From: Orhan Albay (orhan.albay@kaynet.com)
Date: Mon 13 Oct 2003 - 03:19:36 EDT
merhaba,
INPUT zincirine gelen paketleri kisa bir sure icin ACCEPT edip
deneyebilir misiniz? Yada
DROP edilen TCP paketlerini loglayabilir misiniz?
iptables -A BAGLANTI_DURUMU -j LOG --log-prefix "FW-tcp-INPUT: "
iptables -A BAGLANTI_DURUMU -j DROP
Ayrica ben ICMP echo-request ve echo-reply lari icin de kural
olusturmaniz gerektigi kanaatindeyim.
Saygilar,
Orhan Albay.
emre46 emre wrote:
>Tekrar Tekrar Selamlar....
>
> Bir hafta oldu ben hala yol katedemedim en son firewall ın bütün
>kurallarını temizledim şu an sadece proxy nin ip si 80 porttan dışarıya
>çıkmaya yetkili, eğer localden biri internete bağlanmaya çalışıyorsa onuda
>proxy nin olduğu makineye yönlendirecek (ama malesef yönlendirmiyor hala)
>
>dns için yazdığım kurallarıda sildim ip yazarak bağlanmayı deniyorumki
>oradada gözümden kaçan bir sorun olmasın diye..
>
>Geldiğim son durum şu localden eğer internet explorer ın ayarlarında proxy
>kullan der ve proxy nin ip sini ve portunu girersem cache.log dosyasından
>takip ediyorum sorunsuz çıkıyor internete..
>
>ama proxy kullanma dersem nedense hala sorun var. cache dosyalarını
>bakıyorum hiç bir istek gelmiyor ffirewall makinesinin loglarına bakıyorum
>garip bir durum yok. proxy makinesi internete sorunsuz çıkıyor.
>
>Kuralların son hali aşağıda ..
>
>Lütfen biri bana yardım etsin artık delirmek üzereyim. nette okumadığım
>döküman kalmadı...
>
>------------------------------------------------------------------------------------
>#/bin/bash
>iptables="/sbin/iptables"
>echo "1">/proc/sys/net/ipv4/ip_forward
>iptables -P INPUT DROP
>iptables -P OUTPUT ACCEPT
>iptables -P FORWARD DROP
>
>iptables -F
>iptables -X
>iptables -F -t nat
>iptables -X -t nat
>iptables -F -t mangle
>iptables -X -t mangle
>
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -A INPUT -i lo -j ACCEPT
>iptables -A OUTPUT -o lo -j ACCEPT
>
>#gelen paketin durumuna bakip bagliysa devam yeni baglantiysa ok bunlara
>uymuyorsa drop edelim
>iptables -N BAGLANTI_DURUMU
>iptables -A BAGLANTI_DURUMU -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A BAGLANTI_DURUMU -m state --state NEW -j ACCEPT
>iptables -A BAGLANTI_DURUMU -j DROP
>
>#80 den gelenleri Squid e yonlendir
>iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --dport 80 -j DNAT
>--to $proxy_ip:$proxy_port
>
>#Squid i 80 den disari cikart
>iptables -t nat -A POSTROUTING -p tcp -s $proxy_ip --dport 80 -j SNAT --to
>$firewall_ext_ip
>
>iptables -A FORWARD -i eth0 -s $proxy_ip -p tcp -o eth2 --dport 80 -j
>BAGLANTI_DURUMU
>iptables -A INPUT -s $proxy_ip -p tcp -i eth0 --dport 80 -j BAGLANTI_DURUMU
>-------------------------------------------------------------------------------------------------------------
>
>cevaplarınızı bekliyorum....
>
>_________________________________________________________________
>Help STOP SPAM with the new MSN 8 and get 2 months FREE*
>http://join.msn.com/?page=features/junkmail
>
>
>
>
>
>