Nah OpenBSD dari BSD Family. Klo anak #IndoopenBSD bilang ampuh ! *wink at om luckky_man*. Ini saya uji coba pada tahun lalu dan direvive lagi setelah ada yg bertanya kemaren saat chattang-chatting di IRC. Klo saya banding-bandingin dikid dengan OS fav. saya Fedora Core 4 OpenBSD jauh lebih kencang, namun kenapa OpenBSD gak jadi favorites saya ? Pernah trauma dengan masalah mati lampu eh OBSD na langsung panik ! kqkqkq.. apa mo dikata… gak pake UPS yah gini deh… but saya terpesona dengan BSD yg satu ini. anh berikut tutorial kecil dari saya:

Cara mudah menginstall openbsd 3.7
Sebaiknya sebelum meng Install lebih baek membaca
http://www.openbsd.org/faq/faq4.html
bila sudah dibaca semua, terus sebaiknya baca lagi di 4.5 – Performing an install

langkah pertama, masukan cd openbsd 3.7 yg sudah dibuat tadi, terus booting komputer

erase ^?, werase ^W, kill ^U, intr ^C, status ^T
(I)nstall, (U)pgrade or (S)hell? i

Welcome to the OpenBSD/i386 3.7 install program.

This program will help you install OpenBSD in a simple and rational way. At
any prompt except password prompts you can run a shell command by typing
‘!foo’, or escape to a shell by typing ‘!’. Default answers are shown in []’s
and are selected by pressing RETURN. At any time you can exit this program by
pressing Control-C and then RETURN, but quitting during an install can leave
your system in an inconsistent state.

Specify terminal type: [vt220] Enter
Do you wish to select a keyboard encoding table? [no] Enter

IS YOUR DATA BACKED UP? As with anything that modifies disk contents, this
program can cause SIGNIFICANT data loss.

It is often helpful to have the installation notes handy. For complex disk
configurations, relevant disk hardware manuals and a calculator are useful.

Proceed with install? [no] y

Cool! Let’s get to it…

You will now initialize the disk(s) that OpenBSD will use. To enable all
available security features you should configure the disk(s) to allow the
creation of separate filesystems for /, /tmp, /var, /usr, and /home.

Available disks are: wd0.
Which one is the root disk? (or done) [wd0] Enter

Do you want to use *all* of wd0 for OpenBSD? [no] Yes (sembarang boleh N0 or YES)

asumsi hardisk nya ada isi nya

Initial label editor (enter ‘?’ for help at any prompt)
> p m

device: /dev/rwd0c
type: ESDI
disk: ESDI/IDE disk
label: WDC WD273BA
bytes/sector: 512
sectors/track: 63
tracks/cylinder: 16
sectors/cylinder: 1008
cylinders: 16383
total sectors: 53464320
free sectors: 0
rpm: 3600

4 partitions:
# size offset fstype [fsize bsize cpg]
a: 80.2M 0.0M 4.2BSD 2048 16384 162
b: 300.2M 80.2M swap
c: 26105.6M 0.0M unused 0 0
d: 80.2M 380.5M 4.2BSD 2048 16384 164

Contoh disini ada 4 partisi
maka partisi akan dihapus
d a
d b
d d

buat partisi baru
> a a
offset: [63]
size: 2000 M —-> contoh saja misalkan 2 Gb
FS type: [4.2BSD]
mount point: [none] /

> a b
offset: [1310400]
size: 512 M —> contoh 512 mb
FS type: [swap]

> a d
offset: [3991680] Enter
size: 18 G –> misalkan 18 Gb
Rounding to nearest cylinder: 245952
FS type: [4.2BSD] Enter
mount point: [none] /cache —> sembarang boleh /var , /usr , dll lah

> p m
device: /dev/rwd0c
type: ESDI
disk: ESDI/IDE disk
label: ST320011A
bytes/sector: 512
sectors/track: 63
tracks/cylinder: 16
sectors/cylinder: 1008
cylinders: 16383
total sectors: 39102336
free sectors: 22115520

4 partitions:
# size offset fstype [fsize bsize cpg]
a: 2 G 1498.7M 4.2BSD 2048 16384 16 # /
b: 512 M 1648.8M swap
c: 19092.9M 0.0M unused 0 0
d: 17 G 1949.1M 4.2BSD 2048 16384 16 # /cache

> q
Write new label?: [y] Enter

The root filesystem will be mounted on wd0a.
wd0b will be used for swap space.
Mount point for wd0a (size=2 G), none or done? [/] done

OpenBSD filesystems:
wd0a /
wd0b /swap
wd0d /cache

The next step *DESTROYS* all existing data on these partitions!
Are you really sure that you’re ready to proceed? [no] y

/dev/rwd0a: 307440 sectors in 305 cylinders of 16 tracks, 63 sectors
2 Gin 1 cyl groups (306 c/g, 150.61MB/g, 19328 i/g)
/dev/rwd0b: 245952 sectors in 244 cylinders of 16 tracks, 63 sectors
512 MB in 1 cyl groups (244 c/g, 120.09MB/g, 15360 i/g)
/dev/rwd0d: 164304 sectors in 163 cylinders of 16 tracks, 63 sectors
17 G in 1 cyl groups (164 c/g, 80.72MB/g, 10368 i/g)

Setting the system hostname

Enter system hostname (short form, e.g. ‘foo’): luckyy_man

Configure the network? [yes] Enter
Available interfaces are: fxp0.
Which one do you wish to initialize? (or ‘done’) [fxp0] Enter
Symbolic (host) name for fxp0? [luckyy_man] Enter
The default media for fxp0 is
media: Ethernet autoselect (100baseTX full-duplex)
Do you want to change the default media? [no] Enter
IP address for fxp0? (or ‘dhcp’) 199.185.137.55
Netmask? [255.255.255.0] Enter
Done – no available interfaces found.
DNS domain name? (e.g. ‘bar.com’) [my.domain] example.com
DNS nameserver? (IP address or ‘none’) [none] 199.185.137.1
Use the nameserver now? [yes] Enter
Default route? (IP address, ‘dhcp’ or ‘none’) 199.185.137.128
add net default: gateway 199.185.137.128
Edit hosts with ed? [no] Enter
Do you want to do any manual network configuration? [no] Enter

Password for root account? (will not echo) pAssWOrd
Password for root account? (again) pAssWOrd

Choosing installation media

You will now specify the location and names of the install sets you want to
load. You will be able to repeat this step until all of your sets have been
successfully loaded. If you are not sure what sets to install, refer to the
installation notes for details on the contents of each.

Sets can be located on a (m)ounted filesystem; a (c)drom, (d)isk or (t)ape
device; or a (f)tp, (n)fs or (h)ttp server.
Where are the install sets? c
Available CD-ROMs are: cd0.

Available CD-ROMs are: cd0.
Which one contains the install media? (or ‘done’) [cd0] Enter
Pathname to the sets? (or ‘done’) [3.7/i386] Enter

The following sets are available. Enter a filename, ‘all’ to select
all the sets, or ‘done’. You may de-select a set by prepending a ‘-’
to its name.

[X] bsd
[X] bsd.rd
[X ] bsd.mp
[X] base37.tgz
[X] etc37.tgz
[X] misc37.tgz
[X] comp37.tgz
[X] man37.tgz
[] game37.tgz
[ ] xbase37.tgz
[ ] xetc37.tgz
[ ] xshare37.tgz
[ ] xfont37.tgz
[ ] xserv37.tgz

File Name? (or ‘done’) [game37.tgz] done

File Name? (or ‘done’) [done] Enter
File Name? (or ‘done’) [done] Enter
Ready to install sets? [yes] Enter
Getting bsd …
100% |**************************************************| 5030 KB 00:08
Getting bsd.rd …
100% |**************************************************| 4478 KB 00:02
Getting bsd.mp …
100% |**************************************************| 5072 KB 00:03
Getting base37.tgz …
100% |**************************************************| 34337 KB 00:24
Getting etc37.tgz …
100% |**************************************************| 1636 KB 00:01
Getting misc37.tgz …
100% |**************************************************| 2222 KB 00:01
Getting comp37.tgz …
100% |**************************************************| 21606 KB 00:17
Getting man37.tgz …
100% |**************************************************| 7199 KB 00:05

Finishing up

Start sshd(8) by default? [yes] enter

Start ntpd(8) by default? [no] enter

Do you expect to run the X Window System? [yes] No (bila mau pakai YES]

Change the default console to com0? [no] Enter

Saving configuration files……done.
Generating initial host.random file ……done.
What timezone are you in? (‘?’ for list) [Canada/Mountain] ? Asia/Jakarta
Setting local timezone to ‘Asia/Jakarta’ …done.
Making all device nodes…done.
Installing boot block…
boot: /mnt/boot
proto: /usr/mdec/biosboot
device: /dev/rwd0c
/usr/mdec/biosboot: entry point 0
proto bootblock size 512
/mnt/boot is 3 blocks x 16384 bytes
fs block shift 2; part offset 63; inode block 24, offset 1704
using MBR partition 3: type 166 (0xa6) offset 63 (0×3f)
done.

CONGRATULATIONS! Your OpenBSD install has been successfully completed!
To boot the new system, enter halt at the command prompt. Once the
system has halted, reset the machine and boot from the disk.
# halt

sudah
sampe disini sudah jadi
bila masih kebingungan bisa melihat manual lagi

http://www.openbsd.org/faq/faq4.html
http://www.wbglinks.net/pages/openbsd/installation.html

Cara mudah membuat router atau gateway di OPENBSD

Sambungan dari install openbsd 3.7

Langkah pertama kita install bash
supaya gak repot, krn obsd ini benar2 gak ada packet nya

[root@luckyy_man]# pkg_add -v ftp://ftp.kd85.com/pub/OpenBSD/3.7/packages/i386/bash-3.0.16p0.tgz

setelah selesai

[root@luckyy_man]# chsh

edit menjadi spt ini

Shell: /usr/local/bin/bash

setelah itu save

supaya keren

[root@luckyy_man]# vi .bash_profile
PS1=”[u@h W]$ “

alias rm=’rm -i’
alias cp=’cp -i’
alias mv=’mv -i’
alias ll=’ls -l’

setelah itu save

kemudian reboot

OpenBSD nya udah bisa di TAB

selanjutnya
[root@luckyy_man]# cd /etc/
[root@luckyy_man etc]# ls | grep hostname
hostname.rl0
hostname.rl1

itu menggambarkan landcard nya, disini saya menggunakan Realtek

nah sekarang masuk di konfigurasi
sebaiknya sebelumnya baca di http://www.openbsd.org/faq/pf/
atau download pdf ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf

edit di /etc/pf.conf (mau pake vi, ee, or pico sembarang)

vi /etc/pf.conf

ext_if=”rl0″ –> tergantung ethernet card nya
int_if=”rl1″ –> tergantung ethernet card nya

#scrub in
nat on $ext_if from $int_if=”rl1″:network to any -> ($ext_if)

setelah itu save

kemudian di test dahulu
[root@luckyy_man]# pfctl -f /etc/pf.conf
[root@luckyy_man]# pfctl -sn
nat on rl0 inet from 192.168.0.0/24 to any -> (rl0) round-robin

Bila muncul begini nat sudah berhasil

supaya bisa autorun pada waktu booting maka perlu di edit
di /etc/rc.conf.local

[root@luckyy_man]# vi /etc/rc.conf.local
sendmail_flags=NO
pf=YES
check_quotas=NO
ntpd=NO
named_flags=”"

setelah itu save

agar dpt forward maka edit /etc/sysctl.conf

[root@luckyy_man]# vi /etc/sysctl.conf
net.inet.ip.forwarding=1 # 1=Permit forwarding (routing) of packets

kemudian reboot
nah openbsd anda sudah bisa jadi router

CARA MUDAH INSTALL SQUID di OPENBSD

hmm, emang gak terlalu susah kok install OPENBSD
begitu kata teman2

oke, ini CERPEN YG Keberapa ya ?? lupa

kl ini udah gak asing lagi sih bagi teman2

yg pasti harus download squid nya dulu (pake yg tar.gz aja biar gak repot)
utk lebih baik nya baca http://www.benzedrine.cx/transquid.html

[root@luckyy_man]# wget http://www.squid-cache.org/Versions/v2/2.5/squid-2.5.STABLE11.tar.gz

[root@luckyy_man]# mkdir /usr/local/src –> sembarang mau di taruh mana ekstraknya squid
[root@luckyy_man]# tar zxfv squid-2.5.STABLE11.tar.gz -C /usr/local/src/

Cek dgn
[root@luckyy_man]# vipw
———————————-
nobody:*:32767:32767::0:0:Unprivileged user:/nonexistent:/sbin/nologin
user1:$2a$06$qaJOhO42.xicTJOIEygmPeMV//QWvE7bZJJLWtRBbxKctubbt2Iga:1000:1000:
:0:0:user1:/home/user1:/bin/sh
———————————–
Belum ada user squid –> sip kl gitu bisa lanjut
kl sudah ada di remove dulu

[root@luckyy_man]# cd /usr/local/src/squid-2.5.STABLE11
[root@luckyy_man]# ./configure –sysconfdir=/etc/squid
–enable-pf-transparent –enable-snmp –enable-ssl
–enable-removal-policies=lru,heap
–enable-default-languages=English
–enable-err-languages=English –enable-delay-pools
–enable–cache-digests –enable-poll
–disable-ident-lookups –disable-hostname-checks
–enable-storeio=diskd,ufs

hmm (bisa di modifikasi sesuka hati yg penting ada
–enable-pf-transparent —-enable-storeio=diskd,ufs ) kan sudah di kompile kernel
lanjut

[root@luckyy_man]# make –> {bukan make love loh }
[root@luckyy_man]# make install

terus langkah2 spt biasanya anda, terserah anda

terus edit di /etc/squid/squid.conf
[root@luckyy_man]# vi /etc/squid/squid.conf
————yg penting———————————-
cache_dir diskd /cache 11000 26 256 –> misalkan aja
cache_effective_user squid
cache_effective_group squid
httpd_accel_host virtual –> buat transparnet
httpd_accel_port 80 –> buat transparnet
httpd_accel_with_proxy on –> buat transparnet
httpd_accel_uses_host_header on –> buat transparnet
———————————————————

Buat Direktori cache

[root@luckyy_man]# /usr/local/squid/sbin/squid -z

supaya bisa booting autoamtic

tambahkan di /etc/rc.local

[root@luckyy_man]# vi /etc/rc.local
if [ -x /usr/local/squid/sbin/squid ]; then
echo -n ’squid’; /usr/local/squid/sbin/squid -D
fi

Jalankan dengan

[root@luckyy_man]# /usr/local/squid/sbin/squid -D untuk START
[root@luckyy_man]# /usr/local/squid/sbin/squid -k shutdown Untuk STOP
[root@luckyy_man]# /usr/local/squid/sbin/squid -k reconfigure Untuk restart

Cek dengan
[root@luckyy_man]# tail -f /var/log/messages

Tambahkan redirect di /etc/pf.conf
[root@luckyy_man]# vi /etc/pf.conf
————————————-
ext_if=”rl0″ –> public
int_if=”rl1″ –> local

rdr on $int_if proto tcp from any to any port 80 -> 192.168.0.1 port 3128

ip 192.168.0.1 –> ip openbsd yg di install squid
port 3128 —> port yg dipakai di /etc/squid.conf

Kemudian save
terus
[root@luckyy_man]# pfctl -f /etc/pf.conf
[root@luckyy_man]# pfctl -sn
nat on rl0 inet from 192.168.0.0/24 to any -> (rl0) round-robin
rdr on rl1 inet proto tcp from any to any port = www -> 192.168.0.1 port 3128

test browsing anda
sudah jalan belum squid nya

bila belum jalan di tambahkan

[root@luckyy_man]# chgrp squid /dev/pf
[root@luckyy_man]# chmod g+rw /dev/pf

RAsakan Bedanya pake Diskd, semoga berhasil
Spesial Thanks to siapa saya yg udah bantu
Jangan Lupa join di #awali or ikut milling list www.awali.org

Cara Mudah Membuat Firewall Sederhana OPENBSD

Sebelum membuat firewall ini, sebaiknya membaca dulu di
ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf (download komplit)
khusus
http://www.openbsd.org/faq/pf/example1.html

Firewall ini sederhana, cuman menutup port-port default yg terbuka (kl buka terus nanti masuk angin) supaya tidak mudah untuk disusupi

[root@luckyy_man]# vi /etc/pf_firewall.conf

ext_if = “rl0″ # —> Ethernet card
int_if = “rl1″

tcp_services = “{ 22, 53, 113 }”
icmp_types = “echoreq”

priv_nets = “{ 192.168.1.0/24, 192.168.0.0/24 }” # –> tergantung ip privat anda
ip_isp = “{202.xxx.xxx.xxx, 202.xxx.xxx.xxx }” #–> bukan Triple X loh

# options
set block-policy return
set loginterface $ext_if

# scrub
scrub in all

# nat/rdr
nat on $ext_if from 192.168.1.0/24 to any -> ($ext_if)
nat on $ext_if from 192.168.0.0/24 to any -> ($ext_if)
rdr on $int_if proto tcp from any to any port 80 -> 192.168.1.1 port 3128

# filter rules
block all # Menutup semua port

pass quick on lo0 all

# provide unrestricted Internet access to internal computers
block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets

# allow the following incoming traffic to the firewall
pass in on $ext_if inet proto tcp from any to ($ext_if)
port $tcp_services flags S/SA keep state

#Agar ISP bisa Baca SNMP -mu
pass in quick on $ext_if proto udp from $ip_isp to port { 161, 162 }

pass in inet proto icmp all icmp-type $icmp_types keep state

pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass in on $int_if from 192.168.0.0/24 to any keep state
pass out on $int_if from any to 192.168.0.0/24 keep state

pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

Save & exit

[root@luckyy_man]# pfctl -f /etc/pf_firewall.conf

Untuk mengecek apakah udah jalan gunakan nmap
tapi nmap dari ip public, jgn nmap dari localhost,
kl dari localhost maka tetap terlihat terbuka
Hasil Nmap dari Bos JALI (TCP)
(The 1647 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
69/tcp filtered tftp
113/tcp open auth
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
707/tcp filtered unknown
1433/tcp filtered ms-sql-s
1434/tcp filtered ms-sql-m
4444/tcp filtered krb524
5050/tcp filtered mmcc

hasil Nmap dari Bos Jali (UDP)
(The 1429 ports scanned but not shown below are in state: open|filtered)
PORT STATE SERVICE
37/udp closed time
59/udp closed priv-file
84/udp closed ctf
102/udp closed iso-tsap
108/udp closed snagas
121/udp closed erpc
187/udp closed aci
249/udp closed unknown
261/udp closed nsiiops
266/udp closed unknown
280/udp closed http-mgmt
299/udp closed unknown
320/udp closed unknown
352/udp closed dtag-ste-sb
423/udp closed opc-job-start
462/udp closed datasurfsrvsec
520/udp closed route
556/udp closed remotefs
573/udp closed banyan-vip
599/udp closed acp
608/udp closed sift-uft
660/udp closed mac-srvr-admin
675/udp closed unknown
687/udp closed unknown
700/udp closed unknown
714/udp closed unknown
773/udp closed notify
837/udp closed unknown
845/udp closed unknown
872/udp closed unknown
896/udp closed unknown
954/udp closed unknown
962/udp closed unknown
974/udp closed unknown
1083/udp closed ansoft-lm-1
1389/udp closed iclpv-dm
1435/udp closed ibm-cics
1438/udp closed eicon-server
1454/udp closed interhdl_elmd
1460/udp closed proshare2
1495/udp closed cvc
1499/udp closed fhc
1524/udp closed ingreslock
1541/udp closed rds2
2041/udp closed interbase
6146/udp closed lonewolf-lm
7004/udp closed afs3-kaserver
7006/udp closed afs3-errors
32779/udp closed sometimes-rpc22

ini firewall sederhana, akan meng close semua port termasuk port 80, saat ini belum tau caranya buka port http (soalnya gak pake web server) mungkin ada teman2 yg bisa bantu ??

Spesial Thnks to Bos JALI & Bos Soegemblung yg telah membantu dan mau direpoti agar SNMP bisa terbaca ISP
Hidup Bos JALI & Bos GEMBLUNG

Bagi teman2 yg punya ilmu yg mau di share silahkan masukan di www.awari.org
dan jgn lupa join di #awari –> Dalnet

Cara Mudah MengKompile KERNEL buat Optimasi SQUID

Sambungan dari Cara mudah Membuat Router

langkah pertama meng optimasi kernel nya dahulu

Tambahkan

[root@luckyy_man]# vi /etc/sysctl.conf
net.inet.ip.forwarding=1 # 1=Permit forwarding (routing) of packets
kern.maxfiles=8192
kern.maxclusters=16384

[root@luckyy_man]# ulimit -a
core file size (blocks, -c) unlimited
data seg size (kbytes, -d) 1048576
file size (blocks, -f) unlimited
max locked memory (kbytes, -l) 147026
max memory size (kbytes, -m) 439668
open files (-n) 128 –> ini yg di perbesar
pipe size (512 bytes, -p) 1
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 532
virtual memory (kbytes, -v) 1056768

terus edit di /etc/login.conf
——————————
default:
:path=/usr/bin /bin /usr/sbin /sbin /usr/X11R6/bin /usr/local/bin:
:umask=022:
:datasize-max=256M:
:datasize-cur=75M:
:maxproc-max=128:
:maxproc-cur=64:
penfiles-cur=1024: —> yg di edit
:stacksize-cur=4M:
:localcipher=blowfish,6:
:ypcipher=old:
:tc=auth-defaults:
:tc=auth-ftp-defaults:

daemon:
:ignorenologin:
:datasize=infinity:
:maxproc=infinity:
penfiles-cur=1024: –> di edit juga
:stacksize-cur=8M:
:localcipher=blowfish,8:
:tc=default:

—————————————

kemudiaan save dan reboot

[root@luckyy_man]# ulimit -a
core file size (blocks, -c) unlimited
data seg size (kbytes, -d) 1048576
file size (blocks, -f) unlimited
max locked memory (kbytes, -l) 147026
max memory size (kbytes, -m) 439668
open files (-n) 1024 —> sudah berubah
pipe size (512 bytes, -p) 1
stack size (kbytes, -s) 8192
cpu time (seconds, -t) unlimited
max user processes (-u) 532
virtual memory (kbytes, -v) 1056768

langkah berikutnya adalah mendownload source kernel
- src.tar.gz
- sys.tar.gz

Misalkan menggunakan OpenBSD 3.7

jangan lupa di install Wget –> spt cara install bash

[root@luckyy_man]# wget ftp://ftp.kd85.com/pub/OpenBSD/3.7/src.tar.gz
[root@luckyy_man]# wget ftp://ftp.kd85.com/pub/OpenBSD/3.7/sys.tar.gz

kemudian
[root@luckyy_man]# tar zxfv src.tar.gz -C /usr/src
sambil menunggu proses chating di #indoopenbsd (agak lama ekstraknya)

[root@luckyy_man]# tar zxfv sys.tar.gz -C /usr/src

terus

[root@luckyy_man]# cd /usr/src/sys/arch/i386/conf/
[root@luckyy_man]# vi GENERIC –> (bukan obat GENERIC )

——–tambahkan————-
option MSGMNB=16384
option MSGMNI=40
option MSGSEG=2048
option MSGSSZ=64
option MSGTQL=1024
——————————

[root@luckyy_man]# /usr/sbin/config GENERIC
[root@luckyy_man]# cd /usr/src/sys/arch/i386/compile/GENERIC/
[root@luckyy_man]# make clean
[root@luckyy_man]# make depend
[root@luckyy_man]# make

(menggunakan athlon 1900 ram 512 mb, cuman 10 menit)

GANTi KERNEL

[root@luckyy_man]# cd /usr/src/sys/arch/i386/compile/GENERIC/
[root@luckyy_man]# cp /bsd /bsd.old
[root@luckyy_man]# cp bsd /bsd —> ketik yes

[root@luckyy_man]# reboot

abis booting

[root@luckyy_man]# uname -a
OpenBSD luckyy_man.com 3.7 GENERIC#0 i386

Spesial Thanks To : CANAXIS, Lotnos, SigSeg (#indoopenbsd)
Yg sudah memberi Petunjuk buat OPTIMASI KERNEL

SUDAH JADI

Untuk server warnet:

Edit :
vi /etc/sysctl.conf
net.inet.ip.forwarding=1

vi /etc/pf.conf
eth0 = “fxp0″
eth1 = “fxp1″

vi /etc/rc.conf.local
sendmail_flags=NO
pf=YES
check_quotas=NO
ntpd=NO
named_flags=”"

Do command :
nat on $eth0 from $eth1 to any -> ($eth0)

83.170.72.153 login ro pler123

http://www.wbglinks.net/pages/openbsd/cvsup.html

sudo pfctl -e -f /etc/pf.conf

http://www.0xdeadbeef.info/conf/pf.conf.35

———————————-
Thanks buat luckyy_man untuk artikelnya dan awali.org sebagai media nya.. semoga maju trus..

Tulisan ini merupakan hutang dari postingan terdahulu. Sebenarnya langkah-langkah instalasinya hilang dari memory otak. Hanya saja kemaren ingat lagi setelah disodori komputer dengan dual processor P3 733Mhz dan RAM 512Mb plus 1 scsi HDD 18 Gb.
Komputer ini built-up dengan merk HP series Netserver E800

Banyak pertanyaan dari teman-teman, terutama para operator warnet, admin jaringan sekolah/kampus dan korporasi tentang load balancing dua atau lebih koneksi internet. Cara praktikal sebenarnya banyak dijumpai jika kita cari di internet, namun banyak yang merasa kesulitan pada saat diintegrasikan. Penyebab utamanya adalah karena kurang mengerti konsep jaringan, baik di layer 2 atau di layer 3 protokol TCP/IP. Dan umumnya dual koneksi, atau multihome lebih banyak diimplementasikan dalam protokol BGP. Protokol routing kelas ISP ke atas, bukan protokol yang dioprek-oprek di warnet atau jaringan kecil.

Berikut beberapa konsep dasar yang sering memusingkan:

1. Unicast
Protokol dalam trafik internet yang terbanyak adalah TCP, sebuah komunikasi antar host di internet (praktiknya adalah client-server, misal browser anda adalah client maka google adalah server). Trafik ini bersifat dua arah, client melakukan inisiasi koneksi dan server akan membalas inisiasi koneksi tersebut, dan terjadilah TCP session (SYN dan ACK).

2. Destination-address
Dalam jaringan IP kita mengenal router, sebuah persimpangan antara network address dengan network address yang lainnya. Makin menjauh dari pengguna persimpangan itu sangat banyak, router-lah yang mengatur semua trafik tersebut. Jika dianalogikan dengan persimpangan di jalan, maka rambu penunjuk jalan adalah routing table. Penunjuk jalan atau routing table mengabaikan “anda datang dari mana”, cukup dengan “anda mau ke mana” dan anda akan diarahkan ke jalan tepat. Karena konsep inilah saat kita memasang table routing cukup dengan dua parameter, yaitu network address dan gateway saja.

3. Source-address
Source-address adalah alamat IP kita saat melakukan koneksi, saat paket menuju ke internet paket akan melewati router-router ISP, upstream provider, backbone internet dst hingga sampai ke tujuan (SYN). Selanjutnya server akan membalas koneksi (ACK) sebaliknya hingga kembali ke komputer kita. Saat server membalas koneksi namun ada gangguan saat menuju network kita (atau ISPnya) maka komputer kita sama sekali tidak akan mendeteksi adanya koneksi. Seolah-olah putus total, walaupun kemungkinan besar putusnya koneksi hanya satu arah.

4. Default gateway
Saat sebuah router mempunyai beberapa interface (seperti persimpangan, ada simpang tiga, simpang empat dan simpang lima) maka tabel routing otomatis akan bertambah, namun default router atau default gateway hanya bisa satu. Fungsinya adalah mengarahkan paket ke network address yang tidak ada dalam tabel routing (network address 0.0.0.0/0).

5. Dua koneksi
Permasalahan umumnya muncul di sini, saat sebuah router mempunyai dua koneksi ke internet (sama atau berbeda ISP-nya). Default gateway di router tetap hanya bisa satu, ditambah pun yang bekerja tetap hanya satu. Jadi misal router NAT anda terhubung ke ISP A melalui interface A dan gateway A dan ke ISP B melalui interface B dan gateway B, dan default gateway ke ISP A, maka trafik downlink hanya akan datang dari ISP A saja. Begitu juga sebaliknya jika dipasang default gateway ke ISP B.

Bagaimana menyelesaikan permasalahan tersebut?
Konsep utamanya adalah source-address routing. Source-address routing ibaratnya anda dicegat di persimpangan oleh polisi dan polisi menanyakan “anda dari mana?” dan anda akan ditunjukkan ke jalur yang tepat.

Pada router NAT (atau router pada umumnya), source-address secara default tidak dibaca, tidak dipertimbangkan. Jadi pada kasus di atas karena default gateway ke ISP A maka NAT akan meneruskan paket sebagai paket yang pergi dari IP address interface A (yang otomatis akan mendapat downlink dari ISP A ke interface A dan diteruskan ke jaringan dalam).

Dalam jaringan yang lebih besar (bukan NAT), source-address yang melewati network lain disebut sebagai transit (di-handle dengan protokol BGP oleh ISP). Contoh praktis misalnya anda membeli bandwidth yang turun dari satelit melalui DVB, namun koneksi uplink menggunakan jalur terestrial (dial-up, leased-line atau fixed-wireless). Dalam kasus ini paket inisiasi koneksi harus menjadi source-address network downlink DVB, agar bandwidth downlink dari internet mengarah DVB receiver, bukan ke jalur terestrial.

Di lingkungan Linux, pengaturan source-address bisa dilakukan oleh iproute2. Iproute2 akan bekerja sebelum diteruskan ke table routing. Misal kita mengatur dua segmen LAN internal agar satu segmen menjadi source-address A dan satu segmen lainnya menjadi source-address B, agar kedua koneksi ke ISP terutilisasi bersamaan.

Penerapan utilisasi dua koneksi tersebut bisa mengambil tiga konsep, yaitu round-robin, loadbalance atau failover.

6. Round-robin
Misalkan anda mempunyai tiga koneksi internet di satu router NAT, koneksi pertama di sebut Batman, koneksi kedua disebut Baskin dan koneksi ketiga disebut Williams, maka konsep round-robin adalah sang Robin akan selalu berpindah-pindah secara berurutan mengambil source-address (bukan random). Misal ada satu TCP session dari komputer di jaringan internal, maka koneksi TCP tersebut tetap di source-address pertama hingga sesi TCP selesai (menjadi Batman & Robin). Saat TCP session Batman & Robin tersebut belum selesai, ada ada request koneksi baru dari jaringan, maka sang Robin akan mengambil source-address koneksi berikutnya, menjadi Baskin & Robin. Dan seterusnya sang Robin akan me-round-round setiap koneksi tanpa memperhatikan penuh atau tidaknya salah satu koneksi.

Pasti anda sedang pusing membaca kalimat di atas, atau sedang tertawa terbahak-bahak.

7. Loadbalance
Konsep loadbalance mirip dengan konsep round-robin di atas, hanya saja sang Robin dipaksa melihat utilisasi ketiga koneksi tersebut di atas. Misalkan koneksi Batman & Robin serta Baskin & Robin sudah penuh, maka koneksi yang dipilih yang lebih kosong, dan koneksi yang diambil menjadi Robin Williams. Request koneksi berikutnya kembali sang Robin harus melihat dulu utilisasi koneksi yang ada, apakah ia harus menjadi Batman & Robin, Baskin & Robin atau Robin Williams, agar semua utilisasi koneksi seimbang, balance.

8. Failover
Konsep fail-over bisa disebut sebagai backup otomatis. Misalkan kapasitas link terbesar adalah link Batman, dan link Baskin lebih kecil. Kedua koneksi tersebut terpasang online, namun koneksi tetap di satu link Batman & Robin, sehingga pada saat link Batman jatuh koneksi akan berpindah otomatis ke link Baskin, menjadi Baskin & Robin hingga link Batman up kembali.

*makan es krim Haagendaz dulu*

Tools NAT yang mempunyai ketiga fitur di atas adalah Packet Firewall (PF) di lingkungan BSD, disebut dengan nat pool. Saya belum menemukan implementasi yang bagus (dan cukup mudah) di Linux dengan iproute2.

*Uraian panjang di atas hanyalah kata sambutan sodara-sodara…*

Berikut contoh implementasi load balance dua koneksi sesuai judul di atas. Dijalankan di mesin OpenBSD sebagai NAT router dengan dua koneksi DSL Telkom, interface ethernet sk0 dan sk1.

1. Aktifkan forwarding di /etc/sysctl.conf

net.inet.ip.forwarding=1

2. Pastikan konfigurasi interface dan default routing kosong, hanya filename saja

# /etc/hosts.sk0
# /etc/hosts.sk1
# /etc/hostname.sk0
# /etc/hostname.sk1
# /etc/mygate

Script koneksi DSL Speedy, pppoe0 untuk koneksi pertama dan pppoe1 untuk koneksi kedua. Sesuaikan interface, username dan passwordnya. Jangan lupa, gunakan indent tab.

# /etc/ppp/ppp.conf
default:
        set log Phase Chat LCP IPCP CCP tun command
        set redial 15 0
        set reconnect 15 10000
pppoe0:
        set device "!/usr/sbin/pppoe -i sk0"
        disable acfcomp protocomp
        deny acfcomp
        set mtu max 1492
        set mru max 1492
        set crtscts off
        set speed sync
        enable lqr
        set lqrperiod 5
        set cd 5
        set dial
        set login
        set timeout 0
        set authname blahblahblah@telkom.net
        set authkey asaljangandejek
        add! default HISADDR
        enable dns
        enable mssfixup
pppoe1:
        set device "!/usr/sbin/pppoe -i sk1"
        disable acfcomp protocomp
        deny acfcomp
        set mtu max 1492
        set mru max 1492
        set crtscts off
        set speed sync
        enable lqr
        set lqrperiod 5
        set cd 5
        set dial
        set login
        set timeout 0
        set authname blahblahblah2@telkom.net
        set authkey vikingboneksamasaja
        add! default HISADDR
        enable dns
        enable mssfixup

3. Aktifkan interface sk0 dan sk1

# ifconfig sk0 up
# ifconfig sk1 up

4. Jalankan PPPoE, Point to Point Protocol over Ethernet.

# ppp -ddial pppoe0
# ppp -ddial pppoe1

5. Jika koneksi Speedy berhasil, IP address dari Speedy akan di-binding di interface tunneling tun0 dan tun1

# ifconfig
tun0: flags=8051 mtu 1492
        groups: tun egress
        inet 125.xxx.xxx.113 –> 125.163.72.1 netmask 0xffffffff
tun1: flags=8051 mtu 1492
        groups: tun
        inet 125.xxx.xxx.114 –> 125.163.72.1 netmask 0xffffffff

6. Dan default gateway akan aktif

# netstat -nr |more
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use    Mtu  Interface
default            125.163.72.1       UGS         7    17529      -   tun0

7. Serta konfigurasi resolver DNS pun akan terisi

# cat /etc/resolv.conf
lookup file bind
nameserver 202.134.2.5
nameserver 203.130.196.5

8. Aktifkan Packet Firewall pf

# /etc/rc.conf
pf=”YES”

9. Script Packet Firewall NAT dan balancing dengan round-robin (ganti round-robin dengan loadbalance jika lebih sesuai dengan kebutuhan anda). Baris yang di-indent masih termasuk baris di atasnya. Entah kenapa tag <pre> malah menghilangkan karakter backslash (\).

# /etc/pf.conf
lan_net = "10.0.0.0/8"
int_if  = "vr0"
ext_if1 = "tun0"
ext_if2 = "tun1"
ext_gw1 = "125.163.72.1"
ext_gw2 = "125.163.72.1"
# scrub all
scrub in all
#  nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)
#  pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
#  pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
#  load balance outgoing tcp traffic from internal network.
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto tcp from $lan_net to any flags S/SA modulate state
#  load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto { udp, icmp } from $lan_net to any keep state
#  general "pass out" rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

10. Aktifkan script yang diperlukan di /etc/rc.local agar setiap reboot langsung bekerja.

ifconfig sk0 up
ifconfig sk1 up
# aktifkan speedy
ppp -ddial pppoe0
ppp -ddial pppoe1

PF akan langsung bekerja membaca /etc/pf.conf.
Jika harus me-restart koneksi DSL Speedy, pastikan pppoe dimatikan dulu

# pkill ppp

Jika tidak, maka ppp akan membuat tunneling baru menjadi tun2, tun3 dan seterusnya.

11. Untuk memantau fungsi nat pool round-robin di atas bekerja atau tidak, bisa menggunakan tools pftop yang bisa diambil di http://www.eee.metu.edu.tr/~canacar/pftop/

Jika anda mengoptimasikan koneksi jaringan juga dengan menggunakan proxy, misalnya Squid, maka proxy Squid jangan dipasang juga di mesin router NAT tersebut, sebab saat Squid mengakses halaman web ke internet; oleh PF dianggap bukan sebagai koneksi NAT, jadi tidak akan di-balance, dan akan stay mengambil interface utama dan default gateway pertama. Simpanlah mesin proxy/squid di belakang router NAT, agar koneksi proxy ke internet menjadi trafik NAT yang akan di-balance oleh script PF di atas.

–
Thanks to Starchie dan Hengky atas tutorial basic PF di OpenBSD.