- Sintaks Iptables
iptables [-t
table] [Command] [Parameter] [Argument]
- Table
Iptables
memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER.
1. NAT : Secara umum digunakan untuk melakukan Network Address Translation. NAT mengenal PREROUTING untuk paket yang masuk dan POSTROUTING untuk paket yang keluar.
2. MANGLE : Digunakan untuk melakukan penghalusan (mangle) paket, seperti TTL, TOS dan MARK.
3. FILTER : Di sini bisa ditentukan apakah paket akan di-DROP, LOG, ACCEPT atau REJECT. FILTER merupakan default dari iptable, jadi kita bisa membuat rule tanpa mengetikan tanda -t. FILTER terdiri dari INPUT, OUTPUT, dan FORWARD.
1. NAT : Secara umum digunakan untuk melakukan Network Address Translation. NAT mengenal PREROUTING untuk paket yang masuk dan POSTROUTING untuk paket yang keluar.
2. MANGLE : Digunakan untuk melakukan penghalusan (mangle) paket, seperti TTL, TOS dan MARK.
3. FILTER : Di sini bisa ditentukan apakah paket akan di-DROP, LOG, ACCEPT atau REJECT. FILTER merupakan default dari iptable, jadi kita bisa membuat rule tanpa mengetikan tanda -t. FILTER terdiri dari INPUT, OUTPUT, dan FORWARD.
- Command
-A
yaitu append. Memiliki struktur -A [chain] [aturan]. Berfungsi untuk menetapkan atau menambahkan aturan ke dalam chains pada baris terakhir jadi rulenya akan dieksekusi paling akhir. Contoh : iptables -A INPUT -s 172.20.2.1
yaitu append. Memiliki struktur -A [chain] [aturan]. Berfungsi untuk menetapkan atau menambahkan aturan ke dalam chains pada baris terakhir jadi rulenya akan dieksekusi paling akhir. Contoh : iptables -A INPUT -s 172.20.2.1
-D
yaitu delete. Memiliki struktur -D [chain] [aturan] atau -D [chain] [nomor urutan aturan]. Berfungsi untuk menghapus aturan dari chains atau menghapus aturan berdasarkan urutan list didalam chains. Contoh : iptables -D INPUT 1 atau iptables -D INPUT -s 172.20.2.1
yaitu delete. Memiliki struktur -D [chain] [aturan] atau -D [chain] [nomor urutan aturan]. Berfungsi untuk menghapus aturan dari chains atau menghapus aturan berdasarkan urutan list didalam chains. Contoh : iptables -D INPUT 1 atau iptables -D INPUT -s 172.20.2.1
-I
yaitu insert. Memiliki struktur -I [chain] [nomor urutan aturan] [aturan]. Berfungsi untuk memasukan aturan baru kedalam chain pada baris tertentu. Bila nomor urutan aturan adalah 1 berarti aturan tersebut dimasukkan ke prioritas utama dalam chain. Contoh : iptables -I OUTPUT 2 -s 172.20.2.1
yaitu insert. Memiliki struktur -I [chain] [nomor urutan aturan] [aturan]. Berfungsi untuk memasukan aturan baru kedalam chain pada baris tertentu. Bila nomor urutan aturan adalah 1 berarti aturan tersebut dimasukkan ke prioritas utama dalam chain. Contoh : iptables -I OUTPUT 2 -s 172.20.2.1
-R
yaitu replace. Memiliki struktur -R [chain] [nomor urutan aturan] [aturan baru]. Berfungsi untuk menimpa / me-replace aturan lama dengan aturan baru dalam chain. Contoh : iptables -I OUTPUT 2 -s 172.20.2.2
yaitu replace. Memiliki struktur -R [chain] [nomor urutan aturan] [aturan baru]. Berfungsi untuk menimpa / me-replace aturan lama dengan aturan baru dalam chain. Contoh : iptables -I OUTPUT 2 -s 172.20.2.2
-L
yaitu list. Memiliki struktur -L [chain]. Berfungsi untuk menampilkan daftar aturan-aturan didalam chain. Bila chain tidak disertakan maka akan muncul aturan dalam semua chain.
Contoh : iptables -L INPUT
Contoh : iptables -t nat -L
yaitu list. Memiliki struktur -L [chain]. Berfungsi untuk menampilkan daftar aturan-aturan didalam chain. Bila chain tidak disertakan maka akan muncul aturan dalam semua chain.
Contoh : iptables -L INPUT
Contoh : iptables -t nat -L
-F
yaitu flush. Memiliki struktur -F [chain]. Berfungsi untuk menghilangkan semua aturan pada chain. Contoh: iptables -F INPUT (menghapus semua aturan didalam chain INPUT)
yaitu flush. Memiliki struktur -F [chain]. Berfungsi untuk menghilangkan semua aturan pada chain. Contoh: iptables -F INPUT (menghapus semua aturan didalam chain INPUT)
-N
yaitu new. Memiliki struktur -N [chain]. Berfungsi untuk membuat chain baru. Contoh: iptables -N MASUK (membuat chain baru bernama MASUK)
yaitu new. Memiliki struktur -N [chain]. Berfungsi untuk membuat chain baru. Contoh: iptables -N MASUK (membuat chain baru bernama MASUK)
-X
yaitu delete chain. Memiliki struktur -X [chain]. Berfungsi untuk menghapus chain dan ini berbeda dengan -D yang berguna untuk menghapus rule saja. Contoh: iptables -X MASUK
yaitu delete chain. Memiliki struktur -X [chain]. Berfungsi untuk menghapus chain dan ini berbeda dengan -D yang berguna untuk menghapus rule saja. Contoh: iptables -X MASUK
-E
yaitu rename chain. Memiliki struktur -E [chain lama] [chain baru]. Berfungsi untuk me-rename / mengganti nama chain yang ada didalam iptables. Contoh: iptables -E MASUK DATANG
yaitu rename chain. Memiliki struktur -E [chain lama] [chain baru]. Berfungsi untuk me-rename / mengganti nama chain yang ada didalam iptables. Contoh: iptables -E MASUK DATANG
- Parameter
-p
yaitu protokol. Untuk mengindentifikasikan protokol dalam rule seperti tcp, udp, icmp, all dst. Contoh: iptables -A INPUT -p tcp.
Tanda inversi juga bisa diberlakukan di sini, misal kita menghendaki semua protokol kecuali icmp,Contoh: iptables -A INPUT -p ! icmp (yang berarti semua kecuali icmp).
yaitu protokol. Untuk mengindentifikasikan protokol dalam rule seperti tcp, udp, icmp, all dst. Contoh: iptables -A INPUT -p tcp.
Tanda inversi juga bisa diberlakukan di sini, misal kita menghendaki semua protokol kecuali icmp,Contoh: iptables -A INPUT -p ! icmp (yang berarti semua kecuali icmp).
-m
yaitu match option. Mirip dengan -p tetapi perbedaannya adalah modul yang digunakan. Bila pada -p menggunakan modul yang bersifat spesifik tetapi berbeda dengan -m. Dengan menggunakan parameter ini, kita bebas menentukan nama module yang dipakai dan meng-variasikannya dalam perintah selanjutnya. Contoh : iptables -A INPUT -s 172.20.0.0/16 -m comment –comment “IP yang di-blok” ( berarti modul comment berisi perintah –comment “IP yang di-blok” ).
yaitu match option. Mirip dengan -p tetapi perbedaannya adalah modul yang digunakan. Bila pada -p menggunakan modul yang bersifat spesifik tetapi berbeda dengan -m. Dengan menggunakan parameter ini, kita bebas menentukan nama module yang dipakai dan meng-variasikannya dalam perintah selanjutnya. Contoh : iptables -A INPUT -s 172.20.0.0/16 -m comment –comment “IP yang di-blok” ( berarti modul comment berisi perintah –comment “IP yang di-blok” ).
-s
yaitu source alamat hostname / ip. Contoh : iptables -A INPUT -s 172.20.2.1
Selain dengan ip tunggal bisa juga dengan alamat network menggunakan netmask misal 172.20.0.0/255.255.0.0, atau bisa juga ditulis 172.20.0.0/16
yaitu source alamat hostname / ip. Contoh : iptables -A INPUT -s 172.20.2.1
Selain dengan ip tunggal bisa juga dengan alamat network menggunakan netmask misal 172.20.0.0/255.255.0.0, atau bisa juga ditulis 172.20.0.0/16
-d
yaitu destination / tujuan dari alamat ip. Contoh: iptables -A INPUT -d 192.168.1.1
yaitu destination / tujuan dari alamat ip. Contoh: iptables -A INPUT -d 192.168.1.1
-j
yaitu jump. Berfungsi untuk memberikan keputusan setelah paket data cocok dengan aturan. Biasanya terdapat di akhir perintah dan diikuti argumen perintah. Contoh : iptables -A INPUT -s 172.20.2.1 -j DROP.
yaitu jump. Berfungsi untuk memberikan keputusan setelah paket data cocok dengan aturan. Biasanya terdapat di akhir perintah dan diikuti argumen perintah. Contoh : iptables -A INPUT -s 172.20.2.1 -j DROP.
-i
yaitu in-interface alias nama interface yang menerima kiriman paket (terbatas pada chain INPUT, FORWARD dan PREROUTING saja). Contoh: iptables -A INPUT -i eth0 -s 192.168.1.1
yaitu in-interface alias nama interface yang menerima kiriman paket (terbatas pada chain INPUT, FORWARD dan PREROUTING saja). Contoh: iptables -A INPUT -i eth0 -s 192.168.1.1
-o
yaitu out-interface alias nama interface yang akan mengirim paket keluar (terbatas pada chain FORWARD, OUTPUT dan POSTROUTING). Contoh : iptables -A OUTPUT -o eth1 -s 172.20.2.1
yaitu out-interface alias nama interface yang akan mengirim paket keluar (terbatas pada chain FORWARD, OUTPUT dan POSTROUTING). Contoh : iptables -A OUTPUT -o eth1 -s 172.20.2.1
-c
yaitu counter untuk menghitung paket-paket yang lewat dari sebuah aturan. Penulisan parameter ditulis sebelum command semacam APPEND,INSERT,REPLACE,dst. Contoh : iptables -c -A INPUT -s 172.20.2.1
yaitu counter untuk menghitung paket-paket yang lewat dari sebuah aturan. Penulisan parameter ditulis sebelum command semacam APPEND,INSERT,REPLACE,dst. Contoh : iptables -c -A INPUT -s 172.20.2.1
-n
yaitu numeric. Parameter ini akan menampilkan output numeric seperti hostname,ip, port, nama network,dst. Contoh: iptables -L -n
yaitu numeric. Parameter ini akan menampilkan output numeric seperti hostname,ip, port, nama network,dst. Contoh: iptables -L -n
-v
yaitu verbose yang berarti menampilkan informasi secara keseluruhan. Contoh: iptables -L -n -v
yaitu verbose yang berarti menampilkan informasi secara keseluruhan. Contoh: iptables -L -n -v
- Argument
ACCEPT
Menerima paket data yang datang. Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j ACCEPT
Menerima paket data yang datang. Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j ACCEPT
DROP
mengesampingkan paket data yang datang dan tidak memberikan reply. Sehingga paket yang datang langsung dibuang begitu saja tanpa memberikan balasan report kepada pengirim paket.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j DROP
mengesampingkan paket data yang datang dan tidak memberikan reply. Sehingga paket yang datang langsung dibuang begitu saja tanpa memberikan balasan report kepada pengirim paket.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j DROP
REJECT
menolak paket data yang datang. Berbeda dengan DROP, REJECT mengembalikan kembali paket yang telah dikirimkan tanpa flag / report.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j REJECT
Contoh : iptables –A FORWARD –p tcp –dport 22 –j REJECT –reject-with icmp-host-unreachable
Ada beberapa tipe pesan yang bisa dikirimkan yaitu icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unrachable, icmp-net-prohibited dan icmp-host-prohibited.
menolak paket data yang datang. Berbeda dengan DROP, REJECT mengembalikan kembali paket yang telah dikirimkan tanpa flag / report.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j REJECT
Contoh : iptables –A FORWARD –p tcp –dport 22 –j REJECT –reject-with icmp-host-unreachable
Ada beberapa tipe pesan yang bisa dikirimkan yaitu icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unrachable, icmp-net-prohibited dan icmp-host-prohibited.
DENY
menolak paket data yang datang dengan memberikan informasi. Berbeda dengan REJECT, DENY akan memberikan flag / informasi kepada pengirim paket bahwa paket yang dikirimkan telah ditolak.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j DENY
menolak paket data yang datang dengan memberikan informasi. Berbeda dengan REJECT, DENY akan memberikan flag / informasi kepada pengirim paket bahwa paket yang dikirimkan telah ditolak.
Contoh : iptables –A INPUT –p tcp -s 172.20.2.1 –j DENY
RETURN
Target ini akan membuat paket berhenti melintasi aturan-aturan pada chain dimana paket tersebut menemui target RETURN.
Target ini akan membuat paket berhenti melintasi aturan-aturan pada chain dimana paket tersebut menemui target RETURN.
MIRROR
Apabila kompuuter A menjalankan target seperti contoh di atas, kemudian komputer B melakukan koneksi http ke komputer A, maka yang akan muncul pada browser adalah website komputer B itu sendiri. Karena fungsi utama target ini adalah membalik source address dan destination address.
Apabila kompuuter A menjalankan target seperti contoh di atas, kemudian komputer B melakukan koneksi http ke komputer A, maka yang akan muncul pada browser adalah website komputer B itu sendiri. Karena fungsi utama target ini adalah membalik source address dan destination address.
- Implicit Matches
Implicit
Matches adalah match yang spesifik untuk tipe protokol tertentu. Implicit Match
merupakan sekumpulan rule yang akan diload setelah tipe protokol disebutkan.
Ada 3 Implicit Match berlaku untuk tiga jenis protokol, yaitu TCP matches, UDP
matches dan ICMP matches.
–sport
yaitu source port. Match ini berguna untuk mecocokkan paket berdasarkan port asal atau nama service yang bisa dilihat di /etc/service. –sport juga bisa dituliskan untuk range port tertentu, contoh : 22:80 (range port 22 sampai 80), :80 (range dari 0 sampai 80), 1024: (range dari 1024 sampai 65535).
yaitu source port. Match ini berguna untuk mecocokkan paket berdasarkan port asal atau nama service yang bisa dilihat di /etc/service. –sport juga bisa dituliskan untuk range port tertentu, contoh : 22:80 (range port 22 sampai 80), :80 (range dari 0 sampai 80), 1024: (range dari 1024 sampai 65535).
–dport
yaitu destination port. Match ini berguna untuk mecocokkan paket berdasarkan port tujuan atau nama service. penggunaannya sama dengan –sport
Contoh : iptables -I INPUT -p tcp -s 192.168.1.5/32 -d 0/0 –destination-port 6667 -j DROP
yaitu destination port. Match ini berguna untuk mecocokkan paket berdasarkan port tujuan atau nama service. penggunaannya sama dengan –sport
Contoh : iptables -I INPUT -p tcp -s 192.168.1.5/32 -d 0/0 –destination-port 6667 -j DROP
–tcp-flags
Digunakan untuk mencocokkan paket berdasarkan TCP flags yang ada pada paket tersebut. Pertama, pengecekan akan mengambil daftar flag yang akan diperbandingkan, dan kedua, akan memeriksa paket yang di-set 1, atau on. Match ini mengenali SYN,ACK,FIN,RST,URG, PSH. Selain itu kita juga menuliskan ALL dan NONE.
Digunakan untuk mencocokkan paket berdasarkan TCP flags yang ada pada paket tersebut. Pertama, pengecekan akan mengambil daftar flag yang akan diperbandingkan, dan kedua, akan memeriksa paket yang di-set 1, atau on. Match ini mengenali SYN,ACK,FIN,RST,URG, PSH. Selain itu kita juga menuliskan ALL dan NONE.
–syn
Match ini akan memeriksa apakah flag SYN di-set dan ACK dan FIN tidak di-set. Perintah ini sama artinya jika kita menggunakan match –tcp-flags SYN,ACK,FIN SYN
Match ini akan memeriksa apakah flag SYN di-set dan ACK dan FIN tidak di-set. Perintah ini sama artinya jika kita menggunakan match –tcp-flags SYN,ACK,FIN SYN
–icmp-type
Paket ICMP digunakan untuk mengirimkan pesan-pesan kesalahan dan kondisi-kondisi jaringan yang lain.
Paket ICMP digunakan untuk mengirimkan pesan-pesan kesalahan dan kondisi-kondisi jaringan yang lain.
–mac-source
Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC source address.
Contoh : iptables –A INPUT –m mac –mac-source 00:00:00:00:00:01
Match jenis ini berguna untuk melakukan pencocokan paket berdasarkan MAC source address.
Contoh : iptables –A INPUT –m mac –mac-source 00:00:00:00:00:01
multiport
digunakan untuk mendefinisikan port atau port range lebih dari satu, yang berfungsi jika ingin didefinisikan aturan yang sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa menggunakan port matching standard dan multiport matching dalam waktu yang bersamaan.
Contoh : iptables –A INPUT –p tcp –m multiport –sport 22,53,80,110
digunakan untuk mendefinisikan port atau port range lebih dari satu, yang berfungsi jika ingin didefinisikan aturan yang sama untuk beberapa port. Tapi hal yang perlu diingat bahwa kita tidak bisa menggunakan port matching standard dan multiport matching dalam waktu yang bersamaan.
Contoh : iptables –A INPUT –p tcp –m multiport –sport 22,53,80,110
owner
Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau pemilik/owner paket tersebut, bisa dengan –uid-owner atau –gid-owner. Contoh : iptables –A OUTPUT –m owner –uid-owner 500
Penggunaan match ini untuk mencocokkan paket berdasarkan pembuat atau pemilik/owner paket tersebut, bisa dengan –uid-owner atau –gid-owner. Contoh : iptables –A OUTPUT –m owner –uid-owner 500
- State Matches
Match ini
mendefinisikan state apa saja yang cocok. Ada 4 state yang berlaku, yaitu NEW,
ESTABLISHED, – RELATED dan INVALID.
- NEW digunakan untuk paket yang akan memulai koneksi baru.
- ESTABLISHED digunakan jika koneksi telah tersambung dan paket-paketnya merupakan bagian dari koneki tersebut.
- RELATED digunakan untuk paket-paket yang bukan bagian dari koneksi tetapi masih berhubungan dengan koneksi tersebut, contohnya adalah FTP data transfer yang menyertai sebuah koneksi TCP atau UDP.
- INVALID adalah paket yang tidak bisa diidentifikasi, bukan merupakan bagian dari koneksi yang ada.
Contoh : iptables –A INPUT –m state –state RELATED,ESTABLISHED
- NEW digunakan untuk paket yang akan memulai koneksi baru.
- ESTABLISHED digunakan jika koneksi telah tersambung dan paket-paketnya merupakan bagian dari koneki tersebut.
- RELATED digunakan untuk paket-paket yang bukan bagian dari koneksi tetapi masih berhubungan dengan koneksi tersebut, contohnya adalah FTP data transfer yang menyertai sebuah koneksi TCP atau UDP.
- INVALID adalah paket yang tidak bisa diidentifikasi, bukan merupakan bagian dari koneksi yang ada.
Contoh : iptables –A INPUT –m state –state RELATED,ESTABLISHED
LOG
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut.
Contoh : iptables –A FORWARD –p tcp –j LOG –log-level debug
Contoh : iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut.
Contoh : iptables –A FORWARD –p tcp –j LOG –log-level debug
Contoh : iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”
SNAT
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.
Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada chain POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.
Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT
Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.
Contoh : iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 –dport 80 –j DNAT –to-destination 192.168.0.2
Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.
Contoh : iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 –dport 80 –j DNAT –to-destination 192.168.0.2
MASQUERADE
Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.
Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.
Contoh : iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Contoh : iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE
Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.
Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.
Contoh : iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Contoh : iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQUERADE
REDIRECT
Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy.arget ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.
Contoh : iptables -t nat -A PREROUTING -p tcp -m tcp -i eth1 –dport 80 -j REDIRECT –to-port 8080
Contoh : iptables -t nat -A PREROUTING -p udp -m udp -i eth1 –dport 80 -j REDIRECT –to-port 8080
Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy.arget ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.
Contoh : iptables -t nat -A PREROUTING -p tcp -m tcp -i eth1 –dport 80 -j REDIRECT –to-port 8080
Contoh : iptables -t nat -A PREROUTING -p udp -m udp -i eth1 –dport 80 -j REDIRECT –to-port 8080
- Contoh Konfigurasi
meng-drop
semua kiriman paket dari ip address 172.20.2.1
iptables -A INPUT -s 172.20.2.1 -j DROP
iptables -A INPUT -s 172.20.2.1 -j DROP
menerima
paket TCP dari range ip address 172.20.2.1 sampai 172.20.2.254
iptables -A INPUT -p tcp -s 172.20.2.1/172.20.2.254 -j ACCEPT
iptables -A INPUT -p tcp -s 172.20.2.1/172.20.2.254 -j ACCEPT
menolak
semua paket ping loopback lokal ( interface yang digunakan adalah lo )
iptables -A INPUT -i lo -p ICMP -j DENY
iptables -A INPUT -i lo -p ICMP -j DENY