From: Serkan Kenar (serkan@ieee.metu.edu.tr)
Date: Sat 09 Apr 2005 - 00:39:44 EEST
Abdullah BAYKAL wrote:
> Selamlar,
> bir dosyaya kayıt edecegimiz (aslında en iyisi veritabanına)
> mac adresleri dışında internet bağlantısına izin vermeyen
> bir filtre yi iptables ile yapabilirmiyiz,nasıl, ve bu 1500 kullanıcılı
> bir kampus için internet bağlantısında bir yavaşlık oluştururmu?
> iyi çalışmalar,
Yapabilirsiniz. Soyle ki:
iptables -A INPUT -m mac --mac-source 01:23:45:67:89:AB -j ACCEPT
Veritabanından cekmek ve bu komutu calistirmak icin de bir perl scripti
yazilabilir, DBI modulu kullanilarak. Bunun icin kendi firewall
scriptinizi olusturun, buradan INPUT zincirinde ilk kural olarak
MAC_ADRESLERI zinciri gibi bir zincire atlayin. Gelistirdiginiz
veritabanindan mac adreslerini cekip, gerekli komutu calistiran program
da bu zincire kurallari eklesin:
iptables -A MAC_ADRESLERI -m mac --mac-source $mac_source -j ACCEPT
Yavaslama konusuna gelince, netfilter/iptables, stateful paket
filtreleme yapabildiginden cok ciddi bir yavaslik olmayacaktir. Stateful
filtreleme ile bir baglanti kurulduktan sonra, baglanti bilgisi cekirdek
tarafindan tutulur. Eger kurulmus (ESTABLISHED) bir baglantiya izin
veren kurali, kural listenizin en basina yazarsaniz, bir kere izin
verilmis baglantilarla ilgili olarak uzun kural listesinin tekrar
denetlenmesine gerek kalmaz. Bu nedenle performans cok fazla etkilenmez.
kolay gelsin,
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik