Linux Traffic Control (3)
Topologi jaringan dan desain htb
Kriteria dalam pembuatan traffic control ini:
- Traffic control hanya untuk trafik eggress dari device lan (eth0) dan wan (eth1).
- Trafik dari local area network (lan) ke router dan sebaliknya tidak melalui traffic control.
- Trafik dari internet ke lan (downstream) akan melalui traffic control, kecuali trafik dari port 80 (www) yang mempunyai tanda TOS 0×30 atau DSCP 12 (cache hit).
- Setiap pc atau anggota lan akan memiliki class dan qdisc sendiri-sendiri.
- Tidak ada class default untuk handle traffic untuk object yang tidak didefinisikan atau unclassified traffic.
Catatan: trafik ke internet port 80 akan melalui server proxy remote secara transparent.
Read the rest of this entry »
Linux Traffic Control (2)
Topologi jaringan dan desain htb
Kriteria dalam pembuatan traffic control ini:
- Traffic control hanya untuk trafik eggress dari device eth0 (lan)
- Trafik dari local area network (lan) ke router dan sebaliknya tidak melalui traffic control.
- Trafik dari lan ke internet atau upstream tidak melalui traffic control.
- Trafik dari internet ke lan atau downstream akan melalui traffic control, kecuali trafik dari port 80 (www) yang mempunyai tanda TOS 0×30 atau DSCP 12 (cache hit).
- Setiap pc atau anggota lan akan memiliki class dan qdisc sendiri-sendiri.
- Ada class default untuk handle traffic untuk object yang tidak didefinisikan atau unclassified traffic
Catatan: trafik ke internet port 80 akan melalui server proxy remote secara transparent.
Read the rest of this entry »
Linux Traffic Control (1)
Topologi jaringan dan desain htb
Kriteria dalam pembuatan traffic control ini
- Traffic control hanya untuk trafik eggress dari device eth0 (lan)
- Trafik dari local area network (lan) ke router dan sebaliknya tidak melalui traffic control.
- Trafik dari lan ke internet atau upstream tidak melalui traffic control.
- Trafik dari internet ke lan atau downstream akan melalui traffic control, kecuali trafik dari port 80 (www) yang mempunyai tanda TOS 0×30 atau DSCP 12 (cache hit).
Catatan: trafik ke internet port 80 akan melalui server proxy remote secara transparent.
Read the rest of this entry »
iptables mangle dan tc filter untuk catch cache hit
Untuk menangkap trafik paket yang cache hit dari mesin proxy remote yang mempunyai TOS 0×30 atau DSCP 12, ada dua cara yang bisa dilakukan untuk traffic control di linux (Note: eth0 adalah LAN device):
- Buat class untuk menangkap trafik cache hit dan set filter seperti di bawah ini:
tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip protocol 0x6 \ 0xff match ip tos 0x30 0xff flowid 1:68 - Buat iptables mangle dan set mark untuk trafik cache hit seperti di bawah ini:
iptables -A FORWARD -t mangle -p tcp -m dscp --dscp 12 -j MARK --set-mark 0x212
Sekarang bandingkan hasil dari dua perintah di bawah ini:
- tc -s -d class show dev eth0
... class htb 1:68 parent 1:66 leaf 68: prio 0 quantum 60000 rate 100000Kbit ceil 100000Kbit burst 126575b/8 mpu 0b overhead 0b cburst 126575b/8 mpu 0b overhead 0b level 0 Sent 679063 bytes 665 pkts (dropped 0, overlimits 0) rate 136bit lended: 665 borrowed: 0 giants: 0 tokens: 8265 ctokens: 8265
- iptables -L FORWARD -t mangle -nv
Chain FORWARD (policy ACCEPT 255K packets, 127M bytes) pkts bytes target prot opt in out source destination 665 670K MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 DSCP match 0x0c MARK set 0x1
Nice and beautiful 
.
Contoh-contoh traffic control menyusul.
Consider r2q change
Copas (copy paste) dari milis lartc: consider r2q change:
It is documented in HTB manual. The complaint was not displayed before and sharing was silently wrong.
Quantum of leaf should be between 1500 and 60000 and it is computed as rate/r2q (or can be supplied independly). So that if your maximal leaf rate is 1Mbit (120000Bps) then r2q should be 3. If max rate is 10kbit (1200Bps) then r2q should be 1. It is warning only and will not affect functionality, only precision.
Smallest rate : 16kbit = 2 kilobyt / r2q (=10) = 200. And this is < 1500. So you get warnings. Biggest rate : 100mbit = 12.5 mbyte / r2q = 1.2 Mbyte > 60.000. So you get warnings.
If you do tc qdisc add dev eth0 root handle 1: htb default 10 r2q 1
Smallest rate : 16kbit = 2kilobyte / r2k = 2000. And this is > 1500. So no warnings.
Biggest rate : 100mbit = 12.5 mbyte / r2q = 12.5 Mbyte > 60.000. So you get warnings.
But you can overrule the quantum :
tc class add dev eth0 parent 1:1 classid 1:11 htb rate 128kbit burst 2k quantum 60000
Quantum is used when 2 classes are getting more bandwidth then the rate. So it’s only important for sharing the remaining bandwidth. In that case, each class may send quantum bytes.
Setup DUN di ubuntu untuk koneksi internet treo
Tulisan dibuat untuk mendokumentasikan bagaimana membuat koneksi bluetooth dial up networking (DUN) untuk sharing internet di laptop ubuntu penulis dengan treo 680. Sebelumnya penulis telah googling sana-sini dan menemukan beberapa tulisan yang dipakai sebagai referensi artikel ini:
- Bluetooth Network Connection between Palm Treo 680 and Ubuntu 8.04
- Using the Palm Treo 650 with debian
- HOWTO: Share your Ubuntu connection with Symbian phones
Penulis menggunakan laptop compaq presario v3000 dimana semua device internal termasuk bluetooh bisa dikenali oleh Ubuntu 8.04. Sebelum membuat koneksi DUN, device bluetooth ubuntu telah dimasukkan ke daftar trusted device oleh treo 680 dan sebaliknya. Langkah selanjutnya adalah membuat koneksi DUN di ubuntu dan setup koneksi baru di treo 680:
Web proxy internal mikrotik v3.x
Berbeda dengan mikrotik versi 2.9.x, pada mikrotik versi 3.x tidak ada seting default di ip proxy cache yang fungsinya untuk mengatur apa saja yang tidak boleh dicache. Banyak tulisan yang dibuat mengenai pengaturan web proxy internal mikrotik v2.9.x tetapi sedikit atau bahkan boleh dikatakan hampir tidak ada tulisan mengenai optimasi web proxy 3.x. Beberapa bahkan menyebutkan web proxy internal 2.9.x lebih bagus daripada versi 3.x karena yang versi 2.9.x diambil dari source squid sedangkan yang versi 3.x buatan mikrotik sendiri.
Mikrotik 2.9.x:
/ip web-proxy cache print
Flags: X - disabled, I - invalid
0 ;;; don't cache dynamic http pages
url=":cgi-bin \\?" action=deny
Membuat router linux anda kebal arp poisoning (arp spoofing)
Artikel mengenai arp poisoning atau arp spoofing sudah banyak ditulis di internet. Pencarian di google dengan entri arp poisoning memberikan banyak entry. Sekarang bagaimana membuat router linux kebal terhadap arp poisoning ? Dalam kasus ini kita akan melindungi linux dari arp spoofing hanya di interface lan (local area network).
Untuk instal arptables, di distro linux keluarga debian jalankan:
$ sudo apt-get install arptables
Sedangkan untuk distro lain, seperti slackware, download source arptables di http://sourceforge.net/projects/ebtables/files/arptables/
Untuk distro seperti slackware ini, kita harus melakukan beberapa modifikasi:
# mkdir /etc/sysconfig # tar zxf arptables-v0.0.3-3.tar.gz # cd arptables-v0.0.3-3 # make && make install # cd /etc/sysconfig # echo 'NETWORKING=no' >> network
Conficker dan bagaimana mengenalinya
Sebenarnya sudah cukup banyak tulisan yang dibuat mengenai conficker:
- Apa itu conficker
- Blocking virus conficker
- Download domain conficker
- Memblok akses untuk download content conficker
Tulisan yang akan disajikan di bawah ini pendekatannya hampir sama dengan cara 2 dan 3 cuma scriptingnya tidak dilakukan di mikrotik melainkan di laptop ubuntu penulis. Data domain conficker diambil dari http://www.epicwinrar.com/conficker/domains.txt. Langkah-langkahnya sebagai berikut:
Setup modem untuk PPP Server/Client di Mikrotik
Tulisan ini dbuat sebagai tanggapan dari rekan forum yang minta dibantu setup dialin server di mikrotik. Modem yang digunakan bukan modem GSM, CDMA, atau HSDPA tetapi modem analog jadul yang dulu sering dipakai untuk koneksi ke internet atau bbs melalui landline atau PSTN (telkom). Modem yang penulis gunakan adalah modem internal hard modem tipe ISA bukan PCI, modem tipe PCI biasanya soft modem. Modem ini punya jumper untuk IRQ sehingga bisa menambah jumlah koneksi serial di komputer, yang biasanya maksimum dua bisa nambah satu menjadi 3. Penulis dulu pernah setup dialin server di komputer redhat linux dengan dua modem eksternal dan 1 modem internal.
