From: Umut (linuxlist@gmail.com)
Date: Sat 30 Apr 2005 - 01:24:18 EEST
On 4/28/05, Serdar KOYLU <serdar@uludag.org.tr> wrote:
>6. eger ihtiyaciniz yoksa ip forwarding'i 0 olarak ayarlayin. Eger
>istisna yapmaniz gereken makinalar olacaksa iptables kurun, default
>action DROP yapip forward etmesini istediginiz makinalarda IP adresi ve
>MAC adresine gore ACCEPT ve/veya FORWARD tanimlayabilirsiniz.
iki farkli subnet arasinda ip_forward=0 olan bir linux ile paket forward
etmek mumkun:
hem SNAT hem de DNAT yaptiginizda
-A PREROUTING -i eth2 -p tcp -m tcp --dport 22 -j DNAT --to-destination
10.0.1.254:22 <http://10.0.1.254:22>
-A POSTROUTING -p tcp -m tcp --dport 22 -j SNAT --to-source
10.0.1.2<http://10.0.1.2>
Burada gorulmeyen sey, eth2'nin 192.168.1.0/24
<http://192.168.1.0/24>oldugu.. Bu kural internet paylastiran makinada
bir ise yaramayacak olup
(DNAT'tan dolayi) ancak belli iplere erisim acmak mumkun ve iskence
olacaktir...
>Bundan benim anladigim, ip forwarding'i kapatacagiz. Sonra iptables
>kuracagiz. IP adresi/mac adresine gore ACCEPT veya FORWARD
>tanimlayacagiz. Bendeki iptables biraz eski sanirim. Kodlarini bile acip
>baktim, FORWARD target yok. "FORWARD zincirinde ihtiyaca gore DROP veya
>ACCEPT edersiniz" seklinde kastetmis olabilirsiniz saniyorum.
Evet, onu belirtsem iyi olurmus. Ama az once bir deneme yaparken
iptables ile de paket gezindirmenin mumkun oldugunu farkettim, gerci paketin
icerigi disinda bisi kalmiyor ama yine de mumkun... :)
Saygilar & Sevgiler
Umut Demirhan
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu