BigWisu.com

Setelah 2 bulan saya mengadakan survei… kini saatnya pemenang hadiah diundi…

Dan pemenangnya adalah….

Today my baby girl is one year old…

We pray that you will grow up to be a Healthy, Solihah and Successful girl

A simple policy within the company that caused many sleepless night… One day the CEO said…. “We shall not allow chatting”…. O boy… this is a bother… as much as i enjoy Yahoo!Messenger I have to comply….

To achieve this goal first I blocked all outgoing ports… then I had to hand pick some TCP and UDP ports allowed for default services… After that I had to create rules to and from branch offices connecting over VPN… Then I had SquidGuard, in my case URLFilter, screen the http port to disallow chat…

Looking at the logs… turns out that Yahoo Messenger is capable of communicating through the default services i allowed earlier… like a virus Yahoo!Messenger scans the network to identify opened ports and it was successfull with ports 20,21,23,25 and 443… is this legal?… anyway… I limit access of ports 20-25 only to my servers… but 443… Blocking it means no https… I thought SquidGuard could help me but… turns out that https or secure http cannot be proxied transparently…

From http://www.shorewall.net/Shorewall_Squid_Usage.html

…instructions for transparent proxying of HTTP. HTTPS (normally TCP port 443) cannot be proxied transparently (stop and think about it for a minute; if HTTPS could be transparently proxied, then how secure would it be?).

Temporary solution is to allow only a few people access to https… and bad users must live without webmail, web bank and online shopping…

Update : since IPCop can access port 443 and proxy is on 800, someone who manually enters the firewall as proxy can access https sites…

Waduh… bener juga… terkadang kita harus memberikan perhatian lebih terhadap hal ini…

Secara system sudah terblokir… secara management saya coba beri kesempatan… secara pribadi saya ancam akan ngomong ke tunangannya kalo ketahuan lagi…

Mudah-mudahan cara tersebut berhasil… we’ll wait and see…

Setelah mencoba sana-sini beberapa konfigurasi addon URLFilter IPCop… ternyata saya menemukan Blacklist SquidGuard yang di maintain oleh www.shalla.de… dan ternyata blacklist ini sangat detail dan ampuh untuk memanage user-user bandel seperti yang ada di network saya…

Sebelum mengimplementasikan list ini ke dalam URLFilter, saya putuskan upgrade terlebih dahulu addon URLFilter tersebut… dan ternyata setelah saya reload admin GUI IPCop… ternyata URLFilter versi terbaru sudah mengikut sertakan shalla’s list ini kedalam settingnya… dan saya tinggal memilih Shalla Secure Services sebagai default update dari blacklist URLFilter… dan hasilnya seperti tampilan berikut

Sekarang saya tinggal klak… klik… dan klik… sesuai kategori yang begitu detail…

Lisensi dari list ini adalah free tetapi jika digunakan di lingkungan commercial seperti saya… penggunaan oleh user internal di anggap sebagai commercial use… saya harus register secara gratis dengan mengirim email ke info at shalla dot de… yah… tinggal kita tunggu reply dari pengelola list ini…

One of my VMWare Servers in Pekanbaru returned this error…
Its running VMWare Server 1.0.3 on Debian Etch… and must of been shut down improperly…

Resolving requires me to delete 2 *.WRITELOCK files within the same directory as the *.vmdk file…

$ ls
564d77ac-9f7e-2227-ad4a-45fc12749f5f.vmem
564d77ac-9f7e-2227-ad4a-45fc12749f5f.vmem.WRITELOCK
nvram
vmware-0.log
vmware-1.log
vmware-2.log
vmware.log
Windows XP Professional-f001.vmdk
Windows XP Professional-f002.vmdk
Windows XP Professional-f003.vmdk
Windows XP Professional-f004.vmdk
Windows XP Professional-f005.vmdk
Windows XP Professional-f006.vmdk
Windows XP Professional-f007.vmdk
Windows XP Professional-f008.vmdk
Windows XP Professional.vmdk
Windows XP Professional.vmdk.WRITELOCK
Windows XP Professional.vmsd
Windows XP Professional.vmx

after that starting the virtual machine from the VMWare MUI seems to do the trick…

Tulisan ini sebagai gambaran, sebuah setup yang sangat mudah untuk membuat WAN dengan IPCop.

Sebelum memulai membangun sebuah Network kita harus memetakan network tersebut terlebih dahulu, berikut contoh diagram network yang saya gunakan

Dari diagram tersebut, kita bisa melihat rencana network/subnet masing-masing kantor cabang dan TCP Port yang digunakan untuk koneksi OpenVPN. Perlu diingat satu port hanya bisa digunakan untuk satu koneksi Net-to-Net.

Teknologi OpenVPN ini saya pilih karen sangat fleksibel, dikantor Pekanbaru saya gunakan speedy dengan firewall berada dibelakang NAT modem ADSL… kemudian di Medan saya malah tidak mendapatkan IP Public dari ISP www.citilink.info… jika kita mau implementasi VPN dengan ipsec jelas tidak mungkin dilakukan…

Dikantor utama saya menggunakan sebuah Firewall IPCop 1.4.10, PC Pentium 3 ini memiliki RAM 512 dengan 3 buah NIC (Network Interface Card), dari diagram diatas satu untuk LAN (GREEN), satu untuk Wireless link ke kantor cabang di Jakarta (BLUE) dan satu lagi untuk koneksi Internet (RED) melalui ISP yang memberikan layanan melalui jaringan Fiber Optic. Sebenarnya ada rencana meng-upgrade PC namun itu dengan pertimbangan commercial bukannya performance.

Di masing-masing cabang saya percayakan OpenVPN endpoint pada PC Pentium 2 atau Pentium 3, dengan modifikasi utama yaitu adanya dua buah NIC masing-masing untuk RED dan Green serta mengganti HDD dengan sebuah CF Card… biasanya kapasitas yang saya gunakan berkisar antara 2-4 GB… contoh router/firewall yang sudah dirakit adalah sbb:

Satu hal yang perlu diingat, adalah pasokan listrik… sering kali listrik di kantor cabang padam secara mendadak… baik berasal dari gangguan PLN maupun dari adanya kelebihan beban…

Langkah utama yang perlu dilakukan di setiap instalasi IPCop baik di kantor utama maupun di kantor cabang adalah penambahan addon zerina, bisa di unduh dari www.zerina.de… di awal-awal pengembangannya addon ini, saat saya deploy kantor medan, developer-nya cukup baik hati untuk mendengarkan keluhan saya dan memperbaiki beberapa fitur… sekarang addon ini sudah sangat matang dan telah banyak digunakan…

Setelah menginstall zerina kita harus generate sertifikat, setelah itu opsi Net-to-Net baru akan muncul… di head office kita persiapkan konfigurasi masing-masing kantor sesuai dengan gambar diagram di atas… dan saat deployment ke daerah… kita tinggal me-load konfigurasi yang kita bawa pakai flash disk ke web GUI IPCop kantor cabang…

Monitoring koneksi OpenVPN juga mudah… semua dilakukan dengan GUI