From: murat dagdelen (murtix_linux@hotmail.com)
Date: Fri 02 Feb 2001 - 20:09:35 EET
sagolasin serdar,
gercekten eline saglik. Ama eger bu yuz sayfa olcaksa ve sen de bunu 100
sayfa olarak yazarsan ister kitap olarak bastir ister elektronik belge
olarak koy, o kadar cok ise yararki..
>From: Serdar KOYLU <skoylu@altavista.com>
>Reply-To: linux@listweb.bilkent.edu.tr
>To: Multiple recipients of list LINUX <linux@listweb.bilkent.edu.tr>
>Subject: [LINUX:24667] Re: Ip Chains
>Date: Tue, 30 Jan 2001 20:25:15 +0200 (EET)
>
>Selamlar..
>
>On Tue, 30 January 2001, "burak_bayraktar" wrote:
>
> >
> > merhaba
> >
> > Ben ipchains olayini tam olarak anlamis degilim. yani anladigim
> > yerler var tabi okudugum dokumanlardan aklimda kalanlar ama
> > anlamadigim ve sormak istedigim bir kac sey var.
> >
> > 1-) Bu ipchains olayi illah cift ethernet karti ilemi olur ?
>
>Hayır..
>
>
> > 2-) bunu yabarsam cok Iyi bir sekilde guvende olabilirmiyim ?
> > en azindan surf yabarken. chat, icq vs.
>
>Bir hayli iyi olur.
>
> >
> > yine birbirine karisdirdigim Ip_masquering (boylemi yaziliordu?)
> > bu olay ile ip chains ayni seymi ? ikisindede cift ethernet kartimi
> > gerekir ?
>
>Oncelikle IPCHAINS ile digerini karistiriyorsunuz.
>
> >
> > ben kablonet uzerinden tek ethernet karti ile cikis yabiyorum.
> > Ethernet kartimin markasi = Realtek
> > bi tane daha realtek alsam linux tanirmi ?
> > Mandrake 7.2 ve Redhat 6.2 butun herseyi kendi buluordu (ekran, ses
> > ethernet karti monitor vs.)
> >
> > cift ethernet karti taksam ikisinide tanirmi ?
>
>basit bir ayarlama ile, veya kurduysaniz kudzu ile hemen tanir.
>
> > sirf bu ip chains olayi icin cift ethernet karti takmayi dusunuyorum.
> > okudugum dokumanlarda baya Iyi yararli bir sey oldugunu anladim.
> > komutlarida daha onceki maiilerden okudum anladim sayilir.
> >
> > Yardimlarinizi bekliyorum.
> > Iyi calismalar
>
>Once ipchains nedir ona bakalim. Bunun icin firewall nedir ondan biraz
>bahsetmek gerekiyor. Firewall, makinenizdeki IP stackina gelen paketlerin
>yonetilmesi icin kullanilan bir uygulamadir. Asil hedefi guvenlik
>saglamaktir. Temel gorevleri
>
>1. Sizin istemediginiz yerden gelen paketleri durdurmak.
>2. Sizin istemediginiz yere giden paketleri durdurmak.
>3. Makinedeki bir servise varsayilan olarak gelen paketi baska bir servise
>aktarmak
>4. Gerekiyorsa sizi dis agda gizlemek. Yani sizi dis agdan saklamak.
>
>1 ve 2'yi anlamak kolaydir ama 3 ve 4 biraz teferruatlidir.
>3. Servis yonlendirme, ornegin sizin makinenizdeki web servere gelen paketi
>proxy'ye yoneltme olarak tarif edilebilir.
>4. Sadece makineniz bir router olarak calisiyorsa anlam tasir. Ic agdan
>gelen paketleri dis aga gonderirken, ic agi ana agdan yalitir. Boylece ic
>aga gelebilecek saldirilar dogrudan firewall'e gelir. Bu da asil agdaki
>makineleri tehlikeli ataklardan ve sizma girisimlerinden korur. Iste
>masquerading budur.
>
>Bir baska husus ta routing kavramidir. IP aglarinda arabirimlerin hangi
>makinalara ulasabildigi bilgisine routing diyebiliriz. Mesela eth0
>192.168.1.0/24 makinelerine (24 = 24 Bit = 255.255.255.0 ag maskesi), eth1
>192.168.2.0/24 makinelerine ulasiyor olsun. Makine 192.168.1.11 makinesine
>ulasmak icin eth0'a gitmesi gerektigini bu kavrama bakarak bilir. Simdi
>192.168.2.15'ten gelen ama, hedef adresi 192.168.1.10 olan bir paket
>normalde hic bir isleme tabi tutulmaz. Ama eger kernele sana ulasan boyle
>paketleri gitmesi gereken yere gonder derseniz, Linux'u router olarak
>kullanmis olursunuz. Buna ip forwarding, ip ilerletme denir. Bu durumda
>eth0'dan gelen bu paket, eth1 den gercek hedefine gider. Simdi bu paket
>niye bize gelsin ki diyebilirsiniz. Her makinede belli aglar icin, paketi o
>aga gonderecek gecidin (gateway) kaydi tutulur. Dikkat ederseniz
>192.168.1.0/24 agi icin bu gecidimiz eth0'dur. Birde diyelimki baska bir
>makinedeki 192.168.3.0/24 agi icin gecit olan 192.168.1.30 eth'i bulunsun.
>Bu durumda 192.168.3.0/24 icin gateway 192.168.1.30 olur. Makinemiz ARP
>tablosundan bu ethernet kartini bulup direk o makineye paketi yollar. Olay
>OSI layer 2 ile 3 arasindaki baglanti olayidir. Iste bize paketi yollayan
>makinede gecit olarak makinemizi gordugunden paketi bize yollar. Normalde
>bizim bu paketi aynen alip ilgili aga gondermemiz gerekir. Her makinede
>belirlenmis bir aga ait olmayan paketlerin hangi alet uzerinden
>gonderilecegi belirtilir: Default gateway., Varsayilan gecit. Iste
>makineden modem internete baglaninca varsayilan gecit bu modemin obur ucu
>olur: P-t-P adresi.
>
>Simdi bir taraftan her yeri goren gecide eth0 (ppp0 = Modemde olabilir)
>Diger taraftan yerel aga bagli bir Linux'ta ip forwardingi acarsaniz, yerel
>agdan gelen paketler guzelce internetteki hedeflerine ulasir. Fakat o
>hedefden gelen cevap asla bize ulasamaz. Cunku yerel agimizin adresleri
>yoldaki diger Router'lar uzerinde tanimsizdir. Bizim agimiz tanimli ise,
>yani gercek kayitli IP kullaniyorsaniz sorun yok paketler size geri
>donebilir. Simdi ikinci durumda sunu dusunebiliriz. Bizim yerel makinelerde
>onemli bilgiler var. Birileri bunlari calabilir. Hemen router olarak
>calisan linux'taki firewalla basvururuz. Deriz ki sen bu paketleri kendi
>adresinle aga gonder. Boylece internetteki tum makineler sadece bizim
>firewall'imizi gorur disardan. Iste masquerading bu ise yarar.
>
>Masquerading'in dolayli bir kullanimi soyle olur. Yerel agdaki sahte IP'ye
>(!) sahip makineler, router'den (bizim makine) dis aga gitmek isterlerse,
>gercek bir IP (Makinemizdeki internete bagli arabirimin IP'si) ile
>internete acilir. Boylece yerel agda kiralik ve pahali gercek IP'ler
>kullanilmadan tek bir IP ile tamami internete istemci olarak girebilir. Ama
>ornegin yerel agda bir web server varsa, buna internetten ulasilamaz. Eger
>masq.. yerine NAT kullanirsaniz bu imkanda gerceklesir.
>
>
>IPCHAINS, linuxtaki kernelde gomulu duran firewall'i yonetmek icin bir
>programdir. masq.. filan hepsi bu komutla yonetilir.
>
>Sanirim bu kisa (! Gercekten, detaylara girsek 100 sayfa filan olur)
>bilgiden sonra size neyin gerekli oldugunu anlayabiliyorsunuzdur.
>
>Saygi ve sevgiler..
>
>
>
>Find the best deals on the web at AltaVista Shopping!
>http://www.shopping.altavista.com
>
>
> Listeden cikmak icin:
> unsub linux
> mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
>
_________________________________________________________________
Get your FREE download of MSN Explorer at http://explorer.msn.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/