Untuk konfi. gurasi RT/RW net sangatlah mudah, tujuan dari RT/RW Net adalah membangun sebuah jaringan tanpa kabel / nir kabel di lingkungan yang menjangkau daerah seluas RT/RW. Anda cukup membangun koneksi dengan menyewa jasa layanan koneksi internet ke provider internet , misal telkom speedy. kemudian dihubunkan ke router, switch dan dan terakhir ke client yang terhubung dengan menggunakan teknologi Wifi dengan access point tertentu.

Untuk client anda bisa menggunakan user dan password login terlebih dahulu sebelum client terkoneksi ke internet.  konfigurasi itu semua dapat dibangun menggunakan mikrotik.

untuk konfigurasi lebih lanjut silakan hubungi penulis.

Berikut adalah macam-macam kabel yang berhubungan dengan perangkat komputer, dalam menunjung kegiatan berkomputer.

1.Kabel Power

Adalah kabel yang digunakan untuk memberi supply tegangan pada power supply, pada Monitor. tanpa kabel ini monitor akan mati, dan power supply tidak dapat beroperasi.

2.Kabel Data USB

Kabel ini digunakan untuk menghubungkan HP dengan komputer, atau Printer dengan komputer, Camera digital dengan komputer.

3.Kabel Data HP

Digunakan untuk menghubungkan HP dengan komputer, Anda dapat mengirim data dari HP hasil foto ke dalam komputer dan bisa di cetak, kabel data ini bermacam-macam ada yang tipe DKU-5, CA-42, tergantung dari merk HPnya, HP yang bagus biasanya menyertakan kabel data.

4.Kabel di belakang Casing Komputer

Berikut adalah tampak beberapa kabel yang menancap dibelakang casing komputer,  Dari bawah tampak:

• warna biru yaitu kabel data Monitor

• Warna hijau adalah kabel suara ke speaker.

• Hitam adalah kabel DB25 kabel printer model lama.

• Warna putih kabel perpanjangan USB

• Warna Biru laut adalah kabel Keyboard

• Warna Ungu adalah kabel Mouse.

• Paling atas warna hitam adalah kabel Power supply.

6. Kabel LAN UTP dan STP

Kabel UTP dan STP adalah jenis kabel untuk membangun jaringan komputer, dengan teknologi ethernet.  Kabel UTP dan STP hampir sama yang membedakan jika STP terdapat shield atau jaket tambahan.

UTP & STP

7.Kabel Data hardisk

Kabel data hardisk digunakan untuk menghubungkan hardisk dengan perangkat motherboard. jenisnyapun bermacam-macam ada kabel data IDE, dan ada pula kabel data SATA, SCASI. kabel tergantung dari jenis hardisk yang digunakan.

Kabel data IDE, mirip dengan kabel data Floppy disk hanya beda pada jumlah PIN kabel data.

Kabel data SATA

Kabel Data SCSI

8.Kabel Power Hardisk +flopy disk+CD ROM

Kabel ini digunakan untuk memberikan daya arus DC ke hardisk atau floppy disk atau ke CDROM atau ke DVD ROM.

Kebutuhan komputer untuk bekerja bermacam-macam ada jenis pekerjaan yang membutuhkan resource tenaga komputer yang tinggi, sebagai contoh untuk pekerjaan atau bekerja di bidang multimedia, graffis, Disain hal tersebut benar-benar menguras kantong Anda untuk membeli perangkat komputer yang memadai.

Ada juga jenis pekerjaan yang tidak membutuhkan komputer yang canggih, misal komputer warnet, komputer untuk jasa pengetikan, rental persewaan komputer. cukup sekelas pentium 3 sudah cukup.

Ada juga di bidang networking jaringan komputer, komputer yang ditugaskan sebagai router tidak memerlukan resource yang tinggi,  komputer sekelas pentium 2 sudah sangat cukup. Pada aplikasi khusus  dibidang networking misal untuk membangun proxy server memerlukan komputer dengan resource yang sangat besar.

Untuk bidang kependidikan,misal sekolah sekelas SMP, SMA, komputer hanya digunakan untuk melakukan pengetikan, softare-software aplikasi yang bersifat ringan, untuk memenuhi kebutuhan itu semua komputer pentium sekelas pentium 3 sudah cukup untuk mengatasinya.

Pada kasus tertentu SMK misal jurusan komputer, komputer harus disesuaikan dengan kebutuhan pembelajaran, jika siswa belajar pada software aplikasi terbaru dan multimedia komputer harus relatif dengan kecepatan tinggi agar tidak terhambat proses belajar mengajarnya.

Yang penulis maksud dengan komptuer rumahan adalah jenis komputer yang sering dipergunakan di rumah berupa komputer dekstop ataupun komputer laptop.Komputer di rumah biasanya digunakan oleh sang anak untuk melakukan kegiatan belajar komputer dasar, diantaranya belajar mengetik, belajar Microsoft Office, hal ini untuk anak seusia SMP,SMA, untuk anak usia SD biasanya sebagai pengetauan mengetahui dunia atau biasanya dibuat untuk game. Berikut rekomendasi kebutuhan akan komputer dari penulis.

• Jika komputer hanya digunakan oleh anak untuk bermain game, biasanya yang perlu ditingkatkan adalah memori dengan nama RAM dan Video grafis atau dengan nama VGA Card agar tampilan bisa bagus.
• Jika hanya untuk melakukan pengetikan dan belajar komputer, komputer sekelas Pentium 2-3 cukup dengan harga yang relatif murah.

Jika Anda ingin mencari sebuah informasi di internet,  tapi tidak mengetahui di website mana informasi itu akan ditemukan maka solusinya kunjugilah berbagai situs mesin pencari atau yang lebih dikenal dengan search engine.

Berikut adalah beberapa website yang cukup terkenal dan paling banyak digunakan untuk melakukan pencarian di internet, di antaranya:

• www.google.com

• www.yahoo.com

• www.ask.com

• www.altavista.com

• www.msn.com

Tapi penulis merekomendasikan Anda menggunakan mesin pecarai www.google.com, karena mesinpencari ini relatif akurat dalam hal pencarian dan website dengan tampilan sangat ringan, yang membuat hasil pencarian dapat sangat cepat ditemukan walaupun Anda menggunakan koneksi internet yang relatif lambat sekalipun.

Browsing internet atau lebih dikenal dengan browsing atau surfing adalah aktifitas menjelajahi halaman-halaman website di internet, untuk mendapatkan berbagai informasi yang ingin dicari.

Langkah-langkah browsing di internet diantaranya:

• Aktifkan Web browser Anda
  Klik pada menu icon Web browser Anda, pada contoh kali ini Web browser menggunakan Mozila Firefox.

• Ketikkan alamat website yang ingin dikunjungi
  Jika Anda sudah mengetahui alamat website yang akan dikunjungi, ketikkan alamat tersebut pada Address Bar Web Browser, jika belum mengetahui almat website yang akan dikunjungi mesin pencari www.google.com. ketikkan kata kunci yang ingin Anda cari.

Perangkat komputer  yang sering dan harus dimengerti di antaranya:

1.Mouse

Saran carilah mouse optic dengan konektor penghubung ke komputer menggunakan USB.

2.Keyboard

Adalah papan yang menyediakan tuts huruf dan karakter sebagai pengganti mesin ketik. Jika Anda memilih keyboard carilah keyboard yang nyaman dipakai dan tidak mudah rusak, contohnya merk A4tech, bentuknya yang fokus ke satu arah ditengah, dan pijatan tuts yang enak membuat betah berlama-lama mengetikan karakter.

3.Speaker

Adalah alat yang digunakan untuk mengeluarkan suara dari perangkat software di komputer, pada perangkat komputer juga terdapat speaker kecil di sebelah motherboard (speaker untuk proses motherboard). tapi yang dimaksud penulis adalah speaker diluar motherboard yang ditambahkan sendiri oleh pengguna. salah satu merk yang sering penulis gunakan adalah merk Simbadda suaranya cukup bagus dan harganya relatif murah.

4.Monitor

Monitor adalah sebuah alat yang digunakan untuk mempresentasikan kerja komputer, software komputer, hasil olahan software komputer ke layar. sebuah monitor sekarang ini bermacam-macam ada yang LCD dan ada juga yang tabung CRT (bentuknya seperti TV).  Saran dari penulis gunakanlah monitor dengan perangkat LCD karena radiasi yang datang ke mata relatif lebih kecil dan hal ini yang menyebabkan mata tidak mudah capek, ataupun betah berlama-lama, Anda cukup beruntung jika menggunakan laptop karena laptop sudah menggunakan layar LCD.

5.Casing

Adalah sebuah tabung yang berbentuk tower atau balok berdiri, ada juga yang berbentuk tidur, yang difungsikan sebagai tempat untuk menempatkan berbagai perangkat hardware lainnya, sebagai contoh untuk meletakkan motherboard, untuk meletakkan CDROM, DVD ROM, Floppy Disk. USB dll.

Pilihlah jenis casing yang sesuai dengan tempat yang tersedia. Berikut model casing tower atau posisi berdiri.

6.MotherBoard

Adalah perangkat utama dari sebuah komputer, motherboard adalah sirkuit elektronik yang memproses kerja sebuah komputer, Motherboard berisikan CPU (Central processing unit) yang merupakan otak dari komputer, di Motherboard juga terdapat slot expansi (PCI,AGP,PCI Express), juga terdapat interface USB, LAN CARD, input output speaker, dll.

Pilihlah motherboard dengan teknlogi terbaru.

7.Power Supply

Adalah perangkat yang berfungsi memberikan asupan arus daya DC ke dalam Motherboard, power supply terleteak didalm casing. Pilihlah power supply dengan merk ternama yang mempunyai reputasi terbaik. jika tidak motherboard Anda akan cepat rusak.

8.Stavolt

Adalah perangkat yang digunakan untuk menstabilkan tegangan listrik, jika  tegangan listrik dirumah Anda naik turun maka wajib menggunakan stavolt agar perangkat komputer Anda tidak mengalami kerusakan.

9.Hardisk

Adalah perangkat yang digunakan untuk menyimpan data, dalam hardisk terdapat sebuah piringan besi yang berfungsi menyimpan data. Hardisk termasuk dalam perangkat non-volatile jadi jika listrik mati data tetap disimpan di dalam hardisk.

Jenis-jenis hardisk yang paling sering digunakan di Indonesia di antaranya:

Hardisk IDE:

Adalah hardisk yang digunakan oleh komputer rumahan, atau komputer desktop biasa, atau juga seringa pada hardisk laptop.

Hardisk SATA

Digunakan untuk hardisk pada server.

Hardisk SCSI

Cara bacanya skasi, adalah hardisk yang biasanya digunakan untuk server, misal server proxy.

Hardisk External

Adalah hardisk yang terletak diluar dari cassing, hardisk ini relatif praktis karena dapat dibawa kemana-mana, untuk menghubungkan ke komputer menggunakan perangkat kabel USB.

10.USB Flash Disk

Flash disk adalah perangkat penyimpan berkapasitas realtif besar, fungsi dari flash disk ini menggantikan fungsi dari disket.  kapasitas penyimpanan flash disk berkisar diantara 1 giga- 4 giga, dan kapasitas penyimpanan akan semakin besar perkembangan kedepannya.

11.CD-ROM,DVD-ROM,CD-RW, DVD-RW

Perangkat yang digunakan untuk membaca kepingan Compact Dist (CD) diperlukan alat yang dinamakan CD ROM, untuk membaca kepingan DVD diperlukan alat yang dinamakan DVD-ROM, Untuk menulis data ke dalam bentuk kepingan CD diperlukan alat dengan nama CD-RW, untuk menulis data ke kepingan DVD diperlukan alat DVD-RW.

Pada umumnya orang-orang menyebutkan DVD combo, atau DVD-ROM,CD RW yang artinya bisa membaca kepingan DVD , dan CD dan dapat menulis data ke dalam kepingan CD,VCD.

Bentuk dari CD-ROM,DVD-ROM, CD-RW, DVD-RW hampir sama secara fisik, seperti tampak di bawah ini:

12.Kepingan CD-DVD

Adalah media penyimpanan dalam bentuk kepingann piringan yang mengkilap, terbuat dari bahan sejenis plastik.

CD dan DVD biasanya digunakan untuk menyimpan data musik, data film, data informasi dll. Kelemahan dari media ini tidak bisa di tulis berulang-ulang seperti halnya flask disk, dan jika ada pun terbatas untuk ditulis ulang, seperti pada perangkat CD-RW yang artinya data dapat ditulis berulang-ulang, kalau tidak salah ingat hanya sampai 12 kali penulisan ulang setelah itu kepingan akan rusak.

13.Printer

Adalah alat yang digunakan untuk mencetak sebuah data ke dalam kertas. Beberapa jenis printer menggunakan tinta dengan isi ulang menyuntikkannya ke catride, tetapi jenis lainnya juga ada metode infus tabung, tinta ada 4 warna dan terletak diluar printer.

Sistem komputer adalah bagian bagian yang membangun terciptanya sebuah komputerisasi yang canggih, sistem komputer dibagi menjadi 3 bagian utama diantaranya:

• Hardware
  Adalah perangkat keras, rangkaian elektronika, semua perangkat elektronika pembangun komputer, hardware bisa di raba oleh tangan, dirasakan dan dilihat oleh mata.
  Contoh hardware mouse, Monitor, Keyboard dll.
• Software
  Adalah nyawa dari komputer itu sendiri, Software adalah program yang membuat komputer dapat berfungsi, software tidak bisa dilihat secara fisik, tapi software adalah program yang menyebabkan komputer dapat beroperai.
  Contoh software adalah Microsoft word, Wnamp, Web browser, Windows.

• Brainware
  Adalah manusia, secanggih apapun komputer tanpa ikut campur manusia tidak akan bermanfaat atau tidak akan beroperasi.

Komputer merupakan suatu perangkat elektronika yang dapat menerima dan mengolah data menjadi informasi, menjalankan program yang tersimpan dalam memori, serta dapat bekerja secara otomatis dengan aturan tertentu*.

Menurut salah  satu pakar bernama peter j. Dennings. bidang ilmukomputer dibagi menjadi 12 macam yaitu:

1.Algoritma dan Struktur Data
2.Bahasa Pemrograman
3.Arsitektur
4.Sistem Operasi dan Jaringan
5.Software Engineering
6.Database dan Sistim Retrieval Informasi
7.Artificial Intelligence dan Robotik
8.Grafik
9.Human Computer Interaction
10.Ilmu Komputasi
11.Organizational Informatics
12.BioInformatik

Menurut Penulis pembagian ilmukomputer berdasarkan banyaknya lowongan pekerjaan di Indonesia di bagi menjadi berikut:

1.Bidang Programming

Dengan julukan pekerjanya sebagai programmer.

2.Bidang Network komputer

Dengan julukan pekerjanya sebagai NOC, Network administrator, Network Engginer

3.Bidang Disain Website

Dengan julukan pekerjanya sebagai web master, disainer web.

4.Bidang Graffis

meliputi animasi, editing gambar atau image,.

5.Konsultan IT

Meliputi berbagai bidang ilmukomputer.

6.Pebisnis IT

Meliputi orang-orang yang membuat usah dibidang IT, warnet, Software house.

AIX (Advanced Interaktif eksekutif) adalah nama yang diberikan untuk serangkaian milik sistem operasi yang dijual oleh IBM untuk beberapa komputer dengan sistem platform, berdasarkan UNIX Sistem V 4.3BSD-kompatibel dengan perintah dan program antarmuka ekstensi.

AIX berjalan pada 32-bit atau 64-bit IBM POWER atau PowerPC CPU (tergantung versi), dan dapat alamat hingga 32 Terabytes (TB) dari memori akses acak. The file system-JFS2 pertama diperkenalkan oleh IBM sebagai bagian dari komputer memungkinkan AIX-file dan partisi lebih dari 4 petabytes ukuran

Solaris adalah sistem operasi berbasis UNIX yang diperkenalkan oleh Sun Microsystems pada tahun 1992 sebagai penerus ke SunOS.

Solaris dikenal untuk skalabilitas, terutama pada sistem SPARC, dan untuk yang berasal banyak fitur inovatif seperti DTrace and ZFS. [1] [2] Solaris mendukung berbasis SPARC dan x86 berbasis workstation dan server dari Sun dan vendor lainnya, dengan upaya berjalan ke port tambahan platform.

Solaris adalah sertifikasi terhadap Spesifikasi Single Unix. Walaupun sejarah telah dikembangkan sebagai perangkat lunak eksklusif, didukung pada sistem yang diproduksi oleh semua server vendor besar, dan sebagian besar codebase-nya sekarang adalah perangkat lunak open source melalui proyek OpenSolaris.

HP-UX (Hewlett Packard Unix) adalah Hewlett-Packard milik pelaksanaan sistem operasi Unix, berdasarkan Sistem V (Sistem awalnya III). Ia berjalan di HP 9000 PA-RISC berbasis berbagai prosesor dan HP Integritas Intel Itanium berbasis sistem, dan juga tersedia untuk Apollo / Domain sistem. Versi juga berjalan di HP 9000 Series 200, 300, dan 400 sistem komputer berdasarkan Motorola 68000 rangkaian prosesor, dan juga HP 9000 Series 500 komputer berdasarkan HP, FOKUS pada arsitektur prosesor.

HP-UX adalah Unix yang pertama untuk menggunakan daftar kontrol akses untuk akses file permissions daripada standar sistem Unix perizinan. HP-UX juga di antara yang pertama sistem Unix untuk menyertakan built-in logical volume manager. HP telah lama bekerjasama dengan Veritas Software, dan menggunakan VxFS sebagai dasar sistem berkas. HP-UX 11i saat ini dikreditkan dengan kepemimpinan terpadu dalam misi penting virtualization , mengamati kinerja, ketersediaan tinggi dan manageability.

Saat ini adalah rilis HP-UX 11i v3 (11/31) dengan Update 4 (0903).

VMS  pada tulisan OpenVMS tidak berarti Virtual Memory System,  sebelumnya dikenal sebagai VAX-11/VMS, VAX / VMS atau (informal) VMS, adalah nama sebuah komputer high-end server yang menjalankan sistem operasi pada VAX dan alpha  keluarga komputer, yang dikembangkan oleh Digital Equipment Corporation Maynard, Massachusetts (DEC kemudian dibeli oleh Compaq, dan kini dimiliki oleh Hewlett-Packard), dan terakhir di Hewlett-Packard dibangun di atas sistem Intel Itanium  CPU.

OpenVMS adalah multi-user, multiprocessing memori virtual berbasis sistem operasi (OS) yang dirancang untuk digunakan dalam waktu berbagi, batch processing, real time (proses prioritas dapat ditetapkan lebih tinggi dari OS kernel pekerjaan) dan proses transaksi. Menawarkan sistem ketersediaan tinggi melalui clustering, atau kemampuan untuk mendistribusikan sistem fisik melalui beberapa komputer. Hal ini memungkinkan sistem untuk menjadi “disaster-toleran” terhadap bencana alam yang dapat menonaktifkan data individu-fasilitas pengolahan. VMS juga termasuk prioritas proses sistem yang memungkinkan untuk real-time untuk menjalankan proses unhindered, sedangkan pengguna sementara proses mendapatkan prioritas “boosts” jika diperlukan.

OpenVMS adalah bersifat komersial, banyak fitur yang kini dianggap sebagai persyaratan standar untuk server high-end sistem operasi. yang termasuk persyaratan server high-end diantaranya:

• Integrated komputer jaringan (originally DECnet and later, TCP/IP)

• Simetris, asymmetrical, dan NUMA multiprocessing, termasuk clustering

• sistem file yang terdisitribusi

• Integrated database fitur seperti RMS  dan layer database termasuk Rdb

• Dukungan untuk beberapa bahasa pemrograman komputer

• Interoperabilitas mekanisme standar untuk panggilan di antara berbagai bahasa pemrograman

• An extensible bahasa perintah shell (DIGITAL Command Language)

• Perangkat Keras dari partisi multiprocessors

• Tingkat Keamanan yang Tinggi

Perusahaan berkelas biasanya memilih dan menggunakan OpenVMS untuk berbagai keperluan termasuk sebagai server mail, layanan jaringan, manufaktur atau transportasi kontrol dan pemantauan, kritis dan aplikasi database, khususnya dan lingkungan dimana uptime sistem dan akses data sangat penting.

Atas sistem-uptime libh dari satu dekade atau lebih  telah dilaporkan, dan fitur-fitur seperti Rolling Upgrade dan kekelompokan membolehkan clustered aplikasi dan data yang dapat diakses untuk sementara tetap terus software dan sistem operasi pemeliharaan dan upgrade perangkat keras yang dilakukan, atau bila seluruh data pusat dimusnahkan. termasuk pelanggan yang menggunakan OpenVMS diantaranya jasa keuangan dan perbankan, rumah sakit dan kesehatan, jaringan informasi layanan, dan besar-besaran industri manufaktur dari berbagai produk.

Untuk melakukan  operasi menggunakan internet ada beberapa istilah yang harus Anda pelajari sebelum terjun langsung menggunakan internet diantarnya:

• Browsing
  Adalah kegiatan berselancar, menjelajahi internet menggunakan aplikasi Web Browser.
• Web Browser
  Adalah aplikasi yang digunakan untuk membuka Website.
• Chatting
  Adalah kegikatan ngobrol menggunakan media internet, menggunakan software Yahoo Messenger, Mirc dll.
• Download
  Adalah mengcopy file file atau data dari internet ke dalam hardisk.
• Upload
  Adalah mengcopy file atau data dari hardisk komputer yang sedang Anda gunakan di copy ke komputer atau server di internet.
• Internet
  Adalah jaringan komputer global yang saling terhubung diseluruh dunia.
• E-mail
  Adalah aplikasi surat elektronik, Contoh penyedia email gratis www.yahoo.com, www.yahoo.co.id, www.plasa.com, www.inbox.com
• Attachment
  Adalah file yang dilampirkan dalam melakukan E-mai.
• Wifi
  Adalah sebuah teknologi yang memungkinkan dapat terkoneksi dengan jaringan atau internet tanpa menggunakan kabel.
• Hotspot
  Adalah area berinternet gratis. sebuah tempat yang dapat menggunakan fasilitas internet,biasanya menggunakan media wireless atau tanpa kabel.
• Draft
  Adalah E-mail yang tidak dikirimkan tapi disimpan dalam aplikasi e-mail.
• POP3
  Server yang digunakan untuk mendownload e-mail.
• SMTP
• Server yang digunakna untuk mengirim E-mail.

Node
Adalah perangkat apapun yang terhubung ke jaringan. Meskipun biasanya node komputer, juga dapat sebuah printer atau CD ROM.

Segmen
Adalah bagian dari jaringan yang terpisah, dari bagian lain dari jaringan.

Backbone
Adalah merupakan tulang punggung utama dari kabel, dari segemen yang terhubung. Biasanya Backbone mampu membawa lebih banyak informasi dari segmen, misalnya setiap segmen mungkin memiliki transfer rate 10 Mbps (megabits per detik), sedangkan backbone dapat beroperasi 100 Mbps.

Topologi
adalah cara masing-masing node yang secara fisik terhubung ke jaringan.

Local Area Network (LAN)
adalah sebuah jaringan komputer yang berada di lokasi fisik yang sama, biasanya dalam sebuah gedung, kampus, laboratorium. Jika komputer yang berjauhan seperti antar kota biasanya disebut WAN.

Network Interface Card (NIC)
atau yang dikenal dengan LAN Card adalah seubah perangkat yang menghubungkan sebuah komputer dengan jaringan atau biasanya secara fisik dihubungkan ke Switch atau HUB. sebuah LAN card yang banyak digunakan di Indonesia adalah LAN card dengan teknologi Ethernet, biasanya kecepatannya berkisar antara 10 Mbps atau 100 Mbps. Sebuah LAN card biasanya terhubung dengan Motherboard.

Media Access Control (MAC) address
adalah alamat fisik dari setaip perangkat LAN card(NIC), MAC address terdiri dari dua bagian yang sama yaitu 6 byte. 3 bytes pertama mengidentifikasikan perusahaan dari NIC, dan 3 byte kedua nomoer seri dari NIC itu sendiri.

Unicast
Adalah transmisi dari satu node secara khusus yang ditujukan ke node lainnya pada sebuah jaringan komputer.

Multicast
Dalam mulitcast sebuah node mengirimkan paket khusus ke alamat sebuah group. Perangkat yang tertari pada group ini mendaftar untuk menerima paket yang di alamatkan ke group. Contoh sebuah router Cisco mengirmkan keluar update ke sesama Cisco yang lain.

Broadcast
Adalah sebuah node mengirim satu paket yang dirancang untuk transfimi ke semua node pada jaringan.

Dalam sebuah jariangan komputer terdapat bagian komponen yang dinamakan switch misal di warnet:

Komputer_client_warnet—-Swtich—-Router—Modem—Internet

Apakah sebenarnya switch itu, switch adalah perangkat yang menghubungkan perangkat LAN card pada komptuter dengan Komputer lain, Swithc juga bisa disebuh sebagai konsentrator, Dengan switch memungkinkan sebuah node yang berbeda dapat terhubung.

misal:

Komputer ————Switch——————Komputer

Dengan swtich banyak komputer satu dengan lainnya dapat berkomunikasi dengan baik. ada banyak jenis tipe dari swith. Pada dasarnya, LAN beralih menciptakan rangkai cepat pada jaringan yang bersis hanya dua perangkat yang berkomunikasi satu dengan lainnya pada saat itu.

Yang termasuk dalam layer Aplikasi

• BGP
• DHCP
• DNS
• FTP
• GTP
• HTTP
• IMAP
• IRC
• Megaco
• MGCP
• NNTP
• NTP
• POP
• RIP
• RPC
• RTP
• RTSP
• SDP
• SIP
• SMTP
• SNMP
• SOAP
• SSH
• Telnet
• TLS / SSL
• XMPP

Yang termasuk dalam Transport Layer:

• TCP
• UDP
• DCCP
• SCTP
• RSVP
• ECN

Yang Termasuk Dalam Internet Layer:

• IP (IPv4, IPv6)
• ICMP
• ICMPv6
• IGMP
• IPsec

Yang termasuk dalam Link Layer

• ARP
• RARP
• NDP
• OSPF
• Tunnel (L2TP)
• PPP Media Access Control (Ethernet, MPLS, DSL, ISDN, FDDI) Device Drivers

Versi Sistem operasi Windows  hingga saat ini 2009

Relase Date            Nama Produk
November 1985      Windows 1.o
November 1987      Windows 2.0
Maret 1989                Windows 2.1
Mei 1990                    Windows 3.0
Maret 1992                Windwos 3.1
Oktober 1992           Windows 3.1 Fitur Workgroups
Juli 1993                    Windows NT 3.1
Desember 1993       Windows 3.1.x
Januari 1994            Windows 3.2
Septermber 1994   Windows NT 3.5 (NT 3.5)
Mei 1995                    Windows NT 3.5.1 (NT 3.5.1)
Agustus 1995          Windows 95 (4.0.950)
Juli 1996                   Windows NT 4.0 (NT 4.0.1381)
Juni 1998                  Windows 98 (4.10.1998)
Mei 1999                   Windows 98 SE (4.10.2222)
Februari 2000        Windows 2000 (NT 5.0.2195)
Septermber 2000  Windows ME (4.90.3000)
Oktober 2001          Windows XP (NT 5/1/2600)
Maret 2003              WIndows XP 64 Bit Edition (NT 5.2.3790)
April 2003               Windows 2003 (NT 5.2.3790)
April 2005               Windows XP Professioanl x64 Edition (NT 5.2.3790)
Juli 2006                  Windows Fundamentasl For Legacy PC (NT 5.1.2600 NT 5/1/2600 )
November 2006    Windows Vista (Volume licensing) (NT 6.0.6002)
Januari 2007          Windows Vista (eceran) (NT 6.0.6002)
Juli 2007                  Windows Home Server (NT 5.2.4500)
February 2008      Windows Server 2008 (NT 6.0.6001)
2009                          Windows 7 (NT 6.1.700)

Windows Vista merupakan salah satu versi Windows yang sedikit mirip dengan MAC OS, Windows vista juga menekankan tampilan yang bagus dan banyak security yang diterapkan yang membuat user tidak merasa user friendly. Windows Vista juga mempunyai beberapa masalalah pada kasus jaringan tertentu atau pada topologi dengan teknologi tertentu mempunyai masalah dengan ARP, atau DHCP dari sebuah server, misal jika client dari Cable modem menggunakan laptop dengan sistem operasi Vista akan sangat susah berinteraksi dengan CMTS dengan merek tertentu, dan masalah lainnya ARP, solusinya adalah memodifikasi ARP.

This post is password protected. To view it please enter your password below:

Password:

SEJARAH PING

PING singkatan dari Packet Internet Gropher, secara pengertian PING adalah sebuah program utilitas yang digunakan untuk memeriksa konektivitas jaringan berbasis teknologi Transmission Control Protocol/Internet Protocol (TCP/IP). Dengan menggunakan utilitas ini, dapat diuji apakah sebuah komputer terhubung dengan komputer lainnya. Hal ini dilakukan dengan cara mengirim sebuah paket kepada alamat IP yang hendak diujicoba konektivitasnya dan menunggu respons darinya. Nama “PING” berasal dari sonar sebuah kapal selam yang sedang aktif, yang sering mengeluarkan bunyi PING ketika menemukan sebuah objek.

FUNGSI PING

Fungsi dari aplikasi PING adalah:

1.UNTUK TROUBLESHOOTING JARINGAN KOMPTER

Contoh Perintah PING ke www.google.com dari Command Prompt Windows. untuk mengakses PING, klik Start menu Windows – RUN, ketikkan cmd. kemudian ketikkan perintah ping www.google.com.

C:\Documents and Settings\admin>ping www.google.com

Pinging www.l.google.com [72.14.203.104] with 32 bytes of data:

Reply from 72.14.203.104: bytes=32 time=1010ms TTL=244
Reply from 72.14.203.104: bytes=32 time=977ms TTL=244
Reply from 72.14.203.104: bytes=32 time=597ms TTL=244
Reply from 72.14.203.104: bytes=32 time=375ms TTL=244

Ping statistics for 72.14.203.104:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 375ms, Maximum = 1010ms, Average = 739ms

C:\Documents and Settings\admin>

Arti dari pesan tersebut komputer yang digunakan untuk melakukan PING ke www.google.com terhubung ke internet. dengan statistik 4 paket PING atau ICMP terkirim, dan menerima 4 paket PING, kehilangan paket 0, perkiraan perjalanan paket dalam mili second, lama waktu perjalanan paket paling cepat 375 ms, paling lama 1010 ms, dan rata-ratanya = 1010 + 977 + 597 + 375 = 2941, 2941 dibagi 4 = 735,25 ms, dalam perhitungan sistem Windows dijadikan 739 ms. arti dari round trip adalah perjalan paket PING dari komputer yang digunakan untuk melakukan PING, kemudian ke host server www.google.com kembali lagi ke komputer client, atau secara sederhana diartikan perjalanan pulang pergi.

Mengecek koneksitivitas sebuah host
jika paket PING replay berarti host terhubung, jika unreachle maka host kemungkinan besar tidak terhubung, atau ada kabel yang terlepas, atau LAN card mengalami kerusakan.

Mengecek kualitas koneksitivitas jaringan
Ketika melakukan PING ke sebuah host akan muncul statistik paket lost, jika jaringan yang digunakan dalam keadaan bagus maka paket loss = 0 (0 % loss) atau (nol persen)

Time
Time pada sebuah paket PING mengindikasikan ketersediaan bandwidth yang disediakan untuk paket PING, jika bandwidth PING habis maka statistik dari time, akan semakin besar. pada contoh diatas keadaan paling buruk adalah 1010 ms. biasanya ISP mengalokasikan bandwidth khusus untuk PING ini.

TTL
TTL singkatan dari Time To Live, adalah sebuah ukuran yang menunjukkan identitas sebuah host, nilai PING dari Windows adalah 128, artinya jika TTL 128 sistem operasi yang digunakan adalah Windows XP, untuk mencobanya silakan Anda melakukan PING localhost. di command prompt. setiap melewati 1 router TTL akan di kurangi 1 paket. pada contoh diatas TTL dari www.google.com adalah 244. aslinya tidak 244 berhubung melewati banyak router sehingga sisanya tinggal 244. Seorang administrator handal sebuah paket PING yang melewati router, sang administrator dapat melakukan pengubahan nilai dari TTL ini menjadi nilai-nilai tertentu.

Bytes
Secara default ukuran paket ICMP PING adalah 32 bytes, Anda dapat mengubahnya dengan memberikan opsi ukuran.

2.KEGUNAAN LAIN PING

Aplikasi PING digunakan untuk troubleshooting jaringan komputer, dapat digunakan untuk mengetahui secara cepat IP address sebuah domain, pada contoh diatas PING www.google.com terlihat IP address yang digunakan www.google.com adalah 72.14.203.104.

SISI LAIN PING

Dalam TCP/IP PING masuk dalam klasifikasi protokol ICMP, protokol ICMP sendiri memiliki 2 jenis aplikasi yaitu PING, dan TRACEROUTE.
Dalam keadaan tertentu seorang administrator jaringan menolak paket PING, dengan tujuan tidak lain ingin mengamankan sebuah host dari serangan hacker, atau cracker. maka ketika dilakukan perintah ping tidak akan menunjukkan reply sehingga seakan-akan host dalam keadaan mati atau tidak terhubung ke internet atau tidak ada host dari IP address tersebut. sebuah paket PING yang sangat banyak menuju host akan menyebabkan pingflood atau Denial Of Service yang dapat menggangu kinerja sebuah host, atau dapat mengedownkan sebuah host. Hal inilah yang paling ditakuti oleh administrator jaringan komputer.
Ping yang banyak digunakan sebagai standar PING yaitu pada PING pada layer 3 yaitu layer network, ketika melakuan ping www.google.com artinya ping bekerja pada layer 3 network. pada MikroTik router OS terdapat ping pada layer 2 yaitu PING MAC address.

Sebuah contoh kasus Bandwidth limiter, ketika sebuah warnet di bangun, maka client warnet dapat melakukan aktifitas internet, jika traffik masing-masing client komputer warnet tidak dilimit, penulis jamin traffik akan jelek sekali, pembagian kecepatan akses internet tidak merata, disitulah diperlukan yang namanya bandwidth limiter,

Bandwidth limiter sendiri berarti adalah sebuah perangkat hardware atau software yang digunakan untuk membatasi kecepatan dari transfer data untuk melakukan koneksi internet atau koneksi pada jaringan komputer.

Contoh Aplikasi Limit Bandwidth yang paling banyak digunakan di antaranya:

Jika Anda menggunakan Linux maka bandwidth limiternya adalah IPtables, HTB.

Jika Anda menggunakan Windows Anda menggunakan XP shapper, atau paket shapper

Jika Anda pengguna FreeBSD Anda dapat menggunakan IPFW,

Jika Anda pengguna OpenBSD Anda dapat menggunakan PF,

Dari sekian limit bandwidth yang paling banyak digunakan saat ini dan relatif murah untuk perusahaan atau perusahaan sekelas ISP adalah menggunakan MikroTik routerOS, Anda dapat membeli buku penulis jika ingin mengetahui lebih mendalam mengenai MikroTik RouterOS.

Salah satu hardware yang sering digunakan untuk melimit bandwidth perusahaan penyedia jasa layanan internet dengan sekala besar, adalah menggunakan Packeteer, contoh pengguna paketeer adalah IndosatM2, atau www.indosatm2.com.

MikroTik mempunyai fitur salah satunya adalah Universal Plug and Play atau yang lebih dikenal dengan uPnP, Sebenarnya buat apakah Universal Plug and Play ini? universal Plug and play adalah konfigurasi untuk mengaktifkan port forwarding, Ketika sebuah host atau client berada di belakang router MikroTik maka secara default port forwarding akan disable, untuk itu perlu di aktifkan fasilitas uPnp ini,

Portwarding di MikroTik sendiri digunakan untuk mengizinkan sebuah traffik dari internet masuk ke sebuah host yang terletak di belakang router,

Contoh pengaplikasian dari uPnP adalah ketika sebuah client warnet melakukan aktifitas download menggunakan software BitTorrent client, maka uPnP harus di aktifkan agar traffik dari software BitTorrent client dapat lebih cepat.

Load Balancing adalah sebuah metode menggabungkan 2 koneksi atau lebih ke dalam sebuah PC router atau router.

Di MikroTik banyak sekali metode yang digunakan untuk melakukan load balancing di antaranya:

Load Balancing Fail Over

Load Balancing Per Traffik

Load Balancing Multiple Gateway

Load Balancing Persistent

Load Balancing Menggunakan Netwatch

Load Balancing menggunakan Perintah Routing

Firewall adalah perangkat hardware atau software yang digunakan untuk melakukan sebuah aturan pada sebuah paket yang melewati perangkat atau mesin. Beberapa aturan yang di kenakan terhadap paket di antaranya adalah drop paket atau ignore atau deny, accept.

Firewall di Linux dikenal dengan aplikasi IPtables. di Windows sudah terdapat firewall sejak dikeluarkannya Windows XP SP2, untuk generasi selanjutnya hingga saat ini dilengkapi dengan Firewall.

Contoh Penggunaan Firewall:

• Firewall untuk perusahaan sekelas Telkom salah satu yang digunakan adalah firewall dengan nama Juniper, Juniper berbentuk Hardware+software firewall.
• Sedangkan untuk   Pemerintah kota jogjakarta bagian IT firewall yang digunakan dikenal dengan nama SonicWall.  SonicWall berbentuk software+hardware.

Istilah firewall di OpenBSD dikenal dengan PF(packet filter), di FreeBSD dikenal dengan nama IPFW. Sedangkan untuk

Untuk melakukan konfigurasi jaringan komputer, diperlukan adanya Subnet Mask. apakah subnet mask itu?. Subnet mask adalah sebuah metode yang digunakan untuk

• melakukan penghematan IP publik,
• Subnet Mask juga digunakan sebagai Membatasi jumlah sebuah Host,
• Subnet mask juga digunakan untuk membedakan broadcast sebuah network pada sebuah jaringan komputer.

Apakah sebenarnya IP address itu, IP address dapat di analogikan sebagai alamat sebuah rumah, Nomer Telpon sebauh HandPhone, IP address digunakan untuk memberikan alamat berbagai website di dunia, Komputer di dunia secara unik, sehingga dapat di akses oleh seluruh penduduk penjuru dunia yang terkoneksi ke Internet.

IP address sendiri dibagi menjadi dua macam yaitu:

IP address Publik

adalah IP address yang dapat di akses oleh pengguna internet diseluruh dunia, dan IP address publik diberikan oleh badan khusus dunia yang menangani mengenai IP address yaitu IANA.

IP address Lokal

adalah IP address  yang dapat diakses hanya di jaringan komputer, di area lokal, dalam arti jaringan private, misal jaringan warnet, jaringan kantor dan IP address ini tidak dapat di akses langsung dari internet, hanya dapat di akses dari jaringan lokal. adapun Range jaringan lokal adalah sebagai berikut:

• 10.0.0.0 – 10.255.255.255
• 172.16.0.0 – 172.31.255.255
• 192.168.0.0 – 192.168.255.255

Mungkin Anda yang bergelut dengan dunia jaringan komputer, atau baru mengenal dunia jaringan komputer pernah mendengar istilah TCP/IP, apa sebenarnya protokol TCP/IP itu,Berikut ceritanya:

Sebuah bangsa dan negara di dunia terdiri dari berbagai macam jenis suku dan masing-masing mempunyai bahasa sendiri-sendiri, untuk dapat berkomunikasi maka dibentuklah sebuah kesepakatan yaitu penggunaan bahasa inggris, maka dengan dibentuknya bahasa inggris sebagai bahasa internasional maka akan terjadi komunikasi dengan baik atara manusia lainnya walaupun beda kewarganegaraan, dengan adanya bahasa inggris.

Pada Jaringan komputer juga begitu, jaringan komputer dibentuk dari berbagai alat yang masing-masing cara kerjanya berbeda, bagaimana mereka dapat berkomunikasi?. maka dibentuklah sebuah kesepakatan yang dikenal dengan TCP/IP atau di kenal versi ISO sebagai 7 Layer OSI. Maka dengan adanya TCP/IP antara berbagai alat dan sistem operasi dapat berkomunikasi dengan baik di internet hingga saat ini.

Sebagai contoh proses komunikasi TCP-IP yaitu komunikasi antara komputer dengan sistem operasi Windows dengan komputer bersistem operasi Linux.

Untuk belajar network memerlukan beberapa komputer, tentunya, tapi jangan kuatir ada solusi untuk belajar komputer hanya menggunakan komputer stand alone yaitu menggunakan :

• Boson Netsim (khusus Cisco router)

• VMware

• Kabel (UTP, STP, STP, Fiber Optic, Coaxial)

• LAN Card

• Modem (ADSL, dll)

• Hub

• Switch

• Server(HP, IBM dll)

• Router (Cisco,dll.)

• Antena (Antena grid, antena sektoral, antena omni dll)

• RJ-45

• PoE

• Firewall (Juniper, Check Point dll).

• Bandwidth Limit (MikroTik, Packeteer,dll)

• Wireless hardware (MikroTik, D-Link, Linksis dll)

Linux 2.4 Packet Filtering HOWTO
Rusty Russell, mailing list netfilter@lists.samba.org
$Revision: 1.26 $ $Date: 2002/01/24 13:42:53 $

This document describes how to use iptables to filter out bad packets
for the 2.4 Linux kernels.
______________________________________________________________________

Table of Contents

1. Introduction
2. Where is the official Web Site?  Is there a Mailing List?
3. So What’s A Packet Filter?
3.1 Why Would I Want to Packet Filter?
3.2 How Do I Packet Filter Under Linux?
3.2.1 iptables
3.2.2 Making Rules Permanent

4. Who the hell are you, and why are you playing with my kernel?
5. Rusty’s Really Quick Guide To Packet Filtering
6. How Packets Traverse The Filters
7. Using iptables
7.1 What You’ll See When Your Computer Starts Up
7.2 Operations on a Single Rule
7.3 Filtering Specifications
7.3.1 Specifying Source and Destination IP Addresses
7.3.2 Specifying Inversion
7.3.3 Specifying Protocol
7.3.4 Specifying an Interface
7.3.5 Specifying Fragments
7.3.6 Extensions to iptables: New Matches
7.3.6.1 TCP Extensions
7.3.6.1.1 An Explanation of TCP Flags
7.3.6.2 UDP Extensions
7.3.6.3 ICMP Extensions
7.3.6.4 Other Match Extensions
7.3.6.5 The State Match
7.4 Target Specifications
7.4.1 User-defined chains
7.4.2 Extensions to iptables: New Targets
7.4.3 Special Built-In Targets
7.5 Operations on an Entire Chain
7.5.1 Creating a New Chain
7.5.2 Deleting a Chain
7.5.3 Flushing a Chain
7.5.4 Listing a Chain
7.5.5 Resetting (Zeroing) Counters
7.5.6 Setting Policy

8. Using ipchains and ipfwadm
9. Mixing NAT and Packet Filtering
10. Differences Between iptables and ipchains
11. Advice on Packet Filter Design

______________________________________________________________________

1.  Introduction

Welcome, gentle reader.

It is assumed you know what an IP address, a network address, a
netmask, routing and DNS are.  If not, I recommend that you read the
Network Concepts HOWTO.
This HOWTO flips between a gentle introduction (which will leave you
feeling warm and fuzzy now, but unprotected in the Real World) and raw
full-disclosure (which would leave all but the hardiest souls
confused, paranoid and seeking heavy weaponry).

Your network is not secure.  The problem of allowing rapid, convenient
communication while restricting its use to good, and not evil intents
is congruent to other intractable problems such as allowing free
speech while disallowing a call of ``Fire!'' in a crowded theater.  It
will not be solved in the space of this HOWTO.

So only you can decide where the compromise will be.  I will try to
instruct you in the use of some of the tools available and some
vulnerabilities to be aware of, in the hope that you will use them for
good, and not evil purposes.  Another equivalent problem.

(C) 2000 Paul `Rusty' Russell.  Licenced under the GNU GPL.

2.  Where is the official Web Site?  Is there a Mailing List?

There are three official sites:

o  Thanks to Filewatcher <http://netfilter.filewatcher.org/>.

o  Thanks to The Samba Team and SGI <http://netfilter.samba.org/>.

o  Thanks to Harald Welte <http://netfilter.gnumonks.org/>.

You can reach all of them using round-robin DNS via
<http://www.netfilter.org/> and  <http://www.iptables.org/>

For the official netfilter mailing list, see netfilter List
<http://www.netfilter.org/contact.html#list>.

3.  So What's A Packet Filter?

A packet filter is a piece of software which looks at the header of
packets as they pass through, and decides the fate of the entire
packet.  It might decide to DROP the packet (i.e., discard the packet
as if it had never received it), ACCEPT the packet (i.e., let the
packet go through), or something more complicated.

Under Linux, packet filtering is built into the kernel (as a kernel
module, or built right in), and there are a few trickier things we can
do with packets, but the general principle of looking at the headers
and deciding the fate of the packet is still there.

3.1.  Why Would I Want to Packet Filter?

Control.  Security.  Watchfulness.

Control:
when you are using a Linux box to connect your internal network
to another network (say, the Internet) you have an opportunity
to allow certain types of traffic, and disallow others.  For
example, the header of a packet contains the destination address
of the packet, so you can prevent packets going to a certain
part of the outside network.  As another example, I use Netscape
to access the Dilbert archives.  There are advertisements from
doubleclick.net on the page, and Netscape wastes my time by
cheerfully downloading them.  Telling the packet filter not to
allow any packets to or from the addresses owned by
doubleclick.net solves that problem (there are better ways of
doing this though: see Junkbuster).

Security:
when your Linux box is the only thing between the chaos of the
Internet and your nice, orderly network, it's nice to know you
can restrict what comes tromping in your door.  For example, you
might allow anything to go out from your network, but you might
be worried about the well-known `Ping of Death' coming in from
malicious outsiders.  As another example, you might not want
outsiders telnetting to your Linux box, even though all your
accounts have passwords.  Maybe you want (like most people) to
be an observer on the Internet, and not a server (willing or
otherwise).  Simply don't let anyone connect in, by having the
packet filter reject incoming packets used to set up
connections.

Watchfulness:
sometimes a badly configured machine on the local network will
decide to spew packets to the outside world.  It's nice to tell
the packet filter to let you know if anything abnormal occurs;
maybe you can do something about it, or maybe you're just
curious by nature.

3.2.  How Do I Packet Filter Under Linux?

Linux kernels have had packet filtering since the 1.1 series.  The
first generation, based on ipfw from BSD, was ported by Alan Cox in
late 1994.  This was enhanced by Jos Vos and others for Linux 2.0; the
userspace tool `ipfwadm' controlled the kernel filtering rules.  In
mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
help of Michael Neuling, and introduced the userspace tool `ipchains'.
Finally, the fourth-generation tool, `iptables', and another kernel
rewrite occurred in mid-1999 for Linux 2.4.  It is this iptables which
this HOWTO concentrates on.

You need a kernel which has the netfilter infrastructure in it:
netfilter is a general framework inside the Linux kernel which other
things (such as the iptables module) can plug into.  This means you
need kernel 2.3.15 or beyond, and answer `Y' to CONFIG_NETFILTER in
the kernel configuration.

The tool iptables talks to the kernel and tells it what packets to
filter.  Unless you are a programmer, or overly curious, this is how
you will control the packet filtering.

3.2.1.  iptables

The iptables tool inserts and deletes rules from the kernel's packet
filtering table.  This means that whatever you set up, it will be lost
upon reboot; see ``Making Rules Permanent'' for how to make sure they
are restored the next time Linux is booted.

iptables is a replacement for ipfwadm and ipchains: see ``Using
ipchains and ipfwadm'' for how to painlessly avoid using iptables if
you're using one of those tools.

3.2.2.  Making Rules Permanent

Your current firewall setup is stored in the kernel, and thus will be
lost on reboot.  You can try the iptables-save and iptables-restore
scripts to save them to, and restore them from a file.

The other way is to put the commands required to set up your rules in
an initialization script.  Make sure you do something intelligent if
one of the commands should fail (usually `exec /sbin/sulogin').

4.  Who the hell are you, and why are you playing with my kernel?

I'm Rusty Russell; the Linux IP Firewall maintainer and just another
working coder who happened to be in the right place at the right time.
I wrote ipchains (see ``How Do I Packet Filter Under Linux?'' above
for due credit to the people who did the actual work), and learnt
enough to get packet filtering right this time.  I hope.

WatchGuard <http://www.watchguard.com>, an excellent firewall company
who sell the really nice plug-in Firebox, offered to pay me to do
nothing, so I could spend all my time writing this stuff, and
maintaining my previous stuff.  I predicted 6 months, and it took 12,
but I felt by the end that it had been done Right.  Many rewrites, a
hard-drive crash, a laptop being stolen, a couple of corrupted
filesystems and one broken screen later, here it is.

While I'm here, I want to clear up some people's misconceptions: I am
no kernel guru.  I know this, because my kernel work has brought me
into contact with some of them: David S. Miller, Alexey Kuznetsov,
Andi Kleen, Alan Cox.  However, they're all busy doing the deep magic,
leaving me to wade in the shallow end where it's safe.

5.  Rusty's Really Quick Guide To Packet Filtering

Most people just have a single PPP connection to the Internet, and
don't want anyone coming back into their network, or the firewall:

## Insert connection-tracking modules (not needed if built into kernel).
# insmod ip_conntrack
# insmod ip_conntrack_ftp

## Create chain which blocks new connections, except if coming from inside.
# iptables -N block
# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
# iptables -A block -j DROP

## Jump to that chain from INPUT and FORWARD chains.
# iptables -A INPUT -j block
# iptables -A FORWARD -j block

6.  How Packets Traverse The Filters

The kernel starts with three lists of rules in the `filter' table;
these lists are called firewall chains or just chains.  The three
chains are called INPUT, OUTPUT and FORWARD.

For ASCII-art fans, the chains are arranged like so: (Note: this is a
very different arrangement from the 2.0 and 2.2 kernels!)

_____
Incoming                 /     \         Outgoing
-->[Routing ]—>|FORWARD|——->
[Decision]     \_____/        ^
|                        |
v                       ____
___                     /    \
/   \                 |OUTPUT|
|INPUT|                  \____/
\___/                      ^
|                        |
—-> Local Process —-

The three circles represent the three chains mentioned above.  When a
packet reaches a circle in the diagram, that chain is examined to
decide the fate of the packet.  If the chain says to DROP the packet,
it is killed there, but if the chain says to ACCEPT the packet, it
continues traversing the diagram.

A chain is a checklist of rules.  Each rule says `if the packet header
looks like this, then here’s what to do with the packet’.  If the rule
doesn’t match the packet, then the next rule in the chain is
consulted.  Finally, if there are no more rules to consult, then the
kernel looks at the chain policy to decide what to do.  In a security-
conscious system, this policy usually tells the kernel to DROP the
packet.

1. When a packet comes in (say, through the Ethernet card) the kernel
first looks at the destination of the packet: this is called
`routing’.

2. If it’s destined for this box, the packet passes downwards in the
diagram, to the INPUT chain.  If it passes this, any processes
waiting for that packet will receive it.

3. Otherwise, if the kernel does not have forwarding enabled, or it
doesn’t know how to forward the packet, the packet is dropped.  If
forwarding is enabled, and the packet is destined for another
network interface (if you have another one), then the packet goes
rightwards on our diagram to the FORWARD chain.  If it is ACCEPTed,
it will be sent out.

4. Finally, a program running on the box can send network packets.
These packets pass through the OUTPUT chain immediately: if it says
ACCEPT, then the packet continues out to whatever interface it is
destined for.

7.  Using iptables

iptables has a fairly detailed manual page (man iptables), and if you
need more detail on particulars.  Those of you familiar with ipchains
may simply want to look at “Differences Between iptables and
ipchains”; they are very similar.

There are several different things you can do with iptables.  You
start with three built-in chains INPUT, OUTPUT and FORWARD which you
can’t delete.  Let’s look at the operations to manage whole chains:

1. Create a new chain (-N).

2. Delete an empty chain (-X).

3. Change the policy for a built-in chain. (-P).

4. List the rules in a chain (-L).

5. Flush the rules out of a chain (-F).

6. Zero the packet and byte counters on all rules in a chain (-Z).

There are several ways to manipulate rules inside a chain:

1. Append a new rule to a chain (-A).

2. Insert a new rule at some position in a chain (-I).

3. Replace a rule at some position in a chain (-R).

4. Delete a rule at some position in a chain, or the first that
matches (-D).

7.1.  What You’ll See When Your Computer Starts Up

iptables may be a module, called (`iptable_filter.o’), which should be
automatically loaded when you first run iptables.  It can also be
built into the kernel permenantly.

Before any iptables commands have been run (be careful: some
distributions will run iptables in their initialization scripts),
there will be no rules in any of the built-in chains (`INPUT’,
`FORWARD’ and `OUTPUT’), all the chains will have a policy of ACCEPT.
You can alter the default policy of the FORWARD chain by providing the
`forward=0′ option to the iptable_filter module.

7.2.  Operations on a Single Rule

This is the bread-and-butter of packet filtering; manipulating rules.
Most commonly, you will probably use the append (-A) and delete (-D)
commands.  The others (-I for insert and -R for replace) are simple
extensions of these concepts.

Each rule specifies a set of conditions the packet must meet, and what
to do if it meets them (a `target’).  For example, you might want to
drop all ICMP packets coming from the IP address 127.0.0.1.  So in
this case our conditions are that the protocol must be ICMP and that
the source address must be 127.0.0.1.  Our target is `DROP’.
127.0.0.1 is the `loopback’ interface, which you will have even if you
have no real network connection.  You can use the `ping’ program to
generate such packets (it simply sends an ICMP type 8 (echo request)
which all cooperative hosts should obligingly respond to with an ICMP
type 0 (echo reply) packet).  This makes it useful for testing.

# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

— 127.0.0.1 ping statistics —
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

— 127.0.0.1 ping statistics —
1 packets transmitted, 0 packets received, 100% packet loss
#

You can see here that the first ping succeeds (the `-c 1′ tells ping
to only send a single packet).

Then we append (-A) to the `INPUT’ chain, a rule specifying that for
packets from 127.0.0.1 (`-s 127.0.0.1′) with protocol ICMP (`-p icmp’)
we should jump to DROP (`-j DROP’).

Then we test our rule, using the second ping.  There will be a pause
before the program gives up waiting for a response that will never
come.

We can delete the rule in one of two ways.  Firstly, since we know
that it is the only rule in the input chain, we can use a numbered
delete, as in:

# iptables -D INPUT 1
#

To delete rule number 1 in the INPUT chain.

The second way is to mirror the -A command, but replacing the -A with
-D.  This is useful when you have a complex chain of rules and you
don

Linux Networking-concepts HOWTO
Rusty Russell
$Revision: 1.13 $ $Date: 2001/07/29 04:45:11 $

This document describes what a network (such as the Internet) is, and
the very basics of how it works.
______________________________________________________________________

Table of Contents

1. Introduction
2. What is a `computer network’?
3. What is the `Internet’?
3.1 How Does The Internet Work?

4. This IP Thing
4.1 Groups of IP Addresses: Network Masks

5. Machine Names and IP Addresses
6. Different Services: Email, Web, FTP, Name Serving
7. Dialup Interfaces: PPP
8. What Packets Look Like
9. Summary
10. Thanks
11. Index

______________________________________________________________________

1.  Introduction

Welcome, gentle reader.

I have written a number of networking HOWTOs in the past, and it
occurred to me that there's a hell of pile of jargon in each one.  I
had three choices: my other two were ignoring the problem and
explaining the terms everywhere.  Neither was attractive.

The point of Free software is that you should have the freedom to
explore and play with the software systems you use.  I believe that
enabling people to experience this freedom is a noble goal; not only
do people feel empowered by the pursuit (such as rebuilding a car
engine) but the nature of the modern Internet and Free software allows
you to share the experience with millions.

But you have to start somewhere, so here we are.

(C) 2000 Paul `Rusty' Russell.  Licenced under the GNU GPL.

2.  What is a `computer network'?

A computer network is just a set of stuff for nodes to talk to each
other (by `nodes' I mean computers, printers, Coke machines and
whatever else you want).  It doesn't really matter how they are
connected: they could use fiber-optic cables or carrier pigeons.
Obviously, some choices are better than others (especially if you have
a cat).

Usually if you just connect two computers together, it's not called a
network; you really need three or more to become a network.  This is a
bit like the word `group': two people is just a couple of guys, but
three can be an `group'.  Also, networks are often hooked together, to
make bigger networks; each little network (usually called a `sub-
network') can be part of a larger network.

The actual connection between two computers is often called a `network
link'.  If there's a bit of cable running out of the back of your
machine to the other machines, that's your network link.

There are four things which we usually care about when we talk about a
computer network:

Size

If you simply connect your four computers at home together, you
have what is called a LAN (Local Area Network).  If everything
is within walking distance, it's usually called a LAN, however
many machines are connected to it, and whatever you've built the
network out of.

The other end of the spectrum is a WAN (Wide Area Network).  If
you have one computer in Lahore, Pakistan, one in Birmingham, UK
and one in Santiago, Chile, and you manage to connect them, it's
a WAN.

Topology: The Shape

Draw a map of the network: lines are the

``network links'', and each node is a dot.  Maybe each line
leads into a central node like a big star, meaning that everyone
talks through one point (a  `star topology'):

o   o   o
\_ | _/
\|/
o-----o-----o
_/|\_
/  |  \
o   o   o

Maybe everyone talks in a line, like so:

o------o------o-------o--------o
|                              |
|                              |
|                              o
|                              |
o                              |
o

Or maybe you have three subnetworks connected through one node:

o
o           |  o--o--o
|           |  |
o--o--o--o--o  o
\       |
o------o
/       |
o--o--o--o--o  o
|           |  |
o           |  o--o
o

You'll see many topologies like these in real life, and many far
more complicated.

Physical: What It's Made Of
The second thing to care about is what you've built the network
out of.  The cheapest is `sneakernet', where badly-dressed
people carry floppy disks from one machine to the others.
Sneakernet is almost always a ``LAN''.  Floppies cost less than
$1, and a solid pair of sneakers can be got for around $20.

The most common system used to connect home networks to far
bigger networks is called a `modem' (for MODulator/DEModulator),
which turns a normal phone connection into a network link.  It
turns the stuff the computer sends into sounds, and listens to
sounds coming from the other end to turn them back into stuff
for the computer.  As you can imagine, this isn't very
efficient, and phone lines weren't designed for this use, but
it's popular because phone lines are so common and cheap: modems
sell for less than $50, and phone lines usually cost a couple of
hundred dollars a year.

The most common way to connect machines into a LAN is to use
Ethernet.  Ethernet comes in these main flavors (listed from
oldest to newest): Thinwire/Coax/10base2, UTP (Unshielded
Twisted Pair)/10baseT and UTP/100baseT.  Gigabit ethernet (the
name 1000baseT is starting to get silly) is starting to be
deployed, too.  10base2 wire is usually black coaxial cable,
with twist-on T-pieces to connect them to things: everyone gets
connected in a big line, with special `terminator' pieces on the
two ends.  UTP is usually blue wire, with clear `click-in'
phone-style connectors which plug into sockets to connect: each
wire connects one node to a central `hub'.  The cable is a
couple of dollars a meter, and the 10baseT/10base2 cards (many
cards have plugs for both) are hard to get brand new.  100baseT
cards, which can also speak 10baseT as well, are ten times
faster, and about $30.

On the other end of the spectrum is Fiber; a continuous tiny
glass filament wrapped in protective coating which can be used
to run between continents.  Generally, fiber costs thousands.

We usually call each connection to a node a `network interface',
or `interface' for short.  Linux gives these names like `eth0'
for the first ethernet interface, and `fddi0' for the first
fiber interface.  The `/sbin/ifconfig' command lists them.

Protocol: What It's Speaking

The final thing to care about is the language the two are
speaking.  When two ``modems'' are talking to each other down a
phone line, they need to agree what the different sounds mean,
otherwise it simply won't work.  This convention is called a
`protocol'.  As people discovered new ways of encoding what the
computer says into smaller sounds, new protocols were invented;
there are at least a dozen different modem protocols, and most
modems will try a number of them until they find one the other
end understands.

Another example is the ``100baseT'' network mentioned above: it
uses the same physical ``network links'' (``UTP'') as
``10baseT'' above, but talks ten times as fast.

These two protocols are what are called `link-level' protocols;
how stuff is handed over the individual network links, or `one
hop'.  The word `protocol' also refers to other conventions
which are followed, as we will see next.

3.  What is the `Internet'?

The Internet is a ``WAN'' which spans the entire globe: it is the
largest computer network in existence.  The phrase `internetworking'
refers to connecting separate networks to build a larger one, hence
`The Internet' is the connection of a whole pile of subnetworks.

So now we look at the list above and ask ourselves: what is the
Internet's size, physical details and protocols?

The size is already established above: it's global.

The physical details are varied however: each little sub-network is
connected differently, with a different layout and physical nature.
Attempts to map it in a useful way have generally met with abject
failure.

The protocols spoken by each link are also often different: all of the
``link-level protocols'' listed above are used, and many more.

3.1.  How Does The Internet Work?

The question then arises: how come every node on the Internet can talk
to the others, if they all use different link-level protocols to talk
to each other?

The answer is fairly simple: we need another protocol which controls
how stuff flows through the network.  The link-level protocol
describes how to get from one node to another if they're connected
directly: the `network protocol' tells us how to get from one point in
the network to any other, going through other links if necessary.

For the Internet, the network protocol is the Internet Protocol
(version 4), or `IP'.  It's not the only protocol out there (Apple's
AppleTalk, Novell's IPX, Digital's DECNet and Microsoft's NetBEUI
being others) but it's the most widely adopted.  There's a newer
version of IP called IPv6, but it's still not common.

So to send a message from one side of the globe to another, your
computer writes a bit of Internet Protocol, sends it to your modem,
which uses some modem link-level protocol to send it to the modem it's
dialed up to, which is probably plugged into a terminal server
(basically a big box of modems), which sends it to a node inside the
ISP's network, which sends it out usually to a bigger node, which
sends it to the next node... and so on.  A node which connects two or
more networks is called a `router': it will have one ``interface'' for
each network.

We call this array of protocols a `protocol stack', usually drawn like
so:

[ Application: Handles Porn ]           [ Application Layer: Serves Porn ]
|                                          ^
v                                          |
[ TCP: Handles Retransmission ]          [ TCP: Handles Retransmission ]
|                                          ^
v                                          |
[ IP: Handles Routing ]                   [ IP: Handles Routing ]
|                                          ^
v                                          |
[ Link: Handles A Single Hop ]           [ Link: Handles A Single Hop ]
|                                          |
+——————————————+

So in the diagram, we see Netscape (the Application on top left)
retrieving a web page from a web server (the Application on top
right).  To do this it will use `Transmission Control Protocol’ or
`TCP’: over 90% of the Internet traffic today is TCP, as it is used
for Web and EMail.

So Netscape makes the request for a TCP connection to the remote web
server: this is handed to the TCP layer, which hands it to the IP
layer, which figures out which direction it has to go in, hands it
onto the appropriate link layer, which transmits it to the other end
of the link.

At the other end, the link layer hands it up to the IP layer, which
sees it is destined for this host (if not, it might hand it down to a
different link layer to go out to the next node), hands it up to the
TCP layer, which hands it to the server.

So we have the following breakdown:

1. The application (Netscape, or the web server at the other end)
decides who it wants to talk to, and what it wants to send).

2. The TCP layer sends special packets to start the conversation with
the other end, and then packs the data into a TCP `packet’: a
packet is just a term for a chunk of data which passes through a
network.  The TCP layer hands this packet to

the IP layer: it then keeps sending it to the IP layer until the
TCP layer at the other end replies to say that it has received it.
This is called `retransmission’, and has a whole heap of complex
rules which control when to retransmit, how long to wait, etc.  It
also gives each packet a set of numbers, which mean that the other
end can sort them into the right order.

3. The IP layer looks at the destination of the packet, and figures
out the next node to send the packet to.  This simple act is called
`routing’, and ranges from really simple (if you only have one
modem, and no other network interfaces, all packets should go out
that interface) to extremely complex (if you have 15 major networks
connected directly to you).

4.  This IP Thing

So the role of the IP layer is to figure out how to `route’ packets to
their final destination.  To make this possible, every interface on
the network needs an `IP address’.  An IP address consists of four
numbers separated by periods, like `167.216.245.249′.  Each number is
between zero and 255.

Interfaces in the same network tend to have neighboring IP addresses.
For example, `167.216.245.250′ sits right next to the machine with the
IP address `167.216.245.249′.  Remember also that a router is a node
with interfaces on more than one network, so the router will have one
IP address for each interface.

So the Linux Kernel’s IP layer keeps a table of different `routes’,
describing how to get to various groups of IP addresses.  The simplest
of these is called a `default route’: if the IP layer doesn’t know
better, this is where it will send a packet onwards to.  You can see a
list of routes using `/sbin/route’.

Routes can either point to a link, or a particular node which is
connected to another network.  For example, when you dial up to the
ISP, your default route will point to the modem link, because that’s
where the entire world is.

Rusty’s              ISP’s  ~~~~~~~~~~~~
Modem               Modem {            }
o——————o { The Internet }
{            }
~~~~~~~~~~~~

But if you have a permanent machine on your network which connects to
the outside world, it’s a bit more complicated.  In the diagram below,
my machine can talk directly to Tridge and Paul’s machines, and to the
firewall, but it needs to know that packets heading the rest of the
world need to go to the firewall, which will pass them on.  This means
that you have two routes: one which says `if it’s on my network, just
send it straight there’ and then a default route which says
`otherwise, send it to the firewall’.

o  Tridge’s
|    Work Machine      ~~~~~~~~~~~~
Rusty’s                |                     {            }
Work Machine o——–+—————–o–{ The Internet }
|            Firewall {            }
|                      ~~~~~~~~~~~~
o  Paul’s
Work Machine

4.1.  Groups of IP Addresses: Network Masks

There is one last detail: there is a standard notation for groups of
IP addresses, sometimes called a `network address’.  Just like a phone
number can be broken up into an area prefix and the rest, we can
divide an IP address into a network prefix and the rest.

It used to be that people would talk about `the 1.2.3 network’,
meaning all 256 addresses from 1.2.3.0 to 1.2.3.255.  Or if that
wasn’t a big enough network, they might talk about the `1.2 network’
which meant all addresses from 1.2.0.0 to 1.2.255.255.

We usually don’t write `1.2.0.0 – 1.2.255.255′.  Instead, we shorten
it to `1.2.0.0/16′.  This weird `/16′ notation (it’s called a
`netmask’) requires a little explanation.

Each number between the dots in an IP address is actually 8 binary
digits (00000000 to 11111111): we write them in decimal form to make
it more readable for humans.  The `/16′ means that the first 16 binary
digits is the network address, in other words, the `1.2.’ part is the
the network (remember: each digit represents 8 binary digits).  This
means any IP address beginning with `1.2.’ is part of the network:
`1.2.3.4′ and `1.2.3.50′ are, and `1.3.1.1′ is not.

To make life easier, we usually use networks ending in `/8′, `/16′ and
`/24′.  For example, `10.0.0.0/8′ is a big network containing any
address from 10.0.0.0 to 10.255.255.255 (over 16 million addresses!).
10.0.0.0/16 is smaller, containing only IP addresses from 10.0.0.0 to
10.0.255.255.  10.0.0.0/24 is smaller still, containing addresses
10.0.0.0 to 10.0.0.255.

To make things confusing, there is another way of writing netmasks.
We can write them like IP addresses:

10.0.0.0/255.0.0.0

Finally, it’s worth noting that the very highest IP address in any
network is reserved as the `broadcast address’, which can be used to
send a message to everyone on the network at once.

Here is a table of network masks:

Short   Full                    Maximum         Comment
Form    Form                    #Machines

/8      /255.0.0.0              16,777,215      Used to be called an `A-class’
/16     /255.255.0.0            65,535          Used to be called an `B-class’
/17     /255.255.128.0          32,767
/18     /255.255.192.0          16,383
/19     /255.255.224.0          8,191
/20     /255.255.240.0          4,095
/21     /255.255.248.0          2,047
/22     /255.255.252.0          1,023
/23     /255.255.254.0          511
/24     /255.255.255.0          255             Used to be called a `C-class’
/25     /255.255.255.128        127
/26     /255.255.255.192        63
/27     /255.255.255.224        31
/28     /255.255.255.240        15
/29     /255.255.255.248        7
/30     /255.255.255.252        3

5.  Machine Names and IP Addresses

So every interface on every node has an IP address.  It was realized
quite quickly that humans are pretty bad at remembering numbers, so it
was decided (just like phone numbers) to have a directory of names.
But since we’re using computers anyway, it’s nicer to have the
computer look up the names for us automatically.

Hence we have the Domain Name System (DNS).  There are nodes with well
known IP addresses which programs can ask to look up names, and return
IP addresses.  Almost all programs you will use are capable of doing
this, which is why you can put `www.linuxcare.com’ into Netscape,
instead of `167.216.245.249′.

Of course, you need the IP address of at least one of these `name
servers’: usually these are kept in the `/etc/resolv.conf’ file.

Since DNS queries and responses are fairly small (1 packet each), the
TCP protocol is not usually used: it provides automatic
retransmission, ordering and general reliability, but at a cost of
sending extra packets through the network.  Instead we use the very
simple `User Datagram Protocol’, which doesn’t offer any of the fancy
TCP features we don’t need.

6.  Different Services: Email, Web, FTP, Name Serving

In the earlier example, we showed Netscape sending a TCP request to a
web server running on another node.  But imagine that the node with
the web server is also running an Email server, an FTP server and a
name server: how does it know which server the TCP connection is for?

This is where TCP and UDP have a concept of `ports’.  Every packet has
space for a `destination port’, which says what service the packet is
for.  For example, TCP port 25 is the mail server, and TCP port 80 is
the web server (although sometimes you find web servers on different
ports).  A list of ports can be found in `/etc/services’.

Also, if two Netscape windows are both accessing different parts of
the same web site, how does the Linux box running Netscape sort out
the TCP packets coming back from the web server?

This is where the `source port’ comes in: every new TCP connection
gets a different source port, so everyone can tell them apart, even if
they are going to the same destination IP address and the same
destination port.  Usually the first source port given will be 1024,
and will increase over time.

7.  Dialup Interfaces: PPP

When you dial your modem to an ISP, and it connects to their modem,
the kernel doesn’t just shove IP packets through it.  There is a
protocol called `Point-to-Point Protocol’, or `PPP’, which is used to
negotiate with the other end before any packets are allowed through.
This is used by the ISP to identify who is dialed up: on your Linux
box, a program called the `PPP daemon’ handles your end of the
negotiation.

Because there are so many dialup users in the world, they usually
don’t have their own IP address: most ISPs will assign you one of
theirs temporarily when you dial up (the PPP daemon will negotiate
this).  This is often called a `dynamic IP address’, as separate from
a `static IP address’ which is the normal case where you have your own
address permanently.  Usually they are assigned by modem: the next
time you dial up, you will probably get a different modem in the modem
pool, and hence a different IP address.

8.  What Packets Look Like

For the exceptionally curious (and the curiously exceptional), here is
a description of what a packet actually looks like.  There are several
tools which watch what packets are passing in and out of your Linux
box: the most common one is `tcpdump’ (which understands more than TCP
these days), but a nicer one is `ethereal’.  Such programs are known
as `packet sniffers’.

The start of each packet says where it’s going, where it came from,
the type of the packet, and other administrative details.  This part
is called the `packet header’.  The rest of the packet, containing the
actual data being transmitted, is usually called the `packet body’.

So any IP packet begins with an `IP header’: at least 20 bytes long.
It looks like (this diagram stolen shamelessly from RFC 791):

.——-+——-+—————+——————————-.
|Version|  IHL  |Type of Service|          Total Length         |
|——-+——-+—————+——————————-|
|         Identification        |Flags|      Fragment Offset    |
|—————+—————+——————————-|
|  Time to Live |    Protocol   |         Header Checksum       |
|—————+—————+——————————-|
|                       Source Address                          |
|—————————————————————|
|                    Destination Address                        |
`—————————————————————’

The important fields are the Protocol, which indicates whether this is
a TCP packet (number 6), a UDP packet (number 17) or something else,
the Source IP Address, and the Destination IP Address.

Now, if the protocol fields says this is a TCP packet, then a TCP
header will immediately follow this IP header: the TCP header is also
at least 20 bytes long:

.——————————-+——————————-.
|          Source Port          |       Destination Port        |
|——————————-+——————————-|
|                        Sequence Number                        |
|—————————————————————|
|                    Acknowledgment Number                      |
|——————-+-+-+-+-+-+-+——————————-|
|  Data |           |U|A|P|R|S|F|                               |
| Offset| Reserved  |R|C|S|S|Y|I|            Window             |
|       |           |G|K|H|T|N|N|                               |
|——-+———–+-+-+-+-+-+-+——————————-|
|           Checksum            |         Urgent Pointer        |
`—————————————————————’

The most important fields here are the source port, and destination
port, which says which service the packet is going to (or coming from,
in the case of reply packets).  The sequence and acknowledgement
numbers are used to keep packets in order, and tell the other end what
packets have been received.  The ACK, SYN, RST and FIN flags (written
downwards) are single bits which are used to negotiate the opening
(SYN) and closing (RST or FIN) of connections.

Following this header comes the actual message which the application
sent (the packet body).  A normal packet is up to 1500 bytes: this
means that the most space the data can take up is 1460 bytes (20 bytes
for the IP header, and 20 for the TCP header): over 97%.

9.  Summary

So the modern Internet uses IP packets to communicate, and most of
these IP packets use TCP inside.  Special nodes called `routers’
connect all the little networks together into larger networks, and
pass these packets through to their destination.  Most normal machines
are only attached to one network (ie. have only one interface), and so
are not routers.

Every interface has a unique IP address, which look like `1.2.3.4′:
interfaces in the same network will have related IP addresses, with
the same start, the same way that phone connections in the same area
have the same prefix.  These network addresses look like IP addresses,
with a `/’ to say how much of them is the prefix, eg `1.2.0.0/16′
means the first two digits is the network address: each digit
represents 8 bits.

Machines are given names by the Domain Name Service: programs ask name
servers to give them the IP address, given a name like
`www.linuxcare.com’.  This IP address is then used as the destination
IP address to talk to that node.

Rusty is really bad at writing documentation, especially for
beginners.

Enjoy!

Rusty.

10.  Thanks

Thanks to Alison, for sitting through the original terrible draft, and
telling me how shit it was, in the nicest possible way.

11.  Index

o  “100baseT”

o  “10base2”

o  “10baseT”

o  “Broadcast address”

o  “Coax, Coaxial cable”

o  “Computer network”

o  “Default route”

o  “Destination port”

o  “DNS, Domain Name Service”

o  “Dynamic IP address”

o  “Ethernet”

o  “Fiber”

o  “Gigabit Ethernet”

o  “Hop”

o  “Hub”

o  “Internet”

o  “IP, Internet Protocol”

o  “IP address”

o  “IP header”

o  “IPv4, IP version 4”

o  “IPv6, IP version 6”

o  “LAN, Local Area Network”

o  “Link-level protocol”

o  “Modem”

o  “Name server”

o  “Netmask”

o  “Network address, network mask”

o  “Network interface, interface”

o  “Network link”

o  “Network protocol, protocol”

o  “Node”

o  “Packet body”

o  “Packet header”

o  “Packet sniffer”

o  “Packet”

o  “Port, TCP port, UDP port”

o  “PPP, Point-to-Point Protocol”

o  “PPP daemon”

o  “Protocol stack”

o  “Retransmission”

o  “Route”

o  “Router”

o  “Routing”

o  “Sneakernet”

o  “Source port”

o  “Star-topology”

o  “Static IP address”

o  “Sub-network”

o  “TCP, Transmission Control Protocol”

o  “TCP header”

o  “Terminator”

o  “Topology”

o  “UDP, User Datagram Protocol”

o  “UTP, Unshielded Twisted Pair”

o  “WAN, Wide Area Network”

# Red Hat Linux firewall using iptables

#
# Created: October 2002
# Last Revised: August 2006
#
# Authors: Dennis G. Allard (allard@oceanpark.com) and Don Cohen (don@isis.cs3-inc.com)
#
# This script works on on servers running Red Hat 7.3, 8.0, 9.0, and
# RHEL ES 3 and 4.  Variants of this script are in active use on
# many servers.
#
# No warranty is implied.  Use at your own risk!!

# Using this script
# —————–
#
# I save this file as /etc/sysconfig/iptables-precursor
# and then source it and run iptables-save to create
# /etc/sysconfig/iptables, which is an input file
# consumed by the script /etc/rc.d/init.d/iptables,
# which in turn makes use of the script /sbin/iptables-restore.
#
# Before mucking with setting up iptables, you should
# disconnect the machine from the internet.  Examine
# and understand the current set of iptables rules
# before you reconnect to the internet.
#
# To configure the set of iptables rules:
#
#   /etc/rc.d/init.d/iptables stop
#   source /etc/sysconfig/iptables-precursor
#
# To save the current set of iptables rules for use at next reboot:
#
#   iptables-save > /etc/sysconfig/iptables
#
# To dynamically restart iptables after modifying /etc/sysconfig/iptables:
#
#   /etc/rc.d/init.d/iptables restart
#
# Note that /etc/rc.d/init.d/iptables is a script.  You can read it to
# gain understanding of how iptables uses iptables-restore to restore
# iptables firewall rules at reboot.
#
# To examine the current set of rules in effect:
#
#   /etc/rc.d/init.d/iptables status
#
# However, I prefer to show the current set of rules via:
#
#   iptables -nvL -t filter
#   iptables -nvL -t nat
#
# or
#
#   iptables -vL -t filter
#   iptables -vL -t nat
#
#
# To configure iptables to be used at next system reboot:
#
#   chkconfig –add iptables
#
# To see if iptables is currently configured to start at boot, do:
#
#   chkconfig –list iptables
#
# (You might have to do chkconfig –del ipchains to remove ipchains)
#
# The rest of this file is derived from my old ipchains script.
#

# A word about routing
# ——————–
#
# Note that this web page does not discuss routing decisions.  Routing
# (see the ‘ifconfig’ and ‘route’ commands) decides which interface an
# incoming packet will be delivered to, i.e. if a given packet will be
# ‘input’ to this machine or be ‘forwarded’ to some interface for
# delivery to another machine, say on an internal network.  You should
# have your routing configured before you attempt to configure your
# firewall.
#
# Caveat.  DNAT and SNAT provide a way for the IPTABLES firewall to modify the
# Destination or Source IP addresses of a packet and, in this way, interact
# with routing decisions.  See section below: ‘More about NAT and routing’.
#

# The network
# ———–
#
# This firewall is running on a gateway machine having multiple ethernet
# interfaces, a public one, eth0, which is a DSL connection to an ISP,
# and one or more internal ones, including eth1, which is assigned to
# 192.168.0.1, an IP number on my internal private network.  My public
# network has static IP numbers depicted below as x.y.z….  Actual
# IP numbers would, of course, be a sequence of four octets.  For this
# script, I assume that the firewall is running on the same machine
# having the interfaces configued with my public IPs.  For this reason,
# most of the rules below are INPUT rules.  Were I to route some of my public
# static IP numbers to interfaces on one or more machines inside the
# firewall on the internal network, I would modify certain rules to be
# FORWARD rules instead of INPUT rules.  I show some examples below of
# FORWARD rules.  Finally, the script is just for a single server IP,
# hence all of the “/32″ network masks below.  A more realistic situation
# would involve using IP ranges and their corresponding network masks.
#
# The gateway at my ISP is x.y.z.1.  I run a few web servers on
# x.y.z.w, a DNS server on x.y.z.n, and qmail on x.y.z.m.
#
# Using this file in a more complex network would require some
# modifications. Particular attention would need to be given to using
# the right the IP numbers and interfaces, among other things.
#

# Preliminaries
# ————-
#
# To permit machines internal to the network to be able to
# send IP packets to the outside world, enable IP Forwarding:
#
#   echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Prevent SYN floods from consuming memory resources:
#
#   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#
# I place the above echo commands into /etc/rc.d/rc.local
# so that they will be executed at boot time.
#

# The basic idea of this firewall
# ——————————-
#
# Provide rules that are applied in the following order:
#
# ACCEPT all UDP packets for certain UDP services
#
# Currently the only UDP connections I accept are to my secure DNS
# server, tinydns. For an explanation of why tinydns is secure, see:
# http://www.faqts.com/knowledge_base/view.phtml/aid/8739/fid/699.
#
# DENY all other UDP packets.
#
# ACCEPT SYN packets just for certain TCP services
#
# SYN packets are specified via the -syn flag in the input
# rules defined below.  Note that certain services can be
# further filtered by xinetd.
#
# DENY all other TCP SYN packets.
#
# ACCEPT all other TCP packets that are part of existing connections
#
# DENY all other TCP packets.
#
# In other words, we allow any TCP packet through that is part of an
# established TCP connection, but we are very selective in just which
# connections we permit to be made to start off with.
#
# A brief explanation of SYN packets goes as follows.  TCP connections
# are initiated via a hand shaking protocol between the client and server
# programs at either end of the connection.  The very first TCP packet
# is sent by the client to the server and is called a SYN packet,
# because it has the SYN flag set to 1 in the TCP packet header.  We
# only allow SYN packets for the specific servers running on specific
# ports of specific hosts.  Subsequently, we only permit further TCP
# packets in that are determined to be part of a connection whose
# initial SYN packet was already accepted and responded to by one of our
# servers.  This is done via ‘Stateful Packet Inspection’ provided by the
# netfilter functionality added to linux as of kernel 2.4.  By stopping all
# other packets in their tracks, we limit attempts to attack our internal
# network.
#
# There are subtle ways that Denial of Service attacks can be performed
# if an attacker is able to somehow gain access to a machine inside our
# network or otherwise hijack a connection.  However, even in such
# cases, current research is leading to ways to greatly limit the effect
# of such attacks. For further reading, see: http://www.cs3-inc.com/ddos.html.
#
# For detailed background reading about iptables, please refer to:
# http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html
#

# begin oceanpark.com firewall rules (using iptables)
# —————————————————

# Here we go…

#
# Configure default policies (-P), meaning default rule to apply if no
# more specific rule below is applicable.  These rules apply if a more specific rule below
# is not applicable.  Defaults are to DROP anything sent to firewall or internal
# network, permit anything going out.
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#
# Flush (-F) all specific rules
#
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat

# The rest of this file contains specific rules that are applied in the order
# listed.  If none applies, then the above policy rules are used.

#
# Forward all packets from eth1 (internal network) to eth0 (the internet).
#
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#
# Forward packets that are part of existing and related connections from eth0 to eth1.
#
iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT

#
# Permit packets in to firewall itself that are part of existing and related connections.
#
iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT

# Note, in the above two rules, a connection becomes ESTABLISHED in the
# iptables PREROUTING chain upon receipt of a SYNACK packet that is a
# response to a previously sent SYN packet. The SYNACK packet itself is
# considered to be part of the established connection, so no special
# rule is needed to allow the SYNACK packet itself.

#
# Allow all inputs to firewall from the internal network and local interfaces
#
iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT

#
# Enable SNAT functionality on eth0
#
# SNAT (Source NAT) is used to map private source IP numbers of
# interfaces on the internal LAN to one of my public static IP numbers.
# SNAT performs this mapping when a client running on one of the
# internal hosts (x.y.z.c) initiates a TCP connection (SYN) through
# eth0.
#
iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -o eth0 -j SNAT –to-source x.y.z.c

#
# Alternative to SNAT — MASQUERADE
#
# If your firewall has a dynamic IP number because it connects to the
# internet itself via DHCP, then you probably cannot predict what the IP
# number is of your firewall’s interface connected to the internet. In
# this case, you need a rule like the following that assigns the (an) IP
# number associated with eth0 to outgoing connections without you needing
# to know in advance (at time of writing this rule) what that IP number is:
#
# iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
#
# Note that the above SNAT and MASQUERADE rules are applicable
# independent of how a host on the internal network is assigned its own
# internal IP number.  The host could be assigned a static IP number on
# an internal nonpublic network (e.g. 10. or 192.168.)  or it could be
# itself assigned a dynamic IP number from your own DHCP server running
# on the firewall, or it could even have a public static IP number.
# However, it seems unlikely that one would want to assign a public IP
# number to a host and then proceed to hide that number from the public.
#

#
# Deny any packet coming in on the public internet interface eth0
# which has a spoofed source address from our local networks:
#
iptables -A INPUT -i eth0 -s x.y.z.s/32 -j DROP
iptables -A INPUT -i eth0 -s x.y.z.c/32 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP
iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

#
# Accept all tcp SYN packets for protocols SMTP, HTTP, HTTPS, and SSH:
# (SMTP connections are further audited by our SMTP server)
#
iptables -A INPUT -p tcp -s 0/0 -d x.y.z.m/32 –destination-port 25 –syn -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 80 –syn -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 443 –syn -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 22 –syn -j ACCEPT

#
# Notice that the above rules are all INPUT rules.  My current network
# does not require me to make use of FORWARD rules, since I run all
# publicly accessible servers directly on my firewall machine.  But I
# promised above in the description of my network to give examples of
# rules used when there are servers running on machines on the internal
# network.  Following are examples of FORWARD rules I would use if I ran
# mail, web, and ssh servers on machines on the internal network inside
# the firewall.
#
# iptables -A FORWARD -p tcp -s 0/0 -d x.y.z.m/32 –destination-port 25 –syn -j ACCEPT
# iptables -A FORWARD -p tcp -s 0/0 -d x.y.z.w/32 –destination-port 80 –syn -j ACCEPT
# iptables -A FORWARD -p tcp -s 0/0 -d x.y.z.w/32 –destination-port 443 –syn -j ACCEPT
# iptables -A FORWARD -p tcp -s 0/0 -d 0/0 –destination-port 22 –syn -j ACCEPT
#
#
# The first three of the above four rules would be used if my routing
# delivered packets having destination IP x.y.z.m, port 25, or IP
# x.y.z.w, port 80 or 443, to an interface connected to my internal
# network (i.e. the packet was being FORWARDed). The fourth of the above
# four rules is similar but operates on any destination IP, port 22.
#
# The difference between an INPUT rule and a FORWARD rule is that an
# INPUT rule applies to packets that are ‘input’ to this machine (the
# machine on which these iptables firewall rules are installed), whereas
# a FORWARD rule applies to packets that are being ‘fowarded’, i.e. to
# packets that are passing through this machine to some other machine,
# such as a machine on my internal network.
#
# If I ran my mail server on an internal machine, I would no longer
# need my previous INPUT rule for x.y.z.m and would use the above
# FORWARD rule instead.
#

#
# Begin Caveat, More about NAT and routing
#
# The above talk of routing is independent of the rules defined here.
# I.e., routing is determined by ifconfig, route, et. al.  I have not
# yet seen any very good explanation of how to setup the static routing
# table (what you see as output from the `route` command).  I will not
# attempt to remedy that lacuna at this time.  If you know of some
# good documenation that completely and accurately explains the
# semantics of the ifconfig and route commands, i.e., explains what
# affect each has such that I can reliably predict what the output
# of `route` will be after executing a sequence of ifconfig and
# route commands, then please do let me know.
#
# What *can* be done by IPTABLES rules that has the ‘feel’ of routing is
# DNAT (Destintion NAT) and SNAT (Source NAT).  DNAT and SNAT rules are,
# respectively, mechnisms to map the incoming destination IP number and
# outgoing source IP number to different IP numbers.  For example, SNAT
# can be used to map an internal source IP number to any one of your
# external public IP numbers so that a workstation on your internal
# network will appear to servers on the internet to which it connects to
# have a source IP number equal to the mapped public IP number.
#
# DNAT goes the other way. It is a mechanism used typically to map
# public destination IP numbers to internal private IP numbers.  (In
# fact, DNAT could also map public to public or private to private or
# private to public, but that is left as an exercise for the reader).
# So, for example, if you run a mail server on a machine configured with
# an internal IP number but wish to expose that service to the external
# world via a public IP number, DNAT is for you.
#
# Now, DNAT and SNAT are *not* routing but can *interact* with routing.
# Routing decides whether a packet is going to be INPUT to this machine
# or be FORWARDed to another machine.  That decision is done by routing.
# Once that decision is made, and only then, are the IPTABLES filtering
# rules (FORWARD and INPUT rules) applied to a given packet.  On the
# other hand DNAT is applied by a PREROUTING rule and SNAT by a POSTROUTING
# rule.  It is now time for you to read the following Packet Filtering
# HOWTO section:
#
# http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-9.html
#
# which states:
#
#     It’s common to want to do Network Address Translation (see the
#     NAT HOWTO) and packet filtering. The good news is that they mix
#     extremely well.  [editor- The NAT HOWTO can be found at:
#     http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html]
#
#     You design your packet filtering completely *ignoring* any NAT you
#     are doing. The sources and destinations seen by the packet filter
#     will be the `real’ sources and destinations. For example, if you
#     are doing DNAT to send any connections to 1.2.3.4 port 80 through
#     to 10.1.1.1 port 8080, the packet filter would see packets going
#     to 10.1.1.1 port 8080 (the real destination), not 1.2.3.4 port 80.
#     Similarly, you can ignore masquerading: packets will seem to come
#     from their real internal IP addresses (say 10.1.1.1), and replies
#     will seem to go back there.
#
#
# Hence, INPUT/FORWARD rules would operate on destination IP numbers
# *after* a DNAT rule is applied.  But if you don’t have any DNAT rules,
# then INPUT/FORWARD would apply to the IP numbers as they are in the
# incoming packet.
#
# INPUT or FORWARD would be needed purely depending on whether your
# routing would cause the packet to stay on the machine where the
# firewall is installed or be forwarded to another machine.  THAT
# decision is done by routing and *not* by DNAT or SNAT or anything
# else in this firewall script.
#
# It is perfectly possible for the machine having the firewall to have
# both public and internal IPs configured and/or for some packets to be
# INPUT and others to be FORWARDed.
#
# DNAT is done by a PREROUTING rule, so you should think of things as
# proceeding in the following order:
#
#     1.  apply PREROUTING DNAT rules (if any) to map destination IP
#     2.  apply routing decisions (see ifconfig et. al.)
#     3a. apply INPUT rules to packets having a destination IP on this machine
#     3b. apply FORWARD rules to packets having a destination IP elsewhere
#     4.  apply POSTROUTING SNAT rules (if any) to map source IP
#
# (3a and 3b can be done in either order since they apply to a mutually
# exclusive set of packets)
#
# I *think* that’s correct.
#
# End Caveat, More about NAT and routing
#

#
# Sometimes I run older versions of SSH on port 2200:
#
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 2200 –syn -j ACCEPT

#
# For imapd via stunnel (instead of xinetd-based imapd):
#
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 993 –syn -j ACCEPT

#
# For xinetd-based IMAP server (see /etc/xinetd.conf for who can use it):
#
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 143 –syn -j ACCEPT

#
# For DHCP server:
#
iptables -A INPUT -i eth1 -p tcp –sport 68 –dport 67 -j ACCEPT
iptables -A INPUT -i eth1 -p udp –sport 68 –dport 67 -j ACCEPT

#
# For LDAP clients:
#
#iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port 389 -syn -j ACCEPT
#dga- worry about LDAP later (after I decode LDAP documentation (-;)

#
# DNS queries:
#
# Permit responses from our ISP’s DNS server.  When a client running on our
# host makes a DNS query, the outgoing query is allowed since we permit all
# outgoing packets.  The reply will be a UDP connection back to the high
# numbered client port from which the query was made.  So we only need to
# permit UDP packets from our ISP’s DNS servers back to high numbered ports:
#
#iptables -A INPUT -p udp -s <ISP DNS server IP>/32 –source-port 53 -d 0/0 –destination-port 1024:65535 -j ACCEPT
#
# But since we trust our ISP DNS Server not not have been hacked and we may
# not be sure what our client IP range is, we loosen this to:
#
iptables -A INPUT -p udp -s <ISP DNS server IP>/32 –source-port 53 -d 0/0 -j ACCEPT

#
# Running a caching DNS Server
#
# We need to permit querying a remote DNS server.  Since I am running
# a caching DNS server on x.y.z.d that makes requests for DNS lookups
# to external DNS servers, those servers send back responses via UDP to
# the high numbered client port on x.y.z.d where the caching server listens.
# I could of course increase security by running the dns cache on its own
# machine/IP and restricting to just that machine/IP.
#
iptables -A INPUT -p udp -s 0/0 –source-port 53 -d x.y.z.d/32 –destination-port 1024:65535 -j ACCEPT

#
# Running a DNS server (tinydns)
#
# When we run a DNS server, we have to accept UDP from anywhere to port 53
#
iptables -A INPUT -p udp -s 0/0 -d 0/0 –destination-port 53 -j ACCEPT

#
# Running a Master DNS Server to update slave DNS servers
#
# You may have your server colocated at an ISP and may arrange to have your
# ISP provide your primary and secondary DNS with the ISP DNS servers slaving
# off of your master DNS server.  This has the advantage of letting you be
# in full control of the DNS zone files yet keeping the DNS servers exposed
# to the public outside of your network.  To achieve this, in addition to
# permitting vanilla DNS responses from the ISP DNS serves, you also need
# to allow TCP connections from the ISP Master DNS Server:
#
# Allow DNS zone transfers via TCP from ISP Master DNS server:
#
# iptables -A INPUT -p tcp -s <ISP Master DNS server IP>/32 -d 0/0 –destination-port 53 –syn -j ACCEPT

#
# For some other custom server running here listening on port <port number>:
#
iptables -A INPUT -p tcp -s 0/0 -d 0/0 –destination-port <port number> –syn -j ACCEPT

#
# For FTP server, restricted to specific local hosts (and see /etc/xinetd.conf):
# (for public file transfers we use scp, sftp, and related SSH file transfer tools)
#
iptables -A INPUT -p tcp -s x.y.z.s/32 -d 0/0 –destination-port 20 –syn -j ACCEPT
iptables -A INPUT -p tcp -s x.y.z.s/32 -d 0/0 –destination-port 21 –syn -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/8 -d 0/0 –destination-port 20 –syn -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/8 -d 0/0 –destination-port 21 –syn -j ACCEPT

#
# For Samba (smbd and nmbd), restricted to specific local client hosts (x.y.z.c):
#
iptables -A INPUT -p tcp -s x.y.z.c/32 -d x.y.z.s/32 –destination-port 139 –syn -j ACCEPT
iptables -A INPUT -p udp -s x.y.z.c/32 -d x.y.z.s/32 –destination-port 137 -j ACCEPT

#
#Special cable modem rules.  I used to have a third ethernet card,
#eth2, attached to a separate ISP via a cable modem and used the rules
#shown below to cause a specific Windows machine on my internal network
#(192.168.0.128) to send traffic out via DSL and get it back via cable.
#This violates ingres filtering rules but seems to work.  It was neat
#since my cable modem had higher inbound bandwidth and it permitted
#me to do downloads without impacting my DSL inbound bandwidth.
#I no longer have that third interface, so no longer use this technique.
#
#iptables -A INPUT -i eth2 -s 68.65.209.39/32 -j DROP
#iptables -A INPUT -i eth2 -s 127.0.0.0/8 -j DROP
#iptables -t nat -A POSTROUTING -s 192.168.0.128/32 -d 0/0 -j SNAT –to-source 68.65.209.39

#
# Finally, DENY all connection requests to any UDP port not yet provided
# for and all SYN connection requests to any TCP port not yet provided
# for.  Using DENY instead of REJECT means that no ‘ICMP port
# unreachable’ response is sent back to the client attempting to
# connect.  I.e., DENY just ignores connection attempts.  Hence, use of
# DENY causes UDP connection requests to time out and TCP connection
# requests to hang.  Hence, using DENY instead of REJECT may have
# the effect of frustrating attackers due to increasing the amount of
# time taken to probe ports.
#
# Note that there is a fundamental difference between UDP and TCP
# protocols.  With UDP, there is no ‘successful connection’ response.
# With TCP, there is.  So an attacking client will be left in the dark
# about whether or not the denied UDP packets arrived and will hang
# waiting for a response from denied TCP ports.  An attacker will not
# be able to immediately tell if UDP connection requests are simply
# taking a long time, if there is a problem with connectivity between
# the attacking client and the server, or if the packets are being
# ignored.  This increases the amount of time it takes for an attacker
# to scan all UDP ports.  Similarly, TCP connection requests to denied
# ports will hang for a long time.  By using REJECT instead of DENY, you
# would prevent access to a port in a more ‘polite’ manner, but give out
# more information to wannabe attackers, since the attacker can positively
# detect that a port is not accessible in a small amount of time from
# the ‘ICMP port unreachable’ response.

iptables -A INPUT -s 0/0 -d 0/0 -p udp -j DROP
iptables -A INPUT -s 0/0 -d 0/0 -p tcp –syn -j DROP

# end oceanpark.com firewall rules (using iptables)
# ————————————————-

Menangkap seorang hacker bukanlah cara yang mudah, tidak seperti menangkap maling yang secara kasat mata terlihat oleh mata, karena hacker beroperasi di dunia maya yang kita sendiri tidak mengetahui secara persis lokasi darimana hacker beraksi.

Untuk itu menangkap seorang hacker cara paling mudah adalah Anda harus berpikir  juga cara hacker”. dalam arti anda mempelajari teknik-teknik yang digunakan oleh hacker, pelajari dokumentasi hacker, mencoba melakukan hacking atau kata lainnya anda juga harus belajar menjadi hacker, dan  jika hacker telah memasuki dan membobol sistem Anda, jika Anda memahami pola pikir hacker pasti dengan mudah menebak kelakukan seorang hacker, teknik yang digunakan seorang hacker, melakukan penangkapan.

Organisasi Komputer

Daftar Pustaka

illiam Stalling, “Computer Organization & Architecture”, Prentice Hall, 2000 (5/E)
Andrew S. Tanenbaum,” Structured Computer Organization”, Prentice Hall, 1999 (4/E)

http://www.shore.net/~ws/COA5e.html

http://lecturer.eepis-its.edu/~riyanto

Komputer

Bagian dari sebuah unit Komputer :

• Unit Masukan

• Unit Keluaran

• Unit Pemroses data

• Unit Penyimpan data

ORKOM dan ARKOM

Organisasi Komputer mempelajari bagian yang terkait dengan unit?unit operasional komputer dan hubungan antara komponen sistem komputer. contoh: sinyal kontrol, interface, teknologi memori

Arsitektur Komputer mempelajari atribut ? atribut sistem komputer yang terkait dengan seorang programmer. contoh: set instruksi, aritmetilka yang digunakan, teknik pengalamatan, mekanisme I/0.

Struktur dan Fungsi

Struktur komputer adalah cara komponen – komponen komputer saling terkait dan berhubungan

Fungsi komputer adalah operasi masing ? masing komponen sebagai bagian dari struktur

Struktur Utama Komputer

Struktur CPU

Fungsi Komputer

• Pemindahan Data

• Penyimpanan Data

• Pengolahan Data

• Kontrol

Fungsi dari Komputer

Pemindahan data
Contoh: keyboard ke screen

Penyimpanan data
Contoh: Internet download ke disk

Pemrosesan data dari/ke penyimpan data
Contoh: updating bank statement

Pemrosesan data dari penyimpan data ke I/O
Contoh: printing a bank statement

Evolusi dan Kinerja Komputer

Sejarah ENIAC

• Electronic NumericalIntegrator And Computer

• Eckert and Mauchly

• Universitas Pennsylvania vArmy’s Ballistics Research Laboratory

• Mulai 1943 vAkhir 1946 vDigunakan sampai 1955

ENIAC – Detail

• Desimal (bukan biner)

• Accumulator 20, mampu 10 digit

• Program manual dengan saklar

• Tabung vakum 18,000

• Berat 30 ton

• Volume 15,000 kaki persegi

• Daya listrik 140 kW

• Kecepatan operasi 5,000 per detik

Von Neumann/Turing

• Konsep program tersimpan

• Memori Utama, untuk menyimpan data maupun instruksi

• Arithmetic Logic Unit (ALU), untuk mengolah data binner

• Control Unit, untuk melakukan interpretasi instruksi ? instruksi di dalam memori sehingga adanya eksekusi instruksi tersebut

• I/0, untuk berinteraksi dengan lingkungan luar

• Computer of Institute for Advanced Studies

• Komplet 1952

Struktur Komputer IAS

1000 x 40 bit word

• Angka biner

• 2 x 20 bit instruksi

Sekumpulan register(penyimpanan didalam CPU)

• Memory Buffer Register

• Memory Address Register

• Instruction Register

• Instruction Buffer Register

• Program Counter

• Accumulator

• Multiplier Quotient

Struktur detail komputer IAS

Komputer Komersial

• 1947 – Eckert-Mauchly Computer Corporation

• UNIVAC I (Universal Automatic Computer)

• Tulang punggung penghitungan sensus tahun 1950 di USA

• Tahun 1950 – UNIVAC II

• Cepat

• Memori lebih banyak

• Seri IBM pertama adalah seri 701 tahun 1953

• Seri IBM pertama adalah seri 702 tahun 1955

Transistor

• Mengantikan tabung vakum

• Bentuknyapun relatif kecil

• Konsumsi daya listrik amat kecil

• Transistor ditemukan di Bell Labs pada tahun 1947

• Terbuat dari Silikon

Transistor sebagai Dasar Komputer

• Mesin generasi kedua

• NCR dan RCA adalah perusahaan yang mengembangkan komputer berukuran kecil

• IBM mengeluarkan seri 7000?nya

• Hardware komputer makin cepat prosesnya

• Memori makin besar

• Digital Equipment Corporation (DEC) tahun 1957

• meluncurkan komputer pertamanya yaitu PDP 1

Generasi Komputer

• Tabung vakum – 1946-1957

• Transistor – 1958-1964

• Small scale integration – 1965

Lebih dari 100 transistor dalam chip

• Medium scale integration – sampai1971

100-3,000 transistor dalam chip

• Large scale integration – 1971-1977

3,000 – 100,000 transistor dalam chip

• Very large scale integration – 1978 sampai sekarang

100,000 – 100,000,000 transistor dalam chip

• Ultra large scale integration

Over 100,000,000 transistor dalam chip

Transistor dalam Chip

IBM 360

• 1964

• Kelompok komputer pertama yang terencana

Set Instruksi mirip atau identik
Sistem operasi mirip atau identik
Kecepatan yang meningkat
Jumlah I/O port meningkat
Ukuran memori yang lebih besar
Harga yang meningkat

• Struktur saklar multiplex

DEC PDP-81964

• Minikomputer pertama

• Tidak membutuhkan air condition

• Bentuknya yang kecil sehingga sangat fleksibel digunakan

• $16,000

• Aplikasi Embedded

• Struktur Bus

Struktur Bus DEC – PDP-8

Intel

• 1971 – 4004

Microprocessor pertama
Semua komponen CPU chip tunggal
4 bit

• 1972 – 8008

8 bit
Didisain untuk aplikasi khusus

• 1974 – 8080

Intel secara umum menggunakan microprocessor

Perancangan Kinerja

• Kinerja sebuah sistem komputer merupakan hasil proses dari seluruh komponen komputer

• Komputer saat ini adalah mirip dengan komputer IAS

• Branch prediction

• Data flow analysis

• Speculative execution

Kesenjangan Kemampuan

• Kecepatan prosesor meningkat

• Kapasitas memori meningkat

• Kecepatan memori lebih lambat daripada prosesor

DRAM dan Karakteristik Prosesor

Trend DRAM yang digunakan

Penyelesaian

• Meningkatkan jumlah bit yang dicari pada suatu saat tertentu dengan melebarkan DRAM dan melebarkan lintasan sistem busnya

• Mengubah antarmuka DRAM sehingga lebih efisien dengan menggunakan teknik cache atau pola buffer lainnya pada keping DRAM

• Meningkatkan bandwidth interkoneksi prosesor dan memori dengan penggunakan hierarki bus ? bus yang lebih cepat untuk buffering dan membuat struktur aliran data

Struktur CPU

Komponen Utama CPU

• Arithmetic and Logic Unit (ALU), bertugas membentuk fungsi ? fungsi pengolahan data komputer

• Control Unit, bertugas mengontrol operasi CPU dan secara keseluruhan mengontrol komputer sehingga terjadi sinkronisasi kerja antar komponen dalam menjalankan fungsi ? fungsi operasinya

• Registers, adalah media penyimpan internal CPU yang digunakan saat proses pengolahan data

• CPU Interconnections, adalah sistem koneksi dan bus yang menghubungkan komponen internal CPU, yaitu ALU, unit kontrol dan register ? register dan juga dengan bus ? bus eksternal CPU yang menghubungkan dengan sistem lainnya

Fungsi CPU

• Fungsi CPU adalah penjalankan program ? program yang disimpan dalam memori utama dengan cara mengambil instruksi ? instruksi, menguji instruksi tersebut dan mengeksekusinya satu persatu sesuai alur perintah

• Proses Eksekusi Program adalah dengan mengambil pengolahan instruksi yang terdiri dari dua langkah, yaitu : operasi pembacaan instruksi (fetch) dan operasi pelaksanaan instruksi (execute)

Siklus Fetch-Eksekusi

• CPU awalnya akan membaca instruksi dari memori
• Terdapat register dalam CPU yang berfungsi mengawasi dan menghitung instruksi selanjutnya, yang disebut Program Counter (PC)

• PC akan menambah satu hitungannya setiap kali CPU membaca instruksi

• Instruksi ? instruksi yang dibaca akan dibuat dalam register instruksi (IR)

Aksi-Aksi CPU

• CPU ? Memori, perpindahan data dari CPU ke memori dan sebaliknya

• CPU – I/0, perpindahan data dari CPU ke modul I/0 dan sebaliknya

• Pengolahan Data, CPU membentuk sejumlah operasi aritmatika dan logika terhadap data

• Kontrol, merupakan instruksi untuk pengontrolan fungsi atau kerja. Misalnya instruksi pengubahan urusan eksekusi

Siklus Instruksi

• Instruction Addess Calculation (IAC), yaitu mengkalkulasi atau menentukan alamat instruksi berikutnya yang akan dieksekusi. Biasanya melibatkan penambahan bilangan tetap ke alamat instruksi sebelumnya

• Instruction Fetch (IF), yaitu membaca atau pengambil instruksi dari lokasi memorinya ke CPU

• Instruction Operation Decoding (IOD), yaitu menganalisa instruksi untuk menentukan jenis operasi yang akan dibentuk dan operand yang akan digunakan

• Operand Address Calculation (OAC), yaitu menentukan alamat operand, hal ini dilakukan apabila melibatkan referensi operand pada memori

• Operand Fetch (OF), adalah mengambil operand dari memori atau dari modul 1/0

• Data Operation (DO), yaitu membentuk operasi yang diperintahkan dalam instruksi

• Operand store (OS), yaitu menyimpan hasil eksekusi ke dalam memori

Fungsi Interrupt

• Fungsi interupsi adalah mekanisme penghentian atau pengalihan pengolahan instruksi dalam CPU kepada routine interupsi. Hampir semua modul (memori dan I/0) memiliki mekanisme yang dapat menginterupsi kerja CPU

• Tujuan interupsi secara umum untuk menejemen pengeksekusian routine instruksi agar efektif dan efisien antar CPU dan modul ? modul I/0 maupun memori

• Setiap komponen komputer dapat menjalankan tugasnya secara bersamaan, tetapi kendali terletak pada CPU disamping itu kecepatan eksekusi masing ? masing modul berbeda sehingga dengan adanya fungsi interupsi ini dapat sebagai sinkronisasi kerja antar modul

Sinyal Interupsi

• Program, yaitu interupsi yang dibangkitkan dengan beberapa kondisi yang terjadi pada hasil eksekusi program. Contohnya: arimatika overflow, pembagian nol, oparasi ilegal

• Timer, adalah interupsi yang dibangkitkan pewaktuan dalam prosesor. Sinyal ini memungkinkan sistem operasi menjalankan fungsi tertentu secara reguler

• //0, sinyal interupsi yang dibangkitkan oleh modul I/0 sehubungan pemberitahuan kondisi error dan penyelesaian suatu operasi

• Hardware failure, adalah interupsi yang dibangkitkan oleh kegagalan daya atau kesalahan paritas memori

Mekanisme Interupsi

• Saat suatu modul telah selesai menjalankan tugasnya dan siap menerima tugas berikutnya maka modul ini akan mengirimkan permintaan interupsi ke prosesor

• Prosesor akan menghentikan eksekusi yang dijalankannya untuk menghandel routine interupsi

• Setelah program interupsi selesai maka prosesor akan melanjutkan eksekusi programnya kembali

• Saat sinyal interupsi diterima prosesor ada dua kemungkinan tindakan, yaitu interupsi diterima/ditangguhkan dan interupsi ditolak

Iterupsi Ditangguhkan

• Prosesor menangguhkan eksekusi program yang dijalankan dan menyimpan konteksnya. Tindakan ini adalah menyimpan alamat instruksi berikutnya yang akan dieksekusi dan data lain yang relevan

• Prosesor menyetel program counter (PC) ke alamat awal routine interrupt handler

Iterupsi Ganda

• Menolak atau tidak mengizinkan interupsi lain saat suatu interupsi ditangani prosesor. Kemudian setelah prosesor selesai menangani suatu interupsi maka interupsi lain baru di tangani. Pendekatan ini disebut pengolahan interupsi berurutan / sekuensial

• Prioritas bagi interupsi dan interrupt handler mengizinkan interupsi berprioritas lebih tinggi ditangani terlebih dahulu. Pedekatan ini disebut pengolahan interupsi bersarang

Interupsi Bersarang

• Sistem memiliki tiga perangkat 1/0: printer, disk, dan saluran komunikasi

• Pada awal sistem melakukan pencetakan dengan printer, saat itu terdapat pengiriman data pada saluran komunikasi sehingga modul komunikasi meminta interupsi

• Proses selanjutnya adalah pengalihan eksekusi interupsi mudul komunikasi, sedangkan interupsi printer ditangguhkan

• Saat pengeksekusian modul komunikasi terjadi interupsi disk, namun karena prioritasnya lebih rendah maka interupsi disk ditangguhkan

• Setelah interupsi modul komunikasi selesai akan dilanjutkan interupsi yang memiliki prioritas lebih tinggi, yaitu disk

• Bila interupsi disk selesai dilanjutkan eksekusi interupsi printer

• Selanjutnya dilanjutkan eksekusi program utama

DNS (Domain Name System)

Q : Sebutkan dan jelaskan cara kerja sistem DNS ?

A : Pada Client, program aplikasi misal http, meminta pemetaan IP melalui program resolver, resolver menghubungi DNS server, yang biasa disebut name server.

• Jika sudah ada pada databasenya namseserver, name server mengembalikan IP address ke resolver yang meneruskan ke aplikasi yang membutuhkan IP address.

• Jika permintaan tidak ada pada database name server akan menghubungi root dan yang lain dengan cara sebagai berikut :

Q : Apa kepanjangan dari FQDN  dan jelaskan artinya?

A : FQDN (Fully Qualified Domain Name), merupakan sistem penulisan nama secara absolut dan lengkap misal www.its.ac.id

Q : Apa kepanjangan dari TLD dan apa maksudnya ?

A :  TLD : Top Level Domain. Merupakan domain yang berada di bawahnya root.  Merupakan domain yang paling atas.

Q : Jelaskan beberapa domain yang biasa disebut dengan TLD !

A : TLD Umum : .aero, .arpa, .biz, .com, .coop, .info, .int, .jobs, .museum, .name, .net, .org, .pro, .travel
TLD Amerika Serikat : .edu, .gov, com, .mil
Contoh TLD negara :

AE     Uni Emirat Arab
AF     Afghanistan
BR     Brasil
DE     Jerman
DK     Denmark
DO     Republik Dominika
DZ     Aljazair
ID     Indonesia
MM     Myanmar
PG     Papua Nugini
PH     Filipina
PK     Pakistan

Q :  Sebutkan root name server yang ada di dunia dan berapa nomor IP –nya !

A :

A.ROOT-SERVERS.NET.     (VeriSign, Dulles, VA)         198.41.0.4
B.ROOT-SERVERS.NET.     (ISI, Marina Del Rey CA)         192.228.79.201
C.ROOT-SERVERS.NET.     (Cogent Communications)         192.33.4.12
D.ROOT-SERVERS.NET.     (University of Maryland)        128.8.10.90
E.ROOT-SERVERS.NET.     (Nasa Ames Research Center)    192.203.230.10
F.ROOT-SERVERS.NET.     (Internet Systems Consortium)     192.5.5.241
G.ROOT-SERVERS.NET.     (US Department of Defense)         192.112.36.4
H.ROOT-SERVERS.NET.     (US Army Research Lab)        128.63.2.53
I.ROOT-SERVERS.NET.     (Autonomica/NORDUnet)        192.36.148.17
J.ROOT-SERVERS.NET.     (Verisign, multiple cities)         192.58.128.30
K.ROOT-SERVERS.NET.     (RIPE,Europe multiple cities)     193.0.14.129
L.ROOT-SERVERS.NET.     (IANA, Los Angeles)            198.32.64.12
M.ROOT-SERVERS.NET.     (WIDE, Tokyo, Seoul, Paris)        202.12.27.33

Q : Bagaimana recursive query yang terjadi, jika DNS tidak mengetahui pemetaan IP dari name servernya sampai mendapatkan IP nomor IP ?

A :

Misal tanya nomor IP dari neon.cs.virginia.edu

• Awalnya name server akan menghubungi server root. Dan Server root akan memberikan jawaban no IP server edu.

• Selanjutnya Name server akan bertanya pada server edu ttg IP neon.cs.virginia.edu Dan Server edu akan memberikan jawaban no IP server virginia.edu.

• Selanjutnya name server akan bertanya ke server virginia.edu ttg no IP neon.cs.virginia.edu. Dan server virginia.edu akan memberikan jawaban no IP server cs.virginia.edu

• Selanjutnya name server akan bertanya ke server cs.virginia.edu ttg no IP neon.cs.virginia.edu. Dan cs.virginia.edu akan menjawab no IP neon.cs.virginia.edu.

• Terakhir barulah si client bisa secara langsung menghubungi no IP yang diberikan.

Q : Jelaskan apa yang dimaksud dengan RR pada DNS ?

A : Record database pada Database DNS terdistribusi

Q : Jelaskan apa arti konfigurasi RR dibawah ini :

$TTL 1d
@    IN    SOA    ns1.aksi.co.id.    root.ns1.aksi.co.id.    (
2006100800    ; Serial
28800    ; Refresh
14400    ; Retry
3600000    ; Expire
86400 )    ; Minimum
IN NS    ns1
IN MX      10    ns1
IN A        10.252.20.225

www  IN      CNAME    ns1
mail IN        CNAME ns1

A :

$TTL 1d    >  maksimum umur data dalam cache 1 hari
@    IN    SOA    ns1.aksi.co.id.    root.ns1.aksi.co.id.  > zona authoritativenya aksi.co.id
IN NS    ns1  > nama hostnya ns1
IN MX      10    ns1  >  ns1 berfungsi juga sebagai email server
IN A        10.252.20.225  > No IP server
www  IN      CNAME    ns1 >  nama alias
mail IN        CNAME ns1 >  nama alias

Q : Pada Bind v9, dikenal istilah internal dan eksternal, jelaskan maksud dari istilah diatas ?

A : Supaya name server tidak terlalu sibuk dengan query yang ada. Dibedakan query dari internal dan eksternal. Query untuk domain lokal akan dieksekusi di internal dan duery untuk domain public akan dieksekusi di eksternal

Q  : Jelaskan dengan singkat apa yang disebut dengan virtual domain dan sub domain!

A: Virtual domain : satu IP bisa mempunyai lebih dari satu nama domain, misal admin.com, jarkom.info dan security.com
Sub domain :  satu domain mempunyai beberapa anak domain. Misal : www.eepis-its.edu, mail.eepis-its.edu dan ies.eepis-its.edu

Q : Kapan DNS resolution terjadi ?

A :  DNS resolusi terjadi ketika client query name server untuk mendapatkan no IP. Tapi tidak memberi nomor IP, sehingga perlu mencari ke name server lainnya

DHCP

Q : Jelaskan cara kerja secara lengkap Protocol DHCP mulai dari bagaimana client request sampai mendapatkan IP Address  ?

A : Cara Kerja DHCP

• Ketika DHCP client masuk/bergabung kedalam suatu jaringan, client tesebut akan melakukan broadcast dengan mengirimkan pesan DHCPDISCOVER ke suatu network.

• Seluruh DHCP server akan merespon DHCPDISCOVER yang dikirimkan DHCP client tersebut dengan DHCPOFFER.

• Ketika client mendapatkan DHCPOFFER, client memiliki dua pilihan keputusan yaitu, mengirimkan DHCPREQUEST untuk menerima konfigurasi dari DHCP server

• Ketika DHCP server menerima DHCPREQUEST, DHCP server dapat mengirimkan DHCPACK dengan membawa parameter-parameter konfigurasi untuk client dan memasukkan informasi itu kedalam dhcp.lease database jika DHCP Server menyetujui DHCPREQUEST dari Client atau DHCP Server mengirimkan DHCPNACK ataui dengan tidak merespon pesan DHCPREQUEST jika DHCP Server tidak menyetujuinya

• Jika DHCP client telah selesai atau meninggalkan jaringan tersebut maka DHCP client mengirimkan pesan DHCPRELEASE sebagai tanda bahwa client telah keluar atau tidak menggunakan network address tersebut. Namun tidak semua sistem operasi yang melakukan ini

Q : Sebutkan DHCP Message yang ada pada sistem DHCP beserta artinya?

A :

• DHCPDISCOVER : Client broadcast untuk menemukan server DHCP lokal.

• DHCPOFFER :  Sebagai jawaban DHCPDISCOVER client dan server yang dapat melayani permintaan operasi, mengirim DHCPOFFER pada klien dengan sekumpulan parameter.

• DHCPREQUEST : Sebagai jawaban dari DHCPOFFER server, client  mengirim tawaran DHCPREQUEST ke “pemenang”.

• DHCPACK : Sebagai jawaban dari DHCPREQUEST client

• DHCPNACK : Jika klien meminta (dengan pesan DHCPREQUEST) alamat yang salah, kadaluwarsa, atau yang lainnya yang tidak dapat diterima, maka server mengirim DHCPNAK ke klien untuk memberitahu bahwa ia tidak dapat memperoleh alamat tersebut. ‘NAK” kependekan dari “negative acknowledge”.

• DHCPDECLINE : Jika klien menerima alamat yang diminta, dan secara berturutan menemukan bahwa alamat itu telah digunakan ditempat lain dalam jaringan, ia harus mengirim DHCPDECLINE ke server.

• DHCPRELEASE : Jika klien tidak lagi perlu menggunakan alamat yang ditunjuk secara dinamis, ia harus mengirim pesan DHCPRELEASE ke server supaya server mengetahui bahwa alamat tidak lagi digunakan.

• DHCPINFORM : Jika klien telah mempunyai alamat IP, tetapi masih memerlukan beberapa informasi konfigurasi, maka pesan DHCPINFORM akan melayani tugas ini.

Q : Apa isis yang ada pada dhcp.lease di server?

A : Beriskan tentang data client yang sedang menggunakan IP server

Q : Sebutkan protokol yang digunakan untuk melayani permintaan IP sebelum adanya protokol DHCP.

A :

• RARP , Reverse Address Resolution Protocol

• BOOTP, Bootsrap Protocol

Q : Sebutkan RFC yang digunakan pada protocol DHCP :

A :

• RFC 2131 adalah berisi aturan-aturan atau protocol yang digunakan pada proses DHCP

• Pada RFC 2131 ini dijelaskan bagaimana  dan apa yang dilakukan oleh DHCP server dan DHCP client ketika menggunakan protocol ini

Q: Apa yang disebut dengan DHCP Relay?

A : Suatu cara yang dipakai oleh DHCP yang hanya beroperasi pada satu jaringan untuk bisa melewati beberapa jaringan. Semua Message DHCP selama proses menggunakan sistem broadcast, hal ini membuat Pesan DHCP tidak sampai pada jaringan yang lain, dengan memasang dhcp relay disetiap jaringan yang ada. Maka message DHCP bisa diteruskan diantara jaringan yang ada.

Q :  Jelaskan istilah rebinding dan renewing pada DHCP !

A : Rebinding > Istilah menyewa IP pada DHCP dengan waktu tertentu
Renewing  >  Istilah memperbaharui penyewaan IP pada DHCP Server, dalam aturannya client harus memperbaharui waktu sewa setiap ½ waktu rebinding. Bila Rebinding dianggap T1 dan Renewing T2 maka T2 = ½ T1

Q : Jelaskan apa kepanjangan dari DDNS dan jelaskan maksudnya!

A :  DDNS : Dynamic Domain Name System
Suatu cara melakukan update DNS server tanpa harus melakukan restart terhadap konfigrasi DNS kita. Pada waktu konfigurasi DNS harus ada cara untuk mengupdate, Pada waktu suatu host hidup kita bisa menyediakan address via DHCP, kemudian DHCP meminta DNS untuk merubah record A dan PTR sesuai kebutuhan. Kolaborasi antara DNS dan DHCP. Membutuhkan bind9 dan DHCP3 yang Konfigurasi file utama berada pada  dhcpd.conf dan named.conf

Proxy

Q : Jelaskan apa yang disebut dengan transparan proxy ?

A : Suatu proxy yang onfigurasi agar berjalan secara benar-benar transparan terhadap pengguna (transparent proxy), dimana pengguna tidak perlu melakukan setting pada komputernya. Transparent Proxy memerlukan bantuan dan konfigurasi aplikasi firewall (yang bekerja pada layer network) untuk bisa membuat transparent proxy yang bekerja pada layer aplikasi

Q :  Sebutkan tiga fungsi proxy ?

A :

Connection Sharing
Pada proxy pengguna tidak langsung berhubungan dengan jaringan luar atau internet, tetapi harus melewati suatu gateway, yang bertindak sebagai batas antara jaringan lokal dan jaringan luar, koneksi dari jaringan lokal ke internet akan menggunakan sambungan yang dimiliki oleh gateway secara bersama-sama (connection sharing). Dalam hal ini, gateway adalah juga sebagai proxy server, karena menyediakan layanan sebagai  perantara antara jaringan lokal dan jaringan luar atau internet

Filtering
Proxy bisa berfungsi melakukan filtering atas paket yang lewat dari dan ke jaringan-jaringan yang dihubungkan. Proxy dapat dikonfigurasi untuk menolak akses ke situs web tertentu pada waktu-waktu tertentu. Dan dapat dikonfigurasi untuk hanya memperbolehkan download FTP dan tidak memperbolehkan upload FTP, hanya memperbolehkan pengguna tertentu yang bisa memainkan file-file RealAudio, mencegah akses ke email server sebelum tanggal tertentu, dll

Caching

Proxy server memiliki mekanisme penyimpanan obyek-obyek yang sudah pernah diminta dari server-server di internet, Proxy server yang melakukan proses diatas biasa disebut cache server. Mekanisme caching akan menyimpan obyek-obyek yang merupakan hasil permintaan dari dari para pengguna, yang didapat dari internet dan sisimpan dalam ruang disk yang disediakan (cache).

Q : Sebutkan dua jenis metode caching yang ada pada proxy ?

A :

Pasif
Pemeriksaan validasi expired cache dilakukan setelah ada permintaan dari client
Aktif
Pemeriksaan cache server dilakukan secara otomatis dengan cara mengamati object dan pola perubahannya. Misalkan pada sebuah object didapati setiap harinya berubah setiap jam 12 siang dan pengguna biasanya membacanya jam 14, maka cache server tanpa diminta klien akan memperbaharui object tersebut antara jam 12 dan 14 siang, dengan cara update otomatis ini waktu yang dibutuhkan pengguna untuk mendapatkan object yang fresh akan semakin sedikit.

Q : Bagaimana cara kerja proxy server ?

A : Proxy server bekerja ditengah-tengah antara jaringan dalam dan jaringan luar, berfungsi memotong hubungan langsung antara pengguna dan layanan yang diakases. Dengan cara mengubah alamat IP, membuat pemetaan dari alamat IP jaringan lokal ke suatu alamat IP proxy, yang digunakan untuk jaringan luar atau internet. Pada prinsipnya hanya alamat IP proxy tersebut yang akan diketahui secara umum di internet, Berfungsi sebagai network address translator

Q :  Jelaskan beberapa cara untuk melakukan authentikasi pada squid proxy server !

A : NCSA_Auth,  MySQL_Auth,  LDAP,  PAM, YP, menggunakan NIS , Database

Q : Jelaskan cara konfigurasi pada iptables supaya proxy server bisa bekerja sebagai transparent proxy !

A :  Misal squid berada pada IP 192.168.1.1 dan port 3128, maka rule iptables sbb :

• iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to 192.168.1.1:3128

• iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128

Web Server

Q : Sebutkan secara lengkap komponen dari web system dan keterkaitan antar komponen serta cara kerja komponen tersebut.?

A :  Komponen web system :

• Web Client > Peminta reqest

• Web Server > Request akan dilayani oleh web server dan akan diteruskan ke aplikasi yang sesuai

• Web Application  > Jika permintaan membutuhkan aplikasi tertentu, web server akan meneruskan ke aplikasi yang sesuai. Aplikasi akan memproses permintaan tadi. Aplikasi ini biasa disebut web application. Hasil akan dikirimkan kembali ke web server untuk dikembalikan ke client

• Database > Jika permintaan client berisi data dinamis biasanya web application akan mengakses ke database yang tersedia

Q :  Apa beda web server dan web application

A :

• Web Application tidak bisa jalan tanpa Web Server

• Web Server bisa bekerja tanpa Web Application (Tapi hanya bisa melayani web dengan content statis)

Q :     Jelaskan apa yang disebut dengan Virtual User ?

A : Suatu teknik pada web server dimana user yang ada pada server web akan bisa diaktifkan pula sebagai user web yang mempunyai web sendiri-sendiri. Yang berada pada url http://namadomain/~namauser
Pada configurasi apache debgan mengaktifkan baris userdir

Q : Jelaskan apa yang disebut dengan Virtual Host ?

A: Suatu teknik yang dipakai di web server, yang memungkinkan server web mempunyai nama lebih dari satu. Biasanya ada dua jenis virtual host yaitu :

• name base >  lebih dari satu web pada 1 IP

• ip base > satu IP mempunyai satu nama web

Q :  Sebutkan dan jelaskan jenis-jenis virtual host dan bagaimana cara konfigurasi pada apache ?

A :

• a.    name base > lebih dari satu web pada 1 IP

• b.    ip base > satu IP mempunyai satu nama web

Samba

Q :  Apa kegunaan samba  dalam jaringan komputer?

A : Membantu windows dan Unix computer co-exists dalam suatu network

• Client unix/Linux bisa mengakses file system windows

• Client windows bisa mengakses file system Linux

• Mengintegrasikan authentikasi antara linux dan Windows

Q : Secara default apa nama file konfigurasi samba dan dimana letaknya

A : Konfigurasi samba terletak di /etc/samba/smb.conf

Q : Apa yang perlu ditambahkan pada file konfigurasi supaya file yang kita share bersifat read only
A:

• read only = yes

• Writable = no

Q : Apa yang perlu ditambahkan pada file konfigurasi supaya network 92.168.220.0/24 dan 134.213.233.0/24 diperbolehkan akses ke samba kita dan no ip 192.168.220.102 ditolak hak aksesnya di samba

A:  hosts allow = 192.168.220. 134.213.233.

hosts deny = 192.168.220.102

]]> http://lintoherlambang.com/tutorial-admin-jaringan-faq.html/feed 0 http://lintoherlambang.com/tutorial-wireless-lan-faq.html http://lintoherlambang.com/tutorial-wireless-lan-faq.html#comments Wed, 29 Apr 2009 02:13:00 +0000 lintohbc http://lintoherlambang.com/?p=191 By Moch. Linto Herlambang Referensi www.lintoherlambang.com, www.eepis-its.edu

Berikut adalah beberapa pertanyaan yang sering ditanyakan dalam hal Wireless LAN . Q=Question(pertanyaan), A=Answer(Jawaban).

Q : Apa perbedaan sistem wireless dan kabel ?

A :

• Sistem Wireless

Tidak memerlukan kabel UTP, RJ 45
Host bisa berpindah tempat dengan mudah
Mudah dalam penambahan koneksi client
Kecepatan hardware max 54 Mbps
Setiap client membutuhkan card wireless network
Keamanan minim

• Sistem Kabel

Memerlukan kabel UTP, RJ45
Host tidak sembarangan pindah tempat
Perluasan koneksi client bisa menjadi masalah
Kecepatan lebih stabil max 100 Mbps
Setiap client membutuhkan card network
Keamanan baik

Q : Sebutkan pada frekuensi berapa saja sistem wireless dapat dibangun !

A :

• Frekwensi 2.4 GHz menggunakan standart 802.11, 802.11 b dan 802.11 g

• Frekwensi 5 GHz menggunakan standart 802.11 a

Q  : Sebutkan macam peralatan wireless ?

A : Client devices : usb, pci, Access Point, Antena.

Q : Jelaskan mode koneksi ad-hoc dan infrastruktur !

A : Koneksi ad-hoc (Koneksi antar client tanpa menggunakan Access Point)

Koneksi infrastructure (Koneksi antar client dengan menggunakan Access Point yang berfungsi sebagai media penghubung )

Q : Sebutkan fitur apa saja yang dalam Access Point !

A : Jenis koneksi (ad-hoc dan infrastructure), WEP,WPA,SSEID, MAC Authentifikasi.

Q : Sebutkan sifat RF (Radio Frekwensi) !

A : Reflection, Refraction, Diffraction, Scattering, Absorption.

Q : Sebutkan 2 teknologi spread spectrum yang digunakan oleh wireless !

A : Frequency Hopping Spread Spectrum, Direct Sequence Spread Spectrum.

Q : Sebutkan jenis antena berdasarkan bentuk pancaran !

A : Omni-directional, Semi-directional, Highly-directional,

Q : Sebutkan cara mengamankan koneksi wireless !

A : Tidak membroadcast SSID, Menggunakan fasilitas WEP agar data terenkripsi, Mendata semua mac address client yang diijinkan.

Q : Sebutkan beberapa tindak kejahatan yang ada di dunia wireless?

A : Passive attack, Active attack, Jamming attack, Man-in-the-middle attack.

Q: Sebutkan  standart khusus  Wireless LAN  ?

A:

• EEE 802.11 – original standart wireless LAN yang mengatakan rate transfer data yang terlambat dalam RF dan teknologi transmisi light-based

• IEEE 802.11 b – menjelaskan beberapa transfer data yang lebih cepat dan batasan ruang dari teknologi transmisi. Standart ini juga diperlebar dengan dipromosikannya Wi-Fi TM  oleh WECA (Wireless Ethernet Compatibility Alliance)

• IEEE 802.11 a – menjelaskan beberapa transfer data yang lebih cepat (tapi kekurangan  tidak kompatibel dengan sebelumnya) yaitu IEEE 802.11 b dan menggunakan frekuensi 5 GHz UNII

• IEEE 802.11 g – draft yang paling banyak digunakan berdasarkan standart 802.11 yang menjelaskan rate transfer data secepat 802.11 a dan membuat kompatibilitas dengan 802.11 b dan membuat upgrade menjadi tidak mahal.

Kemunculan teknologi akan memerlukan standart yang menjelaskan dan menerangkan karakteristik alat. Perubahan dari pabrik dan pembuat standart seperti akan membawa resource mereka akan melahirkan masalah terhadap interoperability dan kompatibiliti

Q : Sebutkan Aplikasi – aplikasi Wireless LAN?

A:   Access Role,  Network Ekstension,  Building to building connectivity,   Last Mile Data Delivery,  Mobility, Small Office Home Office, Mobile Office.

]]> http://lintoherlambang.com/tutorial-wireless-lan-faq.html/feed 0 http://lintoherlambang.com/tutorial-faq-e-mail-server.html http://lintoherlambang.com/tutorial-faq-e-mail-server.html#comments Wed, 29 Apr 2009 01:45:06 +0000 lintohbc http://lintoherlambang.com/?p=186 By Moch. Linto Herlambang Referensi www.lintoherlambang.com, www.eepis-its.edu

Berikut adalah beberapa pertanyaan yang sering ditanyakan dalam hal e-mail server. Q=Question(pertanyaan), A=Answer(Jawaban).

Q :  Apa fungsi/kegunaan dari Mail Server ?

A :  Memberi layanan/aplikasi pengiriman email

Q : Apa program RPM yang dibutuhkan untuk menginstall dan mengkonfigurasi Mail server ?

A :  Sendmail*.rpm

Q  :  Sebutkan macam-macam Mail Server?

A : Sendmail, Postfix, Exim, Qmail

Q : Berikan penjelasan beberapa Mail Server?

A :

Sendmail
Sendmail merupakan MTA yang paling tua di Internet yang dibuat oleh Eric Allman. Pada saat ini, hampir semua distribusi Linux dan BSD menggunakan sendmail sebagai MTA standarnya. Dengan semakin berkembangnya internet dan perusahaan-perusahaan didunia, sendmail merupakan pilihan banyak perusahaan di dunia seperti SUN dan IBM. Sampai sekarang pun masih banyak perusahan yang masih menggunakan sendmail sebagai MTA nya. Tapi hal ini bukan menunjukkan bahwa sendmail belum tentu merupakan software MTA yang cocok buat perusahaan anda. Sendmail menggunakan bahasa makro dengan m4 sebagai kompilernya, dengan tingkat pemahaman yang lebih sulit serta syntax bahasanya juga relatif susah. Meskipun demikian sendmail juga menyediakan file-file contoh konfigurasi dengan keterangan dan dokumentasi yang lengkap sehingga mudah digunakan dalam beberapa kondisi tertentu. Sendmail versi unix merupakan opensource software.
Sendmail menerapkan fasilitas standar internet mail routing seperti aliasing, forwarding, routing otomatis melalui sebuah network gateway dan konfigurasi yang fleksibel. Selain SMTP, protokol lain yang didukung oleh sendmail adalah UUCP dan X.400, sehingga memungkinkan pengalamatan yang unix seperti user@domain atau seperti pengalamatan UUCP misalnya host!user. Format email yang bisa diteruskan oleh sendmail adalah text format saja, jika ada file binary yang disertakan maka digunakan uuencode. Sendmail juga mendukung fasilitas anti SPAM maupun filter terhadap virus, serta beberapa fitur kemanan, misalnya kemampuan untuk menolak email jika sender domain tidak valid.

Fitur menarik lain yang ditawarkan adalah kemampuan untuk menolak suatu email berdasarkan ukuran header dari sebuah email. Hal ini untuk mencegah para spammer untuk meneruskan email dengan header yang terlalu banyak atau terlalu panjang. Pada versi komersial (sendmail pro) beberapa fitur security ditambahkan untuk menghindari SPAM yang masuk ke mail server diantaranya adalah, access database yang memungkinkan pembatasan email berdasarkan pengirim, domain ataupun alamat IP, MAPS RBL (Mail Abuse Prevention System Real Time Blackhole List) yaitu database mail server yang open relay, serta beberapa fungsi tambahan misalnya volume limit (pembatasan total dari jumlah atau ukuran email) dan ukuran sebuah email.

Qmail
Qmail adalah sebuah software MTA yang dibuat oleh Dan Bernstein, yang ditujukan sebagai pengganti sendmail yang telah mendominasi disetiap sistem operasi UNIX. Software ini menggunakan protokol SMTP untuk mengirimkan email ke MTA / server yang lain. Qmail menawarkan 4 kelebihan dibandingkan dengan sendmail yaitu : kemanan (security), performa (performance), keandalan (reliability), dan kemudahan (simplicity). Performa pengiriman email di qmail ditingkatkan menjadi 20 koneksi secara bersama-sama (simultan) serta untuk keandalan juga ditingkatkan, sehingga email yang diteriman akan dijamin menuju ke alamat yang sesuai.
Qmail relatif lebih aman dibandingkan sendmail, karena untuk melayani proses atau tugas, qmail menggunakan sistem modular, dimana setiap proses akan dilayani (dihandle) oleh modul yang terpisah dengan modul yang lain. Setiap modul berjalan dengan tingkat kemanan (security level) yang berbeda yang tidak berhubungan dengan modul yang lain untuk memastikan sistem email bekerja secara benar. Hal ini diharapkan untuk mencegah kemungkinan pengambil-alihan (take over) suatu sistem qmail secara keseluruhan. Karena setiap modul menggunakan tingkat kemanan yang berbeda, maka suatu kode yang mencurigakan (malicious code) hanya bisa mengambil alih suatu modul tanpa mengganggu modul yang lain.
Modul ucspi-tcp merupakan modul yang mengontrol relay dengan metode selektif relay yang bertujuan untuk mencegah SPAM dan penyalahgunaan SMTP. Dalam hal pengaturan struktur queue, qmail menggunakan skema quadratic back-off scheme. Dengan skema ini email yang lama dan menumpuk di antrian queue tidak akan berdiam lebih lama dalam direktori queue. Sedangkan dengan metode split direktori pada queue qmail, jika direktori ini membengkak menjadi besar, performancenya tidak akan turun.
Meskipun qmail dianggap sebagai suatu software yang simple, tapi untuk pemula pasti akan mengalamai kesulitan dalam hal mengkonfigurasi qmail. Karena menggunakan sistem modul yang terpisah, dan walaupun setiap modul merupakan suatu modul yang simpel, namun interaksi antar modul merupakan suatu hal yang komplek, rumit dan terkoordinasi dengan baik.

Mercury Mail Transport System
Mercury Mail Transport System dari Pegasus Mail merupakan MTA yang gratis untuk sistem operasi Novell dan Microsoft Windows. Mercury/32, versi yang digunakan dalam sistem operasi Windows hanya membutuhkan 1,5 MB ruangan disk dan sekitar 3MB memori maksimal supaya bisa beroperasi dan bekerja dengan baik. Mercury/32 mempunyai beberapa fitur, seperti integrasi dengan jaringan Novell dan mendukung protokol email yang ada saat ini. Selain itu, versi ini juga kaya akan dukungan terhadap mailing-list dan metode pengiriman surat ke banyak alamat email (mass mailing), termasuk notice board, automatic list subscription and unsubscription, pengiriman file dengan email, pencarian daftar alamat, dan pengoperasian mailing list secara remote. Karena Mercury/32 sangat kecil ukurannya, maka pada versi standar beberapa fitur standar dari sebuah email server tidak disertakan. Dalam hal ini seorang administrator email harus menggunakan software dari pihak ketiga (third-party software), yang bisa dibuat untuk menambahkan fitur maupun automasi terhadap proses kelangsungan mail server.
Salah satu kekurangan Mercury/32 pada WindowsNT/W2K adalah tidak mendukung sebagai aplikasi email server tersebut kedalam integrasi sebagai NT service. Pembuatnya (developernya) menganjurkan untuk menggunakan utility SRVANY dari NT Resource Kit. Meskipun utiliti ini sangat berguna, namun tetap saja merupakan salah satu kekurangan Mercury/32 sebagai sebuah mail server yang berdiri independen.
Dalam hal keamanan (security), Mercury/32 menggunakan model kontrol berdasarkan komputer (machine) dan pengguna (users) untuk mengontrol semua servis atau modul-modul di server. Seorang administrator juga memungkinkan mengeblok alamat email yang diketahui mengirimkan SPAM atau alamat email yang tidak diinginkan oleh user. Mercury/32 juga cocok bagi para pemakai internet dengan menggunakan dial-up sebagai koneksinya. Pengaturan penjadwalan (scheduling manager) memungkinkan seorang administrator untuk mengontrol waktu koneksi serta penggunaan koneksi dial-up.
Microsoft Exchange Server
Microsoft Exchange server adalah sebuah MTA sekaligus sebuah groupware yang dibuat oleh perusahaan Microsoft Corporation. Pada Microsoft Exchange Server 2002 ada 3 tujuan utama dalam hal fitur yang ditawarkan, yaitu :Kendalan (reliability), skalabilitas (scalable) dan pengaturan (manageable)

• Integrasi yang menyeluruh dalam proses bisnis dengan menggunakan sistem berbasis web (web based interface)

• Akses terhadap semua fasilitas Exchange dimanapun dan kapanpun

Dalam rilis versi ini, microsoft telah menambahkan bebera macam teknologi, seperti dukungan terhadap XML serta hubungan OLE DB dan ActiveX Data Objects (ADOs). Seperti diketahui OLE DB biasanya digunakan dalam membangun sebuah sistem aplikasi SQL Server, sedangkan ADO digunakan untuk mengakses kontrol data pada ODBC atau OLE-DB database. Disamping itu Microsoft juga menambahkan dukungan terhadap standar T.20 untuk kerja sama secara nyata (real-time collaboration) yang memungkinkan penggunaan konferensi data (data conferencing) dan penggunaan aplikasi secara bersama-sama (application sharing).
Mdaemon
Mdaemon merupakan sebuah MTA yang terdiri dari 2 buah versi, yaitu versi Standar dan Pro. Versi standar mendukung aplikasi standar sebuah email server, sedangkan versi professional menawarkan fungsi server email standar serta beberapa fitur tambahan seperti dukungan terhadap banyak domain (multi domains) dalam satu buah server dan IMAP yang sangat sesuai untuk sebuah ISP maupun perusahaan pada tingkat enterprise.
Pada kenyataannya development dari software ini adalah berdasarkan permintaan dari pengguna (user), jadi kebanyakan fungsi standar sudah cukup untuk melayani suatu sistem email. Untuk mengkonfigurasi server dapat dilakukan secara lokal dengan menggunakan tampilan grafis, atau menggunakan remote acces dengan MDConfig atau Webconfig. Pada saat instalasi, biasanya ditentukan pula fitur-fitur tambahan, seperti auto-responder, forwarding, server-side mail filtering, threading options, dukungan terhadap LDAP, anti SPAM , ATRN, extensive alias options, dukungan terhadap SMS gateway, dan lain-lainnya. MDaemon juga menyertakan fungsi mailing-list yang mempunyai fitur banyak. Sedangkan batasan pada penggunaan jumlah user di MDaemon adalah 50.000 user. Pada kedua versi tersebut diatas, disertakan pula email yang berbasiskan web (web based email) yaitu, WorldClient, yang memungkinkan pengguna dapat mengkases emailnya dari manapun dan kapanpun. MDaemon didesain untuk dijalankan pada semua sistem operasi Windows (kecuali versi 3.1), tapi tidak untuk Unix dan Mac. Hardware minimal yang dibutuhkan adalah mesin 486 dengan 16 MB memori RAM, tapi untuk hasil yang baik dan signifikan diperlukan hardware yang lebih dari itu.

Q : Sebutkan kata kunci yang berkaitan dengan Mail Server?

A : SMTP, POP3, IMAP, Maildir, Mailbox , Relay, dll.

Q : Sebutkan langkah-langkah installasi MTA lain dalam hal ini Postfix?

A :

Jika Menggunakan Distro Debian

# apt-get install postfix

Jika menggunakan distro yang lain gunakan :

• Download file postfix-2.0.6.tar.gz

• Ekstrak file postfix

# tar –xzvf postfix-2.0.6.tar.gz

• Lakukan patching kemudian compile tersebut

# patch –l < ../postfix-2.0.6.patch

# make

# make install

Q : Sebutkan letak serta nama file konfigurasi dari Postfix dan sebutkan fitur yang terkandung  didalamnya !

A : File konfigurasi dari Postfix adalah : /etc/postfix/main.cf,  Fitur yang terkandung didalamnya :myhostname, mydestination,   mynetworks, alias_maps, alias_database, home_mailbox.

Q : Sebutkan arti dari virtual user dan virtual domain !

A : Virtual user  ~ user yang digunakan dalam alamat email tetapi tidak terdapat dalam sistem artinya user tersebut hanya dapat digunakan untuk mengirim email tetapi tidak bisa digunakan untuk login sistem.
Virtual domain – domain samaran yang hanya digunakan untuk domain mail server dan tidak terdapat dalam daftar DNS

Q : Tunjukkan bagaimana pembuatan virtual user dan virtual host?

A :

• Buat user virtual -> # adduser virtual

• Buat direktori virtual di /etc/postfix

• Buat 2 file : /etc/postfix/virtual/domains dan  hash:/etc/postfix/virtual/addresses

• Edit file /etc/postfix/main.cf

mydestination = training.com,/etc/postfix/virtual/domains
virtual_maps = hash:/etc/postfix/virtual/addresses

• Contoh isi file /etc/postfix/virtual/domains

training.net
training.org

• Contoh Isi file /etc/postfix/virtual/addresses

training.net            DOMAIN
agus@training.net       agus
budi@training.net       budi
hero@training.net       budi

training.org            DOMAIN
agus@training.org       agus
budi@training.org       budi

Q : Sebutkan aplikasi mailing list yang ada?

A : Mailman, Mailman.

]]> http://lintoherlambang.com/tutorial-faq-e-mail-server.html/feed 1 http://lintoherlambang.com/tutorial-perintah-networking-jaringan.html http://lintoherlambang.com/tutorial-perintah-networking-jaringan.html#comments Wed, 29 Apr 2009 01:11:05 +0000 lintohbc http://lintoherlambang.com/?p=178 By Moch. Linto Herlambang Referensi www.lintoherlambang.com, www.eepis-its.edu

berikut perintah wajib yang harus diketahui oleh Administrator Jaringan, dalam contoh di bawah ini menggunakan Linux, untuk mempraktekkan ketikkan pada konsole Linux.

lspci

lscpi adalah sebuah utility untuk menampilkan informasi semua tentang PCI didalam system dan semua device yang terhubung kepadanya.

Penggunaan lspci ditambah dengan option sebagai berikut :

-v Be verbose

-n Show numeric ID’s

-b Bus-centric view (PCI addresses and IRQ’s instead of those seen by the CPU)

-x Show hex-dump of the standard portion of config space

-xxx Show hex-dump of the whole config space (dangerous; root only)

-s [[<bus>]:][<slot>][.[<func>]] Show only devices in selected slots

-d [<vendor>]:[<device>] Show only selected devices

-t Show bus tree

-X Show in format suitable for use in XFree86Config

-m Produce machine-readable output

-i <file> Use specified ID database instead of /usr/share/misc/pci.ids

-M Enable `bus mapping’ mode (dangerous; root only)

-P <dir> Use specified directory instead of /proc/bus/pci

-H <mode> Use direct hardware access (<mode> = 1 or 2)

-F <file> Read configuration data from given file

-G Enable PCI access debugging

mii-tool

mii-tool berguna  untuk melihat, memanipulasi status interface media-independent. Tool ini juga berguna untuk memeriksa status dari interface network / Media Independent Interface (MII). Kebanyakan adapter Ethernet menggunakan MII untuk autonegotiate link speed dan setting duplex

Option dari mii-tool adalah sebagai berikut :
usage: mii-tool [-VvRrwl] [-A media,... | -F media] [interface ...]
-V, –version               display version information
-v, –verbose                   more verbose output
-R, –reset                  reset MII to poweron state
-r, –restart                   restart autonegotiation
-w, –watch                     monitor for link status changes
-l, –log                       with -w, write events to syslog
-A, –advertise=media,…  advertise only specified media
-F, –force=media               force specified media technology

media: 100baseT4, 100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD,
(to advertise both HD and FD) 100baseTx, 10baseT

arp

Secara internal ARP melakukan resolusi address dan ARP berhubungan langsung dengan Data Link Layer. ARP mengolah sebuah tabel yang berisi IP-address dan Ethernet Card. Dan tabel ini diisi setelah ARP melakukan request (broadcast) ke seluruh jaringan.
Option dari arp :
-a                       display (all) hosts in alternative (BSD) style
-s, –set                set a new ARP entry
-d, –delete             delete a specified entry
-v, –verbose            be verbose
-n, –numeric            don’t resolve names
-i, –device             specify network interface (e.g. eth0)
-D, –use-device         read <hwaddr> from given device
-A, -p, –protocol       specify protocol family
-f, –file               read new entries from file or from /etc/ethers

ifconfig

Tool  ini digunakan untuk mengkonfigurasikan network interface. Dulu digunakan pada saat boot untuk mensetting interface jika diperlukan setelah itu biasanya hanya digunakan ketika debugging atau ketika system membutuhkannya. Jika tidak ada argumen maka ifconfig akan menampilkan status pada interface yang aktif saat itu.

Option dari ifconfig :
ifconfig [-a] [-v] [-s] <interface> [[<AF>] <address>]
[add <address>[/<prefixlen>]]
[del <address>[/<prefixlen>]]
[[-]broadcast [<address>]]  [[-]pointopoint [<address>]]
[netmask <address>]  [dstaddr <address>]  [tunnel <address>]
[outfill <NN>] [keepalive <NN>]
[hw <HW> <address>]  [metric <NN>]  [mtu <NN>]
[[-]trailers]  [[-]arp]  [[-]allmulti]
[multicast]  [[-]promisc]
[mem_start <NN>]  [io_addr <NN>]  [irq <NN>]  [media <type>]
[txqueuelen <NN>]
[[-]dynamic]
[up|down] …

route

Tool ini digunakan untuk mengatur routing static untuk menjelaskan host atau network melalui interface setelah dikonfigurasi dengan ifconfig. Ketika add dan del digunakan, route memodifikasi table routing. Tanpa option, route akan menampilkan isi dari table routing pada saat itu

Penggunaan route sebagai berikut :
route [-CFvnee]

route  [-v]  [-A  family] add [-net|-host] target [netmask Nm] [gw Gw] [metric N] [mss M]
[window W] [irtt I] [reject] [mod] [dyn] [reinstate] [[dev] If]

route  [-v] [-A family] del [-net|-host] target [gw Gw] [netmask Nm]  [metric  N]
[[dev]  If]

route  [-V] [--version] [-h] [--help]

ping

Ping menggunakan protocol ICMP mandatory ECHO_REQUEST datagram untuk mendapatkan ICMP ECHO_RESPONSE dari host atau gateway. Datagram ECHO_REQUEST mempunyai IP dan ICMP header.

Option dari ping sebagai berikut :
ping  [ -LRUbdfnqrvVaAB]  [ -c count]  [ -i interval]  [ -l preload]  [ -p pattern]  [ -s
packetsize]  [ -t ttl]  [ -w deadline]  [ -F flowlabel]  [ -I interface]  [ -M  hint]   [
-Q tos]  [ -S sndbuf]  [ -T timestamp option]  [ -W timeout]  [ hop ...]  destination

traceroute

Tool yang digunakan untuk memerika jalur paket mencapai host dalam suatu jaringan. Internet adalah sangat besar dan komplek dimana banyak hardware terkoneksi bersama melalui sebuah gateway.

Option dalam traceroute :
traceroute [ -dFIlnrvx ] [ -f first_ttl ] [ -g gateway ]
[ -i iface ] [ -m max_ttl ] [ -p port ]
[ -q nqueries ] [ -s src_addr ] [ -t tos ]
[ -w waittime ] [ -z pausemsecs ]
host [ packetlen ]

Contoh dari traceroute
[yak 71]% traceroute nis.nsf.net.
traceroute to nis.nsf.net (35.1.1.48), 30 hops max, 38 byte packet
1  helios.ee.lbl.gov (128.3.112.1)  19 ms  19 ms  0 ms
2  lilac-dmc.Berkeley.EDU (128.32.216.1)  39 ms  39 ms  19 ms
3  lilac-dmc.Berkeley.EDU (128.32.216.1)  39 ms  39 ms  19 ms
4  ccngw-ner-cc.Berkeley.EDU (128.32.136.23)  39 ms  40 ms  39 ms
5  ccn-nerif22.Berkeley.EDU (128.32.168.22)  39 ms  39 ms  39 ms
6  128.32.197.4 (128.32.197.4)  40 ms  59 ms  59 ms
7  131.119.2.5 (131.119.2.5)  59 ms  59 ms  59 ms
8  129.140.70.13 (129.140.70.13)  99 ms  99 ms  80 ms
9  129.140.71.6 (129.140.71.6)  139 ms  239 ms  319 ms
10  129.140.81.7 (129.140.81.7)  220 ms  199 ms  199 ms
11  nic.merit.edu (35.1.1.48)  239 ms  239 ms  239 ms

mtr

Tool yang digunakan untuk memeriksa/ mendiagnosa network. Mtr mengkombinasikan fungsi dari traceroute dan ping dalam sebuah tool tunggal dalam sebuah jaringan sederhana. Mtr mulai dengan menginvestigasi koneksi host-host dalam jaringan dengan cara mengirimkan paket dengan fungsi TTLs rendah.

Opsi dari mtr sebagai berikut :
mtr  [-hvrctglsni]  [--help]  [--version]  [--report]  [--report-cycles COUNT] [--curses]
[--split]  [--raw]  [--no-dns]  [--gtk]   [--address IP.ADD.RE.SS]   [--interval SECONDS]
[--psize BYTES | -p BYTES] HOSTNAME [PACKETSIZE]

netstat

Tool ini dapat mencetak koneksi jaringan, routing table, statistic interface, koneksi masquerade dan anggota multicast.

Opsi dari netstat sebagai berikut :

netstat  [address_family_options]  [--tcp|-t]  [--udp|-u]   [--raw|-w]   [--listening|-l]
[--all|-a]  [--numeric|-n]  [--numeric-hosts] [--numeric-ports] [--numeric-users] [--sym-
bolic|-N] [--extend|-e[--extend|-e]] [--timers|-o] [--program|-p] [--verbose|-v]  [--con-
tinuous|-c]

netstat  {–route|-r}  [address_family_options] [--extend|-e[--extend|-e]] [--verbose|-v]
[--numeric|-n] [--numeric-hosts] [--numeric-ports] [--numeric-users] [--continuous|-c]

netstat {–interfaces|-i} [--all|-a]  [--extend|-e[--extend|-e]]  [--verbose|-v]  [--pro-
gram|-p] [--numeric|-n] [--numeric-hosts] [--numeric-ports] [--numeric-users] [--continu-
ous|-c]

netstat  {–groups|-g}  [--numeric|-n]  [--numeric-hosts]  [--numeric-ports]  [--numeric-
users] [--continuous|-c]

netstat  {–masquerade|-M}  [--extend|-e]  [--numeric|-n]  [--numeric-hosts]  [--numeric-
ports] [--numeric-users] [--continuous|-c]

]]> http://lintoherlambang.com/tutorial-perintah-networking-jaringan.html/feed 0 http://lintoherlambang.com/arsitektur-aplikasi-client-server.html http://lintoherlambang.com/arsitektur-aplikasi-client-server.html#comments Wed, 29 Apr 2009 00:34:21 +0000 lintohbc http://lintoherlambang.com/?p=167 By Moch. Linto Herlambang Referensi www.lintoherlambang.com, www.amikom.ac.id

A. Teori Singkat

Istilah arsitektur mengacu pada desain sebuah aplikasi, atau dimana komponen yang membentuk suatu sistem ditempatkan dan bagaimana mereka berkomunikasi. Arsitektur terdistribusi – sebuah istilah yang relatif baru untuk menjelaskan arsitektur aplikasi – berarti bahwa pemrosesan dari suatu aplikasi terjadi pada lebih dari satu mesin.

Terdapat beberapa macam arsitektur aplikasi, yaitu :

1. Standalone (one-tier)

Pada arsitektur ini semua pemrosesan dilakukan pada mainframe. Kode aplikasi, data dan semua komponen sistem ditempatkan dan dijalankan pada host. Seperti terlihat pada gambar 1.1.

Walaupun komputer client dipakai untuk mengakses mainframe, tidak ada pemrosesan yang terjadi pada mesin ini, dan karena mereka “dump-client” atau “dump-terminal”. Tipe model ini, dimana semua pemrosesan terjadi secara terpusat, dikenal sebagai berbasis-host. Sekilas dapat dilihat kesalahan pada model ini. Ada dua masalah pada komputasi berbasis host: Pertama, semua pemrosesan terjadi pada sebuah mesin tunggal, sehingga semakin banyak user yang mengakses host, semakin kewalahan jadinya. Jika sebuah perusahaan memiliki beberapa kantor pusat, user yang dapat mengakses mainframe adalah yang berlokasi pada tempat itu, membiarkan kantor lain tanpa akses ke aplikasi yang ada.

Pada saat itu jaringan sudah ada namun masih dalam tahap bayi, dan umumnya digunakan untuk menghubungkan terminal dump dan mainframe. Internet baru saja dikembangkan oleh pemerintah US dan pada saat itu dikenal sebagai ARPANET. Namun keterbatasan yang dikenakan pada user mainframe dan jaringan telah mulai dihapus.

2. Client/Server (two-tier)

Dalam model client/server, pemrosesan pada sebuah aplikasi terjadi pada client dan server. Client/server adalah tipikal sebuah aplikasi two-tier dengan banyak client dan sebuah server yang dihubungkan melalui sebuah jaringan, seperti terlihat dalam gambar 1.2. Aplikasi ditempatkan pada komputer client dan mesin database dijalankan pada server jarak-jauh. Aplikasi client mengeluarkan permintaan ke database yang mengirimkan kembali data ke client-nya.

Dalam client/server, client-client yang cerdas bertanggung jawab untuk bagian dari aplikasi yang berinteraksi dengan user, termasuk logika bisnis dan komunikasi dengan server database. Tipe-tipe tugas yang terjadi pada client adalah :

• Antarmuka pengguna

• Interaksi database

• Pengambilan dan modifikasi data

• Sejumlah aturan bisnis

• Penanganan kesalahan

Server database berisi mesin database, termasuk tabel, prosedur tersimpan, dan trigger (yang juga berisi aturan bisnis). Dalam sistem client/server, sebagian besar logika bisnis biasanya diterapkan dalam database. Server database manangani :

• Manajemen data

• Keamanan

• Query, trigger, prosedur tersimpan

• Penangan kesalahan

Arsitektur client/server merupakan sebuah langkah maju karena mengurangi beban pemrosesan dari komputer sentral ke komputer client. Ini berarti semakin banyak user bertambah pada aplikasi client/server, kinerja server file tidak akan menurun dengan cepat. Dengan client/server user dair berbagai lokasi dapat mengakses data yang sama dengan sedikit beban pada sebuah mesin tunggal. Namun masih terdapat kelemahan pada model ini. Selain menjalankan tugas-tugas tertentu, kinerja dan skalabilitas merupakan tujuan nyata dari sebagian besar aplikasi. Model client/server memiliki sejumlah

keterbatasan :

• Kurangnya skalabilitas

• Koneksi database dijaga

• Tidak ada keterbaharuan kode

• Tidak ada tingkat menengah untuk menangani keamanan dan transaksi

Aplikasi-aplikasi berbasis client/server memiliki kekurangan pada skalabilitas. Skalabilitas adalah seberapa besar aplikasi bisa menangani suatu kebutuhan yang meningkat – misalnya, 50 user tambahan yang mengakses aplikasi tersebut. Walaupun model client/server lebih terukur daripada model berbasis host, masih banyak pemrosesan yang terjadi pada server. Dalam model client/server semakin banyak client yang menggunakan suatu aplikasi, semakin banyak beban pada server.

Koneksi database harus dijaga untuk masing-masing client. Koneksi menghabiskan sumber daya server yang berharga dan masing-masing client tambahan diterjemahkan ke dalam satu atau beberapa koneksi. Logika kode tidak bisa didaur ulang karena kode aplikasi ada dalam sebuah pelaksanaan executable monolitik pada client. Ini juga menjadikan modifikasi pada kode sumber sulit. Penyusunan ulang perubahan itu ke semua komputer client juga membuat sakit kepala.

Keamanan dan transaksi juga harus dikodekan sebagai pengganti penanganan oleh COM+/MTS. Bukan berarti model client/server bukanlah merupakan model yang layak bagi aplikasi-aplikasi. Banyak aplikasi yang lebih kecil dengan jumlah user terbatas bekerja sempurna dengan model ini. Kemudahan pengembangan aplikasi client/server turut menjadikannya sebuah solusi menarik bagi perusahaan.

Pengembangan umumnya jauh lebih cepat dengan tipe sistem ini. Siklus pengembangan yang lebih cepat ini tidak hanya menjadikan aplikasi meningkat dan berjalan dengan cepat namun juga lebih hemat biaya.

3. Three-Tier / Multi-Tier

Model three-tier atau multi-tier dikembangkan untuk menjawab keterbatasan pada arsitektur client/server. Dalam model ini, pemrosesan disebarkan di dalam tiga lapisan (atau lebih jika diterapkan arsitektur multitier). Lapisan ketiga dalam arsitektur ini masing-masing menjumlahkan fungsionalitas khusus. Yaitu :

• Layanan presentasi (tingkat client)

• Layanan bisnis (tingkat menengah)

• Layanan data (tingkat sumber data)

Layanan presentasi atau logika antarmuka pengguna ditempatkan pada mesin client. Logika bisnis dikeluarkan dari kode client dan ditempatkan dalam tingkat menengah. Lapisan layanan data berisi server database. Setiap tingkatan dalam model three-tier berada pada komputer tersendiri, seperti pada gambar 1.3

Konsep model three-tier adalah model yang membagi fungsionalitas ke dalam lapisan-lapisan, aplikasiaplikasi mendapatkan skalabilitas, keterbaharuan, dan keamanan.

]]> http://lintoherlambang.com/arsitektur-aplikasi-client-server.html/feed 1