From: Cem Ulker (bcemulker@yahoo.com)
Date: Wed 21 Aug 2002 - 18:37:44 EEST
Teşekkürler. Routerdan subnet degilde Host yonledirmesi yaparak sorunu cozdum.
Fatih Ozavci wrote:
Once anladigimi soylemek istiyorum....
A yerel ag (192.168.100.0/24), B sabit IP'li sunucu (x.x.x.3), C
firewall (x.x.x.2) ve D ise router (x.x.x.1) ise ve yapinizda asagidaki
gibi ise...
A--------\
------>C---->D---->Internet=20
B--------/
Firewall'un iceriye bakan iki bacagina su IP adreslerini atarsiniz...=20
A yerel agi icin ----> 192.168.100.1
B sunucu ile iletisim icin -----> x.x.x.4
Sunucu ile Firewall ayni segmentte olduklari icin iletisimlerinde sorun
yoktur, sadece routing yapilmasi ve gerekli kurallarin belirlenmesi
yeterlidir...
A agi icin ise NAT (yada MASQ) yapilmalidir....
iptables -t nat -A POSTROUTING -s 192.168.100/24 -o router_arayuzu -j
SNAT --to-source x.x.x.1
Bu kural A agi icin NAT yapar yani yaptiginiz dogrudur....=20
echo "1" > /proc/sys/net/ipv4/ip_forward komutu yonlendirmeyi
etkinlestirir...
Son olarak tum bu sistemlere erisim icin tum izinlerin verildigini
dusunursek...
#Yerel agdan cikacak olan tum paketlere izin verilmesi icin
iptables -A FORWARD -s 192.168.100.0/24 -i yerel ag arayuzu -j ACCEPT
#B sunucusuna tum arayuzlerden, tum paketlere izin verilmesi icin
iptables -A FORWARD -d x.x.x.3 -j ACCEPT
Firewall uzerinde B sunucusu icin yonlendirme kaydi tanimlayin, cunku
iki adet gercek IP'iniz oldugu icin hangi arayuzden B'ye gidilecegini
bulamayabilir... Mutlak ekleyin cunku internetten gelen (router ustunden
gecen) paketler firewall'a geldiginde firewall B'inin yerini tam olarak
tahmin edemeyebilir...
B sunucusuna internetten erisim ise o kadar basit degil, mutlak olarak
yonlendirme kurallari atanmali... router'a gelen B sunucusuna ait
x.x.x.3 IP adresini hedefleyen paketler firewall'a gelmeli, kisaca
router'da bu tanimli olmali, bu aga gelen tum paketleri firewall'a
aktarmali..... Firewall onceki paragrafta anlattigim yonlendirmeyi
ciddiye alarak paketi B'ye gonderecektir...
Biraz karmasik oldugunun farkindayim, ozetle sorun iptables'tan
kaynaklanmiyor, yonlendirmedeki sorunlardan kaynaklaniyor... eger tum
paketlere NAT yapmak gibi bir hataya duserseniz B sunucusu internete
cikabilecek (firewall'un IP'si ile) ancak ona direk olarak
erisemeyeceklerdir...=20
Birde x.x.x.0 aginda tanimladigim IP'ler sizin aginizdaki gercek
IP'lerdir ve bahsettiginiz islem icin en az 4 (2 firewall, 1 B sunucusu,
1 router) tane gereklidir...
Alternatif bir cozum onermeme izin verirseniz derim ki B sunucusuna da
farkli segmentte bir yerel IP verin ve Firewall uzerinden isteginiz
IP'ye NAT yapin.. boylece sorun cozulur... (Boylece 3 IP ile
halledersiniz (1 Firewall, 1 B sunucusu NAT, 1 adette router)
B'ye gelen paketler icin PREROUTING'e, B'den cikanlar icin ise
POSTROUTING'e birer satir eklemeniz yeterlidir bu islem icin...
Umarim yardimci olabilmisimdir, kolay gelsin..
---------------------------------
Do You Yahoo!?
HotJobs, a Yahoo! service - Search Thousands of New Jobs