From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Mon 19 Aug 2002 - 16:48:21 EEST
Once anladigimi soylemek istiyorum....
A yerel ag (192.168.100.0/24), B sabit IP'li sunucu (x.x.x.3), C
firewall (x.x.x.2) ve D ise router (x.x.x.1) ise ve yapinizda asagidaki
gibi ise...
A--------\
------>C---->D---->Internet=20
B--------/
Firewall'un iceriye bakan iki bacagina su IP adreslerini atarsiniz...=20
A yerel agi icin ----> 192.168.100.1
B sunucu ile iletisim icin -----> x.x.x.4
Sunucu ile Firewall ayni segmentte olduklari icin iletisimlerinde sorun
yoktur, sadece routing yapilmasi ve gerekli kurallarin belirlenmesi
yeterlidir...
A agi icin ise NAT (yada MASQ) yapilmalidir....
iptables -t nat -A POSTROUTING -s 192.168.100/24 -o router_arayuzu -j
SNAT --to-source x.x.x.1
Bu kural A agi icin NAT yapar yani yaptiginiz dogrudur....=20
echo "1" > /proc/sys/net/ipv4/ip_forward komutu yonlendirmeyi
etkinlestirir...
Son olarak tum bu sistemlere erisim icin tum izinlerin verildigini
dusunursek...
#Yerel agdan cikacak olan tum paketlere izin verilmesi icin
iptables -A FORWARD -s 192.168.100.0/24 -i yerel ag arayuzu -j ACCEPT
#B sunucusuna tum arayuzlerden, tum paketlere izin verilmesi icin
iptables -A FORWARD -d x.x.x.3 -j ACCEPT
Firewall uzerinde B sunucusu icin yonlendirme kaydi tanimlayin, cunku
iki adet gercek IP'iniz oldugu icin hangi arayuzden B'ye gidilecegini
bulamayabilir... Mutlak ekleyin cunku internetten gelen (router ustunden
gecen) paketler firewall'a geldiginde firewall B'inin yerini tam olarak
tahmin edemeyebilir...
B sunucusuna internetten erisim ise o kadar basit degil, mutlak olarak
yonlendirme kurallari atanmali... router'a gelen B sunucusuna ait
x.x.x.3 IP adresini hedefleyen paketler firewall'a gelmeli, kisaca
router'da bu tanimli olmali, bu aga gelen tum paketleri firewall'a
aktarmali..... Firewall onceki paragrafta anlattigim yonlendirmeyi
ciddiye alarak paketi B'ye gonderecektir...
Biraz karmasik oldugunun farkindayim, ozetle sorun iptables'tan
kaynaklanmiyor, yonlendirmedeki sorunlardan kaynaklaniyor... eger tum
paketlere NAT yapmak gibi bir hataya duserseniz B sunucusu internete
cikabilecek (firewall'un IP'si ile) ancak ona direk olarak
erisemeyeceklerdir...=20
Birde x.x.x.0 aginda tanimladigim IP'ler sizin aginizdaki gercek
IP'lerdir ve bahsettiginiz islem icin en az 4 (2 firewall, 1 B sunucusu,
1 router) tane gereklidir...
Alternatif bir cozum onermeme izin verirseniz derim ki B sunucusuna da
farkli segmentte bir yerel IP verin ve Firewall uzerinden isteginiz
IP'ye NAT yapin.. boylece sorun cozulur... (Boylece 3 IP ile
halledersiniz (1 Firewall, 1 B sunucusu NAT, 1 adette router)
B'ye gelen paketler icin PREROUTING'e, B'den cikanlar icin ise
POSTROUTING'e birer satir eklemeniz yeterlidir bu islem icin...
Umarim yardimci olabilmisimdir, kolay gelsin..
On Mon, 2002-08-19 at 16:08, Cem Ulker wrote:
>=20
> pardon san=FDr=FDm aceleden tam anlatamad=FDm.
> Firewall 3 ethernetli bir bacak router a bagl=FD diger iki bacagin birind=
e yerel ag var digerinde ise server. Firewall gercek ip kullan=FDyor. serve=
r da gercek IP kullanmak zorunda. Yerel ag i=E7in 192.168.100.0/24 l=FCk Ip=
ler kullan=FDl=FDyor.
> Tesekkurler.
> Cem...
> =20
> Devrim Sipahi wrote:
> Merhaba,
> Anlad=FDklar=FDm=FD s=FDralayay=FDm:
> Firewall (RedHat7.3) iki ethernetli, biri yerel a=F0da ,
> di=F0eri router'a (internete) ba=F0l=FD.
> Server da ger=E7ek IP verdi=F0in i=E7in router'a ba=F0l=FD(yani
> router'=FDn ethernet baca=F0=FD ile ayn=FD networkte)
> Yerel a=F0 internete =E7=FDk=FDyor, server =E7=FDkam=FDyor.
>=20
> E=F0er anlad=FDklar=FDm do=F0ru ise firewall'un servera s=F6z=FC
> ge=E7mez.
> Server'a default gateway olarak router'=FDn ethernet IP
> sini verirsen server internete =E7=FDkar.
> Kolay gelsin
> Devrim=20
> --- Cem Ulker wrote:
> >=20
> > Merhaba,
> >=20
> > Su an elimdeki bir makinay=FD (RedHat7.3) firewall
> > olarak PIX in yerine gecirmeye calisiyorum (IPTables
> > ile) ancak asl=FDnda yasamamam gereken sorunlar
> > yasiyorum. Firewall iki bacakl=FD. Bir bacak
> > 192.168.100.0/24 l=FCk bir yerel aga bagl=FD, diger
> > bacakta ise (ozel sebeplerden dolay=FD) gercek IP li
> > bir server calismakta. Serverda gercek IP yokken,
> > yani DMZ li sistemde DNAT ve SNAT yaparak sistem
> > gayet d=FCzg=FCn calisiyor. Ancak DMZ yi kald=FDr=FDp server
> > a gercek IP verince server Internetten gorulmuyor.
> > Sadece test etmek amac=FDyla asagidaki IPTables=20
> > komutlar=FDn=FD kullan=FDyorum
> >=20
> > $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s
> > 192.168.100.0/24 -j SNAT --to-source $INET_IP
> >=20
> > Bu bir bacaktaki yerel ag=FDn internete c=FDkabilmesini
> > sagl=FDyor ancak=20
> >=20
> > echo "1" > /proc/sys/net/ipv4/ip_forward
> >=20
> > komutunu verdigim halde diger bacaktaki gercek IP li
> > server internete c=FDkam=FDyor.=20
> >=20
> > Her turlu =F6neri cok yard=FDmc=FD olacakt=FDr,=20
> >=20
> > Tesekkurler...
> >=20
> > Cem...
> >=20
> >=20
> >
>=20
>=20
> __________________________________________________
> Do You Yahoo!?
> HotJobs - Search Thousands of New Jobs
> http://www.hotjobs.com
>=20
>=20
>=20
> ---------------------------------
> Do You Yahoo!?
> HotJobs, a Yahoo! service - Search Thousands of New Jobs
>=20
>=20
>=20
>=20
--=20
------------------------------------------------------------------------
Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr=20
IT Security Consultant =20
frontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 =20
fax: +90 212 356 68 96 =20
------------------------------------------------------------------------