From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Fri 23 Aug 2002 - 14:19:28 EEST
Pardon hocam o satirlari unutmusum, aslinda yapilmasi gereken sadece bir
iki karakter degistirmek...
Ben butun zone transfer'leri A'dan yapacaklarmis gibi davrandim, maili
bir daha okuyunca A'nin B'den de zone transfer yapmasi gerektigini
farkettim... Boylece bir kural daha eklenmesi gerekiyor... 1.blok'a yeni
ekledigim kural ile A'da B'den zone transfer yapabilecek, DNS sorgusu
kismi (UDP) icin gerekli olan kurallar zaten tanimlanmisti.
TCP Kurallari cift tarafli degil hocam, Ancak UDP kurallari cift tarafli
olmak zorunda, oturum olmadigi icin A'ninda paket gondermesine izin
verilmesi gerekiyor. Bu durumda sorgularda bir problem cikmaz, cunku
cift tarafli, problem olursa o da zone transferlerde olur. Duzeltmek
icinde asagida ekledigim kural gibi kurallar eklenmelidir.
Asagidaki kurallar ile B A'ya , A'da B'ye zone transfer yapabilecek,
ancak C ve E ise sadece A'dan zone transferi yapabilecek.A'nin onlardan
da zone transfer yapabilmesi icin asagida yazidigim kuralin aynisi
vermelisiniz hocam. (UDP'ler zaten tanimli gorunuyor)
Kisaca 1 tane kurali unutmusum hocam, yine mazur gorun diyorum...
#Tum kurallar A makinesinde koyulacaktir
#---------------------1.Blok----------------------------------------
#B'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi i=cin gerekenler
iptables -A INPUT -p tcp -s B -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s B -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d B --dport 53 -j ACCEPT
#A'nin B'den Zone Transfer ve DNS Sorgusu yapabilmesi icin gereken
iptables -A INPUT -p tcp -s A -d B --dport 53 -j ACCEPT
#---------------------2.Blok----------------------------------------
#C'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi icin gerekenler
iptables -A INPUT -p tcp -s C -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s C -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d C --dport 53 -j ACCEPT
#Istemcilerin C'ye sorgu gonderebilmesi icin gereken
iptables -A FORWARD -p udp -s YEREL_AG -d C --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s C -d YEREL_AG --dport 53 -j ACCEPT
#---------------------3.Blok----------------------------------------
#Istemcilerin D'ye sorgu gonderebilmesi icin gereken
iptables -A FORWARD -p udp -s YEREL_AG -d D --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s D -d YEREL_AG --dport 53 -j ACCEPT
#---------------------4.Blok----------------------------------------
#E'nin A'ya Zone Transfer ve DNS Sorgusu yapabilmesi icin gerekenler
iptables -A INPUT -p tcp -s E -d A --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s E -d A --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s A -d E --dport 53 -j ACCEPT
On Fri, 2002-08-23 at 13:58, Mustafa Akgul wrote:
>
>
> Bunlar hep A'ya zone transferi icin.
> Ayrica, A'dan zone transferi gerekiyor.
>
> B de iki yonlu zone transferi var,
> C ve E'de A'dan zone transferi var
>
> Bu kurllar linear mi?
> cift yonlu olanda:
> A'dan zone tarnsferi + A'ya zone tansferi kurallarimi?
> Yoksa farkli bir sey yapmak gerekiyor mu?
>
>
>
>
-- ------------------------------------------------------------------------ Fatih Ozavci mail: fatih.ozavci@frontsite.com.tr IT Security Consultantfrontsite Bilgi Teknolojisi A.S. tel: +90 212 356 68 92 fax: +90 212 356 68 96 ------------------------------------------------------------------------
-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQA9ZhpAZICO0iJ1CfMRAuddAJ9ZTvZuOkP8dMTjoXiV+b17N9b8oACdFoas gtkzGJmQnpFimuSDuZclajc= =klfs -----END PGP SIGNATURE-----