From: Orkun \ (karatekid@softhome.net)
Date: Sun 26 Jan 2003 - 16:12:56 EET
Teşekkür Ederim.
O iptables satırını bende yazmayı düşündüm fakat her program ve her client
için ayrı ayrı onu yapmak çok uzun sürer ve belki bir güvenlik açığıda
yaratabilir. Açık portların işi bitince kapatılması lazım çünkü...
Ayrıca bu iptables işini otomatik yapan bir program yokmu?
Örneğin: .0.3'lü makinadan bir host açılınca bunu router makina otomatik
tanıyıp veya iki tarafada yüklenen bir program sayesinde tanıyıp iptables
rule'u otomatik yazması gibi ve .0.3'lü makinada gerekli uygulama ve port
kapandığı zaman iptables'dan bu rule'un silinmesi gibi??
>
>
> > Selam,
> Selam
> > İç network'de 192.168.0.3 ip'li makinamdan windows update yapmak
> istiyorum. Fakat windowsupdate'ın sayfasına girince hata veriyor ve hatada
> muhtemelen ana makinada winxp olduğunu zannetmesi. Ana makina linux.
Ayrıca
> aynı sorunu internet telefonu gibi uygulamalarda da yaşıyorum. Ben host
> olduğumda kimse bana bağlanamıyor.
> >
> internet telefonu gibi uygulamalarda host olurken karsi tarafa hangi ip
> adresini veriyorsunuz? 192.168.0.3 ile olmayacagi garanti, eger linux box
in
> ip sini veriyorsaniz
> (ki olmasi gereken bu) box'inizda iptables ile bir kural yazarak
baglantinin
> gerceklesmesini saglayabilirsiniz (baska turlu olmayacagi da acikca
ortada)
> diyelim li x.x.x.x sizin linux box in internete bakan yuzunuz olsun,
birisi
> bu ip ye herhangi bir porttan baglanmaya calistiginda eger kural
> belirtilmemisse baglanti saglayamaz cunku linux box o portu
dinlememektedir
> (cunku dinleyen yazilim sizin kendi makinaniz yani 0.3 ip li.)
>
> bu kadar bilgiden sonra, iptables ile yapmaniz gereken
>
> /usr/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport YYYY -j
> DNAT --to 192.168.0.3:YYYY
>
> Burada eth0 linux box in nete bakan yuzu, YYYY kullanmak istediginiz
> programin dinledigi port, 192.168.... de lokal agda bu yazilimi
calistirmis,
> baglanti bekleyen makinanin ip adresi (önemli : eger bu kuraldan once
> belirli portlar disinda gelen istekleri droplayan bir kuraliniz varsa
> islemeyecektir. once o kurala YYYY portunu da eklemelisiniz.)
>
> Ustteki satir isinizi gorecektir.
>
> Windows update e gelince, bu sorunun iptables'dan kaynaklandigini
> sanmiyorum, cunku bugune kadar hic boyle bir sorunla karsilasmadim (ki
baya
> baya fazla clientimiz var, gerek win98 gerek 2000 gerek xp olsun..)
> ayriyeten windows update web'den erisim sagliyorsunuz, gonderdiginiz
bilgiye
> gore size cevap veriyor, yani bilgisayariniza baglanip OS detection gibi
> bisey yapmiyor, yani ana makinanin xp oldugunu zannedemez.
>
> > Linux ana makinada herhangi bir proxy açık deil. Sadece iptables ile
masq
> yaptırıyorum.
> >
> > Bu sorunları nasıl çözerim? iptables yerine squid kullansam çözüme
> ulaşırmıyım? Proxy ile iptables arasında çok büyük farklar varmı?
>
> Iptables ile box inizi bir nevi router olarak kullanirsiniz, proxy ile
bunu
> yapamazsiniz (her program icin degisik degisik ayar yapmaniz gerekecektir,
> ki desteklenmeyen bazi seyler olabilir diye -dusunuyorum- ,kesin bilgim
> yok )
>
> Iptables kullanmaniz yarariniza olacaktir, proxy ile baya basiniz
> agriyabilir, ki web proxy disinda kullanma ihtiyaci hissetmedim bugune
> kadar.
>
> Yararli olacagini dusundugum bir de link vereyim
> http://www.linux.org.tr/belgeler.php , biraz incelerseniz cogu sorunuzun
> cevabini bulabilirsiniz.
>
>
>
> > Benimle aynı sorunu yaşayan arkadaşlar varsa aynı çözümü kullanabilirim.
> >
> > Şimdiden teşekkürler...
> rica ederim
>
> M.Sinan
>
>
>