Bridge 2 unit MikroTik dengan menggunakan EOIP-VPN

tutorial ini menjelaskan cara konfigurasi bridge menggunakan 2 unit MikroTik ( berlaku RB dan PC Router ) diatas PPTP Tunnel, jadi salah satu MikroTik akan bekerja sebagai PPTP Server ( seperti konfigurasi VPN Server ) dan satunya lagi akan bekerja sebagai PPTP Client kemudian konfigurasi EoIP (Ethernet over IP) berfungsi untuk melakukan bridging antara 2 MikroTik yang terpisah dan membuat 2 unit MikroTik tersebut berkerja sebagai switch ( tau kan fungsi nya switch ? setting IP di PC1 dan di PC2 dengan IP network yang sama trus colokin kabel UTP udah bisa saling terkoneksi )


ayangkan jika kita harus menghubungkan 2 buah jaringan yang terpisah, satu di Bogor dan satu lagi di Jakarta, masa iya kita tarik kabel UTP sejauh Bogor - Jakarta ? mungkin sih, tapi siapa yang mau ?
Nah, dengan fungsi EoIP pada MikroTik, kita bisa menghubungkan 2 jaringan tersebut dengan syarat adanya koneksi Internet

contoh skema jaringan dari konfigurasi yang gw buat seperti gambar dibawah :

MikroTik = = = EoIP over PPTP VPN = = = MikroTik2
||                                                                       ||
||                                                                       ||
Network A                                                       Network A


contoh konfigurasi IP Address dari konfigrasi yang gw buat
MikroTik1
ether1 =  192.168.1.1/24
ether2 = 192.168.2.1/24 (network client)


MikroTik2
ether1 = 192.168.1.2/24
ether2 = 192.168.2.100/24 (network client)

kemudian lakukan konfigurasi IP Address, konfigurasi dibawah hanya sebagai contoh saja, sehingga tidak menggunakan IP Public ( toh intinya saling terkoneksi, kalo IP Public juga uda pasti terhubung qo
admin@Mikrotik1 > Ip address add address=192.168.1.1/24 interface=ether1 disabled=no  admin@Mikrotik1 > Ip address add address=192.168.2.1/24 interface=ether2 disabled=no  admin@Mikrotik2 > Ip address add address=192.168.1.2/24 interface=ether1 disabled=no  admin@Mikrotik2 > Ip address add address=192.168.2.100/24 interface=ether2 disabled=no  




kemudian konfigurasi MikroTik1 sebagai PPTP Server dan tambahkan satu user PPTP/VPN

1. interface pptp-server server set enabled=yes  
2. interface pptp-server add name=mikrotik2 user=mikrotik2 disabled=no  
3. ppp secret add name=mikrotik2 password=mikrotik2 local-address=172.16.0.1 remote-address=172.16.0.2 service=pptp disabled=no  

lalu pada MikroTik2, konfigurasikan sebagai PPTP Client

1. interface pptp-client add name=MT-to-MT user=mikrotik2 password=mikrotik2 connect-to=192.168.1.1 disabled=no  

untuk memastikan MikroTik2 sudah terhubung via PPTP ke MikroTik1 dengan mengecek IP Address

1. ip address print  

jika sudah ada IP Address dari koneksi PPTP/VPN, lakukan konfigurasi EoIP pada kedua MikroTik

1. admin@MikroTik1 > interface eoip add name=eoip remote-address=172.16.0.2 tunnel-id=1 disabled=no  
2. admin@MikroTik2 > interface eoip add name=eoip remote-address=172.16.0.1 tunnel-id=1 disabled=no  

lalu buat lah sebuah bridge kemudian masukkan interface eoip dan interface ether2 kedalamnya ( lakukan pada kedua MikroTik )

1. interface bridge add name=bridge disabled=no  
2. interface bridge port add bridge=bridge interface=eoip, ether2  

kemudian lakukan tes ping dari dari PC client dibawah MikroTik1 ke PC client dibawah MikroTik2, jika sudah muncul pesan reply maka konfigurasi EoIP PPTP/VPN sudah bekerja dengan baik
cukup ribet? cukup , selama kita konfigurasi nya terstruktur, setiap langkahnya dilakukan dengan benar dan pasti, maka konfigurasi sepertinya bisa dilakukan dengan mudah. semoga tutorial ini membantu

Source :  http://linux-avenger.blogspot.com

Mengenal Sistem Autentikasi di Squid

Sistem Autentikasi di Squid

Squid mendukung 4 skema autentikasi, yaitu:

1. Basic
2. Digest
3. NTLM
4. Negotiate (mulai dari versi 2.6)

Masing-masing skema autentikasi punya kelebihan dan kekurangan masing-masing. Mari kita bahas satu per satu.

Basic Authentication

Ini adalah skema autentikasi yang didukung oleh semua peramban (browser) utama. Dan lebih dari itu, bisa berfungsi dengan baik di semua platform OS. Jadi kalau ingin menggunakan skema autentikasi yang yakin berfungsi dengan baik di semua browser, pakailah skema autentikasi basic.
Sayangnya skema autentikasi basic ini memiliki satu kelemahan utama, yaitu proses pengiriman data user dan password dikirim dalam format plain text. Jadi sangat rentan terhadap proses snip atau penyadapan saat proses autentikasi berlangsung.
Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui jaringan internet. Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas, misalnya LAN kantor. Dan karena squid pada umumnya digunakan di jaringan terbatas, skema autentikasi ini masih bisa digunakan.
Helper atau program bantu untuk autentikasi ke backend
Squid menyediakan beberapa program bantu untuk skema autentikasi basic. Anda bisa memilih mana yang cocok dengan keperluan Anda.

1. LDAP: Autentikasi ke LDAP.
2. NCSA: Menggunakan format penulisan username dan password format NCSA.
3. MSNT: Autentikasi ke domain Windows NT.
4. PAM: Menggunakan skema autentikasi PAM yang umum digunakan di sistem operasi Unix/Linux.
5. SMB: Menggunakan server SMB seperti Windows NT atau Samba.
6. getpwam: Menggunakan cara kuno, berkas password di Unix/Linux.
7. SASL: Mengggunakan pustaka SASL.
8. mswin_sspi: Windows native authenticator.
9. YP: Menggunakan database NIS.

Digest Authentication

Skema autentikasi digest diperkenalkan untuk mengatasi kelemahan yang ada di skema autentikasi basic. Skema ini lebih aman, karena pada saat autentikasi, data username dan password tidak dikirim dalam format plain text.
Secara umum, kelebihan skema autentikasi digest dibandingkan skema autentikasi basic, yaitu lebih aman. Tapi sayangnya tidak didukung oleh semua browser. Internet Explorer 5 & 6 adalah salah satu browser yang tidak mendukung skema autentikasi digest.

NTLM Authentication

Ini adalah skema autentikasi yang diperkenalkan oleh Microsoft. Dengan menggunakan skema autentikasi NTLM, semua user yang sudah login ke domain, ketika mengakses squid tidak akan diminta lagi username dan password. Ini yang kita kenal sebagai proses Single Sign On. Jika sudah sukses autentikasi di satu layanan, ketika ingin menggunakan layanan lain tidak perlu memasukkan login dan password lagi, proses autentikasi berlangsung secara transparan.
Sayangnya, seperti yang mungkin Anda sudah bisa tebak, ini hanya berfungsi dengan baik di sistem operasi Windows. Dan tidak semua browser mendukung skema autentikasi NTLM. Internet Explorer dan Firefox adalah salah satu browser yang mendukung skema autentikasi NTLM. Chrome, Safari dan Opera adalah contoh browser yang belum mendukung skema autentikasi NTLM.
Biasanya, untuk browser atau OS yang tidak mendukung skema autentikasi NTLM, ada pilihan fallback ke skema autentikasi basic.
Helper atau program bantu untuk autentikasi ke backend
Paket samba menyertakan winbind ntlm helper untuk membantu squid bisa memberikan layanan skema autentikasi NTLM.
Sedikit catatan di Debian atau Ubuntu, yang Anda gunakan adalah /usr/bin/ntlm_auth, dan BUKAN ke /usr/lib/squid/ntlm_auth.

Negotiate Authentication

Protokol negotiate diperkenalkan lagi-lagi oleh Microsoft, sering dikenal juga sebagai SPNEGO. Skema autentikasi ini memperbarui skema Single Sign On yang sebelumnya menggunakan autentikasi NTLM.
Jadi apakah Negotiate itu? Skema ini bisa dianggap sebagai wrapper (atau alat bantu) untuk menggunakan salah satu dari autentikasi ke Kerberos atau NTLM. Kelebihan skema ini, jauh lebih aman bila dibandingkan dengan skema autentikasi NTLM.
Kelemahannya, lagi-lagi hanya berfungsi dengan baik di lingkungan OS Windows. Selain itu untuk saat ini mengkonfigurasi skema autentikasi negotiate agak ribet, karena helper baru tersedia untuk sistem operasi windows.


Source : ngadimin.com

contoh isi squid.conf

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443  # https
acl SSL_ports port 563  # snews
acl SSL_ports port 873  # rsync
acl Safe_ports port 80  # http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70  # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http
acl Safe_ports port 631  # cups
acl Safe_ports port 873  # rsync
acl Safe_ports port 901  # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# Ijinkan akses cachemgr hanya dari localhost
http_access allow manager localhost
http_access deny manager

# Ijinkan request purge hanya dari localhost
http_access allow purge localhost
http_access deny purge

# Deny request ke ports yang tidak dikenal
http_access deny !Safe_ports

# Deny CONNECT selain ke port SSL
http_access deny CONNECT !SSL_ports


# Ini adalah network LAN di kantor Anda
acl jaringan_saya src 192.168.1.0/24 192.168.2.0/24
http_access allow jaringan_saya 
http_access allow localhost

# Dan akhirnya deny semua akses ke proxy ini
http_access deny all

icp_access deny all


# NETWORK OPTIONS
# -----------------------------------------------------------------------------

# Squid biasanya dijalankan di port 3128
http_port 3128


# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------

# Saya alokasikan 2000 MB space harddisk
cache_dir ufs /var/spool/squid 2000 16 256


# LOGFILE OPTIONS
# -----------------------------------------------------------------------------
access_log /var/log/squid/access.log squid


# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

refresh_pattern ^ftp:  1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern .  0 20% 4320


# HTTP OPTIONS
# -----------------------------------------------------------------------------

# Apache mod_gzip and mod_deflate known to be broken so don't trust
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#  TAG: extension_methods
# Squid only knows about standardized HTTP request methods.
# You can add up to 20 additional "extension" methods here.
extension_methods REPORT MERGE MKACTIVITY CHECKOUT


# DNS OPTIONS
# -----------------------------------------------------------------------------
hosts_file /etc/hosts


# MISCELLANEOUS
# -----------------------------------------------------------------------------
coredump_dir /var/spool/squid

Instalasi dan Konfigurasi Dasar Squid

Instalasi

Menginstal squid sangatlah mudah, semudah menginstal aplikasi lain dari repositori Ubuntu.

sudo apt-get install squid

Untuk menjalankan squid, bisa menggunakan perintah,

sudo /etc/init.d/squid start

Untuk mematikan squid, bisa menggunakan perintah,

sudo /etc/init.d/squid stop

Mengkonfigurasi

Setelah squid terinstal, lokasi konfigurasi ada di /etc/squid/squid.conf. Mari kita backup terlebih dahulu, karena kita akan melakukan beberapa perubahan di berkas konfigurasi tersebut.

sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.asli

Sebelum kita lanjutkan, saya ingin menunjukkan sesuatu. Coba jalankan perintah di bawah ini,

sudo cat /etc/squid/squid.conf |wc -l

4529

Hasilnya kira-kira seperti tertulis di atas, yaitu 4529. Artinya berkas squid.conf yang akan kita sunting memiliki 4529 baris. Wow! Pantas kalau banyak admin pemula yang bingung ketika akan mengkonfigurasi squid.
Berbeda dengan apache atau postfix, pemaket sudah menyiapkan konfigurasi yang siap pakai, yang artinya begitu postfix atau apache diinstal sudah ada contoh yang bisa dilihat dan bisa dijalankan langsung. Tapi untuk paket squid di Ubuntu ini, squid.conf yang disertakan bukanlah contoh siap pakai. Berkas ini lebih mirip berkas dokumentasi hehe.
Oke, cukup ceritanya sampai disitu, mari kita mulai mengkonfigurasi. Dari sekian ribu baris, sebetulnya untuk menjalankan squid sebagai web proxy, kita hanya perlu mengkonfigurasi beberapa baris saja. Mari kita lihat apa saja yang harus dikonfigurasi.

acl dan http_access

Sebetulnya ini adalah topik yang besar, dan sudah saya rencanakan untuk membahasnya secara terpisah. Tapi karena untuk tahap awal, kita harus mengijinkan akses dari LAN agar bisa menggunakan proxy, kita bahas sekilas saja.
Yang perlu Anda ketahui, konfigurasi squid dibaca dari atas ke bawah. Artinya, yang pertama kali cocok, itulah yang menang. Selalu ingat konsep dasar ini, karena akan sangat penting untuk memahami mengapa konfigurasi squid Anda tidak bekerja dengan seharusnya.
Ok, sekarang kita harus membuat acl baru untuk mengijinkan semua IP di LAN Anda bisa menggunakan squid proxy yang baru diinstal.
Misal, Anda memiliki dua LAN, 192.168.1.0/24 dan 192.168.2.0/24. Maka konfigurasinya,

acl jaringan_saya src 192.168.1.0/24 192.168.2.0/24
http_access allow jaringan_saya

Jika Anda menginginkan hanya IP tertentu saja, bukan satu network, Anda bisa juga menuliskannya seperti di bawah ini.

acl jaringan_saya src 192.168.1.0/24 192.168.2.0/24
http_access allow jaringan_saya
 
acl kantor_cabang src 192.168.5.5
http_access allow kantor_cabang

Sekarang IP 192.168.5.5 yang ada di kantor cabang, bisa juga menggunakan proxy yang baru Anda buat.

cache_dir

Yang lain yang bisa dikonfigurasi saat ini adalah cache_dir. Defaultnya,

cache_dir ufs /var/spool/squid 100 16 256

Saya jelaskan singkatnya, artinya lokasi direktori cache (tempat menyimpan objek yang dicache) ada di direktori /var/spool/squid dan dialokasikan sebesar 100 mega bytes. Angka 16 dan 256 adalah jumlah direktori cache yang dibuat. 16 artinya akan ada 16 direktori di /vaar/spool/squid, dan didalamnya masing-masing ada 256 direktori lagi.
Jadi kalau Anda ingin mengubah besar alokasi untuk cache, ganti angka 100 itu dengan angka baru. Misal untuk mengalokasikan sebesar 2 GB, ganti dengan 2000.

Menerapkan Konfigurasi

Untuk saat ini cukup dua konfigurasi itu saja (biar Anda tidak pusing). Setelah selesai menyunting berkas konfigurasi untuk menerapkan perubahan yang baru dibuat, Anda bisa merestart squid.

sudo /etc/init.d/squid restart

Tapi proses restart biasanya akan agak lama. Untuk mempermudah, tanpa perlu melakukan restart squid, jalankan saja perintah berikut.

sudo squid -k reconfigure

Source : ngadimin.com 

Terjemahan TAG: acl di squid.conf

Mari kita mulai dengan membaca tipe-tipe acl yang didefinisikan di squid.conf. Jika Anda kesulitan memahami karena kendala bahasa, saya coba terjemahkan blok acl tadi di bawah ini.

#  TAG: acl
#   Mendefinisikan Access List
#
#   acl namaacl tipeacl string1 ...
#   acl namaacl tipeacl "berkas" ...
#
#   ketika menggunakan "berkas", di dalam berkas tersebut harus berisikan satu item
#   per baris
#
#   tipeacl adalah salah satu dari tipe-tipe yang dijelaskan di bawah
#
#   Secara default, regular expression diset CASE-SENSITIVE
#   untuk membuatnya case-insensitive, gunakan opsi -i 
#
#   acl namaacl src      alamat-ip/netmask ...       (alamat IP klien)
#   acl namaacl src      alamat1-alamat2/netmask ... (rentang dari alamat-alamat)
#   acl namaacl dst      alamat-ip/netmask ...       (alamat IP dari targer URL)
#   acl namaacl myip     alamat-ip/netmask ...       (alamat IP untuk local socket)
#
#   acl namaacl arp      alamat-mac ... (format penulisannya xx:xx:xx:xx:xx:xx )
#     # ACL arp memerlukan opsi khusus saat mengkonfigurasi --enable-arp-acl.
#     # Lebih jauh lagi, ACL arp tidak berlaku untuk semua sistem operasi.
#     # Berfungsi di Linux, Solaris, FreeBSD dan beberapa varian *BSD.
#     #
#     # CATATAN: Squid hanya bisa mendeteksi alamat MAC dari klien yang ada di
#     # subnet yang sama. Jika klien berada di subnet yang berbeda, maka Squid tidak
#     # bisa mengetahui alamat MAC nya.
#
#   acl namaacl srcdomain   .fulan.com ...  # reverse lookup, IP klien
#   acl namaacl dstdomain   .fulan.com ...  # server tujuan dari URL
#   acl namaacl srcdom_regex [-i] xxx ...   # regex yang cocok dengan nama klien
#   acl namaacl dstdom_regex [-i] xxx ...   # regex yang cocok dengan server
#     # Untuk dstdomain dan dstdom_regex reverse lookup dicoba jika URL berbasiskan
#     # IP yang digunakan tidak ada yang cocok. Nama "none" digunakan jika reverse
#     # lookup gagal.
#
#   acl namaacl time     [day-abbrevs]  [h1:m1-h2:m2]
#       day-abbrevs:
#       S - Sunday (Minggu)
#       M - Monday (Senin)
#       T - Tuesday (Selasa)
#       W - Wednesday (Rabu)
#       H - Thursday (Kamis)
#       F - Friday (Jumat)
#       A - Saturday (Sabtu)
#       h1:m1 harus kurang dari h2:m2
#   acl namaacl url_regex [-i] ^http:// ...    # regex yang cocok di URL secara 
#                                                keseluruhan
#   acl namaacl urlpath_regex [-i] \.gif$ ...  # regex yang cocok pada bagian 
#                                                path URL
#   acl namaacl urllogin [-i] [^a-zA-Z0-9] ... # regex yang cocok pada bagian 
#                                                login URL
#   acl namaacl port     80 70 21 ...
#   acl namaacl port     0-1024 ...            # rentang diperbolehkan
#   acl namaacl myport   3128 ...              # (local socket TCP port)
#   acl namaacl proto    HTTP FTP ...
#   acl namaacl method   GET POST ...
#   acl namaacl browser  [-i] regexp ...
#     # pola yang cocok pada header User-Agent (lihat juga req_header di bawah)
#   acl namaacl referer_regex  [-i] regexp ...
#     # pola yang cocok pada header Referer
#     # Referer sangatlah tidak reliable, jadi gunakan dengan hati-hati
#   acl namaacl ident    namauser ...
#   acl namaacl ident_regex [-i] pattern ...
#     # string yang cocok pada keluaran ident.
#     # gunakan REQUIRED untuk menerima semua ident yang tidak kosong.
#   acl namaacl src_as   angka ...
#   acl namaacl dst_as   angka ...
#     # Kecuali untuk access control, AS number bisa digunakan untuk 
#     # mengarahkan request ke cache tertentu. Sebagai contoh untuk mengarahkan
#     # semua request untuk AS#1241 dan hanya itu saja ke cachesaya.domainsaya.net:
#     # acl ascontoh dst_as 1241
#     # cache_peer_access cachesaya.domainsaya.net allow ascontoh
#     # cache_peer_access cachesaya.domainsaya.net deny all
#
#   acl namaacl proxy_auth [-i] namauser ...
#   acl namaacl proxy_auth_regex [-i] pattern ...
#     # daftar dari namauser yang valid
#     # gunakan REQUIRED untuk menerima semua username yang valid. 
#     #
#     # CATATAN: ketika header Proxy-Authentication dikirim tetapi dia tidak
#     # diperlukan pada saat pengecekan ACL, maka username TIDAK akan dicatat
#     # di access.log.
#     #
#     # CATATAN: proxy_auth memerlukan program autentikasi EXTERNAL
#     # untuk memeriksa kombinasi username/password (lihat direktif auth_param).
#     #
#     # CATATAN: proxy_auth tidak bisa digunakan di transparent proxy karena
#     # peramban perlu dikonfigurasi menggunakan proxy agar bisa merespon pada
#     # proses autentikasi proxy.
#
#   acl namaacl snmp_community string ...
#     # String community untuk membatasai akses ke agen SNMP Anda.
#     # Contoh:
#     #
#     # acl snmppublic snmp_community public
#
#   acl namaacl maxconn angka
#     # Ini akan cocok ketika alamat IP dari klien memiliki
#     # jumlah koneksi HTTP yang tersambung melebihi dari 
#
#   acl namaacl max_user_ip [-s] angka
#     # Ini akan cocok ketika user mencoba login melebihi dari  
#     # alamat ip yang berbeda. Parameter authenticate_ip_ttl mengontrol
#     # nilai timeout pada entri-entri ip.
#     # Jika dituliskan -s maka pembatasannya ketat, browsing akan ditolak
#     # dari alamat IP lainnya sampai nilai ttl expire. Tanpa -s Squid hanya
#     # akan membuat user kesel dengan "secara acak" menolak akses.
#     # (pencatatan akan di reset setiap kali batasan tercapai dan request
#     # akan ditolak)
#     # CATATAN: pada mode akselerasi atau ketika disana ada banyak anak proxy,
#     # klien mungkin akan terlihat datang dari beberapa alamat saat mereka memasuki
#     # peternakan proxy, jadi pembatasan hanya 1 akan menyebabkan problem ke user.
#
#   acl namaacl req_mime_type mime-type1 ...
#     # regex yang cocok dengan mime type dari request yang digenerate oleh klien
#     # Dapat digunakan untuk mendeteksi berkas upload atau beberapa tipe request
#     # HTTP tunneling.
#     # CATATAN: Ini TIDAK akan cocok dengan reply. Anda tidak bisa menggunakan
#     # ini untuk mencocokkan dengan tipe berkas yang dikembalikan.
#
#   acl namaacl req_header header-name [-i] any\.regex\.here
#     # regex yang cocok dengan request header apa saja yang sudah dikenali.
#     # Mungkin bisa dianggap sebagai superset dari ACL-ACL "browser", "referer" dan
#     # "mime-type".
#
#   acl namaacl rep_mime_type mime-type1 ...
#     # regex yang cocok dengan mime type dari reply yang diterima oleh squid. Dapat
#     # digunakan untuk mendeteksi berkas yang didownload atau beberapa tipe dari
#     # request HTTP tunneling.
#     # CATATAN: Ini tidak akan berpengaruh pada aturan http_access. Ini hanya akan
#     # berpengaruh pada aturan yang mempengaruhi reply data stream seperti misalnya
#     # http_reply_access.
#
#   acl namaacl rep_header nama-header [-i] regex\.apa\.saja\.disini
#     # regex yang cocok dengan reply header apa saja yang sudah dikenali.
#     # Mungkin bisa dianggap sebagai superset dari ACL-ACL "browser", "referer" dan
#     # "mime-type".
#     #
#     # Contoh:
#     #
#     # acl banyak_spasi rep_header Content-Disposition -i [[:space:]]{3,}
#
#   acl nama_acl external nama_class [arguments...]
#     # ACL external yang melakukan pencarian melalui class bantu yang didefinisikan
#     # oleh direktif external_acl_type.
#
#   acl urlgroup group1 ...
#     # cocok dengan urlgroup seperti yang diindikasikan oleh redirector.
#
#   acl namaacl user_cert atribut nilai...
#     # cocok dengan atribut-atribut dari user sertifikat SSL
#     # atributnya adalah salah satu dari DN/C/O/CN/L/ST
#
#   acl namaacl ca_cert attribut nilai...
#     # cocok dengan atribut-atribut dari user-user yang menerbitkan sertifikat 
#     # CA SSL
#     # atributnya adalah salah satu dari DN/C/O/CN/L/ST
#
#   acl namaacl ext_user namauser ...
#   acl namaacl ext_user_regex [-i] pola ...
#     # string yang cocok dengan namauser yang diberikan oleh pembantu acl external
#     # gunakan REQUIRED untuk menerima namauser apa saja yang tidak-kosong.

ACL yang paling umum digunakan

Dari sekian banyak tipe acl yang bisa digunakan, menurut pengalaman saya hanya beberapa saja yang umum digunakan. Tentunya memang semua itu tergantung kebutuhannya. Walau tidak umum digunakan, tapi kalau memerlkukannya, mungkin saja digunakan dan sebaliknya.
Biasanya yang paling umum diguanakan adalah, src, dst, dstdomain, port. ACL lainnya yang mungkin sering ditemui adalah url_regex, proxy_auth, maxconn, max_user_ip, time.
Untuk lebih memahami cara penggunaan acl ini, saya akan coba berikan beberapa contoh penggunaan acl.

Contoh 1: Membatasi akses internet dari IP tertentu

Misal, dalam satu jaringan kantor, semua diperbolehkan mengakses internet via proxy. Kecuali beberapa komputer di meja penerima tamu atau front office.

acl jaringan_kantor src 192.168.1.0/24
acl front_office src 192.168.1.21    # komputer1 di front office
acl front_office src 192.168.1.22    # komputer2 di front office
acl front_office src 192.168.1.23    # komputer3 di front office
 
http_access deny front_office
http_access allow jaringan_kantor

Sekalian untuk format penulisan acl di atas, Anda bisa juga menuliskannya seperti di bawah ini.
Format inline, jadi IP dituliskan ke samping, tanpa menekan enter atau penanda baris baru.

acl jaringan_kantor src 192.168.1.0/24
acl front_office src 192.168.1.21 192.168.1.22 192.168.1.23
 
http_access deny front_office
http_access allow jaringan_kantor

Format rentang, karena kebetulan IP si komputer front office berurutan.

acl jaringan_kantor src 192.168.1.0/24
acl front_office src 192.168.1.21-192.168.1.23/32
 
http_access deny front_office
http_access allow jaringan_kantor

Silakan dilihat lagi di blok ACL yang sudah saya terjemahkan di atas.

Contoh 2: Membatasi akses ke situs tertentu

Anda ingin memblock beberapa situs porno yang paling sering dikunjungi oleh user Anda. Tentu saja ini cara paling sederhana, dan mungkin tidak cocok untuk memblock situs porno secara keseluruhan. Tapi ini hanya sekedar contoh saja.
Pertama, pastikan rules untuk membatasi akses ke situs porno itu muncul lebih dahulu, dibandingkan rules lain yang membolehkan akses internet. Lihat contoh dibawah ini. Kita akan menggunakan tipeacl dstdomain, yang bisa digunakan untuk menandai domain tujuan yang akan diakses.

acl situs_porno dstdomain .playboy.com
acl situs_porno dstdomain .porno.com
http_access deny situs_porno
 
acl jaringan_kantor 192.168.1.0/24
http_access allow jaringan_kantor

Contoh penempatan yang salah ada di bawah ini

# Contoh penempatan yang salah
 
acl jaringan_kantor 192.168.1.0/24
http_access allow jaringan_kantor
 
# rules di bawah ini tidak akan pernah dijalankan, karena akses sudah diperbolehkan
# di baris sebelumnya
acl situs_porno dstdomain .playboy.com
acl situs_porno dstdomain .porno.com
http_access deny situs_porno

Jadi perlu Anda ingat, posisi menentukan prestasi. Atau posisi rules yang Anda buat di squid.conf sangat menentukan apakah rules tersebut akan digunakan atau tidak.

Contoh 3: Membatasi akses internet di jam kerja

Kali ini kita akan menggunakan tipe acl time. Langsung saja ke contoh.

acl jam_kerja time MTWH 08:00-12:00  # Senin s.d Kamis jam 08:00 s.d Jam 12:00
acl jam_kerja time F 08:00-11:30  # Jumat 08:00-11:30 WIB
acl jam_kerja time MTWHF 13:00-16:00 # Senin s.d Jumat jam 13:00 s.d 16:00
 
acl jaringan_kantor src 192.168.1.0/24
 
# Buka akses internet, diluar jam kerja
http_access allow jaringan_kantor !jam_kerja

Lihat tanda seru (!) di depan acl. Yang berarti tanda negasi, atau NOT (bukan). Jadi artinya kita hanya membuka akses internet untuk jaringan_kantor dan waktunya bukan di jam kerja.

Contoh 4: Membatasi akses internet di jam kerja, kecuali manager dan bos

Contoh lain, kantor hanya ingin membuka akses internet untuk komputer-komputer manajer dan si Boss besar. Karyawan lainnya, bisa mengakses internet tapi hanya di luar waktu kerja.

acl jam_kerja time MTWH 08:00-12:00  # Senin s.d Kamis jam 08:00 s.d Jam 12:00
acl jam_kerja time F 08:00-11:30     # Jumat 08:00-11:30 WIB
acl jam_kerja time MTWHF 13:00-16:00 # Senin s.d Jumat jam 13:00 s.d 16:00
 
# jaringan kantor
acl jaringan_kantor src 192.168.1.0/24
 
# manager dan boss
acl manager src 192.168.1.51  # manager keuangan
acl manager src 192.168.1.52  # manager marketing
acl manager src 192.168.1.53  # general manager
acl boss src 192.168.1.68     # si boss besar
 
# Buka akses internet untuk manager dan boss, tanpa batasan waktu
http_access allow manager
http_access allow boss
 
# Untuk karyawan lainnya, buka akses internet diluar jam kerja
http_access allow jaringan_kantor !jam_kerja

Source  : ngadimin.com 

Internet Sharing dengan CENTOS

Seting Internet Connection dengan menggunakan Linux Centos
Kondisi Jaringan :
IP WAN : Static pada eth0
IP LAN : Static pada eth1
eth=inteface Network
IP WAN = 10.2.1.10/29
IP LAN = 192.168.1.1/24
kita seting IP dahulu pada eth0 :
kita menggunakan edtor nano
ketik nano /etc/sysconfig/network-script/ifcfg-eth0
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0
HWADDR=00:0C:29:6B:70:62
ONBOOT=yes
IPADDR=10.2.1.10
NETWORK=10.2.1.0
NETMASK=255.255.255.0
GATEWAY=10.2.1.1
kemudian pencet CTRL o kemudian pilih yes
kemudian pencet CTRL x untuk keluar dari editor

sekarang kita seting IP pada eth1
ketik nano /etc/sysconfig/network-script/ifcfg-eth1
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth1
BOOTPROTO=static
ONBOOT=yes
HWADDR=00:0c:29:6b:70:6c
IPADDR=192.168.1.1
NETWORK=192..168.1.0
NETMASK=255.255.255.0
BROADCAST=192.168.1.255
Kemudian pencet CTRL o untuk save
Kemudian pencet CTRL x untuk keluar
Sekarang kita seting DNS server
Nano /etc/resolve.conf
Masukan nameserver ISP  misalkan ISP kita mempunyai DNS servernya 202.158.3.7
nameserver  202.158.3.7
kemudian Save dengan menekan CTRL o dan CTRL X untuk keluar
kemudian coba ping ke google.com
dengan perintah ping google.com
Jika ada repply seperti ini :
64 bytes from sin01s05-in-f0.1e100.net (74.125.235.32): icmp_seq=1 ttl=50 time=13.7 ms
Berarti Server anda sudah terkoneksi dengan internet

SHARING INTERNET CONNECTION
Nano /etc/sysconfig/network
Tambahkan dibaris bawah dengan       FORWARD_IPV4=yes    kemudian save dengan ctrl o dan CTRL X untuk keluar
Aktifkan IP Forward dengan merubah pada  /etc/sysctl.conf
net.ipv4.ip_forward = 0  -- menjadi net.ipv4.ip_forward=1  , kemudian save
PADA FIREWALL (IPTABLES)
root@kasepuhan#iptables --flush
root@kasepuhan#iptables  --table nat  --flush
root@kasepuhan#iptables  --delete-chain
root@kasepuhan#iptables  --table nat  --delete-chain
root@kasepuhan#iptables  --table nat  --append POSTROUTING  --out-interface eth0 –j MASQUERADE
root@kasepuhan#iptables  --append FORWARD  --in-interface eth1 –j ACCEPT
root@kasepuhan # echo 1 > /proc/sys/net/ipv4/ip_forward
root@kasepuhan #service iptables save
biar selalu jalan ketika restart chkconfig iptables on
Seting Script di /etc/rc.local
Tambahkan pada baris bawah dengan script ini
/sbin/iptables -table nat -append POSTROUTING -out-interface eth0 -j MASQUERADE
/sbin/iptables -append FORWARD -in-interface eth1 -j ACCEPT

Kemudian Save,
Restart  Server anda shutdown –r now
Seting pada client di windows
Seting IP
Ip address : 192.168.1.10
NETMASK :255.255.255.0
GATEWAY : 192.168.1.1
DNS : 192.168.1.1