Bismillah,

Ini adalah lanjutan dari tulisan saya yang kedua tentang nftables.

Sebuah Firewall yang baik, memiliki 3 (tiga) kriteria utama, yaitu:

  • Koneksi dibatasi hanya dari negara tertentu
  • Mampu mencegah reverse telnet
  • Mampu mencegah DDOS

Pada tulisan bagian ketiga ini, akan saya tampilkan contoh pembatasan koneksi hanya dari IP yang berasal dari Indonesia. Serangan terhadap webserver bisa datang dari negara mana saja, sehingga dengan membatasi koneksi/akses hanya dari IP Indonesia, telah mengurangi peluang server kita di rusak oleh pihak asing.

Daftar IP yang berasal dari Indonesia saya dapatkan dari website https://www.ipdeny.com/ yaitu file id.zone

Nah, inilah file /etc/nftables.conf nya.

Wah-wah, filenya panjang sekali ya…he…he… (senyum) yah itulah karena file ini menampung hasil data IP dari file id.zone ini.

Saya akan menjelaskan beberapa baris perintah yang saya anggap penting untuk di jelaskan, dan kalau di perlukan, silahkan merujuk pada tulisan saya bagian pertama dan kedua.

	set ip_indonesia {
		type ipv4_addr
		flags interval
		auto-merge
		elements = {

Pendefinisian IP yang berasal dari Indonesia

	chain input {
		type filter hook input priority 0; policy drop;
		iifname "lo" accept
		ct state { established, related } accept
		ip saddr @ip_indonesia accept
		ip protocol icmp accept
		tcp dport { ssh, http, https } ct state new accept
		drop
	}

Chain input, rinciannya sebagai berikut:

type filter hook input priority 0; policy drop;

Default Deny, semua paket ditolak secara default

iifname “lo” accept

Izinkan interface lo

ct state { established, related } accept

Izinkan paket balasan

ip saddr @ip_indonesia accept

Izinkan IP dari Indonesia

ip protocol icmp accept

Izinkan ping masuk

tcp dport { ssh, http, https } ct state new accept

Port yang di buka adalah port 22, 80, dan 443

drop

selain dari itu, maka akses ditolak

Nah, sekian dulu dari saya, semoga bisa di lanjutkan ke tingkat yang lebih tinggi dan semoga bermanfaat, aamiin.

Alhamdulillah

Daftar Pustaka