From: AHMET PEHLİVAN (aplinux@dominant.com.tr)
Date: Mon 08 Jul 2002 - 23:51:18 EEST
Cozum olarak DROP
satirini su sekle getirebiliriz saniyorum:
>
> iptables -A INPUT -p tcp --syn -j DROP
>
Serdar bey oncelikle cevabınız icin tesekurler.
Sizin ve cesitli arkadasların yazdıgı dokumanlardan inceliyerek basıt bir
script olusturdum.
1- Guvenlik duvarı yeterlimi sizece ne gibi eksiklerim olabilir.
2- iptable ile kurallar koydugumda , localdaki bir makinadan telnet
yapıyorum( hakkı olan ) bir sure bekledikten sonra login alıyorum. Hic
kural yoksa hemen login geliyor. Nasıl hızlandıra bilirim.
( eth0 280 portla yonledirdigim localdaki unix serverda cgi programlar
calısıyor. Ben localden telnet icin bekliyorsam , dısarıdan gelenlerde
bekliyordur fikrine kapılmaktayım )
Bu konularda fikrinizi ogrenebilirsem sevinirim.
Redhat 7.3
eth0 : internete bakıyor.
eth1 : local ag
Apache web server calisiyor
sendmail calisiyor.
squid
eth0 280 portuna gelenler localdaki bir , makinaya yonleniyor.
*******************
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 >/proc/sys/net/ipv4/tcp_syncookies
echo 1 >/proc/sys/net/ipv4/conf/all/rp_filter
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -F
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -d !
192.168.0.200 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A PREROUTING -p tcp -d internet_ip --dport 280 -i
eth0 -j DNAT --to 192.168.0.1:80
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 23 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -j DROP
***********************
----- Original Message -----
From: "Serdar KÖYLÜ" <serdarkoylu@fisek.com.tr>
To: <linux@linux.org.tr>
Sent: Monday, July 01, 2002 12:18 PM
Subject: [Linux] Re: iptables ve squid
>
> Selamlar..
>
>
> On Sun, 30 Jun 2002 21:55:10 +0300
> AHMET PEHLİVAN <aplinux@dominant.com.tr> wrote:
>
> >
> > Merhaba;
> >
> > iptable ile inputu tum kullanıcılara kapatıp. Squid proxy calıstırmak
> > istiyorum. Input drop yapınca squid calısmıyor. Neler yapamam gerek.
Scrip
> > asagıdai gibi. Fikri olan arkadaslardan yardım bekliyorum.
> ........
> > /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
>
> Cikan her paketi masquerade etmeyin. Gereksiz CPU yuku ve port israfina
neden olur.
>
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
> seklinde (192.168.0.0/24 yerel aginiz) sadece gereken paketleri masquerade
edin.
>
> > /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> > /sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
> > /sbin/iptables -A INPUT -j DROP
>
>
> Tipik bir Transparent Proxy sisteminde paket akisi soyle olur:
> S = Source, D = Dest. LOC = LOCAL IP, LP* = LOCAL PORTLAR (1025...)
>
> (CLIENT - S=Y:LP1 D=X:80) -> PREROUTING TABLE -> (S=Y:LP1 D=LOC:3128) ->
ROUTING PROCESS -> INPUT TABLE -> SQUID
>
> Bu sekilde paket SQUID'e ulasir. SQUID kendisi bir LOCAL port uzerinden
gercek web servere baglanmak ister:
>
> SQUID -> (S=LOC:LP2 D=X:80) -> OUTPUT TABLE -> ROUTER PROCESS ->
POSTROUTING -> INET Interface..
>
> Bu paket hedefe ulasir. Oradan cevap gelir:
>
> WEBSRV -> (S=X:80 D=LOC:LP2) -> INTERNET -> PREROUTING -> ROUTER
PROCESS -> INPUT -> SQUID..
>
> Sizin tariflerde, en bastaki transparency icin gerekli olan PREROUTING
TABLE deki D. IP degistirme olayi yok. Demekki istemciler dogrudan proxy'ye
baglaniyor. Standart PROXY baglantisi ise su sekilde yapilir:
>
>
> (CLIENT - S=LOC:LP1 D=SQUID_IP:3128) -> PREROUTING TABLE -> ROUTING
PROCESS -> INPUT TABLE -> SQUID
>
> Bu sekilde paket SQUID'e ulasir. SQUID kendisi bir LOCAL port uzerinden
gercek web servere baglanmak ister:
>
> SQUID -> (S=LOC:LP2 D=X:80) -> OUTPUT TABLE -> ROUTER PROCESS ->
POSTROUTING -> INET Interface..
>
> Bu paket hedefe ulasir. Oradan cevap gelir:
>
> WEBSRV -> (S=X:80 D=LOC:LP2) -> INTERNET -> PREROUTING -> ROUTER
PROCESS -> INPUT -> SQUID..
>
> Goruldugu uzere islemler arasinda pek bir fark yok. SQUID gelen bilgiye
baktiktan sonra, cache'e ekler vs. isini yapar ve istemciye yollar.
>
> Puf noktasi, SQUID'in kendisinin local bir port kullanarak orijinal web
serverden veri istemesi. O web serverden donen paketin DESTINATION PORT'u,
Squid'in acmis oldugu yerel port olacaktir. Sizin sadece 53, 80 ve 3128'e
gelen (--dport) paketleri kabul ediyor olmaniz nedeniyle, squid'e geri donen
paketler DROP edilmekte, squid webten data alamamakta. Cozum olarak DROP
satirini su sekle getirebiliriz saniyorum:
>
> iptables -A INPUT -p tcp --syn -j DROP
>
> Bu durumda, bize yeni bir baglanti kurmak isteyen paketler DROP olacaktir.
Bizim onceden kurdugumuz baglanti uzerinden geri donecek olan veriler ise
yoluna devam edecektir. Sanirim bu sorununuzu cozecektir.
>
> Diger yandan tum UDP paketleri elini kolunu sallayarak gecip gidiyor. Buna
da bir cozum bulmaniz faydali olabilir..
>
> Saygi ve sevgiler..
> -----------------------------------------------------------------------
> Liste üyeliğiniz ile ilgili her türlü işlem için
> http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
>
> Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
> "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
> -----------------------------------------------------------------------
>
>
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------