Stable.. Available.. & Flexible

Wireless Access Point Gateway

2006-03-01T04:29:00.000-08:00

Well akhirnya selesai juga untuk dapat membangun access point, yang dibutuhkan hanya cvsup, upgrade dan compile kernel. Untuk card digunakan chipset atheros.

Untuk cvsup sama seperti OpenBSD, bedanya di "tag", di OpenBSD biasa di tulis
  tag=. #untuk current
atau
  tag=OpenBSD_x_x #branch

di FreeBSD bisa di tulis:
  tag=. #untuk versi current ,
atau
  tag=RELENG_x_x #untuk branch
dan
  tag=RELENG_x_x_x_RELEASE #untuk versi Release

supaya sistem mengenali card wireless kita, edit file GENERIC dan tambahkan
  device wlan # 802.11 support
  device wlan_wep # 802.11 WEP support
  device wlan_ccmp # 802.11 CCMP support
  device wlan_tkip # 802.11 TKIP support
  device wlan_xauth # 802.11 external authenticator support
  device wlan_acl
  device ath # Atheros 5xxx wireless NICs.
  device ath_hal
  device ath_rate_amrr

dan tambahkan module untuk PF
  device pf # required
  device pflog # optional
  device pfsync # optional

#ALTQ
  options ALTQ
  options ALTQ_CBQ # Class Bases Queuing (CBQ)
  options ALTQ_RED # Random Early Detection (RED)
  options ALTQ_RIO # RED In/Out
  options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
  options ALTQ_PRIQ # Priority Queuing (PRIQ)
  options ALTQ_NOPCC # Required for SMP build

kemudian lakukan compile kernel, make build, kemudian reboot maka wireless card kita sudah terinstall dan mesin siap di setting sebagai access point.

$dmesg | grep ath0
  ath0: mem 0xee000000-0xee00ffff irq 17 at device 6.0 on pci0
  ath0: Ethernet address: 00:11:95:bd:67:8c
  ath0: mac 7.9 phy 4.5 radio 5.6

$ifconfig ath0 inet 10.10.10.1 netmask 255.255.255.0 mediaopt hostap ssid wap up

masukan ke rc.conf
$ee /etc/rc.conf
  ifconfig_ath0="inet 10.10.10.1 netmask 255.255.255.0 mediaopt hostap ssid wap"

$ifconfig ath0
  ath0: flags=8843 mtu 2290
  inet6 fe80::211:95ff:febd:678c%ath0 prefixlen 64 scopeid 0x1
  inet 10.10.10.1 netmask 0xffffff00 broadcast 10.10.10.255
  ether 00:11:95:bd:67:8c
  media: IEEE 802.11 Wireless Ethernet autoselect
  status: associated
  ssid wap channel 1 bssid 00:11:95:bd:67:8c
  authmode OPEN privacy OFF deftxkey 0
  txpowmax 36 protmode CTS dtimperiod 1 bintval 100

$sysctl net.inet.ip.forwarding=1 , atau masukan di /etc/sysctl.conf
$ee /etc/sysctl.conf
  net.inet.ip.forwarding=1

edit /etc/pf.conf
$ee /etc/pf.conf
  ext_if0="rl0"
  int_if_wlan0="ath0"
  internal_net="10.10.10.0/24"
  external_addr="194.169.30.10/32"

  scrub in all

  nat on $ext_if0 from !($ext_if0) -> ($ext_if0:0)

set di client
$ifconfig ath0 inet 10.10.10.2 netmask 255.255.255.0 ssid wap up

masukan ke rc.conf
$ee /etc/rc.conf
  ifconfig_ath0="inet 10.10.10.2 netmask 255.255.255.0 ssid wap"

$ifconfig ath0
  ath0: flags=8843 mtu 1500
  inet6 fe80::211:95ff:febd:6835%ath0 prefixlen 64 scopeid 0x2
  inet 10.10.10.2 netmask 0xffffff00 broadcast 10.10.10.255
  ether 00:11:95:bd:68:35
  media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps)
  status: associated
  ssid wap channel 1 bssid 00:11:95:bd:67:8c
  authmode OPEN privacy OFF deftxkey 0
  txpowmax 36 protmode CTS roaming MANUAL bintval 100

$ ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1): 56 data bytes
64 bytes from 10.10.10.1: icmp_seq=0 ttl=64 time=0.344 ms
64 bytes from 10.10.10.1: icmp_seq=1 ttl=64 time=0.254 ms
64 bytes from 10.10.10.1: icmp_seq=2 ttl=64 time=0.251 ms
64 bytes from 10.10.10.1: icmp_seq=3 ttl=64 time=0.246 ms
64 bytes from 10.10.10.1: icmp_seq=4 ttl=64 time=0.253 ms
^C
--- 10.10.10.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.246/0.270/0.344/0.037 ms

dari hasil testing untuk range saat ini hanya dengan menggunakan antenna standart default dari card bisa mencapai +/- 50m indoor/outdoor (menurut spec untuk indoor/outdoor=100m/300m,lumayan ;D), untuk authentikasi bisa gunakan hostapd/wpa_supplicant bisa dengan menggunakan metode WPA-PSK/WPA-EAP/WPA2.

Install wireless lan card DLink DWL-G520 OpenBSD 3.7

2005-07-11T23:05:00.000-07:00

Mungkin ada yg mengalami kesulitan dalam installasi wireless lan card jenis ini, yang mana menggunakan chipset Atheros 52xxx,

$dmesg | grep ath
ath0 at pci0 dev 7 function 0 "Atheros AR5212" rev 0x01: irq 11
ath0: mac 112.9 phy 4.5 radio 5.6 5.6, 802.11a/b/gath0: no valid channels for regdomain NONE(32976))

hal tersebut di sebabkan adanya card (kartu) dengan jenis sama, yang mana terdapat adanya "illegal regulation domain" yang tersimpan di dalam eeprom, kita bisa melihat define COUNTRYCODE di dalam sys/dev/ic/ar5xxx.c

Kemudian kita tambahkan patch-nya seperti berikut:
/* * Enable to overwrite the country code (use "00" for debug)
*/
-#if 0
-#define COUNTRYCODE "00"
+#if 1
+#define COUNTRYCODE "es"
#endif
/*

kemudian lakukan patch
#cd /usr/src/sys/dev/ic
#patch -p0 < /path/file_patch

kemudian compile ulang kernel, dan selanjut nya cek dengan ifconfig;
$ifconfig ath0
ath0: flags=8863 mtu 1500
address: 00:11:95:bd:68:35
ieee80211: nwid my_net chan 11 bssid ** nwkey *******
media: IEEE802.11 autoselect hostap (autoselect mode 11b hostap)
status: active
inet 172.168.1.1 netmask 0xfffffffc broadcast 172.168.1.3
inet6 fe80::211:95ff:febd:6835%ath0 prefixlen 64 scopeid 0x2

ok sampai disini kita sudah selesai menginstall wireless lan card DLink DWL-G520 pada mesin OpenBSD 3.7 kita, selamat mencoba.

sumber :
www.google.com
http://marc.theaimsgroup.com/?l=openbsd-bugs&m=111134384223143&w=2

IDS/IPS OpenBSD

2005-05-20T20:39:00.000-07:00

In this cases our OpenBSD machine took function as bridge and packet filtering (PF), and then all the request direct to the public server, well as we thought the attacker just thinking that our public server like open from attack.
And so, our machine took function as nat/redirect server, example the request to the HTTP(80) will be redirect to the real webserver.

And in this case our IDS handle by snort , with the rules in the configuration, snort can be our guide for respons to the intrusion incoming from our network(intranet) or internet(outside), but here this's the limitation from IDS (snort) couse it just detect the intrusion not prevent the intrusion like blocking or droping to the packets intrusion while attacks.

With combination snort+snort-plugin+PF wish all unwanted packets direct to the public server can be detected and then with adding snort plugin will be activated Intrusion Prevention System (IPS) method and then the packets will be blocking/droping direct while attacks with adding a rules (anchor,table) in fwsam configuration and pf.conf.

Intrusion Detection System

2005-02-12T02:42:00.000-08:00

In network security field we know one of methods of detection and posibly stopping some intrusion who piping our network, the concept and some method about Intrusion System hoping handle some intruder.

Membuat Public Key Authentication dengan puttykeygen pada Windows

2005-01-19T21:47:00.000-08:00

Metode ini sama dengan metode authentikasi yg digunakan dalam mengenkripsi password login kita ke ssh, tapi dalam hal ini kita akan menggunakan pubkey tersebut dari windows, caranya,
- pertama-tama kita generate dulu public key untuk protocol ssh v2 dengan menggunakan putty key generator (www.google.com recomended)
- pada Parameters pilih SSH2 DSA pada Type of key to generate, dan biarkan angka 1024
- kemudian klik tombol generate pada menu Action, proses akan membuat pubkey
- masukan passphrase yg akan digunakan sebagai key,
- kemudian save

dan bila kita mau mengimport dari file pubkey yg lain, kita bisa menggunakan menu Conversions dan pilih submenu import key.

Selamat mencoba.

VRRP OpenBSD

2005-01-03T18:41:00.000-08:00

The VRRP (Virtual Route Redundancy Protocol) is a procedure for the increase of the availability of important gateways in local area networks by redundant routes.

The VRRP was developed by Ascend Communications, DEC, IBM, Microsoft and Nokia in the year 1998. Today it is available in addition, into routing many other manufacturers, like AlcaTel or Cisco. The VRRP was addressed the large problem of the reliability developed around an open standard to etabilieren, by data paths, i.e. those the availability of the standard gateway in such a way specified in local area networks.

With is worked against routes of packets by networks the loss of stages on the way to a goal by the dynamic Routing. Falls however first rout on a distance out, then this error is to be repaired not by dynamic Routing, since host in normal case only a static standard gateway knows or usually also only one supported. By a loss of the first Routers, the standard gateway, are host concerned of communication with the external world cut off, even then if the still active rout in the same subnetwork are available.

Here the VRRP sets. Several physical rout to a logical group together are seized, this group of routing presents themselves in the network now as more logically more virtually route.

For this the logical route a virtual IP address and a virtual MAC address assigned. One route within the group as the virtual master-rout defined, for this binds on it the virtual MAC and the virtual IP to his network interface and informs the others rout the group, which as virtual back-UP-route act.

Falls if the virtual master-route now out, then the virtual IP address becomes and the virtual MAC address within 3 seconds on one the virtual back-UP-route transferred, which thereby to the new virtual master-route becomes. The Mac and the IP address transferred thereby host concerned their ARP Cache not to update to have. The danger of the loss of the first Routers on the route can be reduced thus.

Since VRRP uses patents of the company Cisco, the developers developed free OpenBSD operating system alternative minutes CARP.

Server Web pada FreeBSD 4.9-Release

2005-01-03T18:35:00.000-08:00

Webserver merupakan sesuatu yang vital bagi suatu group atau kelompok untuk mempublikasikan kegiatan-kegiatan ataupun serba-serbi mengenai group atau kelompok tersebut sehingga orang lain atau masyarakat umum bisa tahu mengenai group atau kelompok itu. Dan di sini akan di berikan langkah-langkah dalam membangun suatu webserver apache.

MySQL
Mysql di dalam webserver di pakai sebagai tempat penyimpanan database dalam sebuah webserver, berikut adalah langkah-langkah dalam instalasi MySQL,
1. buat group dan user mysql
#pw groupadd mysql
#pw useradd mysql -g mysql -d /usr/local/mysql -s /nonexistent
2. decompress package mysql.tar.gz
#cd /usr/local/
#tar -zxvf mysql.tar.gz
#ln -s path-to-mysql mysql
#cd mysql
#scripts/mysql_install_db
#chown -R root .
#chown -R mysql data
#chgrp -R mysql .
#bin/mysqld_safe --user=mysql &
bila menggunakan mysql 4.x

OpenSSL
1. compile source openssl
#cd /home/src
#tar -zxvf openssl-0.9.6l.tar.gz
#cd openssl-0.9.6l.tar.gz
#./config no-threads -fPIC
#make;make install

2. Generate file private key
#cd /usr/local/ssl
#bin/openssl genrsa -out private/www.domain.com.key 1024
ubah set permission file direktori private
#chown -R root:root private
#chmod -R 600 private
#chmod u+X private

3. Generate file CSR (certificate signing request)
#bin/openssl req -new -key private/webmail.yourdomain.com.key -out certs/webmail.yourdomain.com.csr

Country Name (2 letter code) [AU]:AU
State or Province Name (full name) [Some-State]:Your State
Locality Name (eg, city) []:Your City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Your Company Pty Ltd
Organizational Unit Name (eg, section) []:Internet Services
Common Name (eg, your name or your server's hostname) []:webmail.yourdomain.com
Email Address []:postmaster@yourdomain.com

Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:yoursecretpasswd
An optional company name []:

4. certificate
untuk mendapatkan signing certificate bisa mengakses secara online melalui www.thawte.com,
setelah mendapatkan certificate copy ke /usr/local/ssl/certs/www.domain.com.crt
atau dgn menggunakan alternatif lain
#bin/openssl x509 -req -days 30 -in certs/www.domian.com.csr -out certs/webmail.yourdomain.com.crt -signkey private/webmail.yourdomain.com.key

Apache webserver (Mod_SSL dan PHP)
1. buat group dan user apache
#pw groupadd www
#pw useradd www -d /usr/local/www -s /nonexistent
compile source
#cd /home/src
#tar -zxvf apache-1.3.29
2. module modssl
untuk mendapatkan module/source versi terbaru modssl bisa melalui www.modssl.org,
mod_ssl memberikan fungsi crytographic untuk webserver Apache.

Extract source
#cd /home/src
#tar -zxvf mod_ssl.tar.gz
#cd mod_ssl
#./configure --with-apache=../apache_1.3.2x --with-crt=/usr/local/ssl/certs/www.domain.com.crt --with-key=/usr/local/ssl/certs/www.domain.com.key

compile source apache
#cd ../apache_1.3.2x
#env SSL_BASE=../openssl ./configure --prefix=/usr/local/www --enable-module=so --enable-module=rewrite --enable-shared=rewrite
--enable-module=ssl --enable-shared=ssl --disable-rule=SSL-COMPAT
#make;make install

kemudian tambahkan module untuk script php
#tar -zxvf php.tar.gz
#cd php
#./configure --with-mysql=/usr/local/mysql --with-apxs=/usr/local/www/bin/apxs
#make;make install
#cp php.ini-dist /usr/local/lib/php.ini
ubah file php.ini dan pastikan terdapat perintah berikut
max_execution_time=60
memory_limit=10M
post_max_size=8M
upload_max_filesize=8M
file_uploads=On
log_errors=On
error_log=/usr/local/www/logs/php_error_log

ubah permission dari direktori php
#chown -R root:www /usr/local/lib/php
#chmod -R g-w,o-rwx /usr/local/lib/php

Edit file /usr/local/www/conf/httpd.conf

User www
Group www
ServerAdmin postmaster@yourdomain.com
ServerName www.yourdomain.com
# Following line should be present already as it would be inserted by the PHP make
# Make sure you move it outside of the IfDefineSSL section if the make (incorrectly) put it there
LoadModule php4_module libexec/libphp4.so
# uncomment (or add) the following line
AddType application/x-httpd-php .php
# Add the index.php into this line so apache will use this file as a default in addition to index.html
DirectoryIndex index.php index.html
# Go towards the end of the httpd.conf and look for the "SSL Virtual Host Context"
ServerName www.yourdomain.com
ServerAdmin postmaster@yourdomain.com

Test file httpd.conf untuk melihat apakah command-command yg di berikan sudah benar
#/usr/local/www/bin/apachectl configtest
jika menggunakan SSL
#/usr/local/www/bin/apachectl startssl
dan jika tidak menggunakan SSL
#/usr/local/www/bin/apachectl start

Dan untuk melihat apakah webserver kita sudah berjalan dgn baik ,
#ps axf|grep httpd
setan# ps axf|grep httpd
133 ?? Ss 0:02.18 /var/www/bin/httpd -DSSL
143 ?? I 0:00.04 /var/www/bin/httpd -DSSL
144 ?? I 0:00.05 /var/www/bin/httpd -DSSL
145 ?? I 0:00.02 /var/www/bin/httpd -DSSL

jika mendapatkan hasil seperti di atas berarti webserver kita sudah siap, kemudian tambahkan baris apachectl ke dalam /etc/rc.local.

NB:
konfigurasi di sesuaikan dgn mesin Anda

Bandwidth Management dengan ALTQ di FreeBSD

2005-01-03T18:33:00.000-08:00

Management banwidth sangat diperlukan untuk menjaga agar bandwidth network tetap stabil dengan kata lain bandwidth bisa dipakai sesuai dengan kebutuhan. Di sini akan berikan bagaimana memasang bandwidth management dengan menggunakan teknik queueing yaitu altq dan cbq.
Dengan teknik queueing ini kestabilan bandwidth bisa di jaga melalui bandwidth priority yg merupakan salah satu system kerja pada QOS.

Pertama lakukan modifikasi kernel supaya mengenal modul-modul ALTQ
Ambil paket altq dan patch kernel altq
#cd /usr/src
#wget ftp://ftp.csl.sony.co.jp/pub/kjc/altq-3.1.tar.gz
#tar -zxvf altq-dist-ver.tar.gz
#gunzip sys-altq--.patch.gz
#cp sys-altq--.patch altq-3.1/sys-altq/
#mkdir sys-altq

Pindah ke direktory sys
#cd sys
#tar cvf - .|(cd ../sys-altq; tar xf -)

Lakukan patch kernel untuk altq
#cd /usr/src/sys-altq
#patch -p0 < path-to-altq-dist/sys-altq/sys-altq--.patch
jika ada pesan sukses lanjutkan,
#mkdir altq
#cp path-to-altq-dist/sys-altq/altq/* altq/

Lakukan kompile kernel yg baru untuk altq
#cd i386/conf
#mv ALTQ BEJITA
#ee BEJITA
tambahkan options berikut
#altq
options HZ=1000 # operasi kernel dijalankan pd 1ms
options ALTQ # alternate queueing
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_CDNR
options ALTQ_BLUE
options ALTQ_WFQ
options ALTQ_FIFOQ
options ALTQ_JOBS

#config BEJITA
#cd ../../compile/BEJITA
#make depend;make;make install

Lakukan booting
#sync
#reboot

Instalasi pake altq
#cd /usr/src/altq-dist-ver
#sh MAKEDEV.altq all
#make;make install

Buat file altq.conf untuk menjalankan daemon altq
#cd /etc
#ee altq.conf
interface rl1 bandwidth 10M cbq
class cbq rl1 root_class NULL priority 0 admission none pbandwidth 100
class cbq rl1 default_class root_class priority 0 pbandwidth 95 default
class cbq rl1 client1 default_class priority 0 pbandwidth 50
filter rl0 client1 172.16.10.2 0 0 0 0
filter rl0 client1 0 0 0 0 172.16.10.2

kemudian jalankan daemon altq
#altqd -f altq.conf

Untuk konfigurasi altq bisa di lihat di /usr/src/altq-dist-ver/altqd/

Installation OpenBSD and build the new kernel

2005-01-03T02:51:00.000-08:00

Ada beberapa cara boot dalam proses installation kernel ini:
- Floppy disk: Image floppy disk bisa digunakan untuk membuat disk installation pada system Unix-like, atau system DOS/Windows, file tersebut ada floppy35.fs
- CD-ROM: Pada beberapa platform CD-ROM image (cd35.iso) di dalamnya sudah terdapat bootable, dalam hal ini hanya berisi kernel instalasi saja, dan untuk files instalasi masih harus di ambil melalui FTP atau tempat lain.
- bsd.rd: RAM disk kernel,yg bertujuan untuk malakukan proses booting dari system OpenBSD yg sudah ada ataupun melalui network.
- Network: Untuk beberapa platform sudah mendukung untuk booting melalui network.
- Menaruhkan file image system ke disk: file system image bisa di masukan ke patisi yg ada dan untuk selanjutnya melakukan proses booting.
- Bootable Tape: Untuk beberapa platform sudah mendukung untuk proses booting melalui tape.

Tidak semua platform mendukung semua proses booting diatas:
- alpha: Floppy, CD-ROM, Menaruhkan file image system ke disk
- amd64: Floppy, CD-ROM, network.
- cats: CD-ROM.
- hp300: CD-ROM, network.
- hppa: Network.
- i386: Floppy, CD, network.
- mac68k: Installed (and booted) using utilities running on Mac OS. See INSTALL.mac68k for details.
- macppc: CD-ROM, network.
- mvme68k: Network, bootable tape.
- mvme88k: Network, bootable tape.
- sparc: Floppy, CD-ROM, network, writing image to existing swap partition, bootable tape.
- sparc64: Floppy (U1/U2 only), CD-ROM, network, Menaruhkan file image system ke disk.
- vax: Floppy, network.
Dan seluruh platform kecuali mac68k bisa juga menggunakan bsd.rd untuk melakukan proses install atau upgrade.

*Install OpenBSD*
1. Boot from CD
2. Installation process
rootdev=0x1100 rrootdev=0x2f00 rawdev=0x2f02
erase ^?, werase ^W, kill ^U, intr ^C, status ^T
(I)nstall, (U)pgrade or (S)hell? i

Welcome to the OpenBSD/i386 3.5 install program.
This program will help you install OpenBSD in a simple and rational way. At
any prompt except password prompts you can run a shell command by typing
'!foo', or escape to a shell by typing '!'. Default answers are shown in []'s
and are selected by pressing RETURN. At any time you can exit this program by
pressing Control-C and then RETURN, but quitting during an install can leave
your system in an inconsistent state.
Specify terminal type: [vt220] Enter
Do you wish to select a keyboard encoding table? [no] Enter

IS YOUR DATA BACKED UP? As with anything that modifies disk contents, this
program can cause SIGNIFICANT data loss.
It is often helpful to have the installation notes handy. For complex disk
configurations, relevant disk hardware manuals and a calculator are useful.
Proceed with install? [no] y

Cool! Let's get to it...
You will now initialize the disk(s) that OpenBSD will use. To enable all
available security features you should configure the disk(s) to allow the
creation of separate filesystems for /, /tmp, /var, /usr, and /home.
Available disks are: wd0.
Which one is the root disk? (or done) [wd0] Enter

Do you want to use *all* of wd0 for OpenBSD? [no] yes
sampai di sini ikuti petunjuk yang ada di dalam proses instalasinya. (mudah kan ^_^)

Selanjutnya adalah melakukan compile system dengan kernel yg baru
*Build New Kernel*
3. ambil src file dari ftp.openbsd.org/pub/OpenBSD/3.5/
3. copykan file src.tar.gz ke directory /usr and sys.tar.gz ke directory /usr/src
#cp src.tar.gz /usr
#cp sys.tar.gz/usr/src
4. lakukan untar ;
#tar -zxvf /usr/src.tar.gz
#tar -zxvf /usr/src/sys.tar.gz
5. cd /usr/src; make obj && make depend && make && make install
6. cd ../sys/i386/conf
7. copy dan backup files GENERIC ke file lain;
#cp GENERIC SomeFile
8. lakukan prosess config , kemudian compile ;
#config SomeFile
#cd ../compile/SomeFile
#make clean && make depend && make
9. copy dan backup file bsd yang lama dengan file bsd yang baru
#cp /bsd /bsd.old
#cp bsd /bsd
#reboot
10.rebuild kembali system binaries
#cd /usr/src
#rm -r /usr/obj/*
#make obj && make build
11.uname -a
OpenBSD setan.fbsd-tech.net 3.5 SETAN#0 i386

sumber:
http://www.openbsd.org/faq/faq4.html#Overview

PF + Loadbalancing & Multihoming

2005-01-03T02:38:00.000-08:00

* PF atau disebut juga Packet Filter adalah TCP/IP traffic filtering dan Network Address Translation yg dimilikki systemn OpenBSD, PF juga mampu melakukan traffic normalizing dan conditioning pada TCP/IP, bandwidth control dan paket priority.
* Multihoming, pengertian multihoming di sini adalah memiliki lebih dari satu koneksi, baik koneksi dari ISP maupun dari remote network.

* Ide Design

C -> A = port www , browsing
C -> B = port 6667, mirc
A -> internet = 1.1.1.2/24
B -> internet = 2.2.2.1/26
C -> client = 172.168.10.0/30 (GW = 172.168.10.2/30)

Tujuan dari design ini adalah mengimplementasikan konsep loadbalancing dan multihoming pada satu gateway yg berfungsi sebagai peering dari client. Di sini client di implementasikan memilikki dua jalur dalam berinternet, yaitu jalur mirc/irc port 6667 - 7000, dan jalur browsing port www(80), kenapa demikian ??? karena untuk implementasi ini untuk jalur C -> A, port 5000 - 7000 di tutup sehingga pada jalur tsb hanya bisa melakukan browsing, dan ini hanya digunakan dalam percobaan semata dgn menerapkan konsep/metode load balancing & multihoming, dan bisa jadi ini bisa di implementasikan dalam real network dimana misalnya sebuah warnet/game station yg mau membagi akses internetnya dgn menggunakan 2 koneksi (ISP) ke client dalam 1 network. Ini mungkin bisa saja untuk koneksi dari 2 link yg berbeda atau sama tsb menggunakan 2 mesin/box yg di fungsikan sebagai gateway, dan hal ini terbatas hanya dalam 1 network , jd nantinya akan ada 1 network khusus browsing/surfing/internetan dan 1 network khusus chating/game online,dll. Nah dgn implementasi ini di harapkan tidak ada lagi membedakan network khusus browsing/internetan dan network khusus chating/game online, jd semua network bisa internetan/browsing/chating/gameonline hanya dgn mengarahkan/memetakan jalur koneksi yg ada untuk bisa di pakai semua network.

contoh file /etc/pf.conf
local_net = "10.10.10.0/24"
ext_if0 = "fx0"
ext_if1 = "fx1"
int_if0 = "fx3"
ext_gw0 = "1.1.1.1/24"
ext_gw1 = "2.2.2.2/26"

nat on $ext_if0 from !($ext_if0) -> ($ext_if0:0)
nat on $ext_if1 from $local_net to any -> ($ext_if1)
rdr pass on $int_if0 proto tcp to port 80 -> $int_if0 port 3128
rdr pass on $ext_if1 proto tcp from port 6667 -> $ext_if1 port 6667

pass out on $int_if0 from any to $local_net
pass in quick on $int_if0 from $local_net to $int_if0
pass in on $int_if0 route-to { ($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1) } round-robin proto tcp from $local_net to any flags S/SA modulate state
pass in on $int_if0 route-to { ($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1) } round-robin proto { udp, icmp } from $local_net to any keep state

pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if1 route-to { $ext_if0 $ext_gw0 } from $ext_if0 to any

Demikianlah, akhir kata semoga tulisan ini dapat bermanfaat. Terima kasih.

sumber :
corebsd.or.id/wiki/Multihoming (thx for article about Multihoming)
openbsd.corebsd.or.id
www.openbsd.org
my uncle www.google.com ( thx for advice and guiding :D )
my machine ( thx for had give and take with me about this testing :D )

Upgrade Kernel Source dari 3.5 ke 3.6

2005-01-03T02:25:00.000-08:00

Mungkin ada yang pernah mengalami sewaktu upgrade dari 3.5 ke 3.6, sering munculnya /tmp//ccC12521.o(.text+0x2f: In function '_nc_doalloc':, setelah baca2 googling2 ternyata error terjadi karena adanya flag-day, saya tidak tau apa maksud kesalahan tersebut, tapi menurut saya kesalahan ini terjadi karena ada nya perbedaan library di kernel 3.5 dan 3.6.

Untuk tahap upgrade ini pertama-pertama saya melakukan edit pada
vi /usr/src/lib/libc/Makefile
uncomment pada baris berikut:
#CFLAGS+=-Werror
menjadi
CFLAGS+=-Werror
saya juga tidak yakin apa dengan menguncomment baris tersebut berpengaruh, tapi setidak setelah melakukan hal itu saya bisa melakukan make depend.

Ok, selanjutnya proses make && make install, dan ternyata masih terjadi error pada beberapa function di dalam source kernel,
selanjut saya mencoba melakukan install file header baru,
# cd /usr/src && make obj && make cleandir && make includes,

kemudian lakukan build dan install versi terbaru dari libc
# cd /usr/src/lib/libc && make depend && make && env NOMAN=1 make install

kemudian lakukan build dan install system seperti biasa
# cd /usr/src && make build

Ok sampai disini proses akan melakukan compile sampe selesai, dan system siap menjalankan OpenBSD 3.6.

Selamat mencoba.

Sumber:
http://www.openbsd.org/faq/upgrade-minifaq.html#3.5.1
gorila.gorila-bsd.net 3.6 GORILA#3 i386 (my machine :D)

Menggunakan Public Key Authentication dengan SSH

2005-01-03T02:17:00.000-08:00

Dengan metode authentikasi ini kita bisa mengenkripsi password login kita ke ssh, caranya,pertama-tama kita generate dulu public key untuk protocol ssh v2:
$ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key /home/androids/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/androids/.ssh/id_dsa.
Your public key has been saved in /home/androids/.ssh/id_dsa.pub.
The key fingerprint is:
6b:bf:7d:83:b3:87:22:56:55:13:d1:df:1b:4d:d2:0b androids@host

sampe di sini sudah ok, kemudian cek apakah terdapat file id_dsa dan id_dsa.pub
$ ls -alh .ssh/id_*
-rw------- 1 androids wheel 736B Dec 27 19:24 .ssh/id_dsa
-rw-r--r-- 1 androids wheel 618B Dec 27 19:24 .ssh/id_dsa.pub
nah id_dsa adalah private key ,dan id_dsa.pub adalah public key-nya, pastikan permission read only.
Selanjutnya meletakan public key ke remote server, caranya
$cat .ssh/id_dsa.pub | ssh -l user remote_machine "cat >> .ssh/authorized_keys"

Langkah selanjutnya adalah mengkonfigure ssh daemon supaya bisa menerima public key yg sudah kita buat, caranya:
(login sebagai root)
#vi /etc/ssh/sshd_config, dan ubah seperti berikut
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

restart sshd anda,
#kill -HUP $(/var/run/sshd.pid)

kemudian kita akan mencoba melakukan login dengan menggunakan public key
$ssh user@host
Enter passphrase for key '/home/user/.ssh/id_dsa': (masukan passphrase yg sudah anda buat waktu menggenerate pub key)

Ok, sampai di sini sudah bisa jalan, kemudian kita akan membuat supaya kita tidak perlu memasukan passphrase setiap kita login ke remote server, caranya :
$eval $(ssh-agent)
$ssh-add ~/.ssh/id_dsa
Enter passphrase for key '/home/user/.ssh/id_dsa':
Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
$
$ssh-add -l user host
$ssh -v user@host
....
$exit
$ssh user@host
$
nah sekarang anda bisa login ke remote server tanpa perlu password dan passphrase lagi. Selamat mencoba.

sumber :
Xavier Santolaria
http://open.bsdcow.net/tutorials/ssh_pubkey_auth
gorila.gorila.net (my machine :D)