From: Serdar KOYLU (serdar@uludag.org.tr)
Date: Tue 05 Oct 2004 - 19:04:19 EEST
Selamlar..
> iptables ile cozum yolunu anlatmaya calisayim. squidguard ile cozumu
> Afşin arkadaşımız açıklamış.
> lazim. bu baglamda yukaridaki gibi bir network yapisina ihtiyaciniz var.
> aksi durumda DNAT in calisacagini dusunmuyorum.
> iptables -t nat -I PREROUTING -s yerel_pc_ip -d gitmemesi_gereken_ip -p
> tcp --dport 80 -j DNAT --to sirket_web_server_ip
>
> eger isin icinde DHCP server varsa yani clientlarda sabit ip yoksa bu
> islemi MAC adresine gore de yapabilirsiniz.
>
> iptables -t nat -I PREROUTING -m mac --mac-source 00:08:A1:4C:89:44 -d
> gitmemesi_gereken_ip -p tcp --dport 80 -j DNAT --to sirket_web_server_ip
Iyi hos ama, content'e gore nasil kisitlama yapacakki bu kurallar ?
Isin icine content giriyorsa, squid vs. den ziyade, dansGuardian
onerilebilir. Bir yere kadar basarili olur. DansGuardian squid ile
kombine edilebilir vs.
Diger yandan, istenmeyen IP adreslerini degil, istenmeyen web
adreslerini yasaklamak istiyorsunuz. Yani Layer 5+ olmasi durumu.
Kabaca, diyelim ki, 1.2.3.4 adresi bir hosting sirketine (geocities.com
?) ait olsun. Buradaki muzir.geocities.com ile finans.geocities.com icin
ayni IP adresleri gorunecek, her ikisinide yasaklayacaksiniz
boylelikle.. Dahasi bu liste o kadar uzayacaktir ki, elle eklemek
imkansiz olacaktir.
Demekki, bunun cozumu, proxy uzerinde (application level) bu isi
halletmek. Diger cozumler, bilhassa IP bazinda vs. olanlar akillica
olmayacaktir.
Saygi ve sevgiler..