From: Alper Oğu (alperliste@showtv.com.tr)
Date: Thu 01 Aug 2002 - 15:12:25 EEST
Merhaba,
Serdar hocam istersen buna linux-guvenlik listesinden de cevap
verebilirsin.
01.08.2002, 22:43, Serdar Koylu wrote:
SK> a.b.c.d:xx adresinden w.x.y.z:kk adresine giden paketi SNAT
SK> yaptiginizda e.f.g.h:xx -> w.x.y.z:kk adreslerine sahip bir
SK> paketiniz olur. Paketin cevabi w.x.y.z:kk adresinden, e.f.g.h:xx
SK> olarak geri doner. Eger iki makine (a.b.c.d ve a.b.c.e) ayni xx
SK> portundan ayni w.x.y.z:kk portuna paket yollarsa, gelen
SK> paketlerin hangisinin cevabi oldugunu anlamak guclesir.
Hocam bu 'guclesir' konusunu biraz acar misin? Ayni makinanin ayni
portuna icteki birden fazla istemci baglandiginda paketlerin ic aga
donusu nasil cozuluyor?
Oncelikle sunu sorayim, paketlerin karismasi/kaybolmasi olasiligi
var mi? ipchans kullanirken masq kullaniyordum, iptables'a gecince
ayni tanimi SNAT ile yapmistim.
SK> Tam olarak istenenin ne oldugunu, soylerseniz size en verimli
SK> yolu gosterebiliriz. Ornegin siz yerel agdaki 10.0.0.0/8
SK> adreslerine sahip aletlerin internetteki serverlere ulasmasini
SK> istiyorsaniz size bir tek IP adresi yeterli. Bunu 8 IP adresine
SK> dagitmaya calismanin hic bir faydasi olmayacagi gibi extra
SK> Yok, ben 2-3 tane serveri alip 10.0.0.0/8 bloguna koyacagim.
SK> Bunlara internetten ulasilsin diyorsaniz o zaman size DNAT
SK> lazim.
Tam da ben bunu bu sabah yapmistim. :)
iptables -t nat -A POSTROUTING -s 172.20.1.0/24 -j SNAT --to $INETIP
iptables -t nat -A POSTROUTING -s 172.20.2.0/24 -j SNAT --to $INETIP2
ile icteki 1.0 agindaki web, posta sunucularini bir IP'den, normal
kullanicilari ise (2.0 agi) bir baska IP'den internete cikardim.
Simdi hata mi ettim? :)
sevgiler
-- Alper Oğuz alperliste@showtv.com.tr----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------