From: Orkun \ (karatekid@softhome.net)
Date: Sun 26 Jan 2003 - 16:37:25 EET
Teşekkürler...
>
>
> > Teşekkür Ederim.
> rica ederim
> > O iptables satırını bende yazmayı düşündüm fakat her program ve her
client
> > için ayrı ayrı onu yapmak çok uzun sürer ve belki bir güvenlik açığıda
> > yaratabilir. Açık portların işi bitince kapatılması lazım çünkü...
> Guvenlik acigi yaratacagini sanmiyorum.
> Cunku linux box o portlari 'dinlemeyecek'
> iptables in olayi, makinaya gelen paketi ilk karsilayan olmasi, paketi
> karsilar, kural zincirinde neler yazildigina bakar, ondan sonra linux box
a
> ulastirir, veya arkasindaki bir makinaya. Dolayisiyla bir listen durumu
> olusmayacaktir. sadece gelen paketi yonlendirir..
> Soylediginizi yapacak bir program vardir belki, ancak ben henuz duymadim,
> belki biraz karistirip, kendiniz yazmalisiniz :)
> Ancak denetimlere dikkat etmeniz gerekecektir, nitekim 0.3 o programi
acinca
> dediginiz gibi belki iptables ile ona yonlendirilebilir paketler, peki
> diyelimki 0.4 de acti o programi, ve 0.5 de :) o zaman ne olacak,
> dolayisiyla sistem YYYY portu degil de YYYY1 YYYY2 YYYY3 portlarindan
> yonlendirme yapmak zorunda kalacak, yani linux-box:YYYY1 e gelen paketi
> 0.5:YYYY ye gonder, linux-box:YYYY2 ye gelenleri 0.3:YYYY ye gonder, vs vs
> gibi..
>
> size gonderdigim satirda ki --dport YYYY ibaresi degistirilebilir, ama
bazi
> programlarda gecerliligini yitirir. Mesela xp nin remote desktop olayi..
> 3389 du sanirim portu, herneyse, onun disinda bi portla
baglanamiyorsunuz..
> dolayisiyla 3389 icin sadece bir yonlendirme olacaktir. ya 0.3 kullanir
bunu
> ya 0.5. ikisi birden yapamayacaktir. Ha soyle olabilir, linux box a 10
tane
> ip verirsiniz (gercek ip) herbiri icin ayri ip den gelen istekleri
> degerlendirebilirsiniz.
>
> Demek istedigim, sunucu olarak kullanacaginiz uygulamalar icin, static
> kurallar yazmak, dinamik kurallardan bence daha guvenli olacaktir (ve
> stabil)
>
> Internet phone dediginiz uygulamada hostun ip adresinin yaninda port da
> belirtebiliyor musunuz? eger belirtebiliyorsaniz "Internet phone" icin
> gecerli olacaktir istediginiz sey, ama diger bazi programlar (mesela
remote
> desktop ornegi) icin bu kural gecerliligini kaybedecektir.
>
> saygilar
> M.Sinan
> > Ayrıca bu iptables işini otomatik yapan bir program yokmu?
> > Örneğin: .0.3'lü makinadan bir host açılınca bunu router makina otomatik
> > tanıyıp veya iki tarafada yüklenen bir program sayesinde tanıyıp
iptables
> > rule'u otomatik yazması gibi ve .0.3'lü makinada gerekli uygulama ve
port
> > kapandığı zaman iptables'dan bu rule'un silinmesi gibi??
>
>
>