From: Mustafa Akgul (akgul@Bilkent.EDU.TR)
Date: Thu 22 Aug 2002 - 15:51:59 EEST
Merhabalar,
ekte ozet yazismalari gordugunuz tartismada sorunu cozudgumu
dusunmustum. bugun tammen cozemedigimi farkettim. bir yani
cozerken otesini bozmusum. Soruyu biraz daha genelliyerek
sorayim:
A bir firewall makinasi, B, C, D, E baska network'lerde DNS
makinlari. sunlari yapmak istiyorum
1. A domain1 'in master, domain2 icin slave
B domain1 icin slave, domain2 icin master
karsilikli zone transferi istiyorum
2. C domain1 icin slave, ayni zamanda A'in oldugu network'te
DNS istemciler icin DNS sorgulmasi icin kullanmnak istiyorum
3. D yi sadece istemciler DNS sorgulmasi icin kullanmak
istiyorum
4. A domain3 icin master, E ise slave
E A'dan zone tarnsferi yapsin istiyorum.
Tum bunlar icin nasil bir ipchains/iptables yazmaliyim.
Saygilar
Mustafa Akgul
%%%%%
From: fatih.ozavci@frontsite.com.tr
Date: Thu 08 Aug 2002 - 18:22:59 EEST
_________________________________________________________________
DNS zone transfer islemleri TCP protokolu ile gerceklesmektedir.
Hocamin=20
yapmak istedigi islem icin TCP portununda acilmasi gerekmektedir..=20
-A input -s 1.2.3.4 53 -d 0/0 -p udp -j ACCEPT
Bu kural ile 1.2.3.4 makinesinden heryere gidecek olan DNS
sorgularina=20
izin verilmis durumdadir. Eger Master makineye A slave makineye B
dersek=20
ve firewall Master'da kurulu ise o zaman soyle verilecek kurallar
sorunu=20
cozecektir.. (IPTABLES)
-A INPUT -p tcp -s B -d A --dport 53 -j ACCEPT
-A INPUT -p udp -s B -d A --port 53 -j ACCEPT
-A OUTPUT -p udp -s A -d B --dport 53 -j ACCEPT
kisaca slave makinenin master makineye hem tcp hemde udp islemleri
bu=20
kural ile saglanir.. eger firewall arada bir yerde ve 3. bir makine
ise bu =
durumda zincirin ismi INPUT/OUTPUT degil FORWARD olacaktir, aksi
taktirde=20
kurallar islemeyecektir...=20
kuralda bir dikkat edilmesi gereken bolumde, TCP'inin 3 yollu el
sikisma=20
ile calistigi ve bir oturum durumu oldugudur.. UDP'de bu sekilde
bir=20
oturum soz konusu degildir ve paketler oturum olmadan
gonderillirler... bu =
yuzden udp icin 2 kural olmalidir, tcp icin 1 kural ve oturum
takibi=20
yapilmasi yeterlidir..
Iyi Calismalar...=20
Fatih Ozavci
Security Analyst
Frontsite Bilgi Teknolojisi A.S.
http://www.siyahsapka.com
http://www.frontsite.com.tr
G=FCrkan KARABATAK <gkarabatak@firat.edu.tr>
Sent by: linux-network-bounce@linux.org.tr
08/08/02 03:03 PM
Please respond to linux-network
=20
To: <linux-network@linux.org.tr>
cc:=20
Subject: [linux-network] Re: basit bir IPtables sorusu
Mustafa Hocam bildigim kadariyla DNS zone transfer olayida yine udp 53
portuyla yapiliyor. Yani bu makinadaki portlari a=E7mis olmaniz zone
transferinide yapmanizi saglayacaktir. Su satirida eklemeniz sizin
i=E7in
faydali olacaktir.
-A input -s 0/0 53 -d 1.2.3.4 -p udp -j ACCEPT
veya iptables la
-A INPUT -s 0/0 -d 1.2.3.4 -p udp --sport 53 -j ACCEPT
Bu sayede herhangi bir dns serverdan (muhtemelen master). Size 53=20
portundan
gelecek transfer isteklerini veya DNS cevaplarini kabul etmis
olacaksiniz.
----- Original Message -----
From: "Mustafa Akgul" <akgul@Bilkent.EDU.TR>
To: <linux-guvenlik@linux.org.tr>; <linux-network@linux.org.tr>
Sent: Thursday, August 08, 2002 12:25 PM
Subject: [linux-network] basit bir IPtables sorusu
>
>
> Merhabalar,
>
> ipchains/tables ile posrtlari korunan bir makinada
>
> -A input -s 1.2.3.4 53 -d 0/0 -p udp -j ACCEPT
>
> ile bu makinlardan sorgulama ve oradaki bir master'in slaveini
tasimayi
> sagliyabiliyorum.
>
> ama bu makindaki bir master'in 1.2.3.4 te slave iolmasi icin zone
transferine
> nasil izin verebilirim?
>
> Howto'ya bkma sansim olmadi da.
>
> Tesekkurler
> Mustafa Akgul