From: Osman Yozgatlıoğlu (osman.yozgatlioglu@datassist.com.tr)
Date: Thu 23 Jun 2005 - 10:13:56 EEST
Selamlar arkadaşlar,
Benim başıma gelenler zaten hiç normal olmaz ki.. :)
Dün akşam firewall üzerindeki tüm mantıklı çözümleri denedikten sonra
benim picatel quartet modemime geçtim. hani olmaz ya, belki modemde
bişeyler unutmuşumdur diye. Bridge moda geçirdikten sonra hiç dokunmamıştım.
Bridge menüsündeki eth0 ve eoa0 portlarını sildim, modemi resetledim.
sonra tekrar eth0 ve eoa0 portlarını bridge olarak ayarladım ve commit.
Vee çalıştı :) Yanlış anlaşılmasın eth0, eoa0 veya diğer vc'lerin
tanımlarını değiştirmedim. Sadece şu iki portu bridge yap tanımını silip
yeniden yazdım.
Pek çözüm sayılmasa da belki birilerinin işine yarar.
İlgilenen tüm arkadaşlara teşekkürler,
İyi çalışmalar,
Osman
Osman Yozgatlıoğlu yazmış:
> Selamlar,
>
> Firewall üzerindeki tüm kuralları silip sadece masquerade kuralıyla
> çalıştırdım, sonuç yine aynı.
> Ama sorunum hakkında birşey daha öğrendim, https protokolüyle ilgili
> bir sorun. addons.mozilla.org da ebay.com da https üzerinden
> çalışıyor. Denemek için garanti.com.tr'ye de bağlanmaya çalıştım ve
> aynı sorunla karşılaştım.
> Loglardan izlediğim kadarıyla https istekleri belli bir yere kadar
> gidiyor sonra kesiliyor.
>
> Bu akşam modemi bridge moddan çıkarıp bir de öyle deneyeceğim.
>
> İyi çalışmalar,
>
>
> mesut yazmış:
>
>> Osman Yozgatlıoğlu yazmış:
>>
>>> Selamlar arkadaşlar,
>>>
>>> Evdeki firewall makinamda webmin ile firewall kuralları tanımladım.
>>> Tanımladım dediğim webmin'in kendi "wizard"ı ile syn, ssh, icmp
>>> kurallarını ekledim. Sonra da ppp0 için masquerade kuralı ekledim.
>>> iptables-save ile kural dökümü aşağıda.
>>>
>>> Şöyle bir sorun var. Firewall'dan lynx ile addons.mozilla.org'a veya
>>> ebay'e bağlanabilirken iç taraftaki makinalardan bağlanamıyorum.
>>> Bekleyip bekleyip zamanaşımı hatası veriyorlar. Başka sitelerde sorun
>>> yok. gmail'e veya mozilla.org'a bağlanırken sorun yok mesela.
>>>
>>> Firefox'un httpheader eklentisi ile http başlıklarını falan izledim
>>> belki birşeyler çıkar diye ama çözüme yönelik birşeyler çıkmadı.
>>>
>>> Neyi yanlış yaptım acaba?
>>>
>>> Şimdiden teşekkürler,
>>>
>>> Osman
>>>
>>> evduvar:~# iptables-save
>>> # Generated by iptables-save v1.2.11 on Mon Jun 20 18:05:38 2005
>>> *nat
>>> :PREROUTING ACCEPT [241:17266]
>>> :POSTROUTING ACCEPT [0:0]
>>> :OUTPUT ACCEPT [171:10910]
>>> -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 80 -j
>>> REDIRECT --to-ports 3128
>>> -A POSTROUTING -j MASQUERADE
>>> COMMIT
>>> # Completed on Mon Jun 20 18:05:38 2005
>>> # Generated by iptables-save v1.2.11 on Mon Jun 20 18:05:38 2005
>>> *mangle
>>> :PREROUTING ACCEPT [5550:4008996]
>>> :INPUT ACCEPT [5134:3818008]
>>> :FORWARD ACCEPT [416:190988]
>>> :OUTPUT ACCEPT [4492:480225]
>>> :POSTROUTING ACCEPT [4908:671213]
>>> COMMIT
>>> # Completed on Mon Jun 20 18:05:38 2005
>>> # Generated by iptables-save v1.2.11 on Mon Jun 20 18:05:38 2005
>>> *filter
>>> :INPUT DROP [0:0]
>>> :FORWARD ACCEPT [416:190988]
>>> :OUTPUT ACCEPT [4492:480225]
>>> :logden - [0:0]
>>> :logla - [0:0]
>>> -A INPUT -i ! ppp0 -j ACCEPT
>>> -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
>>> -A INPUT -m state --state ESTABLISHED -j ACCEPT
>>> -A INPUT -m state --state RELATED -j ACCEPT
>>> -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
>>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>>> -A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
>>> -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
>>> -A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP
>>> -A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP
>>> -A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP
>>> -A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
>>> -A INPUT -j logla
>>> -A logden -j LOG --log-prefix "deneme"
>>> -A logden -j ACCEPT
>>> -A logla -j LOG
>>> -A logla -j DROP
>>> COMMIT
>>> # Completed on Mon Jun 20 18:05:38 2005
>>>
>>> _______________________________________________
>>> Linux-ag mailing list
>>> Linux-ag@liste.linux.org.tr
>>> http://liste.linux.org.tr/mailman/listinfo/linux-ag
>>
>>
>>
>> kurallarinizda bana tuhaf gelen bir sey yok. yani sorunsuz calismali.
>> ustelik FORWARD icin hic bir kural tanimlanmamis ve varsayilan policy
>> ACCEPT, yani clientlarin cikislarini engelleyecek yada disardan
>> clientlara erismelerini engellemeye yonelik herhangi kisitlayici
>> kural yok :)
>> en azindan
>> -A POSTROUTING -o ppp0 -j MASQUERADE
>> seklinde bir source NAT uygulayin.
>>
>> DNS sorunu olabilir mi acaba? REDIRECT olduguna gore squidi
>> transparent modda kullaniyorsunuz galiba. REDIRECT kuralini silip bir
>> deneyin. en azindan sorunun kaynagini bulmaniza yardimci olabilir.
>>
>> kolay gelsin.
>> _______________________________________________
>> Linux-ag mailing list
>> Linux-ag@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-ag
>>
>>
> _______________________________________________
> Linux-ag mailing list
> Linux-ag@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-ag
>
>
_______________________________________________
Linux-ag mailing list
Linux-ag@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-ag