Tutorial Konfigurasi Firewall Membatasi Akses Port Database

Tutorial Konfigurasi Firewall Membatasi Akses Port Database
Tutorial Konfigurasi Firewall Membatasi Akses Port Database

Membatasi Port database

Sebelum membaca artikel ini, pastikan anda sudah membaca artikel sebelumnya mengenai bagaimana cara melindungi database website Open in new window anda. Jika sudah, mari kita lanjutkan. Bagaimana cara agar port-port database hanya bisa diakses dari server yang sama atau dari jaringan lokal?

Sebagai contoh, anda hanya memiliki satu IP address yaitu (ip.anda) dan anda ingin memastikan bahwa aturan firewall membatasi akses firewall hanya dari internal serta localhost, namun tidak menghalangi atau mengganggu koneksi internal lainnya. Akses dari luar tidak diperbolehkan alias akan di-block otomatis oleh firewall. Berikut ini cara mengatur konfigurasinya.

Untuk mengonfigurasi csf agar port 1433, 1434, dan 3306 hanya bisa diakses dari server yang sama atau jaringan lokal (dalam hal ini, IP VPS Anda adalah (ip.anda)), Anda perlu memastikan bahwa hanya IP internal dan localhost yang diizinkan untuk mengakses port tersebut. Berikut adalah langkah-langkah untuk melakukannya:

Langkah-langkah konfigurasi

  • Masuk ke WHM / Panel dengan kredensial Anda.
  • Cari “ConfigServer security & Firewall” di menu WHM dan buka.
  • Klik “Firewall Configuration” untuk membuka pengaturan konfigurasi CSF.
  • Cari bagian TCP_IN dan TCP_OUT. Pastikan bahwa port 1433, 1434, dan 3306 tidak termasuk dalam daftar umum ini untuk akses eksternal.
  • Buka bagian “Allow IPs” atau file csf.allow dan tambahkan entri berikut untuk mengizinkan koneksi hanya dari IP internal dan localhost:
  • tcp|in|d=1433|s=(isi.dengan.ip.anda)
  • tcp|in|d=1434|s=(isi.dengan.ip.anda)
  • tcp|in|d=3306|s=(isi.dengan.ip.anda)
  • tcp|in|d=1433|s=127.0.0.1
  • tcp|in|d=1434|s=127.0.0.1
  • tcp|in|d=3306|s=127.0.0.1
  • Ini akan memastikan bahwa port hanya dapat diakses oleh IP VPS Anda dan localhost.
  • Secara default, CSF akan memblokir semua IP lain jika tidak ada di dalam daftar csf.allow, tetapi untuk memastikan, Anda bisa menambahkan entri berikut ke csf.deny untuk memblokir akses dari semua IP lain:
  • tcp|in|d=1433
  • tcp|in|d=1434
  • tcp|in|d=3306
  • Setelah melakukan perubahan, klik “Restart CSF+LFD” untuk menerapkan perubahan.
  • Pastikan hanya IP (ip.anda) dan 127.0.0.1 yang bisa mengakses port tersebut. Anda bisa menggunakan alat seperti telnet atau nc untuk menguji koneksi dari server lokal dan dari jaringan luar untuk memastikan aturan bekerja dengan benar.

Catatan Penting

  • Backup: Selalu backup konfigurasi CSF sebelum membuat perubahan, sehingga Anda bisa dengan mudah mengembalikan ke versi sebelumnya jika terjadi masalah.
  • Uji Koneksi: Pastikan untuk menguji akses ke port dari IP yang diizinkan dan tidak diizinkan untuk memastikan aturan bekerja dengan benar.
  • Monitoring: Pertimbangkan untuk menggunakan alat monitoring untuk memastikan tidak ada akses tidak sah ke server Anda.

Dengan konfigurasi ini, Anda dapat memastikan bahwa port 1433, 1434, dan 3306 hanya bisa diakses dari server Anda sendiri atau dari localhost, meningkatkan keamanan server secara signifikan. Jika ada yang kurang jelas atau jika Anda memerlukan bantuan lebih lanjut, silakan beri tahu!

Jangan Lupakan UDP, Bukan Cuma TCP

Port 1434 biasanya digunakan oleh SQL Server sebagai protokol UDP. Untuk memastikan keamanan, Anda perlu mengkonfigurasi akses untuk protokol UDP selain TCP. Berikut adalah langkah-langkah untuk menyesuaikan konfigurasi CSF agar mengizinkan akses UDP pada port 1434 hanya dari IP internal dan localhost:

Konfigurasi CSF untuk UDP:

  • Masuk ke WHM dengan kredensial Anda.
  • Cari “ConfigServer Security & Firewall” di menu WHM dan buka.
  • Klik “Firewall Configuration” untuk membuka pengaturan konfigurasi CSF.
  • Buka bagian “Allow IPs” atau file csf.allow dan tambahkan entri berikut untuk mengizinkan koneksi UDP hanya dari IP internal dan localhost:
  • udp|in|d=1434|s=(ip.anda)
  • udp|in|d=1434|s=127.0.0.1
  • Ini memastikan bahwa port UDP 1434 hanya dapat diakses oleh IP VPS Anda dan localhost.
  • Tambahkan entri berikut ke csf.deny untuk memblokir akses UDP dari semua IP lain pada port 1434:
  • udp|in|d=1434
  • Setelah melakukan perubahan, klik “Restart CSF+LFD” untuk menerapkan perubahan.
  • Pastikan hanya IP (ip.anda) dan 127.0.0.1 yang bisa mengakses port UDP 1434. Anda bisa menggunakan alat seperti nc (netcat) untuk menguji koneksi UDP dari server lokal dan dari jaringan luar untuk memastikan aturan bekerja dengan benar.

Catatan Tambahan

  • TCP vs UDP: Pastikan Anda mengkonfigurasi baik untuk TCP dan UDP sesuai kebutuhan Anda. TCP biasanya digunakan untuk koneksi yang memerlukan keandalan, sedangkan UDP sering digunakan untuk kecepatan.
  • Backup dan Uji: Selalu backup konfigurasi CSF sebelum melakukan perubahan, dan pastikan untuk menguji konfigurasi baru Anda secara menyeluruh.
  • Pemantauan: Pertimbangkan menggunakan alat pemantauan untuk memastikan tidak ada akses tidak sah yang terjadi.

Dengan langkah-langkah ini, Anda dapat mengonfigurasi CSF untuk melindungi port 1433, 1434 (UDP), dan 3306 dari akses yang tidak sah, sekaligus mengizinkan akses hanya dari IP internal dan localhost.

Semoga bermanfaat!

Share this to: