Pohon Asam "Mari Belajar dari Dasar"

Memisah Traffick outgoing dengan PF

2009-06-25T19:38:00.007+07:00

traffik yang berjalan pada suatu network tentunya sangat beragam service, dengan tujuan tertentu atau kebijakan network administrator, kadang diperlukan pemisahan outgoing untuk menstabilkan jaringan.
misalkan suatu perusahaan mempunyai kebijakan sebagai berikut:
kirim email dan terima lewat ISP A dan browsing lewat ISP B
mengapa administrator menerapkan kebijakan seperti itu, tentunya administrator punya alasan sendiri.
lalu bagai mana memisahkan traffick tersebut:
misalkan subnet network local adalah 192.168.0.0/24

ISP A IP address 202.x.xxx.10 netmask 255.255.255.252 gateway 202.x.xxx.9
ISP B IP address 202.x.xxx.18 netmask 255.255.255.252 gateway 202.x.xxx.17

maka rule nya adalah sbb:

$int_if="rl0"
$ext_ifA="rl1"
$ext_ifB="rl2"
$int_add="192.168.0.0/24"
$ext_addA="202.x.xxx.10"
$ext_addB="202.x.xxx.18"
$ext_gwA="202.x.xxx.9"
$ext_gwB="202.x.xxx.17"

pass in on $int_if route-to ( $ext_ifA $ext_gwA ) proto { tcp, udp } from $int_add to any port 25
pass in on $int_if route-to ( $ext_ifB $ext_gwB ) proto { tcp, udp } from $int_add to any port 80
pass in quick all
pass out quick all

Pengantar Menejemen Bandwidth dengan ALTQ IV (Habis)

2009-05-09T21:20:00.010+07:00

Pada session terakhir ini pada seri pengantar menejemen bandwidth dengan ALTQ, saya akan sedikit membahas tentang passing pada altq untuk kasus-kasus tertentu.
coba lihat rule altq di bawah ini.
altq on $int_if bandwidth 10M hfsc queue {ddef, dsatu, ddua, dtiga
queue ddef bandwidth 512Kb
queue dsatu bandwidth 1Mb
queue ddua bandwidth 128Kb
queue dtiga bandwidth 256Kb

pass out quick on $int_if inet from any to 192.168.1.0/24 queue dsatu
pass out queue on $int_if inet from any to 192.168.2.0/24 queue dsatu
pass out quick on $int_if inet from any to 192.168.3.0/24 queue dsatu
pass out quick on $int_if inet from any to { 192.168.4.1, 192.168.5.1 } queue ddua

dari rule diatas dapat di artikan sebagai berikut:

bahwa rule altq dengan id dsatu di gunakan untuk banyak rule passing, yang artinya network 192.168.1.0/24, 192.168.2.0/24 dan 192.168.3.0/24 akan mempunyai bandwidth masing-masing sebesar 1Mb, satu network dengan network tidak saling berhubungan dan tergantung.
untuk rule altq dengan id ddua digunakan untuk passing ip 192.168.4.1 dan 192.168.5.1 yang artinya bandwidth share.

tapi dalam menentukan kebijakan menejemen bandwidth yang perlu di perhatikan adalah :

Pelajari dasar kebutuhan nertwork yang kita milik
cari pendekatan yang akan kita gunakan, pendekatan tersebut meliputi : dari ip mana dan ke ip mana, protokol apa yang akan di shape, interface mana yang akan di shape dan service apa yang akan di shape.
karena dengan mengetahui dua permasalahan diatas maka, administrator akan lebih mudah dalam membuat rule ALTQ.

Pengantar Manajemen Bandwidth dengan ALTQ III

2009-03-03T19:26:00.012+07:00

Seperti yang telah saya sampaikan diposting sebelumnya bahwa penulisan rule pf haruslah urut sesuai dengan aturannya dan tidak bisa di bolak-balik. adapun urutannya adalah sebagai berikut: variable, table, options, ALTQ, translating, forwarding, blocking dan passing. lalu apa hubungannya dengan posting kali ini?. bahasan kali ini adalah tentang rule passing untuk ALTQ dengan kasus yang spesial. karena rule passing juga tidak bisa di bolak-balik.

misalkan seorang administrator mempunyai kebijakan rule firewall sebagai berikut :

bandwidth network 10.10.1.0/24 ke internet sebesar 128Kb
bandwidth network 10.10.1.0/24 ke 192.168.1.0/24 sebesar 1Mb
bandwidth network 10.10.2.0/24 sebesar 256Kb
bandwidth network 10.10.3.0/24 sebesar 512Kb
bandwidth link antar network 10.10.0.0/16 sebesar 10Mb
bandwidth network 10.10.0.0/16 protocol icmp sebesar 128Kb
bandwidth network 10.10.0.0/16 protocol tcp dan udp port 52 sebesar 128Kb
bandwidth network 10.10.0.0/16 protocol tcp dan udp port 161 sebesar 128Kb

dalam penyusunan rule passing untuk kasus di atas adalah sebagai berikut :

passing aturan nomor 6
passing aturan nomor 7
passing aturan nomor 8
passing aturan nomor 5
passing aturan nomor 2
passing aturan nomor 1
passing aturan nomor 3
passing aturan nomor 4

misalkan aturan di atas tidak di penuhi, lalu apa yang terjadi ?

ketika local link antar network 10.10.0.0/16 penuh, ping time akan naik
link network 10.10.1.0/24 ke 192.168.1.0/24 yang sebesar 1Mb akan menjadi 128Kb
permintaan port 161 klien akan time out karena bandwidth local link antar network 10.10.0.0/16 penuh
masih banyak lagi tergantung kesalahan penempatan rules.

Pengantar Manajemen Bandwidth dengan ALTQ II

2009-02-01T21:27:00.011+07:00

Salah satu usaha yang kadang di perlukan dalam manajemen bandwidth adalah men-bypass bandwidth antar local network walaupun berbeda subnet. misalkan, local network tersebut mempunyai subnet 10.10.1.0/30, 10.10.1.4/30, 10.10.1.8/30 dan 10.10.1.12/30.
pada dasarnya secara default tiap-tipa subnet diatas akan terlimit, karena masing-masing mempunyai broadcast yang berbeda. lalu bagaimana jika ingin men-bypass bandwidth antar subnet-subnet yang di inginkan ?
pada awalnya saya mengira bahwa untuk men-bypass bandwidth dengan ALTQ saya bisa menggunakan script table pada pf. tapi ternyata dugaan saya salah.

semula saya mengira dengan script seperti ini

table local { 0.0.0.0/0, !10.10.1.0/24 }

altq on $ext_if bandwidth 2Mb hfsc queue {udef, usatu, udua, tiga, empat }
queue udef bandwidth 8Kb hfsc (default realtime 8Kb)
queue usatu bandwidth 128Kb hfsc (realtime 128Kb)

altq on $int_if bandwidth 2Mb hfsc queue {ddef, dsatu, ddua, dtiga, dempat }
queue ddef bandwidth 8Kb hfsc (default realtime 8Kb)
queue dsatu bandwidth 128Kb hfsc (realtime 128Kb)

pass out quick on $ext_if from 10.10.1.0/30 to local queue usatu
pass out quick on $int_if from local to 10.10.1.0/30 queue dsatu

dengan rule seperti diatas ternyata salah besar, dan network 10.10.1.0/30 akan terlimit walaupun ke network 10.10.1.0/24 atau ke subnet yang lain. mengapa ?
karena defaultnya rule altq dengan pf adalah deny. artinya walaupun untuk local network harus di definisikan berapa besar bandwidth yang harus di sediakan. karena dengan rule seperti diatas maka akan berarti dari nerwork 10.10.1.0/30 ke 10.10.1.0/24 tidak dilimit. ini sangat melanggar aturan dasar ALTQ. lalu apa keuntungannya ? jelas dengan rule default deny (mendifinisikan bandwidth local network) akan sangat membantu bila link antar subnet throughput-nya "terbatas". misalkan link antar BTS yang menggunakan media wireless.

table akan sangat ampuh untuk di gunakan untuk blocking, seperti yang banyak saya gunakan untuk membuat inclusive firewall. misalkan.

table local { 0.0.0.0/0, !10.10.1.0/24 }
block in quick on $int_if proto icmp from local to any

lalu bagaimana men-bypass bandwidth ?
letakkan rule passing local network pada baris paling atas.

Angka 9 (Sembilan)

2009-01-30T16:09:00.005+07:00

Angka sembilan adalah angka terahir di bilangan desimal. bila angka tersebut dikalikan dengan angka 1-9 maka akan menghasilkan angka yang bila di jumlahkan akan sama dengan sembilan pula.
biar lebih jelas lihat contoh berikut :

1 * 9 = 09 = 0 + 9 = 9
2 * 9 = 18 = 1 + 8 = 9
3 * 9 = 27 = 2 + 7 = 9
4 * 9 = 36 = 3 + 6 = 9
5 * 9 = 45 = 4 + 5 = 9
6 * 9 = 54 = 5 + 4 = 9
7 * 9 = 63 = 6 + 3 = 9
8 * 9 = 72 = 7 + 2 = 9
9 * 9 = 81 = 8 + 1 = 9

keistimewaan ini tidak di miliki oleh angka lain.

Sejarah Internet Di UMM

2009-01-27T21:16:00.011+07:00

Awal Internet dan Packet Radio Network di UMM

Tahun 1996, Universitas Muhammadiyah Malang (UMM) pertama kali tersambung ke internet secara dedicated. Sambungan dilakukan via VSAT TDMA Elektrindo Nusantara ke gateway AI3-ITB pada kecepatan 64 kbps. Kegiatan instalasi jaringan internet pertama kali ini mempunyai momen penting bagi cikal bakal perkembangan TI di UMM khususnya. Instalasi yang melibatkan langsung mahasiswa dengan dibekali pelatihan pengetahuan dasar teknologi internet, tidak pernah kami bayangkan sebelumnya. Dari sinilah perkembangan TI UMM dimulai.

Training UMM oleh CNRG ITB

Di tahun 1997-1998, kurang lebih seminggu tim CNRG ITB mendampingi secara tatap muka, yang saat itu adalah Yadi Heryadi, Luthfi Kisbiono Arif, dan Ismail Fahmi (selanjutnya diskusi secara online via mailing list). Sementara UMMNet yang saat itu dibina Bapak Drs Muizzudin, Bapak Eko Budi Cahyono, S.Kom, dan Bapak Rahmat Wijaya, SE dengan dibantu beberapa mahasiswa yang ternyata menjadi ujung tombak, antara lain Taufik Rahman, Siswanto, Nur Kholis Madjid, Berlian Rozak, Tri Widianto Andi Aminudin, Muhammad Nasar, Haerani Akbar, Saiful Bahri, dan Bima Finanto. Dalam kesempatan inilah diterangkan berbagai materi yang berkaitan dengan Internet dan TCP/IP. Dipraktekkan bagaimana sejumlah komputer saling dihubungkan hingga membentuk jaringan intranet dan internet. Bagaimana instalasi OS FreeBSD dan Linux pertama kalinya dengan metode ftp, dapat dibayangkan bagaimana heran dan sulitnya menerima pelajaran mengingat kami saat itu paling banter hanya mengenal DOS, windows3.11 dan windows 95. Disisi lain, ditunjukkan bagaimana cara memanfaatkan internet untuk menimba pengetahuan, telnet, email, mailing list, search enggine, dsb.. Untunglah, dengan pembagian tim menjadi lebih spesifik, masing-masing dapat juga menguasai barang aneh tersebut, walaupun masih sebatas instalasi, konfigurasi dan trouble shooting.

Hingga akhirnya kami mulai bisa memasang FreeBSD Release-1 untuk server internet pertama kalinya, yang dimotori tim Administrator seperti Siswanto, Tri Widianto, Taufik, Haerani Akbar dengan servis DNS, proxy, dan Web Server. Mulailah online di internet situs UMM pertama kali di http://www.umm.ac.id. Sementara tim Webmaster yang dimotori Nur Kholis Madjid, Berlian, Andi, dkk saat itu mulai sibuk mendesain tampilan web untuk mengisi situs barunya.

Materi NOS (Network Operating System) dan Linux, oleh Ismail Fahmi, diberikan secara unix sebagai alternatif pengembangan jaringan UMMNet berikutnya. Mulailah dibahas teknologi Packet Radio yang menggunakan modem 1200 bps dan radio FM VHF. Terpilih secara alamiah sebagai motor waktu itu Muhammad Nasar dan beberapa kawan, yang konon tertarik dengan pengembangan sistem telekomunikasi radio ini.

Mengembangkan jaringan Packet Radio

Packet radio terus di-oprek oleh Nasar, yang saat itu masih berkutat pada sofware NOS berbasis DOS sampai sekian lamanya, sampai-sampai muncul julukan baru oleh rekan-rekannya, “CNRG UMM” (Cilik-cilik Ngoprek Radio Ga mari-mari). Akan tetapi tidak lama setelah sentilan itu muncul, berhasillah di-setup Gateway Radio Packet se Malang Raya menggunakan sistem operasi Linux Slackware 3.5, dengan perangkat bekas seperti CPU 486DX, memory 16M dan HDD 40Gb, sebuah modem baycom TCM3105 yang dirakit sendiri, serta sebuah radio tranceiver FM-VHF dengan daya pancar 200 mili watt mengudara pada frekuensi 144.15 MHz lewat sebuah antena VHF Omnidirectional yang diletakkan di atas atap gedung perpustakaan pusat UMM.

Alokasi IP Amatir-pun dialokasikan oleh Onno W. Purbo YC1DAV dengan netmask 44.132.136/24 untuk kecepatan 1200bps, dan 44.132.137/24 untuk pengembangan berikutnya di kecepatan 9600bps.

Hari terus berganti, tim UMMNet pun yang status sebagai mahasiswa, setelah masa studi selesai, satu persatu mulai melangkahkan kaki menapak babak selanjutnya.

sumber : http://opensource.telkomspeedy.com

Bekerja dengan Switch

2009-01-21T15:51:00.017+07:00

Switch adalah device yang bekerja di layer 2 (Data Link) pada TCP/IP. Device ini selalu identik dengan bridge. karena kedua device ini akan memecah collosion domain yang besar menjadi collosion domain masing-masing port. Apa itu collosion domain ? collosion domain adalah kumpulan laju frame-frame yang banyak dalam jaringan sehingga memungkinkan untuk tubrukan antar frame. oleh karena itu, dengan switch atau dengan bridge maka kumpulan frame-frame yang banyak akan di pisah-pisah pada jalur masing-masing. Perbedaan switch dan bridge adalah swictch hardware base sedangkan bridge software base. lalu apa yang bisa di kerjakan oleh swicth ?

Pengenalan MAC hardware yang konek ke masing-masing port.
Forwarding frame antar port.
Link redundan (hanya bisa di lakukan oleh manage switch).

lalu mengapa switch bekerja lebih baik daripada hub biasa ?
coba lihat gambar berikut :

misalkan
host-1 mempunyai MAC : 00:1c:f0:5b:9c:c1 konek ke port 1
host-2 mempunyai MAC : 00:1c:f0:5b:9c:c2 konek ke port 2
host-3 mempunyai MAC : 00:1c:f0:5b:9c:c3 konek ke port 3
host-4 mempunyai MAC : 00:1c:f0:5b:9c:c4 konek ke port 4
host-5 mempunyai MAC : 00:1c:f0:5b:9c:c5 konek ke port 5
host-6 mempunyai MAC : 00:1c:f0:5b:9c:c6 konek ke port 6

maka yang di lakukan oleh switch adalah sebagai berikut:

Untuk pertama kali switch di nyalakan, switch mempunyai tabel address dalam keadaan kosong (tidak pengenali alamat apapun).
Misalkan host-1 mengirim data ke host-2 maka switch akan mengenali bahwa port 1 konek dengan MAC 00:1c:f0:5b:9c:c1 lalu membroadcast ke alamat tujuan dengan mengirim frame ke semua port kecuali ke port dari mana frame tersebut berasal (di broadcast ke port 2,3,4,5 dan 6). bila sudah ada jawaban dari port tujuan (port 2) maka swicth akan menyimpan alamat MAC yang konek di port 2.
Maka switch akan mempunyai database MAC sebagai berikut : port 1 00:1c:f0:5b:9c:c1, port 2 00:1c:f0:5b:9c:c2 dan port 3,4,5 dan 6 kosong.
Misalkan host-1 mengirim data ke host-3, maka swicth akan mem-broadcast ke sumua port yang belum mepunyai alamat MAC, yaitu port 3,4, 5 dan 6.
Setelah ada jawaban dari alamat tujuan, maka alamat MAC akan di simpan dalam database swicth. sehingga database swicth sebagai berikut : port 1 00:1c:f0:5b:9c:c1, port 2 00:1c:f0:5b:9c:c2 dan port 3 00:1c:f0:5b:9c:c3 dan port 4, 5 dan 6 kosong.
Bila host-1 mengirim data kembali ke host-2, maka swicth akan langsung mengirim frame ke port-2 (karena alamat MAC sudah di simpan di database swicth) tanpa men-broadcast ke port lain.
itu akan di lakukan terus menerus oleh swich bila ada frame yang melewatinya.

itulah sebabnya swicth bekerja lebih baik dari pada hub, karena hub tidak mempunyai tabel alamat MAC, sehingga tiap kali ada frame yang lewat akan terus di broadcast ke semua port sehingga mengurangi bandwidth dan kemungkinan collosion menjadi lebih besar.

walaupun swicth bekerja sudah cukup baik, masih di perlukan router untuk memisah broadcast domain bila network yang dimiliki cukup besar.

Membangun Server Load Balancing beberapa Speedy dengan VLAN

2009-01-16T19:58:00.013+07:00

Satu alasan mengapa membangun server load balancing beberapa speedy dengan VLAN adalah karena keterbatasan slot PCI yang ada di komputer server. kalau membangun warnet dengan koneksi 12 speedy akan menjadi masalah di slot PCI server yang pasti tidak ada yang sebanyak itu. maka salah satu solusinya adalah di buat VLAN tiap-tiap modem speedy dengan memanfaatkan salah satu fitur yang di miliki oleh swith, tentunya switch yang support VLAN. dalam kesempatan ini saya menggunakan switch cisco catalyst 2950 XL dengan FreeBSD sebagai routernya.

misalkan IP local modem adalah:
modem-1 192.168.1.1/24
modem-2 192.168.2.1/24
modem-3 192.168.3.1/24
modem-4 192.168.4.1/24
modem-5 192.168.5.1/24
modem-6 192.168.6.1/24

sedangkan Network local LAN adalah 192.168.0.0/24

maka persiapan pertama adalah install mesin FreeBSD dan kompile kernel.

#cd /sys/i386/conf
#cp GENERIC loadbalancer
#vi loadbalancer

untuk module kernel tambahkan option berikut:

device vlan
device pf
device pflog
device pfsync

#config loadbalancer
#cd ..
#make depend && make && make install && reboot &

#vi /etc/rc.conf

pf_enable="YES"
pf_program="/sbin/pfctl"
pf_rules="/etc/pf.conf"
network_interfaces="AUTO"
hostname="loadbalancer"
gateway_enable="YES"
ifconfig_lo0="127.0.0.1"
cloned_interfaces="vlan10 vlan20 vlan30 vlan40 vlan50 vlan60"
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_vlan10="inet 192.168.1.2 netmask 255.255.255.0 vlan 10 vlandev rl1"
ifconfig_vlan20="inet 192.168.2.2 netmask 255.255.255.0 vlan 20 vlandev rl1"
ifconfig_vlan30="inet 192.168.3.2 netmask 255.255.255.0 vlan 30 vlandev rl1"
ifconfig_vlan40="inet 192.168.4.2 netmask 255.255.255.0 vlan 40 vlandev rl1"
ifconfig_vlan50="inet 192.168.5.2 netmask 255.255.255.0 vlan 50 vlandev rl1"
ifconfig_vlan60="inet 192.168.6.2 netmask 255.255.255.0 vlan 60 vlandev rl1"

#vi /etc/pf.conf

ext_if1="vlan10" # speedy1
ext_if2="vlan20" # speady2
ext_if3="vlan30" # speedy3
ext_if4="vlan40" # speedy4
ext_if5="vlan50" # speedy5
ext_if6="vlan60" # speedy6

# Gateway Out #
ext_gw1 = "192.168.1.1"
ext_gw2 = "192.168.2.1"
ext_gw3 = "192.168.3.1"
ext_gw4 = "192.168.4.1"
ext_gw5 = "192.168.5.1"
ext_gw6 = "192.168.6.1"

nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
nat on $ext_if3 from $lan_net to any -> ($ext_if3)
nat on $ext_if4 from $lan_net to any -> ($ext_if4)
nat on $ext_if5 from $lan_net to any -> ($ext_if5)
nat on $ext_if6 from $lan_net to any -> ($ext_if6)

pass in quick on $int_if route-to {($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2), ($ext_if3 $ext_gw3), ($ext_if4 $ext_gw4), ($ext_if5 $ext_gw5), ($ext_if6 $ext_gw6)} round-robin proto tcp from $lan_net to any flags S/SA modulate state

pass in quick on $int_if route-to {($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2), ($ext_if3 $ext_gw3), ($ext_if4 $ext_gw4), ($ext_if5 $ext_gw5), ($ext_if6 $ext_gw6)} round-robin proto { udp, icmp } from $lan_net to any keep state

pass out quick on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if1 proto { udp, icmp } from any to any keep state
pass out quick on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if2 proto { udp, icmp } from any to any keep state
pass out quick on $ext_if3 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if3 proto { udp, icmp } from any to any keep state
pass out quick on $ext_if4 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if4 proto { udp, icmp } from any to any keep state
pass out quick on $ext_if5 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if5 proto { udp, icmp } from any to any keep state
pass out quick on $ext_if6 proto tcp from any to any flags S/SA modulate state
pass out quick on $ext_if6 proto { udp, icmp } from any to any keep state

berikut adalah konfigurasi switch

Interface FastEthernet 0/1
switchport access vlan 10
descriptions speedy 1

Interface FastEthernet 0/2
switchport access vlan 20
descriptions speedy 2

Interface FastEthernet 0/3
switchport access vlan 30
descriptions speedy 3

Interface FastEthernet 0/4
switchport access vlan 40
descriptions speedy 4

Interface FastEthernet 0/5
switchport access vlan 50
descriptions speedy 5

Interface FastEthernet 0/6
switchport access vlan 60
descriptions speedy 6

Interface FastEthernet 0/7
switchport mode trunk
switchport trunk allowed 1,10-60

lalu tinggal nyolokin modem-1 ke port cisco 1 sampai modem-6 ke port cisco 6 dan port cisco 7 di colokin ke server (rl1) sedangkan server (rl0) dicolokin ke hub client.

Pengantar Menejemen Bandwidth dengan ALTQ

2008-12-28T13:58:00.015+07:00

Dalam sebuah menejemen bandwidth ada 2 Prinsip yang menjadi dasar.
Pertama adalah bagaimana memaksimalkan penggunaan bandwidth yang dimiliki, misalkan mempunyai bandwidth 128Kbit, maka bagaimana dengan bandwidth 128Kb dapat digunakan secara maksimal dengan penggunaan banyak user maupun beberapa user, siang hari atau malam hari. dalam hal ini biasa digunakan pada sisi client misalkan kampus, warnet, MPG, corporate atau pelanggan rumah.
Kedua adalah bagaimana memberikan jaminan bandwidth yang sesuai dengan yang ditetapkan. misalkan bandwidth 128Kbit maka harus benar-benar 128Kbit boleh lebih tapi tidak boleh kurang, atau yang disebut dengan QoS (Quality of Service). dalam hal ini banyak di terapkan oleh provider.
Dalam menejemen bandwidth seperti kebutuhan di atas, ada beberapa teknik yang bisa di terapkan diantaranya adalah :
ALTQ (Alternate Queueing) dan CBQ (Class Base Queue) dengan cara seperti ini akan sangat cocok bila di terapkan pada sisi client, dimana client mempunya beberapa network/service yang masing-masing network/service mempunyai garansi bandwidth tapi memungkinkan untuk meminjam bandwidth network/service lain bila bandwidth network/service tersebut tidak terpakai atau idle.
ALTQ (Alternate Queueing) dan HFSC (Hierarchical Fair Service Curve) dengan cara seperti sebuah network/service akan di garansi dengan sebuah bandwidth dengan mendifinisikan realtime dan option lainnya seperti upperlimit dan linkshare. HFSC akan sangat cocok di terapkan pada sebuah provider agar menjamin bandwidth yang mengalir ke client benar-benar sesuai dengan besarnya bandwidth pelanggan.
disamping kedua teknik di atas dapat ditambah kan options-options sebagai berikut:
RED (Random Early Detection), RIO (RED In Out), dan PRIQ (Prioritas). Prioritas akan mempunyai nilai 1-7 dimana 1 adalah prioritas terbesar. dengan opsi PRIQ seorang admin dapat dengan mudah mendahulukan sebuah network/service untuk memperoleh bandwidth.
ada beberapa hal yang harus di perhatikan jika menggunakan ALTQ:

PF dan ALTQ sudah terintegrasi dengan kernel FreeBSD 5.3 ke atas, untuk shapping masing-masing versi FreeBSD mempunyai sedikit perbedaan script, tapi untuk logging, blocking, forwarding, translating dan passing relatif sama.
Interface yang hadap internet dianggap upstream dan interface yang hadap client dianggap downstream (FreeBSD 5.x) pada FreeBSD 6.x dan FreeBSD 7.x ada sedikit perbedaan.
Beri options quick.
Mesin limiter harus fungsi routing bukan translating.
Beri nilai default minimal, 8Kbit
Mendifinisikan variable akan lebih memudahkan editing dan perubahan struktur scripts.
Urutan file pf adalah variable, options, ALTQ, Translating, Forwarding, Blocking dan Passing. (tidak boleh terbalik)
Beri queue limit lebih panjang, default bernilai 50
Agar memudahkan editing, penulisan script dibuat grouping atau bertingkat.
Gunakan Interface yang mempunyai buffer yang besar seperti Intel (fxp).
Atau menambah buffer interface dengan merubah nilai default buffer sebuah interface, (sysctl -w kern.ipc.maxsockbuf=(integer).
Cek scripts sebelum loading file (pfctl -nf /etc/pf.conf)
jangan lupa "dipantau".

Membangun Firewall dengan IPFW

2008-12-11T21:07:00.020+07:00

IPFW atau IP Firewall adalah salah satu service yang dimiliki oleh Operating System FreeBSD untuk membangun sebuah firewall. firewall ini bekerja pada layer 3 lapisan OSI (Open System Interconnection).
salah satu ciri dari firewall dengan IPFW adalah dalam pembacaan rule-nya akan di baca dari atas kebawah, bila ada traffick yang sudah sesuai dengan rule firewall dibagian atas, maka sistem akan mengeksekusi tanpa membaca atau membandingkan dengan rule di baris berikutnya. lalu bagaimana untuk membangun firewall ini ?

Untuk mengaktifkan IPFW tentunya kernel FreeBSD harus support IPFW dengan menambahkan options sebagai berikut:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_DEFAULT_TO_ACCEPT
options DUMMYNET
options IPDIVERT

tambahkan pada /etc/rc.conf

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"
natd_enable="YES"
natd_interfaces=""
natd_program="/sbin/natd"

Berikut adalah format IPFW:

CMD RULE_NUMBER ACTION LOGGING SELECTION STATEFULL

CMD = /sbin/ipfw
RULE_NUMBER = 0001, 0002, 0003, 0004 dst
ACTION = pass, permit, allow, accept, deny atau drop
LOGGING = optional
SELECTION= tcp, udp atau icmp (daftar protokol ada di /etc/protocols). from src to dst, port number, in out, via IF.
STATEFULL = optional

Seperti sudah di jelaskan di posting sebelumnya, bahwa fungsi firewall adalah sebagai berikut.

contoh passing

/sbin/ipfw add 0001 pass all from any to any
/sbin/ipfw add 0002 pass icmp from any to any estabilished
/sbin/ipfw add 0003 pass tcp from 192.168.1.0/24 to any 21 keep-state
/sbin/ipfw add 0004 pass tcp from any to me 21 in via fxp0

contoh blocking

/sbin/ipfw add 0001 deny all from any to any
/sbin/ipfw add 0002 deny icmp from any to any estabilished
/sbin/ipfw add 0003 deny tcp from 192.168.1.0/24 to any 21 keep-state
/sbin/ipfw add 0004 deny tcp from any to me in via fxp0

contoh logging, default logging akan di simpan di /var/log/security

contoh translating

/sbin/ipfw add divert natd all from any to any

contoh shaping

/sbin/ipfw add pipe 10 ip from any to 192.168.1.1 via fxp0
/sbin/ipfw pipe 10 config bw 128Kbit/s
/sbin/ipfw add pipe 20 ip from 192.168.1.1 to any via fxp0
/sbin/ipfw pipe 20 config bw 64Kbit/s

Konsep Firewall

2008-12-09T21:15:00.023+07:00

Firewall adalah satu seperangkat software dan hardware yang bertugas menyaring paket-paket yang lewat sesuai dengan aturan yang dimilikinya. firewall biasanya terpasang antara jaringan internet dengan jaringan local, atau juga antara jaringan local dengan jaringan local. dalam proses filterisasi, firewall mempunyai dua macam aturan yang dimiliki, yaitu exclusive firewall dan inclusive firewall. exclusive firewall yaitu firewall yang mengizinkan semua paket traffick yang lewat kecuali paket-paket yang sesuai dengan rulenya (default-allow). sedangkan inclusive firewall adalah menolak semua paket traffick yang lewat kecuali paket-paket yang sesuai dengan rulenya (default-deny).

Dalam penerapan sesungguhnya, inclusive firewall jauh lebih aman dari pada exclusive firewall. tapi dalam proses pembuatan aturan juga jauh lebih sulit, karena harus teliti dalam pembuatan rule terutama unregistered port dan proses-proses pasif. firewall dapat dibangun pada layer 3, 5 dan 7 pada lapisan OSI.
Komponen firewall adalah sebagai berikut :

Passing.
Blocking.
Translating.
Shaping.
Forwarding.
Logging.

untuk melaksanakan fungsi di atas firewall selalu membaca beberapa parameter yang menjadi bagian rulenya, adapun parameter tersebut adalah:

Alamat (IP) asal
Alamat (IP) tujuan
Port asal (/etc/services)
Port tujuan (/etc/services)
Interface
Protocol (/etc/protocols)
Options

Pada Operating System FreeBSD, firewall (layer 3) dapat dibangun dengan IPFW (IP Firewall), IPF (IP Filter) dan PF (Paket Filter). IPFW adalah firewall yang merupakan bawaan dari FreeBSD, sedangkan IPF adalah asli bawaan NetBSD dan FP adalah bawaan dari OpenBSD. PF ada dalam kernel FreeBSD mulai FreeBSD 5.3 dan sesudahnya.

Untuk masing-masing firewall diatas, Insya Allah akan dibahas pada posting selanjutnya.

Membuat IP Tunnel

2008-12-06T12:28:00.008+07:00

Untuk membuat IP tunnel di FreeBSD pertama yang harus dipastikan adalah kernel yang mendukung ip tunneling. pada module kernel harus ada script "device gif" dan "device tun". IP tunnel bekerja seperti halnya sebuah terowongan pada jalur kendaraan umum.
berikut adalah konfigurasi IP tunneling.

coba lihat gambar berikut.

dari gambar di atas dapat dikonfigurasi sebagai berikut :

Server-1
# vi /etc/rc.local

#!/bin/sh

ifconfig gif0 create
ifconfig gif0 tunnel 10.10.1.2 10.10.2.2
ifconfig gif0 192.168.1.1 192.168.2.1
/sbin/route add -net 192.168.2.0/24 192.168.2.1

server-2
#vi /etc/rc.local

#!/bin/sh

ifconfig gif0 create
ifconfig gif0 tunnel 10.10.2.2 10.10.1.2
ifconfig gif0 192.168.2.1 192.168.1.1
/sbin/route add -net 192.168.1.0/24 192.168.1.1

kemudian, jangan lupa mereboot system dan cek dengan ifconfig

Server-1
#ifconfig
gif0: flags=8051 mtu 1280
tunnel inet 10.10.1.2 --> 10.10.2.2
inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffff00

Server-2
#ifconfig
gif0: flags=8051 mtu 1280
tunnel inet 10.10.2.2 --> 10.10.1.2
inet 192.168.2.1 --> 192.168.1.1 netmask 0xffffff00

Menghitung Kebutuhan Memori pada Squid

2008-12-03T22:47:00.007+07:00

Memori besar adalah kebutuhan dasar sebuah mesin yang menjalankan service proxy, (seperti sandang, pangan dan papan) pada manusia. karena akan sangat erat sekali dengan performa dan pengambilan object pada mesin proxy.
Memori pada mesin proxy digunakan sebagai in-transit object, hot object dan negative-cached. in-transit memori adalah object dari internet yang baru masuk ke mesin proxy dengan prioritas tertinggi, hot object adalah object yang paling banyak di ambil di dalam disk cache sedangkan negative-cached adalah error objects. in-transit objects, hot-objects dan negative-cached di letakkan di memori agar mempercepat respon time ketika ada permintaan dari client.
pada squid , pendifinisian penggunakan memori ada pada tag "cache_mem" defaultnya bernilai 8 MB. tapi ingat !!, cache_mem bukanlah jumlah maksimal penggunaan memori dalam sebuah proses squid, tapi cache_mem digunakan sebagai in-transit object, hot object dan negative-cached. tag cache_mem akan berhubungan langsung dengan tag lain seperti "maximum_object_size_in_memory" dan "memory_replacement_policy".
lalu bagaimana dengan kebutuhan memori sesungguhnya dalam proses squid?, berikut adalah penjelasannya.

Setiap 1 GByte cache disk memerlukan 10 MB Memori. besarnya cache disk mengacu tag cache_dir pada squid.conf.
Jumlah cache_mem yang di definisikan di squid.conf
Plus 20 Mb additional overhead

jadi misalakan cache_disk 20 GB, cache_mem 128 MB plus 20 MB additional overhead, maka kebutukan memori untuk proses squid adalah 200 MB + 128 MB + 20 MB = 384 Mb. itu baru untuk proses squid belum kebutuhan sistem operasi dan service yang lain seperti snmp, named dan lain-lain. tentunya membutuhkan memori yang besar bila sebuah mesin dengan service proxy. semua itu bisa di cek dengan "top".

Konsep Parent dan Sibling pada Squid

2008-12-03T22:27:00.024+07:00

Pada sebuah organisasi jaringan yang besar dengan menggunakan beberapa buah server proxy dengan squid sebagai softwarenya, tentunya administrator jaringan dapat membangun sebuah hirarki proxy. hirarki proxy tersebut membentuk sebuah jaringan menyerupai sebuah organisasi.
pada hirarki proxy ada 2 buah istilah, yaitu parent dan sibling. apa itu parent apa itu sibling.

Parent adalah type proxy yang mempunyai kewajiban mengambil object dari internet dan menyerahkan ke client apabila object tersebut belum ada pada disk cache, apabila object yang di minta sudah ada dalam memori atau di disk cache, maka object akan langsung di serahkan ke client.
Sibling adalah type proxy yang hanya mempunyai kewajiban menyerahkan object , jika object yang diminta ada dalam memori atau disk cache proxy tersebut.

Hubungan parent dan sibling menggunakan komunikasi tag http_port dan icp_port. default http_port 3128 dan icp_port 3130, tapi kebanyakan para administrator jaringan mengganti http_port 8080 dan icp_port 3130.

pada squid.conf.default, tag ini adalah:
cache_peer hostname type port_http port_icp options

Berikut adalah options-options hirarki proxy

proxy-only = object yang sudah diambil pada parent atau sibling tidak akan di simpan di dalam disk cache.
weight=(numeric) adalah apabila mempunyai beberapa parent atau sibling dan weight digunakan untuk menentukan prioritas, default bernilai 1.
no-query = proxy tidak akan mengirim icp query ke peer.
round-robin = apabila terdiri dari beberapa peer.
no-delay = apabila parent menggunakan delay-pool, dengan options ini delay-pool tidak akan mempengaruhi client.
login=user:password = bila peer parent menggunakan autentikasi.
masih banyak lagi

contoh kasus:

pada gambar diatas masing-masing proxy adalah parent bagi client-cliennya. bila proxy.wetasem.com jadi parent proxy2.wetasem.com, maka konfigurasi squid.conf adalah sebagai berikut :

squid.conf (proxy.wetasem.com)

http_port 8080
icp_port 3130
acl asem src proxy2.wetasem.com
http_access allow asem
http_access deny all
icp_access deny asem
icp_access deny all
miss_access allow asem
miss_access deny all

squid.conf (proxy2.wetasem.com)
cache_peer proxy.wetasem.com parent 8080 3130

tapi bila proxy.wetasem.com sebagai sibling proxy2.wetasem.com, maka konfigurasinya adalah sebagai berikut:

squid.conf (proxy.wetasem.com)
http_port 8080
icp_port 3130
acl asem src proxy2.wetasem.com
http_access allow asem
http_access deny all
icp_access allow asem
icp_access deny all
miss_access deny asem
miss_access deny all

squid.conf (proxy2.wetasem.com)
cache_peer proxy.wetasem.com sibling 8080 3130

selesai, tinggal memantau access.log

Menghitung Disk Cache

2008-12-03T22:23:00.020+07:00

Cache disk adalah bagian dari partisi sebuah mesin yang khusus dialokasikan untuk menyimpan cache. biasanya untuk kebutuhannya adalah hardisk dengan ukuran sekitar 20GByte dengan rpm yang besar. performa mesin akan lebih baik menggunakan 3 buah hardisk dengan ukuran kecil daripada 1 hardisk dengan ukuran yang besar. pada squid, cache disk di definisikan dengan tag "cache_dir". adapun format defaultnya adalah : "cache_dir Type Directory-Name Mbyte L1 L2 [options]"
keterangan:

cache_dir adalah tag yang mendefinisikan directory cache.
Type adalah jenis penyimpanan sistem, defaultnya adalah ufs. jika akan menggunakan sistem penyimpanan jenis lain seperti diskd atau aufs maka perlu menambah options --enable-storeio="diskd, aufs" ketika mengkompile squid.
Directory-Name adalah menunjukkan letak directory akan di buat cache misalkan /cache. ingat, owner dan group directory ini harus sesuai dengan user yang menjalankan squid. adalah sebuah larangan squid di jalankan dengan user root.
Mbyte (numeric) adalah pendifinisian besarnya media penyimpanan yang akan di gunakan cache, misalkan yang akan di gunakan adalah 20GB maka pada Mbyte harus tertulis 20000, MByte ini akan berhubungan dengan tag lain yaitu "cache_swap_low 90" dan "cache_swap_high 95".
L1 (numeric) adalah jumlah directory yang akan di buat di dalam directory /cache ketika perintah #/usr/local/sbin/squid -z di eksekusi.
L2 (numeric) adalah jumlah directory yang akan di buat di dalam masing-masing directory L1 ketika perintah #/usr/local/sbin/squid -z di eksekusi.

Lalu bagaimana menentukan L1 ?, berikut adalah rumus yang di pakai.

((( x / y ) / 256 ) / 256 ) * 2 = L1
x = besarnya disk cache yang akan di gunakan, satuannya adalah Kb (20 GB = 20.000.000 KB)
y = jumlah rata-rata object biasanya bernilai 13Kb
misalkan besarnya cache disk adalah 20 GB maka:

(((20.000.000/13)/256)/256)*2 = 46 Maka nilai L1 adalah 46.
biar kinerja cache lebih bagus maka lebih baik gunakan 80% dari cache disk

jadi bila cache disk 20GB maka scrip squidnya adalah sebagai berikut:

cache_dir ufs /cache 20000 46 256

Load Balancing Web Server dengan DNS

2008-12-03T22:08:00.009+07:00

Load balancing (pembagian beban) adalah salah satu metode untuk mengurangi beban pada server, karena permintaan dari client akan dibagi ke server lain.
ada beberapa software dan hardware yang mampu menjalankan service ini, tapi pada kesempatan ini akan membahas load balancing web server dengan DNS sebagai load balancernya.

gambar di atas, sebagai contoh konfigurasi load balancing dengan DNS sebagai load balancernya.
misalkan

DNS, mempunyai IP address 10.10.10.2
NS1, mempunyai IP address 10.10.10.3
NS2, mempunyai IP address 10.10.10.4
NS3, mempunyai IP address 10.10.10.5
NS4, mempunyai IP address 10.10.10.6

berikut adalah konfigurasi pada DNS :

DNS IN A 10.10.10.2
NS1 IN A 10.10.10.3
NS2 IN A 10.10.10.4
NS3 IN A 10.10.10.5
NS6 IN A 10.10.10.6

www0 IN CNAME NS1
www1 IN CNAME NS2
www2 IN CNAME NS3
www3 IN CNAME NS4

www IN CNAME www0
www IN CNAME www1
www IN CNAME www2
www IN CNAME www3

jadi ketika client mengetikkan www.namadomain.com, maka permintaan client akan di lempar ke salah satu server tersebut. :)