Cara Menggunakan NFTables untuk Firewall Server & Router

-

Diagram untuk memahami konsep nftables:


https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_hooks

📌 Apa itu NFTables?

NFTables adalah firewall modern yang menjadi pengganti IPTables dalam framework Netfilter di Linux. Sistem ini menyediakan:

  • Framework packet filtering yang lebih fleksibel
  • Utility baru bernama nft
  • Kompatibilitas dengan IPTables lama
  • Integrasi dengan connection tracking, logging, dan queueing Netfilter

NFTables dirancang agar lebih sederhana, efisien, dan mudah dikelola dibanding IPTables.

📌 Konsep Dasar NFTables

Saat paket masuk ke server/router, paket akan melewati Netfilter Hooks, seperti:

  • Prerouting → sebelum routing
  • Input → paket menuju host
  • Forward → paket diteruskan router
  • Output → paket keluar dari host
  • Postrouting → setelah routing

Beberapa poin penting:

✅ Filtering Layer 2 atau Layer 3 bisa dipilih sesuai kebutuhan
✅ DNAT biasanya di Prerouting Hook
✅ SNAT biasanya di Postrouting Hook

📌 Chain yang Umum Digunakan

Jika di Server:

  • INPUT → filter trafik masuk

Jika di Router:

  • INPUT → trafik ke router
  • FORWARD → trafik yang diteruskan

Untuk semua:

  • OUTPUT → filter trafik keluar

Berbeda dengan IPTables, NFTables tidak memiliki built-in chain tetap. Kita bisa membuat chain sendiri sesuai kebutuhan.

📌 Struktur NFTables

Hierarchy dasar:

Table → Chain → Rules
  • Table → wadah konfigurasi
  • Chain → berisi rules
  • Rules → kondisi + aksi (accept/drop/dll)

🛠️ Contoh Konfigurasi Dasar

1️⃣ Install NFTables

apt-get install nftables

2️⃣ Buat Table & Default Policy Drop

Semua incoming packet akan ditolak secara default.

nft add table inet filter

nft add chain inet filter input '{ type filter hook input priority 0 ; policy drop ; }'

3️⃣ Membuat Trusted List

Berisi IP yang diperbolehkan.

nft add set inet filter trusted '{ type ipv4_addr ; }'

nft add element inet filter trusted '{ 10.0.0.1 }'
nft add element inet filter trusted '{ 10.0.0.2 }'

4️⃣ Allow SSH dari Trusted List

nft add rule inet filter input tcp dport 22 ip saddr @trusted accept

5️⃣ Allow ICMP dari Trusted List

nft add rule inet filter input icmp type echo-request ip saddr @trusted accept

📌 Kesimpulan

NFTables adalah firewall modern yang:

✔ Lebih sederhana dari IPTables
✔ Lebih fleksibel dalam membuat chain & rules
✔ Mendukung filtering yang lebih efisien

Konfigurasi bisa dilakukan via CLI atau disimpan di /etc/nftables.conf agar tetap aktif setelah reboot.

🎯 Penutup

Selanjutnya kamu bisa mengembangkan konfigurasi seperti:

  • NAT (DNAT/SNAT)
  • Port forwarding
  • Logging firewall
  • Stateful filtering


Komentar

Posting Komentar

Postingan populer dari blog ini

Cara restart / stop windows service (services.msc) dengan bat / cmd

-
Menjalankan Service SQL Server Secara Manual dengan Batch Script (Windows) Sebenarnya service di Windows bisa di-set automatic start melalui Services Manager agar langsung berjalan saat boot. Namun jika tidak ingin SQL Server terus memakan resource CPU dan memory ketika tidak digunakan, maka lebih baik diset manual start dan dijalankan hanya saat diperlukan. Supaya lebih praktis, kita bisa membuat shortcut batch script sehingga tidak perlu membuka services.msc setiap ingin menjalankan service. 🔎 Cara Melihat Daftar Service Windows 1️⃣ Melalui GUI Tekan: Win + R → services.msc 2️⃣ Melalui Command Prompt Buka CMD lalu jalankan: sc query Perintah ini akan menampilkan semua service beserta statusnya. ▶️ Script BAT untuk START SQL Server Buat file misalnya: start-sql.bat Isi dengan: @echo off net start MSSQL$SQLEXPRESS ⏹️ Script untuk STOP Service Jika ingin menghentikan service, cukup ganti start menjadi stop : @echo off net stop MSSQL$SQLEXPRESS 📌 Cara Men...
Baca selengkapnya

Learning Haproxy Load Balancer with Podman and Go Backends

-
+------------------+          +-------------------+               +-------------------+ |   Client              |          |   Haproxy LB   |                |   Podman Pod   | | (e.g., Browser)  +   ---->      (Port 8181)    +---------->-------------------+ +------------------+          +---------+---------+                |                         |                                         |                                  ...
Baca selengkapnya

Konfigurasi ITNSA OpenVPN auth LDAP

-
Gambar
Konfigurasi OpenVPN Authentication Menggunakan OpenLDAP Sebelum mencoba integrasi  OpenVPN dengan OpenLDAP , pastikan beberapa hal dasar sudah berjalan dengan baik agar proses konfigurasi lebih mudah. ✅ Prasyarat 1️⃣ Pastikan OpenVPN Sudah Berfungsi Konfigurasikan terlebih dahulu  sampai: Client bisa terkoneksi Tunnel sudah terbentuk Routing berjalan normal Jangan lanjut ke LDAP jika VPN dasar belum berhasil. 2️⃣ Pastikan OpenLDAP Sudah Siap Server  harus: Sudah terinstall Struktur directory sudah dibuat User VPN sudah ada Lakukan pengecekan dengan: Test Query User ldapsearch Test Authentication Identity ldapwhoami Sesuaikan parameter perintah di atas dengan konfigurasi LDAP Anda. Jika kedua perintah berhasil → berarti LDAP siap digunakan. 🔧 3️⃣ Install OpenVPN Auth LDAP Plugin Install paket: apt-get install openvpn-auth-ldap 📁 Buat Direktori Konfigurasi mkdir /etc/openvpn/auth cp /usr/share/doc/openvpn-auth-ldap/examples/auth-ldap.conf /etc/openvpn/au...
Baca selengkapnya