From: Mustafa Akgul (akgul@Bilkent.EDU.TR)
Date: Fri 23 Aug 2002 - 11:39:48 EEST
Fatih selam,
en basta yazdiklarim gozunden kacmis, ya da ben yeteri kadar
aciklamimiism. Bu FORWARD'lar olmiyacak galiba.
gecen sefer yazdigindna cok daha fazlasini yazdin gibi
>
> Merhabalar Hocam,
>
> Anlattiklariniz biraz karisik geldi ama yine de dilim dondugunce
> yardimci olmaya calisayim...Yalniz unuttugunuz bir sey var, firewall
> hangi makinede ? hepsinde mi ? hepsini birbirine baglayan, routing yapan
> bir sistemdemi ?
>
> Ben asagida gerekli gordugum kurallari yazarken varsayimim ortadaki bir
> makinenin firewall olacagi... Eger boyle degil ise FORWARD zinciri
> yerine INPUT/OUTPUT zincirlerinden uygun olani yerlestirmelisiniz
> hocam...
>
>
> On Thu, 2002-08-22 at 15:51, Mustafa Akgul wrote:
> >
> >
> > Merhabalar,
> >
> > ekte ozet yazismalari gordugunuz tartismada sorunu cozudgumu
> > dusunmustum. bugun tammen cozemedigimi farkettim. bir yani
> > cozerken otesini bozmusum. Soruyu biraz daha genelliyerek
> > sorayim:
> >
> > A bir firewall makinasi, B, C, D, E baska network'lerde DNS
> > makinlari. sunlari yapmak istiyorum
A, B, C, D, E internet uzerinde farkli kurumlarda/aglardaki
makinalar. Hepside DNS sunucusu calisiyor, en azindan sorgulamak
icin kullaniyor. bazilari belirli alanlar icin master ve/veya
slave olarak calisiyor.
A uzerinde firewall olan, bir DNS sunucusu. hem master hemde
slave olarak calisyor. A'nin oldugu ag'da, bazi istemciler DNS
sorgulmasi icin C ve D makinalarini kullaniyor, C makinasi ayni zmanda
bazi alanlar icin slave olarak calisiyor. E ise sadece bazi
alanlar icin slave olarak calisiyor.
Rahat oldugun bir zaman, bu cevaplari bir gozden geciriver.
Tesekkur ederim.
Mustafa Akgul
> >
> > 1. A domain1 'in master, domain2 icin slave
> > B domain1 icin slave, domain2 icin master
> > karsilikli zone transferi istiyorum
>
> #B'nin A'dan zone transfer yapabilmesi icin
> iptables -A FORWARD -p tcp -s B -d A --dport 53 -j ACCEPT
>
> #B'nin A'ya DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s B -d A --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s A -d B --dport 53 -j ACCEPT
>
> #A'nin B'den zone transfer yapabilmesi icin
> iptables -A FORWARD -p tcp -s A -d B --dport 53 -j ACCEPT
>
> #A'nin B'ye DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s A -d B --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s B -d A --dport 53 -j ACCEPT
>
>
> > 2. C domain1 icin slave, ayni zamanda A'in oldugu network'te
> > DNS istemciler icin DNS sorgulmasi icin kullanmnak istiyorum
>
> #C'nin A'dan zone transfer yapabilmesi icin
> iptables -A FORWARD -p tcp -s C -d A --dport 53 -j ACCEPT
>
> #C'nin A'ya DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s C -d A --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s A -d C --dport 53 -j ACCEPT
>
> #C'ye istemcilerin DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s A_nin_networku -d C --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s C -d A_nin_networku --dport 53 -j ACCEPT
> >
> > 3. D yi sadece istemciler DNS sorgulmasi icin kullanmak
> > istiyorum
>
> #D'ye istemcilerin DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s hangi_network_ise -d D --dport 53 -j
> ACCEPT
> iptables -A FORWARD -p udp -s D -d hangi_network_ise --dport 53 -j
> ACCEPT
>
> Bu noktada bir soru akla geliyor, D bu isteklere cevap verebilmek icin
> nereye sorgu gonderecek ? eger internete yada diger DNS sunucularina
> gonderecek ise ona da ayrica izin verilmesi gerekir...
>
> #D'nin internette yada yerel agda bir sunucuya DNS sorgusu
> gonderebilmesi icin
>
> iptables -A FORWARD -p udp -s D -d hangi_dns_sunucu_kullanilacaksa
> --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s hangi_dns_sunucu_kullanilacaksa -d D
> --dport 53 -j ACCEPT
>
>
> >
> > 4. A domain3 icin master, E ise slave
> > E A'dan zone tarnsferi yapsin istiyorum.
>
> #E'nin A'dan zone transfer yapabilmesi icin
> iptables -A FORWARD -p tcp -s E -d A --dport 53 -j ACCEPT
>
> #E'nin A'ya DNS sorgusu gonderebilmesi icin
> iptables -A FORWARD -p udp -s E -d A --dport 53 -j ACCEPT
> iptables -A FORWARD -p udp -s A -d E --dport 53 -j ACCEPT
>
>
> >
> > Tum bunlar icin nasil bir ipchains/iptables yazmaliyim.
>
> Hocam Iptables kurallari bunlardir, FORWARD zincirine aman dikkat,
> firewall bu dns sunuculardan birindeyse o zaman ona gelen paketler icin
> INPUT, cikan paketler icin OUTPUT kullanilmali !
>
> Bir dikkat edilecek hususta TCP ile UDP farki.... TCP'de bir oturum
> acilir ve takip edilir (state izleme seceneklerinide bu sebeple aktif
> hale getirirseniz iyi olur) oysa UDP'de oturum yoktur, temel olarak
> hedef ve kaynak UDP sequence numarasi ile paketlerin siralari takip
> eder, iptables ise bu durumu görmezden gelecek sadece gelen ve giden
> paketler oldugunu gorecektir. Bu sebepten her udp kurali icin mutlak 2
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> tane kural girilmelidir (gidis ve donus icin)
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>
> Umarim yardimci olabilmisimdir hocam, sabah mahmurluguyla kurallarda
> hatalar yapmis olabilirim, saptayabilen arkadaslarin duzeltmesi
> dilegiyle iyi calismalar diliyorum....
>
>
> >
> > Saygilar
> > Mustafa Akgul
> > %%%%%
> > From: fatih.ozavci@frontsite.com.tr
> > Date: Thu 08 Aug 2002 - 18:22:59 EEST
> >
>
>
> --
> ------------------------------------------------------------------------
> Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr
> IT Security Consultant
>
> frontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92
> fax: +90 212 356 68 96
> ------------------------------------------------------------------------
>
>
> -- Attached file included as plaintext by Ecartis --
> -- File: signature.asc
> -- Desc: This is a digitally signed message part
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.7 (GNU/Linux)
>
> iD8DBQA9ZeY2ZICO0iJ1CfMRAofYAJ9lkVe+JRPQCulbMDd2vEvRoxmYWQCdF8Mb
> XXqORL+D0moNpxB9L4D74SE=
> =kFAB
> -----END PGP SIGNATURE-----
>
>
>
>