From: M.Sinan (sinan@uludag.edu.tr)
Date: Mon 27 Jan 2003 - 02:31:01 EET
> Teşekkür Ederim.
rica ederim
> O iptables satırını bende yazmayı düşündüm fakat her program ve her client
> için ayrı ayrı onu yapmak çok uzun sürer ve belki bir güvenlik açığıda
> yaratabilir. Açık portların işi bitince kapatılması lazım çünkü...
Guvenlik acigi yaratacagini sanmiyorum.
Cunku linux box o portlari 'dinlemeyecek'
iptables in olayi, makinaya gelen paketi ilk karsilayan olmasi, paketi
karsilar, kural zincirinde neler yazildigina bakar, ondan sonra linux box a
ulastirir, veya arkasindaki bir makinaya. Dolayisiyla bir listen durumu
olusmayacaktir. sadece gelen paketi yonlendirir..
Soylediginizi yapacak bir program vardir belki, ancak ben henuz duymadim,
belki biraz karistirip, kendiniz yazmalisiniz :)
Ancak denetimlere dikkat etmeniz gerekecektir, nitekim 0.3 o programi acinca
dediginiz gibi belki iptables ile ona yonlendirilebilir paketler, peki
diyelimki 0.4 de acti o programi, ve 0.5 de :) o zaman ne olacak,
dolayisiyla sistem YYYY portu degil de YYYY1 YYYY2 YYYY3 portlarindan
yonlendirme yapmak zorunda kalacak, yani linux-box:YYYY1 e gelen paketi
0.5:YYYY ye gonder, linux-box:YYYY2 ye gelenleri 0.3:YYYY ye gonder, vs vs
gibi..
size gonderdigim satirda ki --dport YYYY ibaresi degistirilebilir, ama bazi
programlarda gecerliligini yitirir. Mesela xp nin remote desktop olayi..
3389 du sanirim portu, herneyse, onun disinda bi portla baglanamiyorsunuz..
dolayisiyla 3389 icin sadece bir yonlendirme olacaktir. ya 0.3 kullanir bunu
ya 0.5. ikisi birden yapamayacaktir. Ha soyle olabilir, linux box a 10 tane
ip verirsiniz (gercek ip) herbiri icin ayri ip den gelen istekleri
degerlendirebilirsiniz.
Demek istedigim, sunucu olarak kullanacaginiz uygulamalar icin, static
kurallar yazmak, dinamik kurallardan bence daha guvenli olacaktir (ve
stabil)
Internet phone dediginiz uygulamada hostun ip adresinin yaninda port da
belirtebiliyor musunuz? eger belirtebiliyorsaniz "Internet phone" icin
gecerli olacaktir istediginiz sey, ama diger bazi programlar (mesela remote
desktop ornegi) icin bu kural gecerliligini kaybedecektir.
saygilar
M.Sinan
> Ayrıca bu iptables işini otomatik yapan bir program yokmu?
> Örneğin: .0.3'lü makinadan bir host açılınca bunu router makina otomatik
> tanıyıp veya iki tarafada yüklenen bir program sayesinde tanıyıp iptables
> rule'u otomatik yazması gibi ve .0.3'lü makinada gerekli uygulama ve port
> kapandığı zaman iptables'dan bu rule'un silinmesi gibi??