[linux-network] Re: basit bir ipchains/iptables sorusu

New Message	Reply	About this list	Date view	Thread view	Subject view	Author view

From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Fri 23 Aug 2002 - 10:37:26 EEST

Next message: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
Previous message: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
In reply to: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
Next in thread: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"

Merhabalar Hocam,

Anlattiklariniz biraz karisik geldi ama yine de dilim dondugunce
yardimci olmaya calisayim...Yalniz unuttugunuz bir sey var, firewall
hangi makinede ? hepsinde mi ? hepsini birbirine baglayan, routing yapan
bir sistemdemi ?

Ben asagida gerekli gordugum kurallari yazarken varsayimim ortadaki bir
makinenin firewall olacagi... Eger boyle degil ise FORWARD zinciri
yerine INPUT/OUTPUT zincirlerinden uygun olani yerlestirmelisiniz
hocam...

On Thu, 2002-08-22 at 15:51, Mustafa Akgul wrote:
>
>
> Merhabalar,
>
> ekte ozet yazismalari gordugunuz tartismada sorunu cozudgumu
> dusunmustum. bugun tammen cozemedigimi farkettim. bir yani
> cozerken otesini bozmusum. Soruyu biraz daha genelliyerek
> sorayim:
>
> A bir firewall makinasi, B, C, D, E baska network'lerde DNS
> makinlari. sunlari yapmak istiyorum
>
> 1. A domain1 'in master, domain2 icin slave
> B domain1 icin slave, domain2 icin master
> karsilikli zone transferi istiyorum

#B'nin A'dan zone transfer yapabilmesi icin
iptables -A FORWARD -p tcp -s B -d A --dport 53 -j ACCEPT

#B'nin A'ya DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s B -d A --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s A -d B --dport 53 -j ACCEPT

#A'nin B'den zone transfer yapabilmesi icin
iptables -A FORWARD -p tcp -s A -d B --dport 53 -j ACCEPT

#A'nin B'ye DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s A -d B --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s B -d A --dport 53 -j ACCEPT

> 2. C domain1 icin slave, ayni zamanda A'in oldugu network'te
> DNS istemciler icin DNS sorgulmasi icin kullanmnak istiyorum

#C'nin A'dan zone transfer yapabilmesi icin
iptables -A FORWARD -p tcp -s C -d A --dport 53 -j ACCEPT

#C'nin A'ya DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s C -d A --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s A -d C --dport 53 -j ACCEPT

#C'ye istemcilerin DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s A_nin_networku -d C --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s C -d A_nin_networku --dport 53 -j ACCEPT
>
> 3. D yi sadece istemciler DNS sorgulmasi icin kullanmak
> istiyorum

#D'ye istemcilerin DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s hangi_network_ise -d D --dport 53 -j
ACCEPT
iptables -A FORWARD -p udp -s D -d hangi_network_ise --dport 53 -j
ACCEPT

Bu noktada bir soru akla geliyor, D bu isteklere cevap verebilmek icin
nereye sorgu gonderecek ? eger internete yada diger DNS sunucularina
gonderecek ise ona da ayrica izin verilmesi gerekir...

#D'nin internette yada yerel agda bir sunucuya DNS sorgusu
gonderebilmesi icin

iptables -A FORWARD -p udp -s D -d hangi_dns_sunucu_kullanilacaksa
--dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s hangi_dns_sunucu_kullanilacaksa -d D
--dport 53 -j ACCEPT

>
> 4. A domain3 icin master, E ise slave
> E A'dan zone tarnsferi yapsin istiyorum.

#E'nin A'dan zone transfer yapabilmesi icin
iptables -A FORWARD -p tcp -s E -d A --dport 53 -j ACCEPT

#E'nin A'ya DNS sorgusu gonderebilmesi icin
iptables -A FORWARD -p udp -s E -d A --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s A -d E --dport 53 -j ACCEPT

>
> Tum bunlar icin nasil bir ipchains/iptables yazmaliyim.

Hocam Iptables kurallari bunlardir, FORWARD zincirine aman dikkat,
firewall bu dns sunuculardan birindeyse o zaman ona gelen paketler icin
INPUT, cikan paketler icin OUTPUT kullanilmali !

Bir dikkat edilecek hususta TCP ile UDP farki.... TCP'de bir oturum
acilir ve takip edilir (state izleme seceneklerinide bu sebeple aktif
hale getirirseniz iyi olur) oysa UDP'de oturum yoktur, temel olarak
hedef ve kaynak UDP sequence numarasi ile paketlerin siralari takip
eder, iptables ise bu durumu görmezden gelecek sadece gelen ve giden
paketler oldugunu gorecektir. Bu sebepten her udp kurali icin mutlak 2
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
tane kural girilmelidir (gidis ve donus icin)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Umarim yardimci olabilmisimdir hocam, sabah mahmurluguyla kurallarda
hatalar yapmis olabilirim, saptayabilen arkadaslarin duzeltmesi
dilegiyle iyi calismalar diliyorum....

>
> Saygilar
> Mustafa Akgul
> %%%%%
> From: fatih.ozavci@frontsite.com.tr
> Date: Thu 08 Aug 2002 - 18:22:59 EEST
>

-- ------------------------------------------------------------------------ Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr IT Security Consultant

frontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 fax: +90 212 356 68 96 ------------------------------------------------------------------------

-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQA9ZeY2ZICO0iJ1CfMRAofYAJ9lkVe+JRPQCulbMDd2vEvRoxmYWQCdF8Mb XXqORL+D0moNpxB9L4D74SE= =kFAB -----END PGP SIGNATURE-----

Next message: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
Previous message: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
In reply to: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"
Next in thread: Mustafa Akgul: "[linux-network] Re: basit bir ipchains/iptables sorusu"

New Message	Reply	About this list	Date view	Thread view	Subject view	Author view

Bu arsiv hypermail 2b29 tarafindan uretilmistir.