Blog eCampuz
Teknologi, Infrastruktur, Optimalisasi Utilisasi Aset, Server

5 Masalah yang Sering Terjadi Akibat Kesalahan NAT Server

5 Masalah yang Sering Terjadi Akibat Kesalahan NAT Server

NAT Server: 5 Masalah yang Sering Terjadi

Sebagai Network Admin atau NOC kampus, apakah Anda pernah mengalami masalah-masalah NAT server seperti ini?

Tim network eCampuz akan berbagi pengalaman tentang hal itu. Hal tersebut berkaitan dengan set NAT jaringan yang ada di lingkungan Anda.. Mari kita bahas satu persatu.

Apakah NAT itu?

NAT singkatan dari Network Address Translation, yaitu suatu metode yang digunakan untuk menjembatani antara IP LAN dan IP WAN/Publik. Masih ingat kan, IP Local (IPV4) itu terdiri dari IP berapa saja?

Konsep NAT adalah, pada dasarnya IP lokal itu tidak dapat berhubungan dengan IP publik atau WAN, karena mereka ada di alam yang berbeda. Demikian pula sebaliknya. Maka, agar komputer dengan IP lokal dapat mengakses internet, harus ada IP publik yang digunakan sebagai atas nama dia saat berhadapan dengan publik. Demikian juga, seseorang dari internet tidak dapat mengakses server dengan IP lokal kita jika tidak diatasnamakan IP lokal di lingkungan kita. Pengatasnamaan ini biasanya menjadi tugas router atau gateway.

Jadi selama ini kita mengakses ke internet secara teori tidak begitu simple bukan? Lengkapnya dapat menilik referensi berikut : https://en.wikipedia.org/wiki/Network_address_translation. Nah, terberkatilah yang menemukan NAT ini, karena dengan konsep tersebut, IP Publik di dunia tidak segera habis. NAT, dimasa kini juga membantu masalah keamanan untuk server-server publik yang diisolasi di lokal dengan NAT server. Baca juga: Bekerja Dengan LVM Storage untuk Server Kampus

 

Apakah NAT POSTROUTING itu?

Dalam konsep NAT, terdapat dua metode yang biasa digunakan untuk membedakan kondisi paket keluar dan masuk.

Perbedaan PREROUTING dan POSTROUTING

Gambar di atas ini menunjukkan topologi sederhana yang disarankan untuk security. Semua server/layanan ini menggunakan IP local, dan hanya dipublikkan oleh router dengan konsep NAT. Agar si server dapat mengakses keluar internet, maka dia akan diberikan rule POSTROUTING oleh router, sehingga dia keluar atas nama router tersebut.

Cara cek IP Lokal dan Publik pada Server Lokal

Gambar di atas, menunjukkan dua cara. Yang pertama adalah cara melakukan cek IP Address pada Linux. Yang ternyata adalah IP lokal. Sedangkan perintah kedua adalah cara untuk melihat ip publik yang menjadi atas nama server kita. Ada dua macam NAT yang biasa digunakan pada kondisi POSTROUTING, yaitu : source nat, dan ip masquerading.

Berikut contoh setting SNAT pada Mikrotik

/ip firewall nat add chain=srcnat src-address=172.17.0.0/16 action=src-nat to address=183.33.139.37

Contoh Setting SNAT pada Linux

iptables -t nat -I POSTROUTING -s 172.17.0.0/16 -j SNAT --to-source=183.33.139.37

 

Setting IP masquerading pada mikrotik

/ip firewall nat add chain=srcnat action=masquerade out-interface=public

Setting IP masquerading pada Linux

iptables -t nat -I POSTROUTING -s 172.17.0.0/16 -j MASQUERADE

 

Cukup dengan memberikan salah satu perintah SNAT atau MASQUERADE, maka server lokal seharusnya sudah dapat mengakses internet. Server 172.17.0.0 tersebut saat mengakses internet akan diatasnamakan 183.33.139.37.

 

Apakah NAT PREROUTING Itu?

Begitu juga dengan PREROUTING. Seseorang yang berasal dari internet, tidak akan bisa mengakses server yang berada di IP lokal. Cara ini cukup dikenal oleh para network engineer korporasi ataupun instansi-instansi negeri dan swasta. Yaitu cara agar server lokal dapat DIAKSES oleh pengguna dari sisi publik. Maka pengaturannya dilakukan pada kondisi “sebelum masuk router dari sisi publik”. Jadi jelas ya, jika POSTROUTING itu “lokal mengakses WAN/Internet, PREROUTING itu diakses dari WAN/Internet”. Jangan terbalik.

Salah satu rekomendasi keamanan server pada sisi topologi adalah : sebaiknya semua server itu ada di IP lokal. Hanya port tertentu saja yang nanti akan dipublikkan, melalui NAT dari router/gateway. Metode NAT yang digunakan adalah destination NAT, atau DNAT/dst-nat. Pada routerboard Mikrotik, setting DNAT dapat dilakukan seperti berikut:

/ip firewall nat add chain=dstnat dst-address=183.83.139.37 action=dst-nat to-address=172.17.0.5

Atau dalam router Linux

iptables -t nat -I PREROUTING -d 183.83.139.37 -j DNAT --to-destination 172.17.0.5

Dengan demikian, saat IP Address 183.83.139.37 ini diakses, maka akan dilanjutkan ke 172.17.0.5.  Baik SNAT maupun DNAT ini dapat melibatkan port tertentu saja yang akan dikenai rule.

 

Beberapa Masalah NAT Server

Di masa ini, salah satu prosedur keamanan jaringan yang disarankan adalah mengurangi penggunaan server dengan IP publik murni di internet. Dengan demikian, yang digunakan adalah IP Local, yang diberikan NAT publik hanya pada port tertentu, terhadap server local. Dengan demikian, semua protokol local server tidak akan terpublikasi ke luar. Banyak juga Sobat eCampuz yang telah menggunakan model NAT ini untuk infrastruktur sistem akademiknya. Bahkan, layanan-layanan cloud internasional, sebagian besar sudah memainkan NAT server lokal juga, untuk memperkuat sistem keamanan dan penghematan IP nya.

Yang dipublikasikan hanyalah port-port yang memang diijinkan. Dalam beberapa implementasi di kampus-kampus, Tim eCampuz mendapati beberapa hal masalah terkait NAT, yang ternyata memiliki efek terhadap akses aplikasi. Mari kita ulas masalah-masalah NAT server tersebut.

A. Penggunaan MASQUERADE murni

NAT Server, secara ideal, diharapkan IP local server tersebut dipetakan ke publik, baik jalur keluar atau masuknya. Namun, karena kesalahan konfigurasi di router, jalur keluar ke publik, bisa saja berbeda dengan jalur masuknya. Lho kok bisa? Berikut gambarannya:

Proses NAT server local

Urutannya adalah seperti berikut

Poin terakhir ini sering menjadi penyebab banyak masalah. Masalah yang ditimbulkan antara lain :

Solusi dari kasus-kasus ini adalah penggunaan SNAT / src-nat alih-alih MASQUERADE. Pada mikrotik dapat diselesaikan dengan cara ini

/ip firewall nat add chain=srcnat src-address=192.168.0.4 action=src-nat to-address=11.22.33.44

Sedangkan pada router Linux dapat diselesaikan dengan cara ini :

iptables -t nat -I POSTROUTING -s 192.168.0.4 -j SNAT --to-source 11.22.33.44

 

B. Tidak menggunakan local DNS

Dalam penggunaan DNAT publik untuk server ber-IP Local, sering terjadi masalah yang berkaitan dengan jalannya request DNS. DNS adalah Domain Name Service, yang sesungguhnya terletak di internet (publik). Tugasnya menterjemahkan nama panggil (domain), menjadi IP Address yang dikenal oleh komputer. Namun kejadian yang sering terjadi adalah seperti pada gambar di bawah ini.

Topologi client dan server dengan posisi sama di bawah NAT

Sebuah topologi, di mana server terletak pada IP local, sama-sama di bawah NAT Router publik. Komputer local yang ada di sampingnya tidak akan dapat mengakses domain server di sebelah. Mengapa? Berikut urutannya :

Solusinya?

 

 

Related posts

Top 5 Platform Free Cloud Storage untuk Backup File

Bimosaurus
3 years ago

Pertanyaan Umum Seputar eCampuz Cloud

eCampuz
8 years ago

SysAdmin Day : Hari Raya Para Sysadmin

Bimosaurus
5 years ago
Exit mobile version