From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Fri 23 Aug 2002 - 12:33:06 EEST
Hocam sabah mahmurluguma gelmis A'nin firewall oldugunu sokemedim :-)
mazur gorun. Onceki mailde yazdigim kurallarida unutuverin, hepsi
ortadaki bir firewall icin yazilmisti...
Simdi agi bir cizelim...
-------------->B
-------------->C
Yerel ag -----> A -------------->D
-------------->E
Asagida her sorunuz icin ayri bir blok olusturdum... DNS sorgusu UDP'den
yapildigi icin her DNS sorgu islemi icin 2 kural koyulmali, Zone
Transfer TCP'den oldugu icin ise sadece 1 kural yeterlidir.=20
Master <---> Slave araligindaki haberlesmelerde, hem TCP hemde UDP
kullanilmaktadir, dolayisiyla 3 kural gereklidir.
Istemci <----> Sunucu iletisiminde ise sadece 2 kural yeterlidir, cunku
sadece DNS sorgusu yapilacaktir.
#Tum kurallar A makinesinde koyulacaktir
#---------------------1.Blok----------------------------------------
#B'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi i=E7in gerekenler
iptables -A INPUT -p tcp -s B -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s B -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d B --dport 53 -j ACCEPT
#---------------------2.Blok----------------------------------------
#C'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi i=E7in gerekenler
iptables -A INPUT -p tcp -s C -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s C -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d C --dport 53 -j ACCEPT
#Istemcilerin C'ye sorgu gonderebilmesi icin gereken
iptables -A FORWARD -p udp -s YEREL_AG -d C --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s C -d YEREL_AG --dport 53 -j ACCEPT
#---------------------3.Blok----------------------------------------
#Istemcilerin D'ye sorgu gonderebilmesi icin gereken
iptables -A FORWARD -p udp -s YEREL_AG -d D --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s D -d YEREL_AG --dport 53 -j ACCEPT
#---------------------4.Blok----------------------------------------
#E'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi i=E7in gerekenler
iptables -A INPUT -p tcp -s E -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s E -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d E --dport 53 -j ACCEPT
On Fri, 2002-08-23 at 11:39, Mustafa Akgul wrote:
>=20
> Fatih selam,
>=20
> en basta yazdiklarim gozunden kacmis, ya da ben yeteri kadar
> aciklamimiism. Bu FORWARD'lar olmiyacak galiba.
> gecen sefer yazdigindna cok daha fazlasini yazdin gibi
>
> A, B, C, D, E internet uzerinde farkli kurumlarda/aglardaki
> makinalar. Hepside DNS sunucusu calisiyor, en azindan sorgulamak
> icin kullaniyor. bazilari belirli alanlar icin master ve/veya
> slave olarak calisiyor.
> A uzerinde firewall olan, bir DNS sunucusu. hem master hemde
> slave olarak calisyor. A'nin oldugu ag'da, bazi istemciler DNS=20
> sorgulmasi icin C ve D makinalarini kullaniyor, C makinasi ayni zmanda
> bazi alanlar icin slave olarak calisiyor. E ise sadece bazi
> alanlar icin slave olarak calisiyor.
>=20
> Rahat oldugun bir zaman, bu cevaplari bir gozden geciriver.
> Tesekkur ederim.
--=20
------------------------------------------------------------------------
Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr=20
IT Security Consultant =20
frontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 =20
fax: +90 212 356 68 96 =20
------------------------------------------------------------------------