From: Serdar KÖYLÜ (serdarkoylu@fisek.com.tr)
Date: Mon 29 Nov 2004 - 15:04:07 EET
Selamlar..
Bir diğer olası durum ise, bu kuralın öndeki DROP'tan sonra konması
olabilir:
iptables -A FORWARD -s 192.168.0.1 -j DROP
iptables -A FORWARD -s 192.168.0.1 -d www.site.com -j ACCEPT
Bu şekilde iki satır altalta yazınca, üstteki kural gereği bağlantı
engellenir ve alttaki kurala hiç ulaşılmaz. Bu yüzden, "192.168.0.1"
site.com'a erişsin ama başka yerlere erişemesin gibi bir kural tanımı
şöyle olmalıdır:
iptables -A FORWARD -s 192.168.0.1 -d www.site.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -j DROP
Gerçi her ikisini tek bir satırda:
iptables -A FORWARD -s 192.168.0.1 -d ! www.site.com -j DROP
Olarak özetlemek ihtimal dahilindedir. Ama bu IPTABLES mekanizmasını
açıklamak için iyi bir örnek değildir.
http://seminer.linux.org.tr adresinde bir IPTABLES seminerinin notları
olacaktı. Bir gözatabilirseniz, bir nebze faydalı olacaktır.
Saygı ve sevgiler..
> Pzt, 2004-11-29 tarihinde 01:01 -0800 saatinde, Niyazi Elvan yazdı:
> > ok teşekkrler mesut bey.sylediğinizi
> > yapınca sorun kalmadı.
> >
> > yeni bi sorum daha olucak. mesela
> > iptables -A FORWARD -s 192.168.0.1 -d www.mynet.com -j
> > ACCEPT
> >
> > şeklindeki kuralla bu kullanıcının
> > sadece mynet e girebiliyor olması gerekmez mi?
> > ancak hibiryere giremiyor :((
> >
>
> evet kural dogru. sorun su olabilir, www.mynet.com load balancing tarzi
> bir sisteme sahipse, kullanici web tarayicisinda www.maynet.com
> yazdiginda her seferinde farkli ip lere gidecegi icin bazen siteye
> erisebilme bazen girememe gibi bir durum soz konusu olabilir. ayrica
> mynet.com a sorunsuz erisse bile, alt domainlerine erisme konsusunda da
> problem cikacaktir. bu durum belki mynet icin gecerli olmayabilir ama
> baska domainler (bankalar gibi) icin mutlaka gecerli olacaktir. ve
> basinizi cok agritacaktir.
>
> bu tur web icin kisitlama yapma isini squid le cozmeniz sizin icin cok
> daha avantajli olacaktir. en azindan squidi transparent olarak
> kullanabilirsiniz. kullanicilar browserlarinda proxy kullani
> isaretlemese bile her http istegini squid kontrol edecektir. ayrica
> dansguardian.(sourceforge.net) squidguard(.org) gibi yazilimlari squidle
> kullanip porno adware warez crack vb. sitelerin buyuk bir kismini da
> yasaklama sansiniz olacaktir.
>
> eger squid konusunda bilginiz yoksa, ben yada listedeki diger arkadaslar
> bu konuda size yarimci olmaya calisiriz.
>
> iyi calismalar.
>
>
> ______________________________________________________________________
> _______________________________________________
> Linux mailing list
> Linux@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux
_______________________________________________
Linux mailing list
Linux@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux