From: Baris Metin (baris@gelecek.com.tr)
Date: Tue 20 Mar 2001 - 20:47:15 EET
Selamlar,
Butun ipleri kullanmaniz gerekmiyor. On tarafa kuracaginiz tek bir Linux
makina ile aginizdaki tum makinalari daha guvenli bir
sekilde internete cikarabilirsiniz. Tabi bu durumda arkadaki makinalarin
ne gorevler ustlenecekleri de onemli. Eger arkadaki bu
makinalar yanlizca kullanicilarin internete cikmalari ve gunluk isleri
icin kullanilacaksa sorun yok fakat arkadaki makinalar
arasinda da internette gorev alacak sunucular varsa biraz calismaniz
gerekecek.
Olasi yapilara bir bakalim.
1- Onde bir Linux makina ve arkasinda yalnizca internete cikmayi bekleyen
kullanicilar.
Bu durumda ondeki makinada ipchains ya da kernel 2.4
kullaniyorsaniz iptables ile MASQ (aslinda NAT :)
uygulayacaksiniz. Hepsi bu kadar. Tabi dilerseniz Linux e bir de squid
kurarak proxy de kullanabilirsiniz. Squid cogu dagitim
ile birrlikte gelmektedir.
2- Onde bir Linux arkada 1 web, 1 mail sunucu ve internet icin bekleyen
kullanicilar.
Arkadaki akinalarin internete cikmasi icin yukaridaki islemi
(MASQ) uyguluyorsunuz . Bundan sonra bir de web igin 80.
porta gelen istekleri arkadaki web sunucu makinasina mail icin ise 25 ve
eger pop3 kullaniyorsaniz 110. portlara gelen
istekleri mail sunucu makinaya yonlendiriyorsunuz.
Yani atiyorum sizin gercek ipniz 212.114.1.1 ve aginizda ise
192.168.1.0/24 agini kullaniyorsunuz. Yerel aginizdaki web
sunucu makinasi 192.168.1.5 , mail sunucu ise 192.168.1.6 iplerine
sahipler. Dns'de www.sirketiniz.com.tr 212.114.1.1 olarak
gosterilmis durumda. Sizin yapacaginiz 212.114.1.1 makinasinin 80. portu
192.168.1.5 makinasina; 25. ve 110. portu ise
192.168.1.6 makinasina yonlendireceksiniz.
Yukaridaki iki durumda tek ip kullanarak tum makinalari internete
cikarabilirsiniz. Mutlaka tum ipleri kullanacaksiniz diye bir
durum yok yani. Fakat diger ipleri de kullanacaginiz durumlar olabilir.
3- Onde bir linux makina arkada birden fazla web sunucu ve kullanicilar.
Yine MASQ islemini yapiyoruz. Bu sefer static NAT (sanirim boyle
deniyordu :) ile belirli bir ipye gelen tum istekleri
baska bir ipye yonlendirecegiz. Bunun icin 2.4 ile birlikte
kullanabileceginiz iptables'i oneririm. Her nekadar daha onceki
cekirdeklere de pach yaparak ve ipnatadm (hatirladigim kadari ile
programin adi buydu) ile nat islemi yapabilseniz de bu cok
zahmetli bir islem.
Burada da ondeki linux makinaniza birden fazla ip vereceksiniz ve
belirli bir ipye gelen tum istekleri arkadaki sanal
ipli makinalardan birine ileteceksiniz. Bunu yapmakta ne avantajiniz
olacak? Gelen tum paketler Linux uzerinden gececegi icin
bu paketler uzerinde filtreleme yapabilecek ve istemediginiz paketleri
arkaya gecirmeyeceksiniz.
Umarim yardimci olabilmistir... Olasi yapilar ve cozum yollari farklilik
gosterebilir fakat yukaridaki aciklamalar size yon
gosterebilir.
Iyi gunler.
-- Baris MetinTue, Mar 20, 2001 at 03:35:28PM +0200 'da, Emil KIZILOK yazm}~ : > iyi de linux yada firewall kurarsam butun ipleri nas}l kullan}cam >
Listeden cikmak icin: unsub linux mesajini listeci@bilkent.edu.tr adresine gonderiniz. Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin. Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html Liste arsivinin adresi: http://listweb.bilkent.edu.tr/