Perintah dan Fungsi dalam Konfigurasi Proxy

Squid adalah sebuah daemon yang digunakan sebagai proxy server dan web cache. Squid memiliki banyak jenis penggunaan, mulai dari mempercepat server web dengan melakukan caching permintaan yang berulang-ulang, caching DNS, caching situs web, dan caching pencarian komputer di dalam jaringan untuk sekelompok komputer yang menggunakan sumber daya jaringan yang sama, hingga pada membantu keamanan dengan cara melakukan penyaringan (filter) lalu lintas. Meskipun seringnya digunakan untuk protokol HTTP dan FTP, Squid juga menawarkan dukungan terbatas untuk beberapa protokol lainnya termasuk Transport Layer Security (TLS), Secure Socket Layer (SSL), Internet Gopher, dan HTTPS. Versi Squid 3.1 mencakup dukungan protokol IPv6 dan Internet Content Adaptation Protocol (ICAP).

1. Lakukan konfigurasi pada filesquid.conf.
Buka file squid.conf dan edit beberapa baris konfigurasi, dengan perintah:

debian:~#nano squid.conf 

a. Konfigurasi transparent proxy
Edit pada baris dibawah ini, port 3128 dapat diganti dengan port 8080 atau port berapapun, tergantung pada perintah (rule) bagi port mana yang ingin dijalankan.

# Squid normally listens to port 3128      http_port 3128 transparent 

b. Konfigurasi cache_mgr
Cache manager ini berfungsi sebagai penunjuk admin (master) apabila muncul pesan error pada PC Client.

# cache_mgr webmaster                       

cache_mgr loveablenoel@gmail.com

c. Konfigurasi visible_hostname
Berikut jika anda ingin mengubah nama host yang akan muncul ketika ada pesan error.



# visible_hostname localhost                     
visible_hostname www.stembayo.sch.id   

D.Konfigurasi Cache_mem

#cache_mem 8MB
hapus dan ganti 8MB dengan 32/64MB
fungsi dari cache_mem yaitu
Mekanisme penyimpanan data sekunder berkecepatan tinggi yang di gunakan untuk menyimpan data atau instruksi yang sering diakses. Memory cache dimaksudkan untuk memberikan kecepatan memory yang mendekati memory yang paling cepat yang bisa diperoleh dan pada waktu yang sama menyediakan kapasitas memory yang besar

2. Konfigurasi iptables agar setiap pengaksesan website melalui web browser (melalui port 80) di arahkan atau dialihkan ke port proxy (port 3128) walaupun pada web browser PC Client tidak di setting secara manual untuk menggunakan peraturan port pada proxy tersebut, dengan perintah:

debian:~#iptables –t nat -A PREROUTING –p tcp --dport 80 –j REDIRECT --to-port 3128      

jika belum di masukkan di nano /etc/rc.local

maka sifat dari iptables diatas sementara

 

                 

SEKIAN PENJELASAN SAYA SEMOGA BERMANFAAT

Dasar IPTABLES

PTables adalah firewall yang biasa dipakai pada Sistem Operasi GNU/Linux. IPTables memiliki tiga jenis daftar aturan di dalam tabel penyaringan yang bernama rantai firewall (chain), yakni INPUT, FORWARD dan OUTPUT.

Berikut merupakan syntax IPTables:

iptables [-t table_name] command [match] [target/jump]

Penjelasan tentang tiap-tiap komponen adalah sebagai berikut:

A. Table

Fungsi masing-masing tabel pada IPTables:

1. NAT : NAT mentranslasikan (menggantikan) alamat asal atau tujuan dari sebuah paket. Contoh apabila satu buah PC Client yang beralamat IP private memberikan request agar terkoneksi ke internet dari gateway dan di terima oleh PC Router, sedangkan hanya PC Router yang memiliki alamat IP public, maka agar client dapat terkoneksi ke internet, IP private tadi ditranslasikan (digantkan) requestnya oleh PC Router dengan IP public miliknya, kemudian hasil request disambungkan kembali ke PC Client, sehingga PC Client dapat mengakses internet.

2. MANGLE : Melakukan penghalusan (mangle) paket, seperti TTL, TOS dan MARK.

3. FILTER : Menentukan paket yang akan di-DROP, LOG, ACCEPT atau REJECT

B. Command

Command menambahkan yang harus dilakukan di baris syntax. Biasanya ada penambahan atau penghapusan sesuatu dari tabel dan lain lain.

Command	Keterangan
-A –append	Perintah ini menambahkan aturan di akhir chain. Aturan ditambahkan di akhir baris chain yang bersangkutan, sehingga dieksekusi terakhir kali
-D          –delete	Menghapus satu aturan chain. Caranya dengan menyebutkan perintah mana yang ingin dihapus secara lengkap atau menyebutkan nomor baris perintah yang akan dihapus.
-R          –replace	Menggantikan aturan chain dengan aturan (entry) baru..
-I          –insert	Memasukkan aturan pada suatu baris di chain. Aturan akan dimasukkan ke baris yang ditulis, dan aturan yang tadinya ada di baris tersebut akan bergeser ke bawah bersama dengan baris-baris selanjutnya
-L          –list	Menampilkan semua aturan pada tabel. Jika tabel tidak disebutkan, seluruh aturan di semua tabel akan ditampilkan, walaupun tidak ada aturan sama sekali pada tabel. Command ini bisa dikombinasikan dengan option –v (verbose), -n (numeric) dan –x (exact).
-F          –flush	Perintah ini mengosongkan aturan pada sebuah chain. Apabila chain tidak disebutkan, maka semua chain akan hilang.
-N          –new-chain	Membuat chain baru.
-X          –delete-chain	Menghapus chain yang dituliskan. Notabene, tidak boleh ada aturan lain yang bersangkutan dengan chain tersebut.
-P          –policy	Membuat kebijakan default pada chain. Jika ada paket yang tidak memenuhi aturan pada baris yang diinginkan, paket akan diperlakukan sesuai dengan kebijakan default ini.
-E          –rename-chain	Mengubah nama chain.

C. Option

Option dikombinasikan dengan command tertentu.

Option	Command	Keterangan
-v          –verbose	–list          –append –insert –delete –replace	Memberi output secara detail. Jika digunakan dengan –list, akan menampilkam K (x1.000), M (1.000.000) dan G (1.000.000.000).
-x          –exact	–list	Memberikan output secara tepat.
-n           –numeric	–list	Memberikan output berbentuk angka. IP Address dan port ditampilkan dalam bentuk angka, bukan hostname ataupun nama servis/repositori.
–line-number	–list	Menampilkan nomor dari daftar aturan.
–modprobe	All	Memerintahkan IPTables memanggil modul tertentu. Dapat digunakan bersama semua command.

D. Generic Matches

Generic Matches adalah pendefinisian kriteria secara umum. Jadi sintaks generic matches akan sama untuk semua protokol. Setelah protokol didefinisikan, maka aturan yang lebih spesifik protokol baru didefinisikan. Tiap-tiap protokol berbeda karakter, sehingga perlu perlakuan yang berbeda.

Match	Keterangan
-p          –protocol	Mengecek tipe protokol tertentu, seperti TCP, UDP, ICMP dan ALL. Tanda inverse juga berlaku di sini, misal kita menghendaki semua protokol kecuali icmp, maka kita cukup tuliskan –protokol ! icmp yang berarti semua kecuali icmp.
-s          –src –source	Menyocokkan paket berdasar alamat IP asal tunggal seperti 192.168.2.69, atau alamat network seperti 192.168.2.0/255.255.255.128  dan 192.168.2.0/25. Inversi juga berlaku.
-d          –dst –destination	Meyocokkan paket berdasar alamat tujuan. Sama seperti match –src
-i          –in-interface	Menyocokkan paket berdasar interface source paket dan hanya berlaku pada chain INPUT, FORWARD dan PREROUTING
-o          –out-interface	Menyocokkan paket berdasar interface destination paket seperti –in-interface dan hanya berlaku untuk chain OUTPUT, FORWARD dan POSTROUTING

E. Implicit Matches

Implicit Match merupakan sekumpulan rule yang diload setelah tipe protokol disebutkan, yaitu TCP matches, UDP matches dan ICMP matches.

a. TCP matches

Match	Keterangan
–sport          –source-port	Meyocokkan paket berdasar port asal. Kita memutuskan port atau service yang di definisikan, atau bahkan range port tertentu. Untuk mendefinisikan range antara port 22 sampai dengan 80, tuliskan –sport 22:80. Jika bagian kiri kita hilangkan, paket diartikan dari port 0. Jika bagian kanan kita hilangkan, paket diartikan dari port 65535. Inverse juga berlaku.
–dport          –destination-port	Sama dengan match –source-port.
–tcp-flags	Menyocokkan paket berdasar TCP flags yang ada pada paket. Match ini bisa menggunakan inversi.
–syn	Memeriksa apakah flag SYN di-set dan ACK dan FIN tidak di-set. Seperti –tcp-flags, SYN, ACK, FIN SYN, dapat digunakan untuk request koneksi TCP baru ke server

b. UDP Matches

Karena protokol UDP bersifat connectionless, tidak ada flags yang mendeskripsikan status paket untuk membuka atau menutup koneksi. Paket UDP juga tidak memerlukan acknowledgement. Sehingga Implicit Match untuk protokol UDP lebih sedikit daripada TCP.

Ada dua macam match untuk UDP:

–sport atau –source-port

–dport atau –destination-port

c. ICMP Matches

Paket ICMP mengirimkan pesan kesalahan dan kondisi jaringan lain. Hanya ada satu implicit match untuk tipe protokol ICMP, yaitu :

–icmp-type

F. Explicit Matches

a. MAC Address

Melakukan penyocokan paket berdasar MAC source address dan hanya berfungsi untuk jaringan yang menggunakan teknologi ethernet.

iptables –A INPUT –m mac –mac-source 00:00:00:00:00:05

b. Multiport Matches

Mendefinisikan port atau port range lebih dari satu, tspi definisi aturan sama untuk beberapa port. Kita tidak bisa menggunakan port matching standard dan multiport matching dalam waktu yang sama.

iptables –A INPUT –p tcp –m multiport –source-port 22,80, 110,1028

c. Owner Matches

Mencocokkan paket berdasar pemilik paket. Match ini bekerja di chain OUTPUT, tetapi terdapat kekurangan yaitu beberapa proses tidak memiliki owner (??).

iptables –A OUTPUT –m owner –uid-owner 500

Selain itu bisa juga dengan group ID dengan sintaks –gid-owner.

d. State Matches

Mendefinisikan state apa yang cocok. Ke empat state yang ada yaitu NEW, ESTABLISHED, RELATED dan INVALID.

NEW untuk paket yang memulai koneksi baru.

ESTABLISHED untuk koneksi yang sudah tersambung dan paket sudah bagian dari koneki.

RELATED untuk paket yang berhubungan dengan koneksi, tapi bukan bagian dari koneksi. Seperti FTP data transfer yang menyertai koneksi TCP atau UDP.

INVALID adalah paket yang tidak teridentifikasi, bukan bagian dari koneksi.

iptables –A INPUT –m state –state RELATED,ESTABLISHED

7. Target/Jump

Perlakuan terhadap paket yang memenuhi aturan atau match. Chain yang ada akan dimasuki paket dengan kriteria. Contohnya ada chain bernama paket_tcp. Tambahkan aturan, dan direferensi dari chain input.

iptables –A INPUT –p tcp –j paket_tcp

Target	Keterangan
-j ACCEPT –jump ACCEPT	Memberlakukan paket yang cocok dengan daftar match dan target.
-j DROP –jump DROP	Membuang paket dan menolak memproses lebih jauh.
-j RETURN –jump RETURN	Mengembalikan paket ke superset chain di atasnya dan masuk ke baris aturan berikutnya, jika pada subchain. Tapi jika pada chain utama seperti INPUT, maka paket dikembalikan kepada kebijakan default.
-j MIRROR	Membalik source address dan destination address. Target ini bekerja pada chain INPUT, FORWARD dan PREROUTING atau chain buatan yang melalui chain tersebut.

Beberapa target yang lain biasanya memerlukan parameter tambahan:

a. LOG Target

Tingkatan log yang bisa digunakan dalam option pertama adalah debug, info, notice, warning, err, crit, alert dan emerg. Option kedua adalah -j LOG –log-prefix untuk memberikan string yang tertulis pada awal log, sehingga memudahkan pembacaan log.

iptables –A FORWARD –p tcp –j LOG –log-level debug

iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”

b. REJECT Target

Memblok paket dan menolak untuk memproses lebih lanjut paket tersebut. REJECT akan mengirimkan pesan error ke pengirim paket, tidak seperti DROP. REJECT bekerja pada chain INPUT, OUTPUT dan FORWARD atau pada chain tambahan dari chain tersebut.

iptables –A FORWARD –p tcp –dport 80 –j REJECT –reject-with icmp-host-unreachable

Tipe pesan yang bisa dikirimkan yaitu icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unrachable, icmp-net-prohibited dan icmp-host-prohibited.

c. SNAT Target

Berguna untuk melakukan perubahan alamat asal paket (Source Network Address Translation). Target ini hanya berlaku untuk tabel nat pada chain POSTROUTING. Jika paket pertama dari satu koneksi mengalami SNAT, paket-paket berikutnya dalam koneksi juga akan mengalaminya.

iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 192.168.2.69-192.168.2.96:1024-32000

d. DNAT Target

Digunakan untuk melakukan translasi alamat tujuan (Destination Network Address Translation) pada header dari paket yang memenuhi aturan match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh chain tersebut.

iptables –t nat –A PREROUTING –p tcp –d 35.35.33.37 –dport 80 –j DNAT –to-destination 192.168.22.22

e. MASQUERADE Target

Hampir sama dengan SNAT, tetapi tidak perlu option –to-source. Target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.

iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE

f. REDIRECT Target

Mengalihkan paket ke komputer itu sendiri. Mengarahkan paket yang menuju suatu port tertentu untuk memasuki proxy, berguna untuk membangun transparent proxy. Misal untuk mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy seperti squid. Hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan dari chain tersebut.

iptables –t nat –A PREROUTING –i eth1 –p tcp –dport 80 –j REDIRECT –to-port 8080

Penjelasan dan Pembuatan Router

Berikut ini akan diuraikan bagaimana langkah-2 untuk membuat router sederhana dengan  PC Debian 5 (lenny).
Sebelumnya telah kita siapkan sebuah PC dengan dilengkapi  minimal 2 NIC (dual network adapters).
Kita ambil contoh saja disini untuk IP address yang akan digunakan adalah :  eth0 dan eth1

  IP address untuk koneksi internet kita taruh di “eth0”
Menggunakan IP address static yaitu:
IP   : 192.168.5.5/24 
Gateway   : 192.168.5.1
  IP address untuk interface yang terhubung  ke jaringan local (LAN) ditaruh di “eth1”
IP   : 192.168.50.1/24
NB : Untuk setting IP di bagian “eth1”  tidak perlu menggunakan gateway

  Untuk pengisian IP address komputer client (LAN) adalah:
IP   : 192.168.50.2   s.d.  192.168.50.254
Subnet Mask   : 255.255.255.0
Gateway   : 192.168.50.1

Dari ketentuan diatas, maka perlu dikonfigurasikan ke dalam sistem Debian dengan langkah-langkah sebagai
berikut:

1. Memasukkan settings IP address di interface / LAN card (eth0 dan eth1) , dengan langkah-2 sbb :
~# nano /etc/network/interfaces
Kemudian edit filenya menjadi sebagai berikut:

auto lo 
iface lo inet loopback

auto eth0
iface eth0 inet static
address  192.168.5.5
netmask  255.255.255.0
network  192.168.5.0
broadcast  192.168.5.255
gateway  192.168.5.1

auto eth1
iface eth1 inet static
address 192.168.50.1
netmask 255.255.255.0
network 192.168.50.0
broadcast 192.168.50.255

2. Kemudian kita edit file “/etc/rc.local”

(digunakan untuk mengaktifkan fungsi routing/router walaupun komputer di reboot, setting ini tidak akan hilang /
bersifat permanen).
 | 2 |

Langkah-2nya :
~# nano /etc/rc.local
Pada lokasi SEBELUM baris “exit 0” tambahkan perintah sbb:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
3. Aktifkan fungsi IP_forwarding
~# nano /etc/sysctl.conf
Gulung ke bawah untuk mencari baris perintah yang berbunyi: #net.ipv4.ip_forward=1
Setelah ketemu kemudian hapus / hilangkan tanda # diawal baris. Sehingga menjadi :
net.ipv4.ip_forward=1
NB: Jika ingin agar fungsi router langsung aktif saat ini, kita bisa menambahkan perintah sbb:
~# echo 1 > /proc/sys/net/ipv4/ip_forward
4. Restart service (daemon) network , dengan perintah :
~# /etc/init.d/networking restart
5. Reboot  komputer , ketikkan perintah :

~# reboot  atau  init 6

NB: Kalau tidak ingin komputernya di restart dulu tetapi settings diatas bisa jalan di sistem, ketikkan saja perintah :

iptables –t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save

Kemudian ulangi langkah ke (4)

Jika dengan cara diatas komputer di jaringan LAN belum bisa  browsing ke internet maka perlu di masukkan
informasi tentang DNS Servers yang digunakan. Caranya adalah dengan mengedit file “etc/resolv.conf” dengan
perintah:

~# nano /etc/resolv.conf

Edit atau tambahkan data:  nameserver xxx.xxx.xxx.xxx
Misalnya disini digunakan DNS server kepunyaan telkom Speedy:

nameserver  202.134.1.10        # (nssby1.telkom.net.id)
nameserver  203.130.196.5     # (nsjkt3.telkom.net.id)
# nameserver  203.130.208.18      # (nssmg1.telkom.net.id)

NB: 
Untuk DNS server, silahkan masukkan IP address dari DNS yang anda inginkan. Untuk DNS tercepat (Primary
DNS Server) sebaiknya tempatkan di urutan teratas. Baru diikuti IP DNS server yang lain.

Fungsi IP Tables

Mengenal dasar IP Tables


- Karena sebentar lagi ujikom saya harus banyak memahami mengenai iptables dasar. Perintah dasar iptables pada linux atau debian lenny harus benar-benar saya pahami agar saat ditanya oleh pengawas bisa menjawab dengan benar. Mulai dari iptables target, command, struktur penulisan tabel dan yang lainnya. Memang banyak yang harus kita mengerti mengenai iptables karena sangat banyak mulai dari POSTROUTING sampai yang lainnya karena iptables berguna untuk firewall, router dan yang lainnya.

POSTROUTING, yaitu melakukan NAT paket data yang keluar dari firewall, kebanyakan postrouting dipakai untuk translasi alamat IP. Yang kedua adalah PREROUTING, untuk melakukan NAT paket data yang memasuki firewall, kebanyakan digunakan untuk transparency proxy server dan membangun beberapa server dengan satu IP publik.

Iptables Command

-A : append
Perintah ini menambahkan aturan pada akhir aturan-aturan yang telah dibuat
contoh : iptables -A INPUT

-D : delete
Perintah ini menghapus satu baris aturan yang telah dibuat. Dilakukan dengan cara menyebutkan secara lengkap perintah yang ingin dihapus atau dengan menyebutkan nomor baris dimana perintah akan dihapus.
Contoh : iptables –D INPUT 1
Iptables –D –s 192.168.1.3

-R : replace
Penggunaannya sama seperti delete, tetapi command ini menggantinya dengan entry yang baru pada urutan yang sama.
Contoh : iptables –R INPUT 2 –s 192.168.1.3 –j DROP

-I : insert
Memasukkan aturan baru pada suatu baris aturan yang penempatannya sesuai dengan perintah yang kita masukkan dan aturan awal yang menempati baris tersebut akan digeser ke bawah. Demikian pula baris-baris selanjutnya.
Contoh : iptables –I INPUT 3 –s 192.168.1.3 –j ACCEPT

-L : list
Perintah ini menampilkan semua aturan yang telah kita buat.
Contoh : iptables –t nat –L

-F : flush
Perintah inimenghapus semua aturan yang telah dibuat.
Contoh : iptables –F OUTPUT

-N : new-chain
Perintah tersebut akan membuat suatu kolom tabel baru.
Contoh : iptables –N eth0-IN

-X : delete-chain
Perintah ini akan menghapus satu kolom tables yang dibuat dengan perintah -N. Agar perintah di atas berhasil, tidak boleh ada aturan lain yang mengacu kepada kolom tersebut.
Contoh : iptables –x eth0-IN

-P : policy
Perintah ini membuat kebijakan default pada sebuah tabel. Sehingga jika ada sebuah paket yang tidak memenuhi aturan pada baris-baris yang telah didefinisikan, maka paket akan diperlakukan sesuai dengan kebijakan default ini.
Contoh : Iptables –P INPUT DROP

-E : rename-chain
Perintah ini akan merubah nama suatu kolom tabel. Kolom yang dibuat dengan –N
Contoh : iptables –E eth0_IN eth0_masuk

-h : help
menampilkan help/bantuan pada iptables

Iptables Parameter

-p : protocol
Digunakan untuk mengecek tipe protokol tertentu. Contoh protokol yang umum adalah TCP, UDP, ICMP dan ALL. Daftar protokol bisa dilihat pada /etc/protocols. Tanda ! bisa digunakan, misal kita menghendaki semua protokol kecuali icmp, maka kita bisa menuliskan -p ! icmp yang berarti semua kecuali icmp.
Contoh : iptables -A INPUT -p tcp …
iptables -A INPUT -p ! tcp …
-s : source
Digunakan untuk mencocokkan paket berdasarkan alamat IP asal/sumber. Alamat di sini bisa berberntuk alamat tunggal seperti 192.168.1.1, atau suatu alamat network menggunakan netmask misal 192.168.1.0/255.255.255.0, atau bisa juga ditulis 192.168.1.0/24 yang artinya semua alamat 192.168.1.x. Kita juga bisa menggunakan inversi.
Contoh : iptables -A INPUT -s 192.168.1.3 …
-d : destination
Digunakan untuk mecocokkan paket berdasarkan alamat tujuan. Penggunaannya sama dengan –s
contoh : iptables -A INPUT -s 192.168.1.3 …
-j : jump
berguna untuk menentukan nasib paket, apakah paket akan diterima (ACCEPT), ditolak (DROP), dikembalikan (RETURN), dll
contoh : iptables -A INPUT -j DROP

-i : in-interface
berguna untuk mencocokkan paket berdasarkan interface di mana paket datang. Match ini hanya berlaku pada chain INPUT, FORWARD
contoh : iptables -A INPUT -i eth0

-o : out-interface
Berfungsi untuk mencocokkan paket berdasarkan interface di mana paket keluar. Penggunannya sama dengan -i. Berlaku untuk chain OUTPUT, FORWARD
contoh : iptables -A OUTPUT -o eth1

Iptables Target

Target atau jump adalah perlakuan yang diberikan terhadap paket-paket yang memenuhi kriteria. Atau sebagai penentu nasib suatu paket

ACCEPT setiap paket akan diterima oleh firewall dan akan diteruskan ke tujuan dari paket tersebut
contoh : iptables -A INPUT -p tcp -–dport 80 -j ACCEPT

DROP
akan membuang setiap paket yang diterima tanpa mengirimkan pesan ke pengirim paket
contoh : iptables -A INPUT -p tcp -–dport 80 -j DROP

RETURN
akan menolak setiap paket yang diterima tapi firewall akan mengirimkan pesan ICMP errror kepada pengirim paket, defaultnya berupa port-unreachable pesan dapat dirubah misal icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-net-prohibited, dll
contoh : iptables -A INPUT -p tcp -–dport 80 -j REJECT –reject-with icmp-net-unreachable

LOG Target
Ada beberapa option yang bisa digunakan bersamaan dengan target ini. Yang pertama adalah yang digunakan untuk menentukan tingkat log. Tingkatan log yang bisa digunakan adalah debug, info, notice, warning, err, crit, alert dan emerg.Yang kedua adalah -j LOG –log-prefix yang digunakan untuk memberikan string yang tertulis pada awalan log, sehingga memudahkan pembacaan log tersebut.
Contoh :
iptables –A FORWARD –p tcp –j LOG –log-level debug
iptables –A INPUT –p tcp –j LOG –log-prefix “INPUT Packets”

SNAT Target
Target ini berguna untuk melakukan perubahan alamat asal dari paket (Source Network Address Translation). Target ini berlaku untuk tabel nat pada kolom POSTROUTING, dan hanya di sinilah SNAT bisa dilakukan. Jika paket pertama dari sebuah koneksi mengalami SNAT, maka paket-paket berikutnya dalam koneksi tersebut juga akan mengalami hal yang sama.
Contoh : iptables –t nat –A POSTROUTING –o eth0 –j SNAT –to-source 194.236.50.155-194.236.50.160:1024-32000

DNAT Target
Berkebalikan dengan SNAT, DNAT digunakan untuk melakukan translasi field alamat tujuan (Destination Network Address Translation) pada header dari paket-paket yang memenuhi kriteria match. DNAT hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau chain buatan yang dipanggil oleh kedua chain tersebut.
Contoh : iptables –t nat –A PREROUTING –p tcp –d 15.45.23.67 –dport 80 –j DNAT –to-destination 192.168.0.2

MASQUERADE Target
Secara umum, target MASQUERADE bekerja dengan cara yang hampir sama seperti target SNAT, tetapi target ini tidak memerlukan option –to-source. MASQUERADE memang didesain untuk bekerja pada komputer dengan koneksi yang tidak tetap seperti dial-up atau DHCP yang akan memberi pada kita nomor IP yang berubah-ubah.
Seperti halnya pada SNAT, target ini hanya bekerja untuk tabel nat pada chain POSTROUTING.
Contoh : iptables –t nat –A POSTROUTING –o eth0 -dport 80 –j MASQUERADE

REDIRECT Target
Target REDIRECT digunakan untuk mengalihkan jurusan (redirect) paket ke mesin itu sendiri. Target ini umumnya digunakan untuk mengarahkan paket yang menuju suatu port tertentu untuk memasuki suatu aplikasi proxy, lebih jauh lagi hal ini sangat berguna untuk membangun sebuah sistem jaringan yang menggunakan transparent proxy. Contohnya kita ingin mengalihkan semua koneksi yang menuju port http untuk memasuki aplikasi http proxy misalnya squid. Target ini hanya bekerja untuk tabel nat pada chain PREROUTING dan OUTPUT atau pada chain buatan yang dipanggil dari kedua chain tersebut.
Contoh : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3128
iptables -t nat -A PREROUTING -p tcp -d 0/0 –dport 80 -j REDIRECT –to-port 8080