address-list "akamai-indosat" , untuk akamai dari telkom atau upstream lainnya yang punya akamai silahkan cari sendiri :)

/ ip firewall address-list
add list=akamai-indosat address=219.83.124.0/23 comment="" disabled=no
add list=akamai-indosat address=124.195.0.0/17 comment="" disabled=no
2. Kemudian rubah manglenya menjadi sbb:

/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=con-iix \
passthrough=yes in-interface=!backhaul-to-cyber dst-address-list=nice \
comment="con-iix" disabled=no
add chain=prerouting action=mark-connection \
new-connection-mark=con-akamai-indosat passthrough=yes \
in-interface=!backhaul-to-cyber dst-address-list=akamai-indosat \
comment="con-akamai-indosat" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-iix \
passthrough=no connection-mark=con-iix comment="packet-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-intl \
passthrough=no comment="packet-intl" disabled=no



atau tambahkan saja rule tepat dibawah "con-iix" yang dapat dilihat pada screen shoot berikut:



Semoga rule yang saya buat ini benar :) . maklum belum pernah ikut training mikrotik, selama ini cuman baca2 dan percobaan sendiri. Kadang saya senyum2 kalau dianggap sebagai master mikrotik hehehehe peace.

Special Thanks untuk Mr. Ivan http://www.innovatn.net/ atas masukkannya perihal blok IP Akamai tersebut.

Salam
Harijanto Pribadi

Rabu, 05 November 2008

Simple Queue IIX dan International dengan Satu Router

Sebelumnya luangkan waktu untuk baca blog bos baba berikut ini
http://baba.blogdetik.com/2008/11/05/ajakan-jangan-asal-copy-paste-apaan-tuwh/

Pada blog ini saya mencoba memberikan contoh bagaimana mengatur bandwidth iix/nice menggunakan pc router mikrotik menggunakan teknik mangle yang sebenarnya sudah sering dibahas di forum-forum maupun di blog-blog. Tulisan ini hanya sebagai tambahan saja untuk melengkapi blog / artikel yang ada terdahulu. Jadi artikel ini "ASLI" saya buat sendiri bukan "Copy Paste" hehehe. Jujur saya juga akhirnya ikut-ikutan copy paste blog / artikel orang, soalnya blog ini saya jadikan kumpulan catatan juga, tujuannya kalau saya lupa sesuatu tinggal cari di blog sendiri hehehe. Jadi mohon maaf jika di blog saya juga ada beberapa artikel dari blog orang lain yang saya copy paste , tapi pasti saya tulis linknya dibawah atau diatasnya. Tapi emang lebih baik kalau orang yang mau baca artikel aslinya di hantarkan ke URL aslinya , atau artikelnya di terjemahkan dulu katanya bos baba, tapi emang gue tukang translate dari jalan pramuka heheheh :)

Tapi kalau teman-teman mau copy paste ya monggo sih asal ditulis asalnya dari mana gitu aja cukup kalau buat gue, tapi kalau buat orang bule gak cukup loh hehehe.

Mari kita bahas permasalahan yang sebenarnya

Skenario dari Simple Queue IIX dan International berikut ini adalah satu router dengan minimal dua Interface:
1. Backhaul -> yang mendapat IP Public dari ISP atau IP Point-to-Point biasanya sih /30 dari ISP
2. Distribution -> Interface yang menghadap ke pelanggan / user

Dalam contoh ini saya tidak melakukan NAT karena IP yang di routing semuanya IP Public karena kebetulan saya punya ISP sendiri , masa ISP pake IP Private , kalau ISP itu punya ASN dan IP Public sendiri hehehe peace (FYI: saya cuman Direktor Operasional bukan pemilikinya tapi what ever lah emang gue pikirin)
Gambaran Sederhananya:

[Internet IIX dan Intl]-[(Interface Backhaul) Mikrotik (Interface Distribution)]-[Router Kantor / Pelanggan]

Catatan:
Karena di interface distribution saya banyak vlan untuk memisah-misahkan link pelanggan (idealnya mah satu pelanggan satu vlan biar lebih aman), maka dalam contoh ini

in-interface=!backhaul-to-cbyer

artinya interface inputnya adalah semua interface selain selain "backhaul-to-cyber"
Skrip Manglenya

# nov/05/2008 19:39:55 by RouterOS 2.9.50
# software id = 9CS2-87N
#
/ ip firewall mangle
add chain=prerouting action=mark-connection new-connection-mark=con-iix \
passthrough=yes in-interface=!backhaul-to-cyber dst-address-list=nice \
comment="con-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-iix \
passthrough=no connection-mark=con-iix comment="packet-iix" disabled=no
add chain=prerouting action=mark-packet new-packet-mark=packet-intl \
passthrough=no comment="packet-intl" disabled=no


Skrip diatas adalah hasil export dari Mikrotik v 2.9.50, perhatikan tulisan yang saya bold
dari hasil percobaan yang paling bener itu adalah chain=prerouting karena kalau chain=forward nanti di queue-simplenya hanya Rx-Rate yang efektif sedangkan Tx-Rate nya tidak , tetapi kalau dengan chain "prerouting" Rx dan Tx Ratenya efektif, kalau mau lebih jelasnya baca aja referensi tentang iptables di link berikut misalnya:

http://rootbox.or.id/tips/iptables.html

baca sendiri ya udah bahasa Indonesia tuh, Thanks to:
Lukman HDP/s3trum (lukman_hdp@yahoo.com)
supaya gue gak di gugat lagi hehehe.

Kemudian untuk bagian action=mark-connection new-connection-mark=con-iix, passthrought=yes supaya setelah di marking new-connection-mark packetnya diteruskan ke rule dibawahnya lagi (ini sih menurut pengertian gue semoga aja bener)

baru rule berikutnya action=mark-packet new-packet-mark=packet-iix, passthrought=no supaya setelah di marking new-packet-mark=packet-iix paket-paket tersebut tidak diteruskan ke rule selanjutnya. Dengan demikian kalau udah jadi paket-iix tidak usah di di marking lagi di paket-intl , ya kalau dimarking lagi jadi paket-intl semuanya jadi paket-intl donk bos :)

jadi tujuannya passthrought=no itu menurut gue nih ya supaya paket2 itu gak usah di teruskan ke proses lebih lanjut dibawahnya semoga aja bener :)

referensinya baca aja sendiri di:
http://www.mikrotik.com/testdocs/ros/2.9/ip/mangle.php
Thaks to Mikrotik Developer :)

Setelah di mangle selanjutnya set di Queue Simplenya

# nov/05/2008 19:44:39 by RouterOS 2.9.50
# software id = 9CS2-87N
#
/ queue simple
add name="JKT-OFFICE" target-addresses=203.89.24.71/32 dst-address=0.0.0.0/0 \
interface=all parent=none direction=both priority=8 \
queue=default-small/default-small limit-at=2000000/2000000 \
max-limit=2000000/3000000 total-queue=default disabled=no
add name="JKT-OFFICE-IIX" target-addresses=203.89.24.71/32 \
dst-address=0.0.0.0/0 interface=all parent=JKT-OFFICE \
packet-marks=packet-iix direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no
add name="JKT-OFFICE-INTL" target-addresses=203.89.24.71/32 \
dst-address=0.0.0.0/0 interface=all parent=JKT-OFFICE \
packet-marks=packet-intl direction=both priority=8 \
queue=default-small/default-small limit-at=0/0 max-limit=0/0 \
total-queue=default-small disabled=no


contoh skrip diatas juga adalah hasil export dari Mikrotik 2.9.50
Jadi JKT-OFFICE-IIX dan JKT-OFFICE-INTL parent ke JKT-OFFICE
JKT-OFFICE-IIX untuk memantau penggunaan IIX sedangkan JKT-OFFICE-INTL untuk memantau penggunaan International , kalau mau dilimit di child nya juga bisa kalau mau, hanya saja di contoh ini saya cuman mau mantau penggunaan antara IIX dan Internationalnya.
target-address=203.89.24.71 adalah IP WAN Router Kantor / IP WAN Router Pelanggan.

ini screen capturenya di winbox



Bisa dilihat bahwa JKT-OFFICE adalah gabungan antara traffic JKT-OFFICE-IIX dan JKT-OFFICE-INTL

Dah beres!
Tapi jangan lupa address-list=nice harus di import ya!

nah supaya address-list=nice setiap pagi di update cara yang saya lakukan adalah sbb:
(catatan ini beneran gue oprek sendiri gak nyontoh wong idenya dari buku ku sendiri kok:
http://inetshoot.blogspot.com/2008/08/buku-firewall-melindungi-jaringan-dari.html sekalian promosi buku ke tiga saya jadi jangan lupa sisihkan Rp. 19.500 untuk beli buku saya hehehe mayan buat ke SPA kalau dah kemeng sama Mikrotik)

Nah caranya gini ni:
Buat script "nice-address-list-downloader" yang isinya sbb:

#!/bin/sh
lynx -dump -nolist http://ixp.mikrotik.co.id/download/nice.rsc > /var/www/apf/nice.rsc

taro di mesin linux
misal di /var/www/apf/nice-address-list-downloader

jangan lupa di chmod 755 supaya bisa eksekusi, hasil dari script tersebut adalah file nice.rsc yang berisi daftar prefix yang ada di NICE/IIX , keterangan lebih lanjut baca di:
http://www.mikrotik.co.id/artikel_lihat.php?id=23
Thanks to Pak Valens Riadi dkk.

Buat lagi script "nice-address-list-update" yang isinya sbb:

#!/bin/sh
# Rubah http://localhost sesuai dengan URL server uploader Anda
#
lynx -dump http://localhost/apf/nice-ftp-uploader.php


Nah script nice-ftp-uploader.php nya sbb:




catatan misal:
$ftp_user_name="nice";
$ftp_user_pass="123456";

sesuaikan dengan username dan password di mikrotiknya tar dijelasin dibawah ya sabar.
nah file nice-ftp-uploader.php karena disitu ada informasi user dan password lebih baik dibuat chmod 640 , dan jangan lupa di buat chown root:www-data supaya user root dan group www-data (yang merupakan user apache) boleh baca tapi orang lain "NO ACCESS".

masukkan IP mesin mikrotik yang mau diupload file nice.rsc di file:
/var/www/apf/nice-target.list

yang isinya misal:

192.168.0.1

jadi isinya cuman daftar ip mesin2 mikrotik yang mau diupload file nice.rsc tersebut

Berikutnya buat user "nice" dengan password "123456" misalnya (jangan nekat pake password "123456" banyak brute force sekarang di IIX hehehe) di router mikrotiknya.

untuk user nice tersebut baiknya dibuat group "nice" juga di mikrotiknya contohnya bisa dilihat di screen capture berikut:


terus buat user "nice" screen capturenya bisa dilihat sbb:


nah baiknya dibatasi "allowed address" dari IP Linux yang akan mengambil nice.rsc dan menguploadnya ke mikrotik tersebut.

selanjutnya tinggal di jalankan saja script:

/var/www/apf/nice-address-list-downloader
/var/www/apf/nice-address-list-update

menggunakan crond, masukkan baris berikut ke /etc/crontab

00 6 * * * * root /var/www/apf/nice-address-list-downloader
15 6 * * * * root /var/www/apf/nice-address-list-update

lalu restart crond misal kalau pake debian

/etc/init.d/cron restart

kalau pake fedora

service crond restart

dengan demikian tiap jam 6.00 nice-address-list-downloader di jalankan menghasilnya nice.rsc
dan tiap jam 6.15 nice-address-list-update dieksekusi untuk mengupload nice.rsc ke mesin-mesin mikrotik yang ip-nya tertera di nice-target.list , gampang kan jadi dengan demikian bisa update ke beberapa mesin mikrotik sekaligus , tapi ingat buat user "nice" dulu di tiap router mikrotiknya.

ini daftar file-file yang harus ada di dalam satu directory, dan directory tersebut harus bisa diakses lewat http://localhost/apf/

/var/www/apf# ls -l nice*
-rwxr-xr-x 1 root root 97 2008-11-05 18:40 nice-address-list-downloader
-rwxr-xr-x 1 root root 131 2008-11-05 18:42 nice-address-list-update
-rw-r----- 1 root www-data 708 2008-11-05 19:21 nice-ftp-uploader.php
-rw-r--r-- 1 root root 24986 2008-11-05 19:19 nice.rsc
-rw-r--r-- 1 root root 37 2008-11-05 19:24 nice-target.list

directory apf itu hanya contoh aja jadi silahken di taro dimana aja suka-suka.

sudah selesai ? belum la yau

selanjutnya perlu buat script "nice" di mikrotik yang isinya "/import nice.rsc;" dengan cara klik system->scripts
ini contoh screen capturenya:


berikutnya script tersebut dieksekusi secara periodik dengan scheduler, buat scheduler dengan cara klik system->scheduler , isinya lihat aja di screen shoot nya berikut ini:


Jadi setiap jam 7.00 script "nice" yang menjalankan "/import nice.rsc;" dieksekusi per hari

dah beres , tapi jangan lupa coba di run dulu jalankan:

1. /var/www/apf/nice-address-list-downloader -> mesti menghasilkan file nice.rsc
2. /var/www/apf/nice-address-list-update -> mengupload file nice.rsc ke mikrotik
3. jalankan script "nice" dari menu System->scrips , pilih nice lalu klik "Run Script"
4. cek di /ip firewall address-list apakah "nice" sudah terimport dengan baik, contohnya bisa dilihat di screen capture berikut:


Done!
Semoga bermanfaat dan gak ada yang complaint :)

Salam
Harijanto Pribadi

Selasa, 28 Oktober 2008

IPv6 di Router Cisco

Contoh Sederhana Configure IPv6 di Cisco..

http://oprekan.wordpress.com/2007/09/26/contoh-sederhana-configure-ipv6-di-cisco/

Kemampuan Router Cisco untuk bisa mendukung operasional IPv6 salah satunya versi IOS yang lebih baru dan umumnya sudah stable pada versi IOS 12.2 keatas, serta module supervisor engine (SUP) untuk cisco 6500 & 7600 untuk support ipv6 (Thx to Fjr)

Referensi dari web www.cisco.com untuk IOS yang sudah support IPv6 adalah :
12.0S, 12.xT, 12.2S, 12.2 SB, 12.2SRA, 12.3, dan 12.4

Berikut list Seri Router yang sudah pernah dicoba IPv6 berikut IOS nya

- Router Cisco 7200 (IOS 12.2 T & 12.3)
- Router Cisco 3660 (IOS 12.2 T)
- Router Cisco 3640 (IOS 12.2 T)

Resources memory dan CPU juga perlu dipertimbangkan bila ingin mengembangkan dari Routing dasar ke Advance Routing (IGP & EGP).
Konfigurasi dasar IPv6 di Router Cisco :

1. Contoh Konfigurasi IPv6 Address di Interface Fisik & Sub Interface

gw-ipv6#conf t
gw-ipv6(config)# ipv6 unicast-routing
! untuk mengaktifkan forwarding paket antar interface Router
gw-ipv6(config)# ipv6 cef
! untuk mengaktifkan fitur express forwarding paket IPv6
gw-ipv6(config)#int ethernet 0
gw-ipv6(config-if)#no shutdown
gw-ipv6(config-if)#ipv6 enable
! Untuk mengaktifkan IPv6 di interface
gw-ipv6(config-if)#ipv6 address 2404:177:0253::1/123
gw-ipv6(config-if)#^Z

gw-ipv6#sh run int ethernet 0
! untuk menampilkan konfigurasi khusus Ethernet 0 saja

Building configuration…
!
Current configuration : 189 bytes
!
interface Ethernet3/0
no ip address
ipv6 enable
ipv6 address 2404:177:253::1/123
end

gw-ipv6#wr
! untuk menyimpan konfigurasi di NVRAM

2. Contoh Konfigurasi IPv6 Address di Interface Virtual (Tunnel)

gw-ipv6#conf t
gw-ipv6(config)#int tunnel 100
gw-ipv6(config-if)#ipv6 enable
gw-ipv6(config-if)#ipv6 address 2404:177:A::1/126
gw-ipv6(config-if)#tunnel source ipv4 address/nama interface
! Tunnel Source merupakan ipv4 address disisi router ini / nama interfacenya
gw-ipv6(config-if)#tunnel destin
ation ipv4address
! Tunnel Destination merupakan ipv4 address disisi router lawan yang akan kita bangun tunnel.
! IPv4 tunnel source disisi pertama merupakan IPv4 tunnel destination di router kedua.
! Demikian juga sebaliknya.
gw-ipv6(config-if)#tunnel mode ipv6ip
! ipv6ip merupakan mode tunnel IPv6 langsung (direct).

3. Contoh Konfigurasi Routing Static IPv6

gw-ipv6#conf t
gw-ipv6(config)#ipv6 route 2404:175::/32 tunnel100
! untuk me route paket ke prefix 2404:175::/32 lewat tunnel100
! routing ke nama interface bisa diganti dengan ipv6 address tunnel di seberang

Wassalam,

a. rahman isnaini r. sutan [2404:170:ee02::10]

Pengenalan Internet Protokol versi 6 (IPv6)

Author: pangeran_biru
Online @ www.echo.or.id :: http://ezine.echo.or.id

http://ezine.echo.or.id/ezine7/ez-r07-pangeran_biru-pengenalan%20IPv6.txt


=== Pengenalan Internet Protokol versi 6 (IPv6) [primbon #1] ===


Assalamualaikum wr.wb

Awalnya artikel ini saya tulis tentang implementasi IPv6 pada sistem operasi linux,
tetapi setelah saya tulis kok kepanjangan kalo hanya dijadikan satu primbon oleh
karena itu saya memutuskan menuliskannya kedalam 2 primbon (yaitu pengenalan IPv6 primbon #1,
dan Implementasi IPv6 pada sistem operasi linux primbon #2).


Dalam jaringan komputer dikenal adanya suatu protokol yang mengatur bagaimana
suatu node berkomunikasi dengan node lainnya didalam jaringan, protokol tersebut
berfungsi sebagai bahasa agar satu komputer dapat berkomunikasi satu dengan yang lainnya.
protokol yang merupakan standar de facto dalam jaringan internet yaitu protokol TCP/IP,
sehingga dengan adanya TCP/IP komputer yang dengan berbagai jenis hardware dan berbagai
jenis sistem operasi (linux,Windows X, X BSD, de el el) tetap dapat berkomunikasi.

Internet Protocol (IP) merupakan inti dari protokol TCP/IP, seluruh data yang berasal dari
layer-layer diatasnya harus diolah oleh protokol ini agar sampai ketujuan.versi IP yang saat
ini telah dipakai secara meluas di internet adalah Internet Protocol versi 4 (IPv4).

perkembangan internet yang sangat pesat sekarang ini menyebabkan alokasi alamat (IP addres)
IPv4 semakin berkurang, hal ini menyebabkan harga IP address legal sangat mahal
(kecuali maok!!!heu...heu...).Untuk mengatasi kekurangan alokasi IP address maka IETF
mendesain suatu IP baru yang disebut Internet Protocol versi 6 (IPv6).

pada IPv6, panjang alamat terdiri dari 128 bit sedangkan IPv4 hanya 32 bit. sehingga IPv6
mampu menyediakan alamat sebanyak 2^128 [2 pangkat 128] atau 3X10^38 alamat, sedangkan IPv4
hanya mampu menyediakan alamat sebanyak 2^32 atau 4,5X10^10 alamat.

oke, tadi cuma intro aja! sekarang kita lanjutkan ke yang lebih dalam lagi.
kemon baybeh!!!!!

sekarang saya akan menjelaskan perbedaan yang lainnya antara IPv4 dengan IPv6.

A.Struktur pengalamatan

#IPv4

pengalamatan IPv4 menggunakan 32 bit yang setiap bit dipisahkan dengan notasi titik.
notasi pengalamatan IPv4 adalah sebagai berikut:

XXXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX

dimana setiap simbol X digantikan dengan kombinasi bit 0 dan 1.misalnya:

10000010.11001000.01000000.00000001 (dalam angka biner)

cara penulisan lain agar mudah diinget adalah dengan bentuk 4 desimal yang dipisahkan
dengan titik. misal untuk alamat dengan kombinasi biner seperti diatas dapat dituliskan
sebagai berikut:

130.200.127.254

penulis sudah menganggap teman-teman semua dah bisa cara untuk mengkonversi dari bilangan
biner ke desimal:). cos' kalo harus dijelasakan lagi nanti tambah ruwet nih artikel:p
oke sekarang berlanjut ke struktur pengalamatan IPv6!


#IPv6

Tidak seperti pada IPv4 yang menggunakan notasi alamat sejumlah 32 bit, IPv6 menggunakan
128 bit. dah tau khan kenapa jadi 128 bit? yup biar alokasinya bisa lebih banyak.
oke sekarang kita liat notasi alamat IPv6 adalah sebagai berikut:

X:X:X:X:X:X:X:X

kalo dalam bentuk biner ditulis sebagai berikut:

1111111001111000:0010001101000100:1011111001000001:1011110011011010:
0100000101000101:0000000000000000:0000000000000000:0011101000000000

(dua blok diatas sebenarnya nyambung tapi agar tidak memakan tempat maka ditulis kebawah)
itu notasi alamat IPv6 kalo dalam bentuk biner hal ini sengaja saya tulis bukan untuk membuat
pusing yang baca tetapi untuk menunjukkan betapa panjangnya alamat IPv6.
silahkan bandingkan dengan panjangnya IPv4.

nah! agar lebih mudah diinget setiap simbol X digantikan dengan kombinasi 4 bilangan
heksadesimal dipisahkan dengan simbol titik dua [:]. untuk contoh diatas dapat ditulis sbb:

FE78:2344:BE43:BCDA:4145:0:0:3A

lebih enak diliatnya khan?nah sistem pengalamatan IPv6 dapat disederhanakan jika terdapat
berturut-turut beberapa angka "0". contohnya untuk notasi seperti diatas dapat ditulis:

FE78:2344:BE43:BCDA:4145:0:0:3A -------> FE78:2344:BE43:BCDA:4145::3A

contoh lagi:

8088:0:0:0:0:0:4508:4545 -------->8088::4508:4545


B.Sistem pengalamatan

#IPv4

Sistem pengalamatan IPv4 dibagi menjadi 5 kelas, berdasarkan jumlah host yang dapat dialokasikan
yaitu:

Kelas A : range 1-126
Kelas B : range 128-191
kelas C : range 192-223
kelas D : range 224-247
kelas E : range 248-255

tapi yang lazim dipake hanya kelas A,B dan C sedangkan kelas D dipakai untuk keperluan alamat
multicasting dan kelas E dipake untuk keperluan eksperimental.

selain itu pada IPv4 dikenal istilah subnet mask yaitu angka biner 32 bit yang digunakan untuk
membedakan network ID dan host ID, menunjukkan letak suatu host berada dalam satu jaringan
atau lain jaringan.contohnya kaya gini:

IP address: 164.10.2.1 dan 164.10.4.1 adalah berbeda jaringan jika menggunakan netmask
255.255.254.0, tetapi akan jika netmasknya diganti menjadi 255.255.240.0 maka kedua
IP address diatas adalah berbeda jaringan. paham belom? kalo belom paham gini caranya:


164.10.2.1-------> 10100100.00001010.00000010.00000001
255.255.254.0----> 11111111.11111111.11111110.00000000
____________________________________ XOR
10100100.00001010.00000010.00000000-->164.10.2.0
dan
164.10.4.1-------> 10100100.00001010.00001000.00000001
255.255.254.0----> 11111111.11111111.11111110.00000000
____________________________________ XOR
10100100.00001010.00001000.00000000-->164.10.4.0


operasi XOR caranya seperti pertambahan waktu SD, cuman lebih mudah, gampangnya gini kalo
angka "1" jumlahnya genap hasilnya "1" kalo jumlah "1" ganjil hasilnya "0" (1+1=1, 1+0=0)
(heu...heu...).

terlihat hasil operasi XOR dua IP address dengan netmask yang sama hasilnya beda berarti
kedua IP address tersebut berbeda jaringan. untuk contoh berikutnya yang menggunakan
netmask 255.255.240.0 silahkan coba sendiri.

#IPv6

pada IPv6 tidak dikenal istilah pengkelasan, hanya IPv6 menyediakan 3 jenis pengalamatan
yaitu: Unicast, Anycast dan Multicast. alamat unicast yaitu alamat yang menunjuk pada sebuah
alamat antarmuka atau host, digunakan untuk komunikasi satu lawan satu. pada alamat unicast
dibagi 3 jenis lagi yaitu: alamat link local, alamat site local dan alamat global.
alamat link local adalah alamat yang digunakan di dalam satu link yaitu jaringan local yang
saling tersambung dalam satu level. sedangkan alamat Site local setara dengan alamat privat,
yang dipakai terbatas di dalam satu site sehingga terbatas penggunaannya hanya didalam satu
site sehingga tidak dapat digunakan untuk mengirimkan alamat diluar site ini.
alamat global adalah alamat yang dipakai misalnya untuk Internet Service Provider.

alamat anycast adalah alamat yang menunjukkan beberapa interface (biasanya node yang berbeda).
paket yang dikirimkan ke alamat ini akan dikirimkan ke salahsatu alamat antarmuka yang paling
dekat dengan router. alamat anycast tidak mempunyai alokasi khusus, cos' jika beberapa
node/interface diberikan prefix yang sama maka alamat tersebut sudah merupakan alamat anycast.

alamat multicast adalah alamat yang menunjukkan beberapa interface (biasanya untuk node yang
berbeda). Paket yang dikirimkan ke alamat ini maka akan dikirimkan ke semua interface yang
ditunjukkan oleh alamat ini. alamat multicast ini didesain untuk menggantikan alamat broadcast
pada IPv4 yang banyak mengkonsumsi bandwidth.

Tabel alokasi alamat IPv6
__________________________________________________________________
|alokasi | binary prefix |contoh (16 bit pertama |
|_______________|__________________________|_______________________|
|Global unicast |001 | 2XXX ato 3XXX |
|link local |1111 1110 10 | FE8X - FEBx |
|site local |1111 1110 11 | FECx - FEFx |
|Multicast |1111 1111 | FFxx |
|_______________|__________________________|_______________________|

selain alamat diatas tadi ada juga jenis pengalamatan lainnya diantaranya:

#IPv4-compatible IPv6 address biasanya alamat ini digunakan untuk mekanisme transisi Tunelling
format alamatnya kaya gini:

80 bits |16 | 32 bits |
+-------------------+------+---------------------+
|0000...........0000| 0000 | IPv4 address |
+-------------------+------+---------------------+

contohnya:
= 0:0:0:0:0:0:192.168.30.1
= ::192.168.30.1
= ::C0A8:1E01
jadi 0:0:0:0:0:0:192.168.30.1=::c0AB:1E01 kok bisa dapat dari mane? gini caranya:
buat dulu alamat 0:0:0:0:0:0:192.168.30.1 jadi biner
::11000000.10101000.00011110.00000001 kemudian kelompokkan menjadi masing 16 bit
::[1100.0000.1010.1000]:[0001.1110.0000.0001] diubah ke heksa desimal--->::C0A8:1E01
tanda "." (titik) didalam kurung untuk mempermudah konversi dari biner ke heksadesimal.
sudah pahamkan? masih belum juga silahkan ulangi lagi dengan perlahan:p

#IPv4-mapped IPv6 address biasanya digunakan untuk mekanisme transisi ISATAP.

80 bits |16 | 32 bits |
+-------------------+------+---------------------+
|0000...........0000| FFFF | IPv4 address |
+-------------------+------+---------------------+

contohnya: =::FFFF:192.168.1.2

#IPv6 over ethernet digunakan untuk stateless autoconfiguration (pemberian alamat IPv6
secara otomatis tanpa memerlukan server yang memberi alokasi IP address, mirip DHCP
cuman tanpa server).
contoh:
00:90:27:17:FC:0F
/\
/ \
FF FE
maka alamatnya menjadi 00:90:27:FF:FE:17:FC:0F kemudian diblok pertama bit ketujuh diinvers
00:90:27:17:FC:0F
|
|
\|/
000000[0]0 bit yang dikurungi diinvers dari 0--->1
maka sekarang menjadi 02:90:27:FF:FE:17:FC:0F alamat tersebut adalah alamat IPv6 over ethernet.

oke mungkin segitu dulu tulisan dari saya, sebagai dasar teori untuk IPv6 (ceile!!!!),
sebenarnya masih banyak yang ingin saya tulis cuman nanti terlalu panjang nih artikel takut
ga ada yang baca. (heu.....heu...)

semoga tetap dalam semangat untuk berbagi!!!!!
Wassalam


kritik&saran silahkan kirim ke pan6eran_biru[at]yahoo.com




Referensi:-TCP/IP standard,desain dan Implementasi, Onno W.purbo dkk
-Teori dan Implementasi IPv6 Protokol Internet Masa depan, Riza Taufan
-Interkoneksi IPv6 dengan menggunakan DSTM, Dody Setiawan
-Implementasi dan Analisa Teredo untuk interkoneksi jaringan IPv6/IPv4 dengan jaringan
IPv6 yang melalui IPv4 NAT (Network Address Translation), Wahidi Somad
-Introduction & Deployment IPv6 Tutorial,Che Rohani Ishak dkk


[###############################################################################################]

thengkiyu tu :-aLL echo|staff,

GreetZ to :-temen-temen seperjuangan: |blo`on|,gorila,dragon CCNA, mbah harjo,ksj,
st3alth (adeku yang baik!), all dech!!!
-barudak #sunda (belegug [salam blemoh!!!],Hendi, al-mubarak,all dech!)
-special Kanggo: Neng Wiharyanti Purnama Dewi(kapan maen ke kost lagi?)
-buat orang-orang yang pernah mencaci gw, mentertawakan gw,
kalian adalah pemacu semangatku heu....heu...

[###############################################################################################]

Kamis, 23 Oktober 2008

Linux Advanced Routing Mini HOWTO

This page is a small HOWTO about the advanced linux routing...


First of all let me tell you where you can find the best source of information about the advanced routing under Linux. Most of you probably know or heard about the Linux Advanced Routing & Traffic Control site. There you can see a very comprehensive source of knowledge based not only on documentation but by easy to understand examples...

Credits: Linux Advanced Routing & Traffic Control, Thea

Ok, then...
This page will show you how to set a linux box to use 2 different ISPs on the same time...

First example:
Goal: To route packets that came from 4 network to different ISPs

Let's presume that you have two ISPs. In the following examples I'll use RDS and ASTRAL (two large ISPs from my country)
For the ASCII art and lynx console browser fans I'll use this kind of chart:
                                                                   ________
+-------------+ /
| ISP 1 | /
+-------------+ (RDS) +------+
| | gw 10.1.1.1 | /
+------+-------+ +-------------+ /
+----------------+ | eth1 | /
| | | | |
| Local networks +----+ Linux router | | Internet cloud
| | | | |
+----------------+ | eth2 | \
+------+-------+ +-------------+ \
| | ISP 2 | \
+-------------+ (ASTRAL) +------+
| gw 10.8.8.1 | \
+-------------+ \________
We will work only on Linux router box. From the root prompter do:
echo 1 RDS >> /etc/iproute2/rt_tables
echo 2 ASTRAL >> /etc/iproute2/rt_tables
The /etc/iproute2/rt_table content after previous commands:
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
1 RDS
2 ASTRAL
Now we have three routing tables as follows: RDS table, ASTRAL table and the main table...
Let's fill up every table with the defaults routes:

The next step is to have some routing rules and routes:

For the RDS table:
ip route add default via 10.1.1.1 dev eth1 table RDS
ip rule add from 10.11.11.0/24 table RDS
ip rule add from 10.12.12.0/24 table RDS
For the ASTRAL table:
ip route add default via 10.8.8.1 dev eth2 table ASTRAL
ip rule add from 10.22.22.0/24 table ASTRAL
ip rule add from 10.33.33.0/24 table ASTRAL
To see the routing tables:
ip route show table ASTRAL
ip route show table RDS
ip route show table main # it's the same as "route -n" but in different format...
To see the routing tables:
ip rule show   # all the rule list
ip rule show | grep ASTRAL # only for ASRAL
ip rule show | grep RDS # only for RDS
Let me explain the above rules.
The packets that came from the 10.11.11.0/24 and 10.12.12.0/24 networks will go to the RDS routing table and then (because we have a default route) will be passed to the RDS gateway. And similar, the packets that came from the 10.22.22.0/24 and 10.33.33.0/24 network will go to the ASTRAL gateway...
What is happening with the packets that came from other networks that are not shown in the above rules? Well, they just simply go to main routing table and follow the routing rules that reside there... If you want to block them to go to internet just delete the default route from the main table... (of course, doing that your router can not longer go to interent).


Second example:
Goal: To route the packets having the destination port 22/tcp to the RDS and 80/tcp to the ASTRAL (no matter what network generates them).
This example it is almost the same as the first one except that we will use iptables to mark the packets.

Same chart...
                                                                   ________
+-------------+ /
| ISP 1 | /
+-------------+ (RDS) +------+
| | gw 10.1.1.1 | /
+------+-------+ +-------------+ /
+----------------+ | eth1 | /
| | | | |
| Local networks +----+ Linux router | | Internet cloud
| | | | |
+----------------+ | eth2 | \
+------+-------+ +-------------+ \
| | ISP 2 | \
+-------------+ (ASTRAL) +------+
| gw 10.8.8.1 | \
+-------------+ \________

Same /etc/iproute2/rt_table content:
#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
1 RDS
2 ASTRAL
Before you start check your iptables configuration. I strongly recommend to read about iptables if you are unsure about what you will doing next.
For more documentation go to iptables home page or you can download a good documentation from this site (Security & Privacy Section) or directly from here.

To mark the packets that have the 22 and 80 as destination port we will use the MANGLE table...
iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 22 -j MARK --set-mark 1
iptables -A PREROUTING -t mangle -i eth0 -p tcp --dprot 80 -j MARK --set-mark 2
For the RDS table:
ip route add default via 10.1.1.1 dev eth1 table RDS # the same like in the first example
For the ASTRAL table:
ip route add default via 10.8.8.1 dev eth2 table ASTRAL # the same like in the first example
The next step is to have some routing rules based by the marked packets:

For the RDS:
ip rule add from all fwmark 1 table RDS
For the ASTRAL:
ip rule add from all fwmark 2 table ASTRAL
You can use the same commands to see the routing tables and rule lists as in the first example.
Now you have a routing solution based by the destination port...

If you need additional infos or Q&A please go to Contact Page for our e-mail addresses...

http://www.linuxhorizon.ro/iproute2.html

Rabu, 22 Oktober 2008

Mikrotik policy routing implementation example

Thanks to

Butch Evans
http://blog.butchevans.com

Mikrotik policy routing implementation example

In “normal” routing, you have a set of routes that tell the router about how to reach certain networks. Policy routing is a way to do the same thing, but have different “paths” or routes for various types of traffic. In this article, we will explore the requirements for setting up policy routing and explain some of the concepts involved.

Policy routing is implemented in 3 parts. The first part is to define the routes and which policies will use those routes. The second part is the routing rules, which will define how the policies apply to certain traffic. The third is to define the actual policies. We’ll look at each of these individually.

The network below is the one we will use for this example.

We will assume that you already have the IP addresses set up on your router.

Read more:

http://blog.butchevans.com/2008/09/mikrotik-policy-routing-implementation-example/

Kamis, 09 Oktober 2008

Optimasi Apache2

Optimize Apache 2.0 (Apache2) on RHEL - Track users using Clickstream

First, make a backup and then modify /etc/httpd.conf and change settings as follows



# change Timeout 300 to
Timeout 45
# change KeepAlive Off to
KeepAlive On
# MaxKeepAliveRequests: The maximum number of requests to allow
# during a persistent connection. Set to 0 to allow an unlimited amount.
# We recommend you leave this number high, for maximum performance.
# -- change MaxKeepAliveRequests 100 to 500
MaxKeepAliveRequests 500
# KeepAliveTimeout: Number of seconds to wait for the next request from the
# same client on the same connection.
# change KeepAliveTimeout 15 to
KeepAliveTimeout 5
# Increase MaxClients after benchmarking. mine is
MaxClients 200
# Turn off ServerSignature
ServerSignature Off

#ServerTokens Product
ServerTokens ProductOnly

http://frankmash.blogspot.com/2005/11/optimize-apache-20-apache2-on-rhel.html

Selasa, 23 September 2008

Menghapus /var/www/sarg

Setelah server proxy berjalan selama 2 tahun lebih harddisknya cepat sekali habis setelah dicari-cari biang keroknya ada SARG, SARG ini aplikasi untuk mengolah log-nya squid.
dari pada harddisknya abis ya sudah SARGnya di remove tapi file-file hasil sarg ini tetap bercokol di harddisk di path /var/www/sarg

untuk menghapusnya pakai perintah

#cd /var/www
#rm -rf sarg/

beres deh harddisk proxy jadi luega buanget

Solusi Akses Internet On Demand

Seiring dengan perkembangan jaringan Internet di Indonesia saat ini dimana semakin banyak ISP yang menawarkan akses Internet IIX only pada game-game online dan perusahaan-perusahaan yang memang hanya membutuhkan akses ke Internet domestik di Indonesia. Tetapi suatu saat mungkin ada keperluan untuk mengakses Internet Global misalnya untuk cek email di yahoo.com gmail.com atau sekedar mencari informasi di google.com untuk itu mungkin solusi akses Internet on demand bisa menjadi pilihan.

Demikian juga bagi mahasiswa-mahasiswa yang memiliki koneksi Internet di kamar kost-nya melalui jaringan RTRWNet dengan harga sangat terjangkau tetapi umumnya bandwidth menuju ke Internet Global sangat terbatas maka jika suatu saat membutuhkan akses Internet Global yang lebih cepat maka solusi akses Internet on demand bisa menjadi pilihan.

Apa itu akses Internet on demand?
Akses Internet on demand yang dimaksud dalam tulisan ini adalah akses Internet Global menggunakan koneksi VPN-dial yang disediakan oleh DatautamaNet , sebenarnya fasilitas VPN-Dial ini adalah layanan tambahan bagi pengguna Dmobile tetapi seharusnya bisa juga dimanfaatkan oleh semua orang dengan cara cukup membeli voucher secara fisik maupun secara online di gudangvoucher.com lalu melakukan aktivasi lalu ikuti petunjuk cara peng-aktivan atau cukup menggunakan SMS dari Handphone CDMA + Fren Anda.

Setelah voucher tersebut aktif maka akses Internet on demand dapat dinikmati dengan cara membuat koneksi VPN yang petunjuknya dapat dibaca di:
http://mobile.datautama.net.id/web/index.php?option=com_content&view=category&layout=blog&id=49&Itemid=72

Syarat minimal yang dibutuhkan
Adapun syarat minimal yang dibutuhkan untuk dapat menggunakan Internet on demand menggunakan VPN ini adalah komputer Anda harus dapat melakukan VPN dial menggunakan protocol PPTP yang biasanya telah disupport oleh MS. Windows XP dan Linux, juga harus dapat mengakses ke IP 203.89.24.5 caranya coba ping dan traceroute dari komputer Anda ke IP 203.89.24.5

Jika menggunakan Sistem Operasi MS. Windows caranya klik Start->Run ketik CMD dan Enter
maka akan muncul jendela command prompt C:\>, misal sbb:

C:\Documents and Settings\Harijanto>ping 203.89.24.5

Pinging 203.89.24.5 with 32 bytes of data:

Reply from 203.89.24.5: bytes=32 time=14ms TTL=62
Reply from 203.89.24.5: bytes=32 time=4ms TTL=62
Reply from 203.89.24.5: bytes=32 time=4ms TTL=62
Reply from 203.89.24.5: bytes=32 time=3ms TTL=62

Ping statistics for 203.89.24.5:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 14ms, Average = 6ms

C:\Documents and Settings\Harijanto>tracert 203.89.24.5

Tracing route to ip-24-5.datautama.net.id [203.89.24.5]
over a maximum of 30 hops:

1 1 ms 1 ms 1 ms 192.168.2.1
2 1 ms 2 ms 1 ms ip-24-65.datautama.net.id [203.89.24.65]
3 9 ms 9 ms 5 ms ip-24-5.datautama.net.id [203.89.24.5]

Trace complete.

C:\Documents and Settings\Harijanto>


Jika dari komputer Anda bisa Replay From 203.89.24.5 maka anda dapat melakukan VPN Dial ke Server VPN Internet on demand tersebut.

Manfaat Internet on demand
  1. Internet on demand bagi pengguna yang hanya berlangganan IIX ke ISP manapun di Indonesia
  2. Global Internet Akses 128Kbps per koneksi, jika bandwidth IIX Anda lebih besar dari 128Kbps maka Anda dapat mengakses Global Internet Akses sd 128Kbps per koneksi / per komputer yang melakukan VPN Dial ke 203.89.24.5
  3. Sebagai backup koneksi Global Internet Akses jika ISP yang Anda gunakan mengalami gangguan ke Global Internet Akses tetapi ke IIX tidak ada masalah.
  4. Sebagai pengaman tambahan jika Anda mengakses public Internet seperti hotspot sehingga data-data Anda akan aman terbungkus koneksi VPN dari notebook Anda sampai dengan ke VPN Server DatautamaNet.
  5. Sebagai solusi SMTP Server / Outgoing Server jika Anda mengalami kesulitan mengirim email dari notebook / komputer Anda melalui public Internet seperti hotspot, dengan mengarahkan outgoing server / SMTP server Anda ke smtp.datautama.net.id setelah berhasil melakukan koneksi VPN dial ke DatautamaNet.
  6. Username dan Password dapat digunakan di hotspot Krispykreme: Grand Indonesia dan Plaza Senayan sekaligus untuk koneksi Internet melalui jaringan CDMA Fren/Mobile-8
Informasi lebih lanjut klik disini

Selasa, 16 September 2008

Cara rubah timezone setelah proses install di debian

Mungkin kita butuh merubah timezone setelah debian terinstall caranya mudah tinggal eksekusi:

tzconfig

lalu ikuti langkah2nya

16.1.1 Changing the timezone after installation

If the timezone is not set or is wrong, the superuser can run tzconfig to configure it after the operating system is installed (see man page tzconfig(8)).

If there are other users, it is a good idea to notify then that the system Timezone has changed.


http://www.debian.org/doc/manuals/system-administrator/ch-sysadmin-time.html

Contoh Pengajuan Rerverse DNS

Untuk mengaktifkan reverse dns setelah nameserver dikonfigurasikan dengan benar dan dapat berfungsi dengan baik di nameserver isp maka selanjutnya kirim email sbb:

to: hostmaster@apjii.or.id
subject: [DATAUTAMA-ID] reverse dns 29.89.203.in-addr.arpa

domain: 29.89.203.in-addr.arpa
descr: PT. Data Utama Dinamika
descr: Wisma Presisi Lantai 2
descr: Jl. Taman Aries Blok A1 No 1
descr: Meruya Utara - Kembangan
descr: Jakarta 11620
country: ID
admin-c: HP371-AP
tech-c: HP371-AP
zone-c: HP371-AP
nserver: ns1.datautama.net.id
nserver: ns2.datautama.net.id
remarks: spam & abuse report: abuse@datautama.net.id
notify: noc@datautama.net.id
mnt-by: MNT-APJII-ID
mnt-lower: MAINT-ID-DATAUTAMA
changed: hostmaster@apjii.or.id 20020304
source: APNIC
password: xxxxx


setelah email di terima oleh hostmaster@apjii.or.id atau IDNIC maka APJII/IDNIC akan mereplay sbb:


Dear Pak Harijanto,

The following reverse domain objects have been created in the APNIC Whois Database. This information will be merged into APNIC master zone file within the next 2 hours.

--
Best Regards,

Petunjuk melakukan 2nd opinion IPv4

Dalam mengelola IPv4 dari APNIC, ISP perlu melakukan 2nd opinion agar data who-is APNIC dapat terupdate sesuai perkembangan penggunaan IPv4 yang didelegasikan APNIC ke ISP ybs.

Proses 2nd opinion ini perlu dilakukan sebelum mengajukan pengarahan reverse dns dari APNIC ke nameserver ISP ybs.

Berikut adalah contoh step by step proses 2nd opinion melalui APJII
keterangan lebih lanjut bisa dibaca di : http://www.idnic.net


Langkah langkahnya adalah sbb:
---------------------------------

Kirim email ke hostmaster@apjii.or.id

#[SECOND OPINION REQUEST FORM TEMPLATE]# #[REQUESTOR TEMPLATE]#
name: Harijanto Pribadi
email: harijanto@datautama.com
acct-name: DATAUTAMA-ID
org-relationship: Director

#[SECOND OPINION TEMPLATE]#
address-type: IPv4
opinion-type: assignment

#[IPv4 ASSIGNMENT TEMPLATE V:1.0]#
netname: BUDILUHUR
descr: Universitas Budi Luhur
descr: JL. Raya Ciledug Pertukangan No. 99
descr: Jakarta 11260
country: ID
prefix: /28
network-plan: 203.89.25.16/28 /28,/28,/28 Router and Server

#[ADDITIONAL INFORMATION]#
Campus Network


Setelah menerima email balasan dari hostmaster@apjii.or.id seperti dibawah ini
Kemudian buka http://www.apnic.net/apnic-bin/inetnum.pl

versi terbaru http://submit.apnic.net/apnic-bin/inetnum.pl

Kepada Yth,
Pak Harijanto

Terima kasih atas pengajuan Opini Kedua.
Kami dapat menerima request Opini Kedua anda.

Netname: BUDILUHUR
Prefix: /28
Harap segera lakukan updating atas assignment kepada client anda di whois database APNIC pada link :
http://www.apnic.net/apnic-bin/inetnum.pl

Status yang dicantumkan untuk range IP Address untuk pelanggan ini adalah:
ASSIGNED NON-PORTABLE

Catatan:
Bila terjadi perubahan "netname" dengan yang tercantum di Second opinion ini, mohon diinfokan kepada kami.

Bila ada hal-hal yang kurang jelas mengenai hal ini, dapat menghubungi kami kembali di email ini.

Prosedur Updating Database IP-Range:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Dapat menggunakan Template Inetnum. Contohnya adalah sbb:

inetnum: 202.148.32.0 - 202.148.32.255
netname: APJII
descr: Asosiasi Penyelenggara Jasa Internet Indonesia
descr: Indonesian ISP Association
country: ID
admin-c: AA2-ID
tech-c: AH1-ID
mnt-by: MAINT-ID-ISPNET
changed: wsekjen@apjii.or.id 20020722
remarks: Send Spam & Abuse Reports to : abuse@isp.net.id
status: ASSIGNED NON-PORTABLE
source: APNIC

2. INETNUM: range IP Address yang akan diassign ke pelanggan anda, sesuai dengan jumlah Prefix dalam Second Opinion.
3. NETNAME: harus sama dengan netname yang ada di Second Opinion. Bila terjadi perubahan Netname, harap diinfokan kepada hostmaster APJII
.
4. Descr: diisi dengan Basis Usaha pelanggan,alamat (cukup disebutkan kotamadya saja) pelanggan, bukan data-data ISP-nya.
5. ADMIN-C & TECH-C harap dicantumkan Role Object ISP anda.Bila ISP anda belum memiliki Role Object, bisa mengacu pada "Prosedur Updating Database APNIC" pada bagian "Prosedur Updating Role Object".
6. Maintainer Object diisi dengan Maintainer Object ISPNET anda. Bila belum ada,dapat menghubungi Hostmaster APJII untuk panduan lebih lanjut.
7. STATUS: untuk Second Opinion ini diisi dengan ASSIGNED NON-PORTABLE 8. Kirim template ini ke auto-dbm@apnic.net . Dalam pengiriman ini,gunakan format Plain Text (murni). Hindari penggunaan format tambahan pada email seperti Bold, Italic,dsb. Biasanya hal seperti ini akan mengakibatkan Failure pada saat Updating.

Wassalam,
____________________________________________________________
Ahmad Khalil Alkazimy, Internet Resource Analyst

ID-NIC {Indonesia Network Information Center]
hostmaster@apjii.or.id
http://www.apjii.or.id
Telp +62-21-5296.0634 Fax +62-21-5296.0635
____________________________________________________________



Klik New



Klik Submit
Password “xxxxx” bisa dilihat di approval IP Address Datautama



Berikutnya akan menerima email dari auto-dbm@apnic.net

======================================================================
This is an automatic response, generated by your recent request
to update the APNIC database. In order to complete this request:

YOU MUST E-MAIL THIS FORM TO: auto-dbm@apnic.net

Once you have sent this form, you will receive an auto response
informing you of whether your update has been accepted, or of any
errors that may have appeared in your data.

Thank you for using this service.
======================================================================

#[NETWORK TEMPLATE V:5.0]#

inetnum: 203.89.25.16 - 203.89.25.31
netname: BUDILUHUR
country: ID
descr: Universitas Budi Luhur
descr: JL. Raya Ciledug Pertukangan No. 99
descr: Jakarta 11260
admin-c: HP371-AP
tech-c: HP371-AP
status: ASSIGNED NON-PORTABLE
changed: harijanto@datautama.com 20060613
mnt-by: MAINT-ID-DATAUTAMA
password: xxxxx
source: APNIC

# acct: HP371-AP
#[TEMPLATES END]#
======================================================================


Berikutnya email tersebut di forward ke auto-dbm@apnic.net untuk bagian
#[NETWORK TEMPLATE V:5.0]# sd #[TEMPLATES END]#



Catatan:
Harus Plain-Tex

Jika update success akan ada email dari APNIC seperti dibawah ini:



Hasilnya jika di whois akan muncul


Jumat, 12 September 2008

Script Sederhana Untuk Mindahin Gateway di Linux

Ini contoh script sederhana utk ngecek koneksi ke yahoo.com dan kalau RTO gateway dipindah ke koneksi satunya.


#!/bin/sh
#Scipt by harijanto@datautama.net.id
#Crazy idea from priyo@datautama.net.id
#Thanks
/sbin/route | grep default | grep 119.82.246.1
error=$?
echo $error
if [ $error = 0 ]
then
if a=`ping -q -c 1 -w 3 www.yahoo.com > /dev/null`
then
echo "Link Utama to International OK"
else
echo "Link Utama to International NOT OK"
/sbin/route add -net 0.0.0.0/0 gw 203.89.24.1
/sbin/route del -net 0.0.0.0/0 gw 119.82.246.1
fi
else
echo "Link Pake Backup Coba pindahin ke Link Utama Lagi"
/sbin/route add -net 0.0.0.0/0 gw 119.82.246.1
/sbin/route del -net 0.0.0.0/0 gw 203.89.24.1
if a=`ping -q -c 1 -w 3 www.yahoo.com > /dev/null`
then
echo "Link Utama to International Sudah OK"
else
echo "Link Utama to International Masih NOT OK CAPEDEH"
/sbin/route add -net 0.0.0.0/0 gw 203.89.24.1
/sbin/route del -net 0.0.0.0/0 gw 119.82.246.1
fi
fi

misal kasih nama /etc/checkyahoo.sh


terus script tersebut tinggal di crond per 10 menit di /etc/crontab

*/10 * * * * root /etc/checkyahoo.sh > /dev/null 2>&1

lalu restart crond:

service crond restart

jadi dech Fail Over Sederhana :p

Referensi cara mengamankan server hosting

Bagi para admin server hosting berikut link yang bagus tentang cara mengamankan server hosting

Penjelasan APF+BFD+DDOS+Rootkit
http://www.directadmin.com/forum/archive/index.php/t-14500.html

Update script homepage, salah satunya penjelasan KISS alternatif APF
http://www.web4host.net/tools/

Untuk setup apf bisa baca disini:
http://aplawrence.com/Web/apf_cpanel.html

Menghapus Email dengan Subject Tertentu menggunakan MTA EXIM

Setelah sebelumnya saya menggunakan strategi reject email-email yang telah di tag / ditandai "[SPAM]" ternyata strategi ini masih tidak efisien karena Exim harus mengirim reject message ke email server pengirim

Untuk itu agar Exim langsung menghapus email-email yang bersubject "[SPAM]" maka digunakan filter rule sbb:

# delete all emails contain [SPAM] subject
if $header_subject: contains "[SPAM]"
then
seen finish
endif

filter rule tersebut di tulis di file /etc/cpanel_exim_system_filter

lalu restart service exim agar filter dijalankan

sumber:
http://www.doc.ic.ac.uk/csg/email/filter/#rules

Rabu, 10 September 2008

Solusi Cara Membatasi IP Tujuan dan MAC Client yang diizinkan

Kasus:
Sebuah perusahaan ingin agar karyawannya hanya bisa browsing ke IP tertentu saja dan hanya dari Komputer dengan MAC tertentu saja yang boleh ke Internet.

Caranya:
Buat address-list misal dengan nama = "web-allow" , contoh scritpnya:

/ip firewall address-list
add list=web-allow address=203.89.24.34 comment="Datautama" disable=no
add list=web-allow address=202.152.54.73 comment="" disable=no
add list=web-allow address=202.152.54.74 comment="" disable=no
add list=web-allow address=202.155.43.103 comment="" disable=no
dst..

atau dengan winbox sbb:



Lalu buat filter rule chain forward dengan script misal sbb:

/ip firewall filter
add action=add-src-to-address-list address-list=mac-allow \
address-list-timeout=1m chain=forward comment=\
"add PC allow mac to address-list mac-allow" disabled=no src-mac-address=\
00:1B:24:A5:A3:64
add action=add-src-to-address-list address-list=mac-allow \
address-list-timeout=1m chain=forward comment="" disabled=no \
src-mac-address=00:08:0D:A7:45:CC

dst...

atau melalui winbox caranya sbb:






dengan demikian jika ada traffic data dari komputer dengan MAC yang tertera di atas maka ipnya akan di masukkan dalam address-list = mac-allow selama 1 menit, jika dalam 1 menit tidak ada traffic data maka address-list ip dari mac tersebut akan hilang karena ini sifatnya dinamis



Berikutnya di bagian NAT
buat seperti contoh gambar winbox dibawah ini:


di tab Advanced pilih Src Address-list dengan = mac-allow
dan Dst Address-list dengan = web-allow


dan di tab Action pilih = masquerade


dengan demikian hanya ip dari mac yang diizinkan dan ip tujuan yang tertera dalam web-allow yang dapat diakses oleh pengguna di jaringan tersebut

Revisi Script ECMP Fail Over Mikrotik 3.10

Bagi yang pernah mencoba script ECMP Fail Over Mikrotik 3.10 yang saya tulis sebelumnya mungkin ada kesulitan pada waktu menjalankan script ecmp-shutdown dan ecmp-startup , baru-baru ini saya menghadapi masalah tersebut. oleh karena itu coba gunakan script baru dibawah, jadi script lamanya didelete aja lalau diganti script ini dengan terlebih dahulu menyesuaikan ip gateway masing-masing koneksi.

/system script
add name=ecmp-shutdown policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff source=":if ([/pin\
g 10.95.130.129 count=1]=0 || [/ping 10.168.2.1 count=1]=0) do={:log info \
\"Gateway down\" \r\
\n/ip firewall mangle disable [/ip firewall mangle find comment=\"Route HT\
TP traffic to ECMP\"] \r\
\n/ip firewall mangle disable [/ip firewall mangle find comment=\"SMTP Tra\
ffic\"]\r\
\n} else {:log info \"ecmp-shutdown check ok\"}"
add name=ecmp-startup policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff source=":if ([/pin\
g 10.95.130.129 count=1]=1 && [/ping 10.168.2.1 count=1]=1) do={:log info \
\"Both Gateway are up\"\r\
\n/ip firewall mangle enable [/ip firewall mangle find comment=\"Route HTT\
P traffic to ECMP\"]\r\
\n/ip firewall mangle enable [/ip firewall mangle find comment=\"SMTP Traf\
fic\"]\r\
\n} else {:log info \"ecmp-startup check ok\"}"
add name=wireless-gateway-check policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff source=":if ([/pin\
g 10.95.130.129 count=1]=1) do={:log info \"Wireless Gateway are up\"\r\
\n/ip route enable [/ip route find comment=\"Default Route to Internet Wir\
eless\"]\r\
\n/ip route disable [/ip route find comment=\"Default Route to Internet AD\
SL\"]\r\
\n} else {:log info \"Wireless Gateway are down\"\r\
\n/ip route disable [/ip route find comment=\"Default Route to Internet Wi\
reless\"]\r\
\n/ip route enable [/ip route find comment=\"Default Route to Internet ADS\
L\"]\r\
\n}"



/system scheduler
add comment="" disabled=no interval=25s name=gateway-check1 on-event=\
ecmp-shutdown start-date=jun/13/2008 start-time=16:26:27
add comment="" disabled=no interval=30s name=gateway-check2 on-event=\
ecmp-startup start-date=jun/13/2008 start-time=16:26:27
add comment="" disabled=no interval=20s name=wireless-gateway-check on-event=\
wireless-gateway-check start-date=jun/13/2008 start-time=16:26:27



selain itu agar pengecekkan ke ip gateway link WIRELESS pasti lewat Interface WIRELESS coba tambahkan script berikut:



/ip firewall filter
add action=drop chain=output comment=\
"supaya ke gateway wireless tidak bisa lewat interface adsl" disabled=no \
dst-address=10.95.130.129 out-interface=ADSL protocol=icmp


Selasa, 09 September 2008

Mau bikin baner instant?

Bermula dari penasaran ada gak ya tools di internet untuk buat banner instan? dan mulai mencari di google.com dengan key = instant banner

dan hasilnya

http://www.semuabisnis.com/banner/

silahkan mencoba :)

Membersihkan email yang telah antri lebih dari 24 jam di cpanel+exim4

Pada cpanel server sering didapati antrian email yang sangat banyak hingga lebih dari 1000 email

Untuk membersihkan antrian yang lebih dari 24 jam yang umumnya adalah email-email SPAM
saya buat skrip yang isinya sbb:

#!/bin/sh
#Remove all messages older than one day (86400 * 1 = 86400 seconds):
/usr/sbin/exiqgrep -o 86400 -i | xargs exim -Mrm
/usr/sbin/exiqgrep -z -i | xargs exim -Mrm

lalu jalankan skript tersebut 1 jam sekali melalui cron dengan menambahkan baris berikut di file /etc/crontab

02 * * * * root /etc/rc.eximqueflush -a >> /dev/null 2>&1

catatan
untuk menghapus semua email yang queue lebih dari 5 hari rumusnya: (86400 * 5 = 432000 seconds):

Link berikut berguna untuk Exim

http://bradthemad.org/tech/notes/exim_cheatsheet.php

Senin, 08 September 2008

Cara Mengaktifkan Box-Trapper Untuk Menyaring SPAM di Cpanel

Caranya login ke webmail

http://webmail.datautama.net.id atau http://webmail.domainuser.hosting



Klik ”Box Trapper”



Klik Tombol ”Enable” disamping kanan tulisan Current Status
Dengan demikian berarti Box Trapper di aktifkan

Selanjutnya tiap hari cek di ”Review Queue”



Jika ada email2 yang bukan SPAM tertahan di Box Trapper ceklist kotak disamping pesan yang dimaksud lalu pilih Whitelist & Deliver lalu klik tombol ”Submit”



Untuk kembali lagi klik ”Go Back to Box Trapper Configuration” atau ”Go Back” untuk kembali mengecek daftar email yang tertangkap oleh Box Trapper

Dengan demikian SPAM akan tertahan di Box Trapper, configurasi standar setelah 15 hari email2 SPAM di hapus, demikian juga kalau 15 Hari email yang harusnya bukan spam belum di whitelist juga akan terhapus.

Jumat, 05 September 2008

Cara repair semua table pada beberapa database di mysql

Jika database mysql mengalami kerusakan coba ketik perintah ini:

mysqlcheck --repair --all-databases -u root -p

contoh sbb:

ns3:/var/log# mysqlcheck --repair --all-databases -u root -p
Enter password:xxxxx

maka semua table dan database akan di repair

Mengedit /etc/fstab ketika root termounted sebagai readonly

Barusan saya menghadapi masalah di /etc/fstab karena ada hdd external yang fail sewaktu system di reboot sehingga mengakibatkan process booting stop setelah pengecekkan partisi dan langsung masuk ke mode single user.

logikanya sih tinggal edit /etc/fstab tapi masalah /etc/fstab readonly tidak bisa diedit
setelah cari-cari di google.com akhirnya saya dapatkan perintah ini

mount -o remount,rw /

baru kemudian file /etc/fstab di edit
dan ...
akhirnya sistem bisa di booting dengan normal kembali

Rabu, 03 September 2008

Cara add rule allow_hosts.rules di apf

Setelah menggunakan APF terbaru ternyata cara masukkin ip dan port yang di allow caranya harus pakai command, contoh jika ingin selalu mengizinkan ip 1.1.1.1 perintahnya sbb:

apf -a 1.1.1.1

dengan demikian di /etc/apf/allow_hosts.rules akan terdapat:

# added 10.0.0.0/8 on 09/03/08 19:47:02 with comment:
1.1.1.1

setelah itu restart service apf dengan cara:

service apf restart

maka ip 1.1.1.1 akan selalu di allow

jika kita edit secara manual /etc/apf/allow_hosts.rules maka baris yang kita masukkan selalu akan dihapus lagi oleh apf secara otomatis, oleh karena itu harus pakai command spt di dokumen README.apf berikut:

4) General Usage:
The /usr/local/sbin/apf command has a number of options that will ease the
day-to-day use of your firewall. Here is a quick snap-shot of the options:

usage /usr/local/sbin/apf [OPTION]
-s|--start ......................... load the firewall rules
-r|--restart ....................... stop (flush) & reload firewall rules
-f|--stop .......................... stop (flush) all firewall rules
-l|--list .......................... list chain rules
-t|--status ........................ firewall status
-e|--refresh ....................... refresh & resolve dns names in trust rules
-a HOST CMT|--allow HOST COMMENT ... add host (IP/FQDN) to allow_hosts.rules and
immediately load new rule into firewall
-d HOST CMT|--deny HOST COMMENT .... add host (IP/FQDN) to deny_hosts.rules and
immediately load new rule into firewall
-u|--remove HOST ................... remove host from [glob_]deny_hosts.rules
and immediately remove rule from firewall
-o|--ovars ......................... output all configuration options

Bagaimana caranya melihat spesifikasi hardware di linux lewat command line

seringkali suatu saat seorang admin harus meng-upgrade memory , nah urusannya jadi runyam kalau lupa type ram nya itu ddr atau ddr2 dan pcxxx ? nah utk server linux ternyata caranya mudah , cukup menjalankan command :

dmidecode

hasilnya sbb:


Handle 0x0001
DMI type 1, 25 bytes.
System Information
Manufacturer: Supermicro => Merek Motherboard
Product Name: X5DPA-TGM+ => Type Motherboard

Memory 4 Keping @512MB bisa dilihat dari keterangan berikut ini:

Handle 0x000D
DMI type 6, 12 bytes.
Memory Module Information
Socket Designation: DIMM1
Bank Connections: 0 0
Current Speed: 4 ns
Type: ECC DIMM
Installed Size: 512 MB (Single-bank Connection)
Enabled Size: 512 MB (Single-bank Connection)
Error Status: OK
Handle 0x000E
DMI type 6, 12 bytes.
Memory Module Information
Socket Designation: DIMM2
Bank Connections: 0 1
Current Speed: 4 ns
Type: ECC DIMM
Installed Size: 512 MB (Single-bank Connection)
Enabled Size: 512 MB (Single-bank Connection)
Error Status: OK
Handle 0x000F
DMI type 6, 12 bytes.
Memory Module Information
Socket Designation: DIMM3
Bank Connections: 0 2
Current Speed: 4 ns
Type: ECC DIMM
Installed Size: 512 MB (Single-bank Connection)
Enabled Size: 512 MB (Single-bank Connection)
Error Status: OK
Handle 0x0010
DMI type 6, 12 bytes.
Memory Module Information
Socket Designation: DIMM4
Bank Connections: 0 3
Current Speed: 4 ns
Type: ECC DIMM
Installed Size: 512 MB (Single-bank Connection)
Enabled Size: 512 MB (Single-bank Connection)
Error Status: OK

nah utk lebih tepatnya type memory tinggal browsing-browsing di goole.com type motherboard tersebut memorynya type apa dan maksimum berapa GB?

Supermicro X5DPA-TGM Intel E7501 Dual Xeon 533MHz FSB Dual Channel DDR266 Socket 604 ATX Server Board with ATI Video, Dual LAN, USB, SATA, RAID

Memory Type DDR266/200 registered ECC SDRAM 72-bit, 184-pin gold-plated DIMMs

Jumat, 29 Agustus 2008

VLAN di Fedora

802.1Q VLAN Prerequisites

802.1Q-Tagged VLANs require "smart" or managed Ethernet switches that support the IEEE 802.1Q standard, and the drivers for your Ethernet interfaces must also support it. You should be able to mix-and-match brand names, as long as they support 802.1Q. Beware of proprietary VLAN tagging that only works within a single brand. If it says 802.1Q you should be OK.

802.1Q has been supported by the Linux kernel for a long time, thanks to Ben Greear, maintainer of the 802.1Q VLAN implementation for Linux. You shouldn't have to patch your kernel or jump through any weirdo hoops. It's easy enough to check by searching your relevant kernel config file:

$ grep -i 8021Q /boot/config-2.6.22-14
CONFIG_VLAN_8021Q=m

Haha! See the clever gotcha? The kernel option is 8021Q, not 802.1Q. That one about drove me nuts until I figured it out. Of course you could search on vlan instead, which is probably what the smart kids do.

Creating VLAN Devices

Now we'll test an Ethernet interface to make sure we can create a virtual interface by assigning it a VLAN ID, and then temporarily assign an IP address for testing. You need the vconfig command, which should be available in your Linux distribution as part of the vlan package. You can use any random number for your VLAN ID, from 0-4095, since this is just a test:

# vconfig add eth1 55

That adds VLAN ID 55 to eth1. You might see this message:

WARNING: Could not open /proc/net/vlan/config. Maybe you need to load the 8021q module, or maybe you are not using PROCFS?? Added VLAN with VID == 55 to IF -:eth1:-

Nothing is wrong; it means that vconfig saw that the 8021q module was not loaded, and kindly loaded it for you. Which you can see with lsmod:

$ lsmod | grep 8021q
8021q 21768 0

Check your interface with ifconfig:

$ ifconfig -a
[...]
eth1.55 Link encap:Ethernet HWaddr 00:0B:6A:EF:7E:8D
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

The interface is not up, and it has not been assigned an address. Use the ifconfig command for this:

# ifconfig eth1.55 192.168.10.100 netmask 255.255.255.0 up

Remove a VLAN ID this way:

# ifconfig eth1.55 down
# vconfig rem eth1.55
Removed VLAN -:eth1.55:-

So you can see there is a little bit of command syntax trickiness- add adds a VLAN ID, and rem removes a VLAN device. You can capture useful information on your VLAN interfaces by reading their corresponding /proc files:

# cat /proc/net/vlan/eth1.55


Sumber:

http://www.enterprisenetworkingplanet.com/netsysm/print.php/3725881