Subject: [LINUX:13243] Internet ve Intranet
From: Dr.VeRmIdoN (ebal@tradesoft.com.tr)
Date: Sun 27 Feb 2000 - 16:14:45 EET
Simdi elimde bir lease line hattım var. Bir NT mail server hatta nt'yi
atalım linux mail serverim var. Asagıdaki gibi bir yapı kurmak istiyorum
fakat daha once belirtmem gereken bazı ozellikler ;
1-Linux Firewall Makinasında 3 ethernet kartı var. Biri routerdan
gelen(212.45.45.2), Digeri Secure Network(10.1.1.1), sonuncusu ise
Non-Secure Network(192.168.1.1)
2-Static ip si olan Non-Secure Network icindeki serverlar;
a-Mail Server - 212.45.45.5 Secure Mail ve NAT ile 10.1.1.100 'e
yonlendirilmis durumda
b-Web Server - 212.45.45.10 NAT ile 192.168.1.10 'a yonlendirilmis durumda
c-Dns Server - 212.45.45.6 NAT ile 192.168.1.6 'ya yonlendirilmis durumda
Not: Bu serverların uzerlerindeki ipsi local(192.x), Statik ipleri
firewall uzerinde tanımlı. Dısarıdan gorunmesi direk olarak
olnaksız.
3-Firewall 'lın ip si register edilmis ve domaini araba.com.tr(212.45.45.2)
4-Lease line'dan gelen bana ait ipler 212.45.45.2-3-4-5-6-7-8-9-10
5-firewall'da kesinlikle Masq kullanılmayacak. Secure network sadece socks
ile clienlara cıkıs veriyor. Route ile
herseyi halletmeliyiz. Masq yok.!!!
6-Non-Secure network internete direk ulasabilecekler firewall'dan verilen
izinle(masq degil!!).Nede olsa DNS server dısarıya query yapmak zorunda..!
7-Bir DNS sunucusu metu.edu.tr uzerinde register edilmis durumda. REgister
edilmesinin amacı baska bir name register etmek istedigimde aynı ip
numarasını kullanmak istemem. Yani 212.45.45.10 ipsinde birden fazla ve
farklı name register edicek olmam. Apache ile virtual host kullanarak bu
basit bir sekilde hallolur. Sorun yok.
www.araba.com.tr 212.45.45.10
www.amca.com.tr 212.45.45.10
www.teyze.com.tr 212.45.45.10
8-Mail Serverin ip si register edilmis durumda.
mail.araba.com.tr(212.45.45.5)
9-Non -Secure networkteki server'lar'ın uzerinde real ip olmamalı. Sadece
local ipleri kullanmalı.
Internet
|
|
Router
212.45.45.1
|
|
212.45.45.2
www.araba.com.tr
---------------- 10.1.1.1 [ Linux
Firewall ]192.168.1.1 ------------------------
| = Secure Network = =Non Secure Network =(DMZ) |
| |
----------------------- -------------------------
|Client 1 | | Non- Secure DNS Server |
|c1.local.araba.com.tr | | 192.168.1.6 |
----------------------- | (212.45.45.6) |
| | dns.araba.com.tr |
| -------------------------
------------------------- |
|client2 | |
|c2.local.araba.com.tr | ---------------------------
------------------------- | Web Server |
| | 192.168.1.10 |
| | (212.45.45.10) |
------------------------ | www.xxxx.com.tr |
|local DNS Server | | tum web serverlar) |
|192.168.1.50 | ----------------------------
|dnsl.local.araba.com.tr|
-------------------------
|
|
------------------------
| Mail Server |
| mail.araba.com.tr |
| 10.1.1.100 |
| (212.45.45.5) |
------------------------
-Buraya gore clientler socks ile cıkıs yapabilecekler. Bu tamam. Local DNS
dısarıyla hic bir ilgisi olmayacak sadace icerde gorevlendirelecek.
-mail server secure mail ile dısarıdan mail alıp gonderebilecek. Sadece 25
ve 110. portları acık tabiki.
-Yani mail , web , ve dns server'larım aslında 192.'li bir local ip'ye sahip
olucaklar ama firewall uzerinde real ipleri bulunacak. Real ipler local
iplere forward edilecek. Derdim bu...???
Mail Seneryosu
--------------
admin@araba.com.tr ye gelen mail once dısardaki kullanıcının smtp serverına
gelecek(mail.superonline.com), SOL internic ile bunu arastıracak ve domainin
sonu tr ile bittiginden direk metu.edu.tr ye yonelecek. mail.araba.com.tr
'nin ip'sini ns1.metu.edu.tr uzerinde 212.45.45.5 olarak bulucak.
mail.superonline.com bu ip yi (212.45.45.5) sorgulayacak ve benim
firewall'ıma yonlecek. Firewallın ipsi 212.45.45.5 degil ama tanımlı.(soru1
Nasıl Yapıcaz bunu???. Yani alias ile firewalla bu serverların static
iplerini verip bunları direk forward etmesini mi saglıcaz????) Firewallım bu
ipyi 10.1.1.100'e forward edicek....
www.araba.com.tr Senaryosu
---------------------------
Dısardaki client www.araba.com.tr yazdıgında kullandıgı dns
server(alpha1.superonline.com) ns1.metu.edu.tr uzerinde bu ipnin
dns.araba.com.tr uzerinden arastırılmasını istiyecek ve benim DNS server'ıma
yonlendirecek.(boyle birsey olurmu emin degilim). Benim DNS server'ım bu
ismi 192.168.1.10 makinasında virtual host ile bularak sayfayı clien'ta
ulastıracak.
Treddut ettiklerim
--------------------
-DNS ve WEB serverın gateway'lari Firewall'ın ipsi olacak. Peki bu ip
212.45.45.2 mi yoksa 192.168.1.1 mi? Eger DNS ve WeB serverlarda alias ile
212. li real bir ip kullanmassam tabiki 212.45.45.2 olmamaz. 192.168.1.1 'i
kullanmak zorunda kalıcam. Dogrusuda bu. Firewall uzerinde 192.168.1.0
networkune internet cıkısı mı vermeliyim? Nasıl uygun olur?
-Metu'ya bildirdigim ip'leri kendi dns'sime yonlendirmesi mumkun mu emin
degilim.? Aynı ip uzerinden birden fazla ve farklı isimlerde domain register
etmek icin baska yontemler neler olabilir.?
---------O-------------
Simdi boyle bir cozum var arkadaslar. Bunu IBM'in Risk6000(Aix) sistemleri
kullanıyor. Amacım linux uzerindede bunları yapmak. Yapılamaz diyemeyiz. Aix
in linux'tan yada soyle diyelim Linux'un aix den eksigi yok. Komutlar ve
yapılar farklı okadar. Ornegin Aix'te mkgen linux'un ipchains komutu falan
filan. Bir tek Secure Mail mantıgından kuskulanıyorum ki buda baska bir
yontemle yapılabilir. IP forwarding gibi mesela. Ama amacım kesinlikle MASQ
kullanmamak. Yani hersey firewall'a baglı olsun demek istiyorum. Tum ip ve
query'leri Firewall'ımdan gecsin ve o yonlendirsin.Sonuc olarak sordugum bu
tur bir yapının ozellileriyle ve ayarlarıyla ilgili herkesin gorusu.. Olur
mu ? olmaz mı?. Ne tur ayarlar gerekli ? Eksikler? Daha da gelistirilebilir
mi? Oneriler? Kısaca butur bir yapı nasıl olmalı ? vs, vs....
Iyi calismlar.
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/