From: koray (koray@nsswb.com)
Date: Mon 03 May 2004 - 16:49:51 EEST
selamlar
ascii sanatiyla ilgili yetenegim olmadigi icin network yapisini
anlatmaya calisacagim.
bir adet switch ve buna bagli cihazlar;
bir adet adsl "router 10.0.1.1/24" -- "FW 10.0.1.2/24" -- "Mail Server
10.0.1.4/24" -- "Web Server 10.0.1.3/24"
fw makinasi ayni zamanda proxy server.
FW makinasinin diger interface'i 10.0.0.1/24 ve clientlar da ayni
networkte (10.0.0.0/24)
router, web server, ve mail server icin 10.0.0.0 aginin gatewayi 10.0.1.2.
fw,mail server ve web server 10.0.0.0 agina erisebildikleri halde,
router ulasamiyor.
isin daha da garip yani 4 gun oncesine kadar ulasabiliyordu.ve inanin
iptables kurallarimda hicbir degisiklik yapmadim.(simdi linux da
hicbirsey kendi kendine olmaz diyeceksiniz biliyorum :)
iptables kurallarini disable edip sadece routing enable hale getirince
ise adsl router da iceriye ulasabiliyor.
isin icinden cikamadim.web ve mail server ulasabiliyorsa routerin da
ulasmasi gerekmez mi? sonucta o da ayni networkte vs.
iptables scriptim su sekilde:
ExtIF=eth0
IntIF=eth1
IntIP=10.0.0.1
ExtIp=10.0.1.2
Mail=10.0.1.4
Web=10.0.1.3
SQUID=3128
echo "1" > /proc/sys/net/ipv4/ip_forward
case "$1" in
start)
iptables -N block
# -- Elementary Definitions --
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $IntIF -j ACCEPT
iptables -A block -s 127.0.0.1 -j ACCEPT
# -- Mail --
iptables -A block -i $IntIF -d $Mail -p tcp --destination-port 25 -j ACCEPT
iptables -A block -i $IntIF -d $Mail -p tcp --destination-port 110 -j ACCEPT
# -- PROXY --
iptables -A block -d $IntIP -p tcp --destination-port $SQUID -j ACCEPT
iptables -A block -j DROP
iptables -A INPUT -j block
iptables -A FORWARD -j block
;;
stop)
iptables -F
iptables -X
iptables -F -t nat
echo "0" > /proc/sys/net/ipv4/ip_forward
;;
* )
echo "Usage : $fw {start|stop}"
exit 1
;;
esac
exit 0
Tesekkur ederim