Firewall Skala ISP Kecil Menggunakan nftables: Blokir Botnet, VPN, dan Tunneling

Juni 09, 2025 Rufaidah-network No comments

 

Pendahuluan

Bagi ISP skala kecil atau RT/RW Net, tantangan keamanan utama adalah trafik mencurigakan dari botnet, penyalahgunaan bandwidth oleh VPN/tunneling, dan akses ilegal ke konten terlarang. nftables di Linux menawarkan solusi firewall ringan, efisien, dan fleksibel.

Artikel ini menyajikan praktik nyata dalam menyusun firewall untuk ISP skala kecil yang mampu memblokir:

  • VPN umum seperti OpenVPN, WireGuard, PPTP, L2TP

  • Alat tunneling seperti Psiphon, Shadowsocks, dan proxy

  • Trafik botnet yang sering muncul dari port/ASN tertentu

Kebutuhan

  • Linux router (Debian/Ubuntu/Alpine)

  • nftables terinstal

  • Kemampuan log & analisis (opsional: syslog atau ELK)

Struktur Umum nftables

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
  set whitelist_ips {
    type ipv4_addr;
    elements = { 8.8.8.8, 1.1.1.1, <IP-Layanan-Yang-Diperbolehkan> }
  }

  chain input {
    type filter hook input priority 0; policy drop;

    iif "lo" accept
    ct state established,related accept

    # Allow akses SSH terbatas
    ip saddr @whitelist_ips tcp dport 22 accept

    # Allow DNS
    udp dport 53 accept
  }

  chain forward {
    type filter hook forward priority 0; policy drop;

    # Allow basic browsing dan whitelist
    ip daddr @whitelist_ips accept

    # Blokir port VPN umum
    udp dport {1194, 51820, 1701, 500, 4500} drop   # OpenVPN, WireGuard, L2TP/IPsec
    tcp dport {1723, 1080, 8080, 3128} drop         # PPTP, SOCKS proxy, HTTP proxy

    # Blokir Psiphon & Shadowsocks umum
    udp dport {443, 80} meta length > 512 drop

    # Deteksi dan drop botnet/scan pattern (opsional, basic)
    ip protocol tcp tcp flags & (syn|fin) == (syn|fin) drop
  }
}

Penjelasan

  • Whitelist digunakan untuk menjaga akses ke layanan tertentu (DNS, SSH, CDN, dan sebagainya).

  • Blok VPN dan proxy: memblokir port umum yang sering digunakan oleh VPN dan tunneling.

  • Heuristik paket besar di port 80/443 adalah trik mendeteksi lalu lintas abnormal dari aplikasi seperti Psiphon.

Tips Tambahan

  • Kombinasikan dengan geoip (nftables+ipset) untuk blokir negara tertentu

  • Tambahkan logging: log prefix "DROP_VPN: " untuk analisa

  • Gunakan nft monitor trace untuk debugging aturan

  • Sinkronisasi rules dengan Ansible/script

Penutup

Firewall berbasis nftables sangat cocok untuk ISP kecil dan RT/RW Net karena ringan, efisien, dan sangat fleksibel. Dengan pendekatan whitelist + blok port strategis, kamu bisa melindungi jaringan dari abuse, botnet, dan penyalahgunaan VPN tanpa mengganggu pengguna yang sah.

Selalu uji rules di test-bed sebelum produksi agar tidak salah blokir!

0 Comments:

Posting Komentar

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes