masalah firewall: access web dengan port tertentu (port 8443) dari client yang ber-ip private ke suatu server public (port 8443) ?

[Agung Septiadi]

Saya punya konfigurasi firewall Juniper berkonfigurasi DMZ dengan
konfigurasi seperti ini

Client -> Firewall -> Internet
|
DMZ

Client ber IP private, DMZ ber IP public.. di DMZ ada squid proxy yang
mengcache web,https,dan ftp
koneksi TCP ataupun UDP port 8443 baik inbound ataupun outbound dari
client (trusted) ke internet (untrusted) sudah di allow

Skenario yang diinginkan: Salah satu host di client musti mengakses
sebuah webserver di internet yang menggunakan port 8443
(www.xxx.com:8443; saya lupa situs apa, itu permintaan dari sisi
client)
Saat ini, skenario di atas tidak bisa dilakukan

Bagaimana konfigurasi di firewall agar skenario di atas bisa dilakukan yup?
Apakah harus ada NAT server yang ditaruh di DMZ?
Atau ada yang salah di konfigurasi Firewall?
Padahal saya sudah meng-allow koneksi TCP ataupun UDP port 8443 baik
inbound ataupun outbound dari client (trusted) ke internet (untrusted)
Kalau host itu ditaruh di DMZ dan memiliki ip public, skenario di atas
bisa dilakukan, tapi saya ingin host2 lain di sisi client juga bisa
mengakses webserver dengan port 8443 tersebut..
Maafkan bila pertanyaan saya ini bodoh. Saya bingung musti search di
google dengan keyword apa dengan problem seperti ini :(

Terima kasih atas respons teman2 yang diberikan :)

[Anton Rahmadi]

mau tanya sedikit (sori belum jelas kasusnya):


client (to: 8443) --> firewall --> Internet

atau:

client (to: 8443) --> firewall (redirect to proxy) --> proxy (to:
8443) ---> Internet

Yang saya tanyakan adalah: di sisi firewallnya, apakah request dari
client langsung di forward firewall ke Internet atau jangan-jangan via
proxy dulu?



Demikian.
Salam,

Anton

[Agung Septiadi]

normalnya, client kalo browsing biasa (port 80,443) di browsernya
dipasang setingan proxy.
nah, jadi masalah pada saat mengunjungi situs yang menggunakan port 8443

apa yang mesti dilakukan yup? apa kita musti ngubah setingan proxynya?
yang saya tau sih squid proxy cuman bisa ngecache port 80,443,dan 21
saja.. :-/ CMIIW

nah saya pengennya kalo client (yang ber ip private) browsing ke
http://www.xxx.com:8443, itu ngga usah lewat proxy lagi, alias
langsung kayak "client (to: 8443) --> firewall --> Internet"

Terima kasih atas responsnya :)

2010/8/6 Anton Rahmadi <antonr...@gmail.com>:

> --
> Info Milis: http://wiki.ubuntu-id.org/Milis
> Etika Milis: http://wiki.ubuntu-id.org/EtikaMilis
> Daftar Hitam Anggota Milis: http://wiki.ubuntu-id.org/Milis/HallOfShame

[Anton Rahmadi]

saya tadi penasaran dengan setting forwarding routernya:
Apakah semua traffic dialihkan ke proxy dulu baru ke internet, bila ya
berarti didefinsikan rule bahwa request ke port tujuan(outbound) 8443
cukup di NAT saja, tidak perlu dibelokkan ke proxy.

Seandainya pun dibelokkan ke proxy, maka di proxy server perlu
ditambahkan konfigurasi sbb:
http://forums.freebsd.org/showthread.php?t=1881

Saya tidak menguasai Juniper, tapi prinsipnya mungkin seperti ini:
http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/policy-NAT-based-on-TCP-destination-port/m-p/2818

kalau port 80 di forward ke proxy
0.0.0.0:80 is forwarded to ip_proxy:port_squid

maka, port 8443 langsung ke internet
0.0.0.0:8443 forwarded to ip_router_ISP

(catatan: outbound ke port tujuan dan inbound dari port asal 8443 juga
harus dibuka)

Kalau masih belum bisa, coba digunakan trik MITM (man in the middle
attack, untuk melacak traffic-nya macet dimana)
eth_dari_client:8443 log
eth_dari_internet:8443 log

ntar dianalisis sendiri log-nya.


Salam,

Anton

[Agung Septiadi]

baiklah.. saya coba dulu hari senin.. terima kasih atas responnya :)

2010/8/6 Anton Rahmadi <antonr...@gmail.com>: