From: Ugur Koc (return1997@hotmail.com)
Date: Thu 27 Nov 2003 - 09:30:29 EST
Selam arkadaslar Benim 2 gun ugrasip cozemedigim bir sorunum var (guya
bayramda is yerine gelip koklu bir degisiklik yapacaktim ama iki gunden beri
cozemedigim bir sorunla karsilastim)..
Bu konuda yardimci olursaniz sevinirim.
Network yapim sole
Firewall
EXT_IP = 212.xxx.xxx.xxx
DMZ_IP = 212.xxx.xxx.xxx
LOCAL_IP = 192.168.1.249
Squid
192.168.1.247
iptables yapisi sole
#/bin/bash
iptables="/sbin/iptables"
portlar="1024:65535"
echo "1">/proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#istenmeyen paketler icin yeni bir zincir tanimliyoruz ver log tutyoruz
iptables -N ISTENMEYEN_PAKET
iptables -A ISTENMEYEN_PAKET -j LOG --log-prefix "istenmeyen paketler"
iptables -A ISTENMEYEN_PAKET -j DROP
#--- KONTROL adinda yeni bir zincir tanimliyoruz. --------
iptables -N KONTROL
iptables -A KONTROL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A KONTROL -m state --state NEW -j ACCEPT
iptables -A KONTROL -j DROP
#----- yeni zincir sonu -----------------------------------
#--- Local DNAT la --------------------------------
iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
DNAT --to $proxy_ip:$proxy_port
iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
#--- Local Sonu ----------------------------------------------
#--- Proxy SNAT la -------------------
iptables -t nat -A POSTROUTING -s $proxy_ip -j SNAT --to $EXT_IP
iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
#--- proxy sonu ------------------------------------------
#localden DMZ ye
iptables -A INPUT -p tcp -i eth0 -s 192.168.1.0/24 --sport $portlar -d
$WEB_SERVER --dport 80 -j KONTROL
iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 --sport
$portlar -d $WEB_SERVER --dport 80 -j KONTROL
#---DMZ iceriden disariya ----------------------------
#Web Server
iptables -A INPUT -i eth1 -p tcp -s $WEB_SERVER --dport 80 --sport $portlar
-j KONTROL
iptables -A FORWARD -i eth1 -o eth2 -p tcp -s $WEB_SERVER --dport 80 --sport
$portlar -j KONTROL
#Dns Server
iptables -A INPUT -i eth1 -p udp -s $DNS_SERVER --dport 53 --sport $portlar
-j KONTROL
iptables -A FORWARD -i eth1 -o eth2 -p udp -s $DNS_SERVER --dport 53 --sport
$portlar -j KONTROL
#--- Dmz iceriden disariya sonu -----------------------
#--- DMZ disaridan iceriye --------------------------
#Web server
iptables -A INPUT -i eth2 -p tcp -d $WEB_SERVER --dport 80 -j KONTROL
iptables -A FORWARD -i eth2 -o eth1 -p tcp -d $WEB_SERVER --dport 80 -j
KONTROL
#Dns Server
iptables -A INPUT -i eth2 -p udp -d $DNS_SERVER --dport 53 -j KONTROL
iptables -A FORWARD -i eth2 -o eth1 -p udp -d $DNS_SERVER --dport 53 -j
KONTROL
#----------------------------->>>---------------------
iptables -A INPUT -i eth1 -p udp --dport 53 --sport $portlar -j KONTROL
iptables -A FORWARD -i eth1 -o eth2 -p udp --dport 53 -j KONTROL
iptables -A INPUT -j ISTENMEYEN_PAKET
iptables -A FORWARD -j ISTENMEYEN_PAKET
simdi yukaridaki scipt hicbir sekilde proxye ulasamyo ama localden her hangi
bir makineden ie nin ayarlarinda proxy ip sini ve portunu yazarsam sorunsuz
bir sekilde proxy uzerinden internete cikabiliyorum
firewall in loglarini inceledigimde hic bir sorun yokmus gibi gozukuyor ama
ne hikmetse bir turlu
iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
DNAT --to $proxy_ip:$proxy_port
iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
bu script calismiyo..
bir kac deneme yaparken sunu denedim.
bu rule u eklersem bu defa EXT_IP proxy server a geliyo hatta firewall in
ice bakan 192.168.1.249 u da yazarsam hemen bu alttaki satira oda proxye
geliyo ama o zaman da butun local bir ipden mis gibi oluyo oda benim isime
yaamiyo
iptables -t nat -A POSTROUTING -s !$proxy_ip -j SNAT --to EXT_IP
iptables -A INPUT -i eth0 -s !$proxy_ip -j BAGLANTI
iptables -A FORWARD -i eth0 -s !$proxy_ip -j BAGLANTI
iptables -t nat -A PREROUTING -i eth0 -s !$proxy_ip -p tcp --dport 80 -j
DNAT --to $proxy_ip:$proxy_port
iptables -A INPUT -i eth0 -s $proxy_ip -j KONTROL
iptables -A FORWARD -i eth0 -s $proxy_ip -j KONTROL
dnslerde bir problem vardir diye ip ler uzerindede baglanmaya calistim ama
bir sonuc alamadim su an kafayi yemek uzereyim..
lutfen biri yardim etsin
_________________________________________________________________
The new MSN 8: advanced junk mail protection and 2 months FREE*
http://join.msn.com/?page=features/junkmail