From: Deniz Akkus Kanca (deniz@arayan.com)
Date: Mon 21 Oct 2002 - 14:00:52 EEST
technotalk yazmış:
> isteg(im s,uydu içerdeki ag(daki istedig(im kis,ilere internet vermek
> istemedeiklerime vermemek
> hatta becerebilirsem verdiklerimin h?zlar?n? ve portlar?n? k?s?tlamak
1. "Internet vermek" -- nispeten basitçe yapılabilir.
2. İstediğiniz kişilere internet vermek, istediklerinize vermemek --
daha zor, özellikle de "istediğiniz kişi" tanımının ne olduğuna bağlı
olarak. Örneğin eğer istediğiniz kişi, sabit ve değişmeyen bir tek IP
no'suna tekabül ederse (bir kişi, bir makina) o zaman daha kolay.
Eğer kullanıcılar birden fazla makinayı kullanabiliyor ve Ahmet falanca
makinayı kullanırken Internet'e çıkış olsun, ama Mehmet aynı makinayı
kullanırken çıkış olmasın diyorsanız, o zaman daha zor. İmkansız değil
ama daha zor.
3. Port kısıtlaması yapmak -- bütün ağ için neredeyse 1 no'nun
kolaylığında yapılır. Eğer "istediğiniz kişi" tanımı bir makinanın IP
no'su ise, o da kolay. Eğer başka bir tanım ise, o zaman daha zor.
4. Hız kısıtlaması -- traffic shaper cinsinden şeylere yönelirsiniz ki,
ilk gören için şifreli izlenimini veren komutları ortaya çıkarır.
> bir kaç arkadas, s,unlar? oku diyerek mail att? tes,ekkür ederim okudum
> ama tam anlam?yla dag(?ld?m
Ağırlıklı olarak mesele, sizin problem tanımınızı ancak bir kaç
iterasyonda yapabilmenizden kaynaklanıyor. Bunu kişisel almayın, bug
report tarzı şeyleri yazmak kolay değildir, sizin varsaydığınız şeyleri
başkaları varsaymaz. Örneğin ben sizin ilk mesajınızdan (bazı alanları
kısıtlamak istiyorum...), "bir ağdaki kullanıcılarım örneğin
www.google.com tarzında adreslere gidemesin" dediğinizi anlamıştım,
proxy'yi de bu nedenle önermiştim.
Anladığım kadarı ile sizin sormak istediğiniz şeyi tekrar tarifliyorum:
1. Internet vermek == IP masquerading. Bir ağdaki makinaların sizin
makina üzerinden Internet'e çıkabilmeleri. İlk önce bunu yapın. Bu işi
yapacak olan paket iptables.
2. Bazılarına Internet vermek -- Eğer bir makina == 1 kullanıcı ise,
makinaların IP'lerine göre kısıtlama yaparsınız. Yine iptables.
1 makina != 1 kullanıcı ise, o zaman başka ek şeyler kullanmanız
gerekli. O zaman proxy, şeffaf, yarı-transparan vs. öğreneceksiniz.
Şimdilik tavsiye etmemek gerektiği anlaşılıyor.
3. 1 makina == 1 kullanıcı ise, o zaman gene iptables.
Değil ise, ben çabuk bir çözümünü bilmiyorum.
4. Hız kısıtlaması -- buna bence şimdilik hiç girmeyin.
Iptables için bir kaç görsel arayüz de mevcut. Benim sevdiğim,
kullandığım bir tanesi fwbuilder: http://www.fwbuilder.org
Esen kalın,
Deniz