Cara Membuat Router REDHAT 9

Note: Halaman muka Web Server berada pada direktori /var/www/html. Ganti/ buat file ‘index.html’ jika perlu, untuk menyembunyikan informasi. Untuk menguji, jalankan “lynx localhost”.

I. PRA INSTALASI
^^^^^^^^^^^^^^^^
Edit BIOS:
- urutan boot CDROM pertama.
- matikan soundcard & modem onboard jika ada.
- matikan serial port & usb jika dianggap perlu, karena mungkin tidak digunakan.
- matikan ‘Halt on error’ dengan ‘no error’ jika perlu, -> utk boot tanpa keyboard.
II. INSTALASI
^^^^^^^^^^^^^
1. Boot dari CD#1 RH9, tekan enter.
Note: mode grafis lebih memudahkan untuk melakukan setup selanjutnya menggunakan mouse.
2. SKIP testing cd media.
3. NEXT, Pilih Language = English default.
4. NEXT, pilih Keyboard = U.S. English.
5. NEXT, pilih Mouse, default PS2 3 tombol.
Note: pada saat operasional (mode teks) mouse/gpm tidak perlu dijalankan.
6. NEXT, pilih tipe instalasi CUSTOM.
7. NEXT, Manually partition with Disk Druid.
8. NEXT, sebaiknya buat partisi terpisah untuk /boot, /tmp, /var, dan /
/boot = memisahkan file2 boot linux agar berada di partisi awal dan proses booting lebih cepat
/tmp dan /var berisi file temporary, log dsb yg cenderung bertambah,.. harus dikarantina.
Ukuran partisi:
/boot sekitar 100 MByte
/tmp sekitar 300 MByte
/ sekitar 1,5 GByte
Swap normalnya sebesar 2 kali ukuran RAM. Misal RAM=128MB -> Swap=256MB.
/Var bisa dihabiskan untuk ruang hardisk yang tersisa.
Tetapi pembagian partisi ini tergantung selera.
Note: Pilih opsi “check bad blocks” jika perlu. Direktori default tempat Squid Cache berada di /var.
9. NEXT, pilih boot loader default = GRUB.
Note: konfigurasi grub dapat langsung diaktifkan dengan mengedit file /boot/grub/grub.conf
10. NEXT, Network Configuration, ganti DHCP pada eth0 & eth1 dengan ip statik yang telah ditentukan sebelumnya.
11. NEXT, pilih konfigurasi firewall = NO FIREWALL.
Note: konfigurasi firewall & NAT dilakukan secara manual setelah instalasi.
12. NEXT, Additional Language Support = English (USA), default.
13. NEXT, Time Zone Selection = Asia/Jakarta.
14. NEXT, Masukkan password ROOT 2 kali!
15. NEXT, Authentication Configuration gunakan default, enable MD5 dan Shadow.
16. NEXT, Package Group Selection.
Hilangkan Paket berikut ini:
- X Window System
- Gnome Desktop Environtment
- Graphical Internet
- Office/Productivity
- Sound and Video
- Graphics
- Printing Support
- dan paket2 lain yang berhubungan dengan grafis x-windows yang mungkin terinstall.
Pilih instalasi paket-paket berikut ini:
- Text-based Internet
Detail:
- lynx -> bisa untuk keperluan pengujian bandwidth
- pine -> editor yang ‘relatif’ lebih manusiawi dibanding VI
- paket yang lain bisa dihilangkan.
- Web Server
Pilih default Detail, sudah termasuk di dalamnya SQUID.
- Windows File Server = Samba, jika diinginkan.
- DNS Name Server, sebaiknya digunakan untuk Client link Internasional.
- FTP Server, jika diinginkan.
- Network Server, jika ingin menjadikan server DHCP, Telnet, dll.
- Development Tools, sebaiknya diinstall jika dirasakan ada program luar tambahan yg perlu diinstall dan di-compile.
- Kernel Development, jika ingin meng-compile kernel.
- System Tools.
pilih details:
- Ethereal -> networking tool
- mc -> Shell yang user-friendly
- nmap -> networking tool
- shapecfg -> untuk traffic shaper
Kemudian pilih (checklist) Select Individual Packages.
Tujuannya untuk menambahkan beberapa paket penting lainnya yang tidak dicantumkan pada daftar global paket di atas,
yaitu SNMP-Client, MRTG, dan IPTRAF.
- MRTG -> pilih di kelompok Applications – Internet – mrtg
- IPTRAF -> pilih di kelompok Applications – System – iptraf
- SNMP-Client -> pilih di kelompok Applications – System – net-snmp-utils
17. NEXT, Unresolved Dependency pilih Install packages to satisfy dependency. Dalam hal ini paket PERL-URI.
18. NEXT, Siap menginstall
19. NEXT, Proses instalasi berlangsung……. masukkan CD#2 dan CD#3 jika diminta.
20. NEXT, No I do not want to create a boot diskette
21. NEXT, Reboot – keluarkan CD Instalasi.
III. PASCA INSTALASI
^^^^^^^^^^^^^^^^^^^^
1. Login root.
2. Pastikan kedua Ethernet Card sudah terinstall benar termasuk default gateway-nya.
Cek menggunakan perintah: ‘ifcfg’ dan ‘route -n’. Asumsi eth0 untuk koneksi keluar (ke radio)
dan eth1 untuk dihubungkan ke internal LAN client.
3. Konfigurasi minimal Network Address Translation (NAT) untuk internal.
- vi /etc/sysctl.conf -> net.ipv4.ip_forward = 1
- sysctl -p
- iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- chkconfig iptables on
- iptables-save > /etc/sysconfig/iptables
Sampai di sini Server sudah bisa digunakan untuk mengkoneksikan client ke internet.
4. Konfigurasi Squid dan Transparent Proxy
- vi /etc/squid/squid.conf
# NETWORK OPTIONS
http_port 8080
# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem xxx MB
-> xxx= seperempat ukuran RAM, jadi utk RAM 128 maka xxx=32
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
cache_dir ufs /var/spool/squid xxx 16 256
-> xxxx = kapasitas total cache yang diinginkan dalam MByte.
# ACCESS CONTROLS
acl our_networks src 192.168.0.0/24
-> jika network internal adalah 192.168.0.0/24
http_access allow our_networks
# HTTPD-ACCELERATOR OPTIONS
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
- service squid start
- chkconfig squid on
- iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080
5. Proteksi lanjut mencegah serangan Denial of Service (DoS Attack)
Anti serangan PING Flood
- iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
- iptables -A INPUT -p icmp –icmp-type ! echo-request -j ACCEPT
Anti serangan TCP SYN Flood
- iptables -A INPUT -p tcp –syn -m limit –limit 5/s –limit-burst 10 -j ACCEPT
- iptables -A INPUT -p tcp –syn -j DROP
- iptables -A INPUT -p tcp ! –syn -j ACCEPT
Aturan FORWARD anti DoS dari manual iptables
- iptables -A FORWARD -p tcp -m tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
6. Simpan konfigurasi IPTABLES secara permanen menggunakan perintah:
- iptables-save > /etc/sysconfig/iptables
7. Matikan service yang tidak diperlukan, misalnya:
- chkconfig –level 2345 netfs off
- chkconfig –level 2345 rawdevices off
- chkconfig –level 2345 atd off
- chkconfig –level 2345 gpm off
- chkconfig –level 2345 portmap off
- chkconfig –level 2345 sendmail off
- chkconfig –level 2345 isdn off
- chkconfig –level 2345 rhnsd off
- chkconfig –level 2345 anacron off
- chkconfig –level 2345 nfslock off
- chkconfig –level 2345 xinetd off
8. Percepat delay boot GRUB pada saat booting:
- vi /boot/grub/grub.conf
-> ganti “timeout=10″ menjadi “timeout=1″
9. Konfigurasi Web Server
Hidupkan Web Server:
- chkconfig httpd on
- service httpd start
Note: Halaman muka Web Server berada pada direktori /var/www/html
Ganti/buat file ‘index.html’ jika perlu, untuk menyembunyikan informasi.
Untuk menguji, jalankan “lynx localhost”.
10. Konfigurasi SNMP agent dan MRTG
- vi /sbin/mrtg-gen
- kemudian copy script berikut ke file /sbin/mrtg-gen
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
————————-potong dibawah ini——————————–
#!/bin/sh
clear
if [ “$1″ = “” ]
then
echo | date
echo “”
echo -e “\a”
echo “MRTG Auto Compiler v.2 by rizky.md@gmail.com”
echo “”
echo “———————————————-”
echo “Cara penggunaan :”
echo “./mrtg-gen snmp — untuk setting snmp “
echo “./mrtg-gen config — untuk bikin config file “
echo “./mrtg-gen index — untuk generate html file “
echo “./mrtg-gen exe — untuk file executor “
echo “———————————————-”
echo “Tested on Redhat,CentOS,IGOS,FEDORA & RHEL try yours ….”
echo “”
echo “Have a nice day …”
echo -e “\a”
exit
fi
if [ “$1″ = “snmp” ]
then
echo “Inputkan community string ( contoh : kentang ) :”
read CM
echo “Inputkan file config snmp ( contoh : /etc/snmp/snmpd.conf ) :”
read SMLOC
echo “Inputkan contact person system ( contoh : Rizky M. Dinata ) :”
read SYC
echo “Inputkan lokasi system ( contoh : Australia 33th Avenue DH BLD 4th floor ) :”
read SYAD
echo “Inputkan identitas system ( contoh : My-BlackboX ) :”
read SYID
echo “rocommunity $CM
syslocation $SYAD
sysname $SYID
syscontact $SYC” > $SMLOC
echo “Service snmp di restart …”
echo “”
service snmpd restart
exit
fi
echo “Inputkan lokasi file MRTG ( contoh : /var/www/html/mrtg ) :”
read GLB
echo “Inputkan community string snmp target ( contoh : public ) :”
read NAMA
echo “Inputkan IP address target ( contoh : 192.168.0.1 ) :”
read ALA
echo “Inputkan lokasi file configurasi MRTG ( contoh : /etc/mrtg ) :”
read KON
echo “Inputkan nama file configurasi MRTG ( contoh : test.cfg ) :”
read CFG
if [ “$1″ = “exe” ]
then
echo “
killall mrtg
rm $KON/*.pid
mrtg $KON/$CFG ” > /etc/mrtg-run
chmod 755 /etc/mrtg-run
ln -s /etc/mrtg-run /etc/init.d/mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/K80mrtg-run
ln -s /etc/mrtg-run /etc/rc.d/rc3.d/S80mrtg-run
echo -e “\a”
echo “Konfigurasi eksekutor selesai .”
echo “Untuk menjalankan secara manual :”
echo “cukup running script : /etc/mrtg-run”
exit
fi
if [ “$1″ = “config” ]
then
cfgmaker –global “WorkDir: $GLB” –global “Options[_]: growright,bits” –global “RunAsDaemon:Yes” –global “Interval:5″ –global “Refresh:300″ $NAMA@$ALA > $KON/$CFG 2>/dev/null
echo -e “\a”
echo “File konfigurasi MRTG telah selesai dibuat.”
echo “lokasi file configurasi anda : $KON/$CFG “
echo “Lanjutkan dengan membuat index file.”
exit
fi
if [ “$1″ = “index” ]
then
indexmaker –columns=1 –show=day –pagetop=MRTG-GEN-V2 –title=Network-Traffic-Analysis –output=$GLB/index.html $KON/$CFG 2>/dev/null
rm $KON/*.pid
mrtg $KON/$CFG
echo -e “\a”
echo “File index telah selesai dibuat.”
echo “lokasi file index anda : $GLB “
echo “Proses MRTG telah berjalan.”
exit
fi
##########################################
# The world will never know … #
# and i will never understand #
# losing my grip … slepted away #
# tryin’ to find my way back #
# to the main purposes why GOD create me #
##########################################
——————————akhir diatas ini—————————————
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/mrtg-gen
jalankan script dengan perintah : /sbin/mrtg-gen
isi konfigurasi yang ditanyakan sesuai dengan kebutuhan setting anda.
Berikut disertakan script untuk melakukan konfigurasi secara lengkap
pada router dengan system operasi RedHat 9 dengan beberapa langkah mudah.
1. vi /sbin/konfigurasi
2. copy script berikut ke file /sbin/konfigurasi
dengan perintah pada mode edit (tanpa tanda “+”) : Esc + i + Esc + insert :
—————————-mulai dibawah ini ———————————
#!/bin/sh
############################
# Assalamualaikum WR.WB #
# cara menjalankan cript #
# ./konfigurasi #
# configurasi script tidak #
# perlu dirubah , tapi #
# silahkan untuk di #
# kembangkan sesuai dengan #
# kreativitas anda, karena #
# ini hanya script #
# sederhana …. #
############################
echo -e “####################################”
echo -e “######## BASIC ROUTER SETUP ########”
echo -e “####################################”
echo -e “####### by rizky.md@gmail.com ######”
echo -e “####################################”
echo “Not an ADVANCE setup only default ../n”
echo “Masukkan device ( contoh : eth0 ) ?”
read dev
echo “Masukkan IP eth0″
read ip
echo “Masukkan netmask”
read net
echo “Masukkan Gateway”
read gw
echo -e “DEVICE=$dev/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip/nNETMASK=$net/nGATEWAY=$gw/n” > /etc/sysconfig/network-scripts/ifcfg-eth0
echo “Masukkan device ( contoh : eth1 ) ?”
read dev2
echo “Masukkan IP eth1″
read ip2
echo “Masukkan netmask”
read net2
echo “Masukkan Gateway”
read gw2
echo -e “DEVICE=$dev2/nBOOTPROTO=static/nONBOOT=yes/nIPADDR=$ip2/nNETMASK=$net2/nGATEWAY=$gw2/n” > /etc/sysconfig/network-scripts/ifcfg-eth1
echo -e “/nKonfigurasi Interface Jaringan selesai !/a… ok/n”
echo “Masukkan DNS primary “
read ns1
echo “Masukkan DNS secondary “
read ns2
echo -e”nameserver $ns1/nnameserver $ns2″ > /etc/resolv.conf
echo -e “/nKonfigurasi DNS selesai !/a… ok/n”
echo “Aktifkan Network ( yes / no )”
read act
echo “Masukkan Hostname “
read hst
echo -e “NETWORKING=$act/nHOSTNAME=$hst.quasar.net.id” > /etc/sysconfig/hosts
echo -e “/nKonfigurasi Host selesai !/a… ok/n”
echo -e “——- Router $hst NET ———/n— configured with oto-conf —/n
ip eth0 = $ip/n
ip eth1 = $ip2/n
DNS = $ns1/n” > /etc/motd
echo -e “/nKonfigurasi Pesan Login selesai !/a… ok/n”
echo -e “net.ipv4.ip_forward = 1/nnet.ipv4.conf.default.rp_filter = 1/nkernel.sysrq = 0/nkernel.core_uses_pid = 1″ > /etc/sysctl.conf
echo -e “/nKonfigurasi IP Forwarding selesai !/a… ok/n”
echo “Masukkan network ip lokal untuk di NAT ( contoh : 192.168.1.0/24 ) : “
read IPLOKNAT
/sbin/iptables -A POSTROUTING -t nat -s $IPLOKNAT -j MASQUERADE
/etc/init.d/iptables save
/etc/init.d/iptables restart
echo -e “/nKonfigurasi IP NAT selesai !/a… ok/n”
echo “Masukkan nama Community SNMP: “
read SNMPDN
echo “Masukkan lokasi router : “
read SNMPDLOC
echo “Masukkan nama admin system : “
read SNMPDADD
echo -e “rocommunity $SMPDN/nsyslocation $SNMPDLOC/nsyscontact $SNMPDADD” > /etc/sysconfig/snmpd.conf
cp /etc/motd /etc/issue /etc/issue
#######################
# Simple need … #
#######################
——————————selesai diatas ini ————————————————-
Untuk mengakhiri mode edit (tanpa tanda “+”) : Esc + : + wq
kemudian ubah atribut file ke mode Executable : chmod 755 /sbin/konfigurasi
jalankan script dengan perintah : /sbin/konfigurasi
IV. PERINTAH TAMBAHAN
^^^^^^^^^^^^^^^^^^^^^
Berikut adalah perintah yang mungkin dibutuhkan untuk melakukan setting pada router linux Red Hat 9
1. Command untuk install aplikasi di linux :
- Melakukan install aplikasi
rpm -ivh [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -ivh iftop-0.16-0.i386.rpm
- Melakukan uninstall aplikasi
rpm -e [nama-paket-installasi]
contoh installasi paket aplikasi IFTOP untuk check traffic :
rpm -e iftop-0.16-0.i386
- Melakukan check aplikasi terinstall
rpm -qa |grep [nama aplikasi]
contoh melakukan check aplikasi iftop :
rpm -qa |grep iftop
2. Command untuk Firewall (NAT,ACCEPT,DROP) :
# NAT :
- Untuk menambahkan nat dari blok ip lokal tertentu :
iptables -A POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
- Untuk mengurangi nat dari blok ip lokal tertentu :
iptables -D POSTROUTING -t nat -s [blok-ip] -j MASQUERADE
contoh untuk client lokal blok ip 192.168.1.0/24 : iptables -D POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE
contoh melihat NAT pada ip 10.75.3.23 : iptables -vnL -t nat |grep 10.75.3.23
contoh melihat list keseluruhan NAT : iptables -vnL -t nat
# DROP (MENOLAK) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j DROP
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j DROP
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j DROP
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j DROP
# ACCEPT (MENERIMA) :
- Untuk menambahkan BLOCK dari ip tertentu :
iptables -A INPUT -s [ip-asal] -j ACCEPT
- Untuk mengurangi BLOCK dari ip tertentu :
iptables -D INPUT -s [ip-asal] -j ACCEPT
- Untuk menambahkan BLOCK ke ip tertentu :
iptables -A OUTPUT -d [ip-tujuan] -j ACCEPT
- Untuk mengurangi BLOCK dari blok ip tertentu :
iptables -D OUTPUT -d [ip-tujuan] -j ACCEPT
# Untuk menampilkan konfigurasi firewall keseluruhan :
iptables -vnL -> untuk aturan INPUT, OUTPUT dan FORWARD
iptables -vnL -t nat -> untuk aturan NAT
# Untuk melakukan restore (load-ulang) iptables :
iptables-restore /etc/sysconfig/nama-file-iptables
service iptables save
service iptables restart
3. Command untuk routing :
- Menambahkan default gateway :
route add default gw [ip_gateway]
contoh gateway 10.75.3.254 : route add default gw 10.75.3.254
- Menghapus default gateway :
route del default gw [ip_gateway]
contoh gateway 10.75.3.254 : route del default gw 10.75.3.254
4. Melakukan check atau alokasi ip address :
- melakukan check ip :
ifconfig [nama-interface]
contoh : ifconfig eth0
- memberi IP pada interface tertentu :
ifconfig [nama-interface] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0 10.75.3.23 netmask 255.255.255.0 broadcast 10.75.3.255 up
- memberi IP pada interface yang sudah memiliki IP :
ifconfig [nama-interface:alias] [ip-address] netmask [netmask] broadcast [broadcast-address] up
contoh : ifconfig eth0:1 10.75.3.24netmask 255.255.255.0 broadcast 10.75.3.255 up
nama alias tidak boleh sama, begitu juga IP yang dialokasikan tidak boleh sama juga.
5. Check traffic dengan IPTRAF :
iptraf -d [nama-interface]
contoh : iptraf -d eth0
6. Melakukan check link untuk melihat trouble pada node yang dilalui :
traceroute [ip-destinasi]
contoh : traceroute www.ragnarok.co.id
7. Melakukan check fungsi DNS :
nslookup [nama-domain]
contoh : nslookup www.google.com
bila domain tidak dapat di resolve, coba ping ke ip domain, bila ping ke nama domain tidak bisa
tetapi ping ke ip domain bisa, maka trouble ada di DNS server ( coba ping DNS server ).
8. Melakukan check traffic dengan iftop :
- Untuk melakukan check traffic pada interface tertentu :
iftop -i [interface-terhubung]
contoh interface eth1 : iftop -i eth1
- Untuk melakukan check traffic IP tertentu :
iftop -F [ip-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.23/32 -i eth1
- Untuk melakukan check traffic network IP tertentu :
iftop -F [network-address/netmask] -i [interface-terhubung]
contoh traffic ip 10.75.3.23 : iftop -F 10.75.3.0/24 -i eth1
9. Melakukan check servis snmp berjalan atau tidak :
snmpwalk -c [community-name] -v 1 [ip-host]
contoh untuk ip 10.75.3.23 dengan community name cl13nt :
snmpwalk -c cl13nt -v 1 10.75.3.23
10.Melakukan check ping :
ping -c [jumlah-check] -s [besar-packet] [ip-address]
contoh untuk check ping ke ip 10.75.3.23 sebanyak 50 kali dengan paket 1400 :
ping -c 50 -s 1400 10.75.3.23

Router Huawei perintah konfigurasi firewall

1, akses-daftar yang digunakan untuk membuat aturan akses.

(1) membuat daftar akses standar

akses-daftar [| normal] khusus listnumber1 (izin | menyangkal) sumber-addr] [-mask sumber

(2) membuat daftar akses diperpanjang

akses-daftar [| normal] khusus listnumber2 (izin | menyangkal) protokol sumber-sumber addr-mask [operator port1 [port2]] dest-addr dest-mask [operator port1 [port2] | icmp-type [icmp-code]] [log]

(3) menghapus akses daftar

tidak memiliki akses-daftar (| normal khusus) (semua listnumber | [subitem])

【】 Keterangan parameter

jangka waktu normal biasa ditentukan dengan menambahkan aturan.

aturan khusus untuk menambahkan jangka waktu yang ditentukan khusus.

listnumber1 adalah antara 1-99 nilai peraturan itu adalah aturan standar akses daftar.

listnumber2 adalah antara 100-199 nilai aturan yang diperpanjang aturan akses daftar.

izin yang memungkinkan paket-paket untuk memenuhi persyaratan adopsi.

menyangkal bahwa larangan paket untuk memenuhi persyaratan adopsi.

protokol sebagai jenis protokol, untuk mendukung ICMP, TCP, UDP, dll, protokol lain yang juga mendukung konsep perbandingan saat ini tidak ada pelabuhan, seperti IP, memiliki makna khusus, yang mewakili semua protokol IP.

sumber-sumber addr alamat.

sumber-mask untuk bit alamat sumber wildcard, dalam daftar akses standar adalah opsional, tidak masuk atas nama bit wildcard 0.0.0.0.

dest-addr sebagai alamat tujuan.

dest-mask untuk alamat tujuan melalui koordinasi.

[Operator opsional] port operator, ketik pada protokol TCP atau UDP untuk mendukung port jika dibandingkan dengan mendukung operasi lebih adalah: sama (eq), lebih besar dari (gt), kurang dari (lt), tidak sama (neq), atau range (kisaran); Jika operator tersebut jangkauan, kemudian diikuti dengan dua port yang dibutuhkan.

port1 dalam TCP atau UDP jenis protokol terjadi, Anda dapat mengatur nilai default kata kunci (misalnya telnet) atau 0 untuk nilai antara 65535.

port2 di TCP atau UDP jenis protokol untuk jangkauan dan jenis tindakan terjadi ketika; dapat mengatur kata kunci default (seperti telnet) atau 0 untuk nilai antara 65535.

icmp-type] opsional [apabila perjanjian untuk ICMP, pesan ICMP tipe nama; dapat mengatur kata kunci default (seperti echo-balasan) atau 0-255 nilai.

icmp-kode untuk protokol ICMP dan tidak di set pilihan apabila memiliki nilai default, atas nama kode ICMP adalah 0 untuk nilai antara 255.

log [] opsi yang jika pesan memenuhi persyaratan, perlu melakukan penebangan.

listnumber untuk menghapus peraturan nomor adalah 1 sampai nilai antara 199.

[Subitem] opsional Hapus nomor seri tertentu untuk mengakses daftar aturan listnumber nomor seri.

】【Default

System default tidak dikonfigurasi peraturan akses.

】【Modus Command

Konfigurasi global mode

Tutorial 【】

Jumlah yang sama aturan bisa dianggap sebagai peraturan kelas; aturan yang didefinisikan dalam antarmuka dapat digunakan tidak hanya untuk paket filter, seperti DDR, dll juga dapat digunakan untuk menilai apakah suatu paket pesan bunga pada saat ini , izin dan menolak yang tertarik atau tidak tertarik.

Menggunakan bidang protokol IP adalah perluasan akses daftar untuk mewakili semua protokol IP.

Jumlah yang sama aturan antara akses-daftar perintah diatur menurut prinsip-prinsip tertentu dan pilihan, agar dapat menunjukkan untuk melihat.

Misalnya】【

Biarkan alamat sumber untuk jaringan 10.1.1.0 10.1.2.0 jaringan tujuan alamat untuk mengakses WWW, tetapi tidak mengizinkan FTP.

Quidway (config) # akses daftar-100 ijin tcp 10.1.1.0 10.1.2.0 0.0.0.255 0.0.0.255 eq www

Quidway (config) # access-list 100 menyangkal tcp 10.1.1.0 10.1.2.0 0.0.0.255 0.0.0.255 eq ftp

Order 【】 terkait

ip access-kelompok

Kedua, jelas akses-daftar counter mengosongkan daftar aturan akses statistik.

yang jelas akses-daftar counter] listnumber [

【】 Keterangan parameter

[Listnumber] opsional untuk menghapus nomor urut aturan statistik, jika tidak ditentukan, kemudian hapus semua aturan statistik.

】【Default

Informasi statistik tidak jelas setiap saat.

】【Modus Command

Keistimewaan modus pengguna

Tutorial 【】

Gunakan perintah ini untuk menghapus peraturan saat ini tentang statistik yang digunakan, aturan tidak menentukan nomor tersebut menghapus semua aturan statistik.

Misalnya】【

Contoh 1: jelas jumlah 100 saat ini digunakan dalam aturan statistik.

Quidway # akses daftar-jelas counter 100

Contoh 2: Hapus semua aturan saat ini digunakan oleh statistik.

Quidway # akses daftar-jelas counter

Order 【】 terkait

akses-daftar

Ketiga, firewall diaktifkan atau melarang firewall.

firewall (enable | disable)

【】 Keterangan parameter

mengaktifkan firewall yang.

menonaktifkan firewall yang dilarang.

】【Default

Sistem default firewall tidak.

】【Modus Command

Konfigurasi global mode

Tutorial 【】

Gunakan perintah ini untuk mengaktifkan atau menonaktifkan firewall, Anda dapat melihat hasil yang sesuai perintah show firewall. Jika Anda menggunakan packet filtering waktu, maka firewall dimatikan juga akan ditutup; saklar master perintah kontrol firewall. Pengurutan penutupan penggunaan firewall menonaktifkan firewall, statistik sendiri firewall akan dihapus.

Misalnya】【

Aktifkan firewall.

Quidway (config) # mengaktifkan firewall

Order 【】 terkait

akses-daftar, akses ip-kelompok

4, firewall default konfigurasi firewall aturan akses tanpa adanya pertandingan yang sesuai, filter standar.

firewall default (izin | menyangkal)

【】 Keterangan parameter

izin bahwa properti filter default diatur ke "Allow."

menyangkal bahwa properti filter default diatur ke "dilarang."

】【Default

Firewall untuk membuka kasus ini, pesan default diizinkan melalui.

】【Modus Command

Konfigurasi global mode

Tutorial 【】

Ketika aturan tidak berlaku pada antarmuka dari sebuah paket untuk menentukan apakah orang harus diperbolehkan atau dilarang, properti default filter akan bekerja; Jika atribut filter standar adalah untuk "memungkinkan", maka pesan dapat lulus, jika tidak paket akan dibuang.

Misalnya】【

Set properti filter default ke "Allow."

Quidway (config) # default firewall izin

5, ip access-kelompok menggunakan perintah ini untuk menerapkan aturan tersebut ke antarmuka. Gunakan formulir tidak dari perintah ini untuk menghapus pengaturan yang sesuai.

ip access-kelompok listnumber (dalam | out)

[Tidak ip listnumber akses-kelompok] (dalam | out)

【】 Keterangan parameter

listnumber aturan jumlah antara 1-199 tutup logam Huan  malas?

dalam aturan yang digunakan untuk menyaring dari antarmuka untuk menerima paket.

bahwa aturan-aturan yang digunakan untuk menyaring paket-paket ditransmisikan dari antarmuka.

】【Default

Tidak ada aturan yang diterapkan pada interface.

】【Modus Command

Modus konfigurasi antarmuka.

Tutorial 【】

Gunakan perintah ini untuk menerapkan aturan tersebut ke antarmuka; Jika ingin Anda filter dari antarmuka untuk menerima paket, digunakan dalam kata kunci; Jika ingin Anda filter dari antarmuka untuk meneruskan pesan, menggunakan kata kunci keluar. Sebuah antarmuka dapat diterapkan dalam satu arah sampai dengan 20 jenis peraturan yang berbeda; aturan ini sesuai dengan aturan antara ukuran urutan nomor seri, nomor seri atas permukaan besar, yang merupakan prioritas tinggi. Pada filter paket, maka akan ditemukan untuk mematuhi aturan-aturan yang digunakan untuk memperoleh hasil metode untuk mempercepat laju filtrasi filter. Oleh karena itu, aturan yang diusulkan di konfigurasi, sebagai akan sebuah konfigurasi jaringan dengan jumlah yang sama aturan tentang akses ke daftar; dalam nomor seri yang sama dari daftar akses, pengaturan antara aturan dan ketertiban dapat menunjukkan pilihan akses -daftar perintah untuk melihat.

Misalnya】【

Aturan 101 akan berlaku untuk menyaring dari paket Ethernet diterima.

Quidway (config-jika-Ethernet0) # ip access-group 101 pada

Order 【】 terkait

akses-daftar

6, settr menetapkan atau membatalkan periode waktu khusus.
settr waktu mulai akhir zaman

tidak settr

【】 Keterangan parameter

mulai-waktu untuk memulai suatu periode waktu.

akhir waktu untuk akhir periode waktu harus lebih besar dari waktu mulai.

】【Default

Default sistem tidak mengatur jangka waktu, yaitu, bahwa semua periode waktu normal.

】【Modus Command

Konfigurasi global mode

Tutorial 【】

Gunakan perintah ini untuk mengatur waktu, juga dapat mengatur waktu 6 bulan, Anda dapat melihat melalui perintah timerange menunjukkan ditetapkan dalam waktu. Jika Anda telah menggunakan suatu periode waktu di mana perubahan dalam waktu, perubahan ini akan berlaku dalam tentang periode (interval menit waktu memeriksa sistem). Set waktu jam 24-jam. Jika Anda ingin mendirikan mirip dengan pm 9-8 am jangka waktu dapat diatur untuk "settr 21:00 23:59 00:00 08:00", karena periode waktu yang ditetapkan oleh kedua ujung itu adalah periode waktu dalam tidak menghasilkan periode switching waktu di luar. Juga menetapkan ini juga menjadi isu pengujian pada tahun 2000.

Misalnya】【

Contoh 1: Set waktu 12:00,14:00 ~ 8:30 ~ 17:00.

Quidway (config) # settr 8:30 12:00 14:00 17:00

Contoh 2: Tetapkan waktu untuk pm 9-8 pagi.

Quidway (config) # settr 21:00 23:59 00:00 08:00

Order 【】 terkait

timerange, menunjukkan timerange

7, menunjukkan akses-acara penyaringan paket daftar aturan dan penerapan antarmuka.

menunjukkan akses-daftar [semua] listnumber | antarmuka antarmuka |-nama
【】 Keterangan parameter

semua bahwa semua peraturan, termasuk periode umum waktu dan aturan periode waktu khusus.

listnumber untuk menampilkan aturan saat ini digunakan oleh nomor seri untuk aturan listnumber.

antarmuka yang akan muncul dalam penerapan aturan jumlah interface tertentu.

interface-nama untuk nama interface.

】【Modus Command

Keistimewaan modus pengguna

Tutorial 【】

Gunakan perintah ini untuk menampilkan aturan yang ditetapkan dalam waktu yang sama, melihat situasi aturan packet filtering. Setiap aturan memiliki counter yang sesuai, gunakan aturan ini jika filter paket, maka penghitung meningkat sebesar 1; pengamatan melalui dapat dilihat pada aturan dikonfigurasi counter, yang aturan lebih efektif, dan yang sebagian besar tidak efektif. Dapat antarmuka dengan kata kunci akses menampilkan daftar perintah untuk melihat aturan aplikasi antarmuka.

Misalnya】【

Contoh 1: Menampilkan jumlah saat ini sebesar 100 digunakan dalam aturan.

Quidway # show access-list 100

Menggunakan aturan normal akses packet-filtering sekarang.

100 menyangkal icmp 10.1.0.0 0.0.255.255 semua host-redirect (3 pertandingan, 252 byte - aturan 1)

100 izin 10.1.0.0 0.0.255.255 icmp echo apapun (tidak ada pertandingan - aturan 2)

100 udp menyangkal setiap setiap eq rip (ada pertandingan - aturan 3)

Contoh 2: tampilan interface Serial0 pada penerapan aturan.

Quidway # menunjukkan akses-daftar interface serial 0

Serial0:

akses-daftar penyaringan paket In-terikat: 120

akses-daftar penyaringan paket Out-terikat: Tidak ada

Order 【】 terkait

akses-daftar
8, menunjukkan menunjukkan negara Firewall firewall.
menunjukkan firewall

】【Modus Command

Keistimewaan modus pengguna

Tutorial 【】

Gunakan perintah ini untuk menampilkan status firewall, termasuk firewall diaktifkan, apakah firewall diaktifkan pada saat beberapa firewall packet filtering dan statistik.

Misalnya】【

Tampilkan status firewall.

Quidway # menunjukkan firewall

Firewall memungkinkan, metode penyaringan default adalah 'izin'.

Packet-filtering TimeRange memungkinkan.

Inbound paket: Tidak ada;

OutBound paket: 0 paket, 0 bytes, 0% diizinkan,

0 paket, 0 bytes, 0% ditolak,

2 bungkus, 104 byte, 100% diizinkan defaultly,

0 paket, 0 byte, 100% ditolak defaultly.

Dari 0:13:02-6:13:21: 0 paket, 0 byte, diijinkan.

Order 【】 terkait

firewall

9, menunjukkan isintr menampilkan waktu saat ini adalah dalam jangka waktu tersebut.

menunjukkan isintr

】【Modus Command

Keistimewaan modus pengguna

Tutorial 【】

Gunakan perintah ini untuk menampilkan waktu saat ini adalah dalam jangka waktu tersebut.

Misalnya】【

Menampilkan waktu saat ini adalah dalam jangka waktu tersebut.

Quidway # menunjukkan isintr

Ini BUKAN dalam rentang waktu sekarang.

Order 【】 terkait

timerange, settr

10, menunjukkan timerange menunjukkan waktu penyaringan paket informasi.
menunjukkan timerange

】【Modus Command

Keistimewaan modus pengguna

Tutorial 【】

Gunakan perintah ini untuk menampilkan waktu saat ini diperbolehkan untuk mengatur filter paket dan jangka waktu.

Misalnya】【

Tampilkan waktu penyaringan paket informasi.

Quidway # menunjukkan timerange

Packet-filtering TimeRange memungkinkan.

awal rentang waktu:

1:00-02:00

3:00-04:00

rentang waktu akhir.

Order 【】 terkait

timerange, settr

11, waktu timerange mengaktifkan atau menonaktifkan paket penyaringan.

timerange (enable | disable)

【】 Keterangan parameter

mengaktifkan packet filtering jangka waktu tersebut diaktifkan.

menonaktifkan saat itu melarang penggunaan packet filtering.

】【Default

Sistem periode waktu default untuk Larangan packet filtering.

】【Modus Command

Konfigurasi global mode

Tutorial 【】

Gunakan perintah ini untuk mengaktifkan atau menonaktifkan penyaringan paket waktu, Anda dapat melihat melalui perintah firewall menunjukkan juga dapat dikonfigurasi melalui perintah timerange menunjukkan untuk melihat hasilnya. Pada waktu penyaringan paket fitur ini diaktifkan, sistem akan diatur sesuai dengan waktu saat ini dan periode waktu yang digunakan untuk menentukan periode waktu (khusus) aturan atau waktu di luar (umum) aturan. Sistem memeriksa ketepatan waktu 1 menit. Periode waktu yang ditetapkan oleh kedua ujung berada dalam periode waktu.

Misalnya】【

Sisa packet filtering diaktifkan.

Quidway (config) # timerange mengaktifkan

Order 【】 terkait

settr, menunjukkan timerange

saung mang deni