From: Gürkan KARABATAK (gkarabatak@firat.edu.tr)
Date: Thu 17 Oct 2002 - 14:56:40 EEST
Selam
Öncelikle şunu söylemeliyimki prerouting ve postrouting i drop etmeniz bana
biraz mantıksız geliyor neden diyecekseniz DNAT veya SNAT tanımlamaları siz
kural yazdıkça aktif olur yani gelen bir isteği bir adrese yönlendirirseniz
yönlenir aksi halde yönlenme olmaz. Yani INPUT mantığı gibi drop demessen
herşeyi geçirir anlamında bir olay yok. PREROUTING i drop ederseniz o
makinaya artık hiçbir istek gelmez. Doğal olarak bir isteği açmak için ilk
önce PREROUTING de kural yazmanız gerekir.
Benim Tavsiyem PREROUTING ve POSTROUTING default olarak ACCEPT olsun FORWARD
ve INPUT kapalı olsun. Bu sayede DNS server gerçek ip kullanıyorsa FORWARD
için bir tanımlama yapmanız yeterli olacaktır.
Kolay gelsin
----- Original Message -----
From: "Özmen Emre DEMÝRKOL" <ozmend@sakarya.edu.tr>
To: <linux-network@linux.org.tr>
Sent: Thursday, October 17, 2002 1:36 PM
Subject: [linux-network] iptables celiski
>
>
> 2 sorum olacak.
>
> =C3=96ncelikle 1 iptables kurduk diyelim ve prerouting, input, forward,
> output v.s. hepsi Drop durumda.
> =C5=9Eimdi bir makineye dns server i=C3=A7in 53 portuna izin vericez.
>
> #iptables -A FORWARD -p tcp -s client-ip -d dnsserver-ip --dport 53 -i
> ethX -j ACCEPT=20
>
> yeterli mi yoksa =C3=B6nce Preroutingden mi izin vercez. e=C4=9Fer ole
oluc=
> aksa ki
> olmasi lazim gibi, ozaman outputda da izin gerekir yani bir eri=C5=9Fim i=
> =C3=A7in
> 3 tane komut oldu. pre den redirect ile forwarda orda izin ver sonra
> output da da izin ver
>
> yanlis mi durunuyorum acaba?
>
> 2. soru ise tcp ba=C4=9Flantilari contrack in takip ettigini biliyoruz.
pek=
> i
> udplerde nasil bir yontem izlicez.
>
> gerci 2.soruyu serdar koylu hoca=C3=B6m seminerde anlatmisti ama ben
unuttu=
> m.
> Kusura bakmasin artik.
>
> Saygilarimla=20
>
> Ozmen Emre DEMiRKOL
> ozmend@sakarya.edu.tr
>
>
>