From: Umut (linuxlist@gmail.com)
Date: Thu 28 Apr 2005 - 13:34:32 EEST
Onceki mail icin ozur dilerim.. Gerisi asagida.
On 4/28/05, Serdar KOYLU <serdar@uludag.org.tr> wrote:
>
> İyi hoşta, bu gereklerin herkese uyacağını düşünmek biraz garip olmuyor
> mu?
Ben herkese uyacagini soylemedim. Fenerlilaz tam kontrol istedigini
soylemis e-mailinde, ben de o sekilde yaklastim.
Squid'i transparent çalıştırmadınız. FTP http vs. için elle birer birer
> ayarladınız. Peki bu adamlar mail alıp vermeyecek mi? Local'deki
> pop3'ten başka bir mail kullanamazlar mı? Atıyorum SSH isteyemezler mi?
ilk iletimdeki 6. maddede istisnalara ne yapilacagini belirttim
Kısacası, zaten bir NAT işlevi gerekecek. Bir DNS'de gerekecek bunlar
> için. en azından local DNS üzerinden DNS isteklerinin de cache
> edilmesini sağlamak daha iyi olmaz mı?
nat yapmanin zorunluluk olduguna inanmiyorum.
Bu kullanici istekleri ile ilgili bir durum. Ben yogurdu boyle yiyorum.
DNS sunucu, eger "nat"lik bir isiniz yoksa, gerekmeyecek... squidin
kendi icindeki dns cache mekanizmasi da fena degil.
Elbet bunlar herkes için her zaman en iyi değildir. Mail için proxy, irc
> içinde proxy vs. hepsi olabilir. Bunların da hepsi de bir şekilde
> Transparent çalıştırılabilir. Ama bu her zaman klasik proxy daha iyidir
> demek değildir ki?
Olay arz-talep olayi. Burada talebin ne oldugunu bilmiyoruz, ben tam
kontrole uyacak bir arz ornegi verdim. Daha sıkı bir kontrol mekanizmasi
kurmak da olasi, daha gevsegini yapmak da...
Bazı kurumlar 100 kez telefon eder, bazıları ise 2. telefon ihtiyacında
> sizi kapının önüne koyuverebilir de.. Her kurum aynı yaklaşıma tabi
> değildir.
O zaman siz de 2 kere telefon etmeye ihtiyac birakmayacak
sekilde tedbirinizi alir sistemler uzerinde gerekli kontrol mekanizmalairni
kurarsiniz... Sistem yoneticiligi sadece squid kurmakla olmuyor tabi ki.
Yine arz-talep meselesi.
Bir diğer husus, ip forwarding'i kapattınız. Makul. Ama ondan sonra
> ihtiyacı olanları iptables'la nasıl forward edeceksiniz? Sanırım ben
> uğraşmayalı IPTABLES'a routing fonksiyonu eklenmiş olmalı. Bir açıklar,
> örnek verebilir misiniz?
Ben boyle bir sey demedim. Yine 6. maddeye bakin ilk iletimdeki..
Saygı ve sevgiler..
Size de saygi ve sevgiler...
Insani e-mail yazmaktan korkar hale getiriyorsunuz.
Kurdugum ve islettigim sistemi anlattim ben orada.
Ornek gormek istiyorsaniz sizi seve seve misafir ederim burada (Foça/İZMİR)
Eksik/aksak bir yeri varsa tamamlayin dogrusunu hep beraber ogrenelim.
Genel olarak uslubunuza ve bilginize hayran bir insanim.
Ancak saniirm amactan uzaklasiyorsunuz...
Herneyse...
Ben iki kere bastan kurdum su anda calisan sistemimi. Basit bir sistem ama
ogrenerek yapinca her zaman dogrusunu secemiyorsunuz.
Once transparan kurdum. Hersey iyi guzel ve hostu. Ama kazaa tarzi
programlari
engelleyemedigimi farkettim. Hemen hemen hepsi 443. portu kullanabilme
kabiliyetine sahipti.
Terminaller windows olunca DOMAIN yapisina gectim. Kurulacak programlarin
yonetimi vs ile durumu kurtarmaya calistim, ama neticede benim kotnrolum
sadece IP ve MAC ile sinirli oluyordu linux uzerinden.
Bunun uzerine bilgisayarlari degil internet cikisini sifreli hale getirmeyi
hedefledim.
Squid'e LDAP destegi vermem gerekti, orada transparanla ilgili ikinci
sorunla
karsilastim.
Sistemi klasik proxy haline getirdim, ipforward kapali calistiridm uzun
sure.
Daha sonra bazi noktalarda forward/nat ihtiyaclari dogdu. Bunun uzerine
ipforward'i acip kati iptables kurallari ile calistirmaya basladim...
DOMAIN yapisi oldugu icin group policy ile proxy ayarlarini veriyorum.
Kacak kurulmus bilgisayarlar sistemi yine kullanabiliyorlar, ama
internet explorer'i actiklarinda karsilarina yine parola soran kutucuk
cikiyor.
Portlari acarken cimri davraniyorum, terminal bazinda port actigim
ve actigim portlardaki kullanimi siki denetledigim icin icim rahat...
Ve neyi tartistigimizi hala anlamis degilim. Ben "en dogrusu budur"
demedigim gibi bunu soylemenin yanlis oldugunu bilecek kadar
suredir acik kaynak/ozgur yazilim dunyasindayim..
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu