From: AHMET PEHLİVAN (aplinux@dominant.com.tr)
Date: Tue 09 Jul 2002 - 22:27:30 EEST
----- Original Message -----
From: "Serdar KÖYLÜ" <serdarkoylu@fisek.com.tr>
To: <linux@linux.org.tr>
Sent: Tuesday, July 09, 2002 12:12 PM
Subject: [Linux] Re: iptables ve squid
Cevabınız icin tekrar tesekkurler.
>
> Mantikli bir yorum yapabilmek icin 192.168.0.200, internet_ip ve
192.168.0.1 makinelerinin ne oldugunu bilmek gerekiyor. >Internet IP
dediginiz IP adresinin 280. Portunda varsayilan olarak http-mgmt daemonlari
bekler. Ama bunlar bildigim >kadariyla cok fazla kullanilmaz. internet_ip
ayni zamanda kullanmak istedginiz bir web servermi ? Oyle ise, 280. Port
neden ? >Ozel bir Intranet server filanmi calistiyorsunuz ? Kisacasi biraz
daha bilgi verirseniz daha faydali olabiliriz gibime geliyor..
>
Pardon, sanırm biraz karısık yazdım.
Redhat 7.3
eth0 : internete bakıyor.
eth1 : 192.168.0.200
squid calısıyor.
Dns Calısıyor.
Apache web server calisiyor. ( Birkactane site mevcut )
sendmail calisiyor.
Localde web server var. Cgi uygulamalrı calısmakta. ( 192.168.0.1 )
Dısarıdaki kullanıcıların erışmesi için linux eth0 280. portuna gelen
istekleri 192.168.0.1:80 porta yonlendiriyorum. ( 280 bir onemi yok, bu
numaranın bos oldugunu sanmıstım )
Amacım performans kaybetmeden, bir miktar guvenlik saglamak.
Tavsiyeleriniz icin tesekkurler.
Saygılarımla
Ahmet Pehlivan
>
> Selamlar..
>
> On Mon, 8 Jul 2002 23:51:18 +0300
> AHMET PEHLİVAN <aplinux@dominant.com.tr> wrote:
> >
> > Cozum olarak DROP
> > satirini su sekle getirebiliriz saniyorum:
> > >
> > > iptables -A INPUT -p tcp --syn -j DROP
> >
> > Serdar bey oncelikle cevabınız icin tesekurler.
> >
> > Sizin ve cesitli arkadasların yazdıgı dokumanlardan inceliyerek basıt
bir
> > script olusturdum.
> >
> > 1- Guvenlik duvarı yeterlimi sizece ne gibi eksiklerim olabilir.
>
> Yeterlilik, sistemdeki diger bilesenlere bagimli bir konu. Sistemin tum
bilesenlerini bilmeden yeter/yetmez demek yanlis olur.
>
> > 2- iptable ile kurallar koydugumda , localdaki bir makinadan telnet
> > yapıyorum( hakkı olan ) bir sure bekledikten sonra login alıyorum. Hic
> > kural yoksa hemen login geliyor. Nasıl hızlandıra bilirim.
>
> Tipik hostname problemi. Eger alttaki kurallari kullaniyorsaniz, UDP/53
portundan yapilan DNS cagrilarini bloke etmissiniz. Bu nedenle makinenin
hostname'ini cozemiyor. UDP connectionless oldugu icin bir hata mesajida
verilmez.
> > ( eth0 280 portla yonledirdigim localdaki unix serverda cgi
programlar
> > calısıyor. Ben localden telnet icin bekliyorsam , dısarıdan gelenlerde
> > bekliyordur fikrine kapılmaktayım )
> >
> > Bu konularda fikrinizi ogrenebilirsem sevinirim.
> >
> > Redhat 7.3
> > eth0 : internete bakıyor.
> > eth1 : local ag
> > Apache web server calisiyor
> > sendmail calisiyor.
> > squid
> > eth0 280 portuna gelenler localdaki bir , makinaya yonleniyor.
> > *******************
> > echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
> > echo 1 >/proc/sys/net/ipv4/tcp_syncookies
> > echo 1 >/proc/sys/net/ipv4/conf/all/rp_filter
> >
> > /sbin/iptables -P INPUT ACCEPT
> > /sbin/iptables -P OUTPUT ACCEPT
> > /sbin/iptables -P FORWARD ACCEPT
> >
> > /sbin/iptables -F
> > /sbin/iptables -F INPUT
> > /sbin/iptables -F OUTPUT
> > /sbin/iptables -F FORWARD
> > /sbin/iptables -F -t mangle
> > /sbin/iptables -X
> > /sbin/iptables -F -t nat
> >
> > /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
> >
> > /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -d
!
> > 192.168.0.200 -j REDIRECT --to-ports 3128
> >
> > /sbin/iptables -t nat -A PREROUTING -p tcp -d internet_ip --dport
280 -i
> > eth0 -j DNAT --to 192.168.0.1:80
>
> Mantikli bir yorum yapabilmek icin 192.168.0.200, internet_ip ve
192.168.0.1 makinelerinin ne oldugunu bilmek gerekiyor. Internet IP
dediginiz IP adresinin 280. Portunda varsayilan olarak http-mgmt daemonlari
bekler. Ama bunlar bildigim kadariyla cok fazla kullanilmaz. internet_ip
ayni zamanda kullanmak istedginiz bir web servermi ? Oyle ise, 280. Port
neden ? Ozel bir Intranet server filanmi calistiyorsunuz ? Kisacasi biraz
daha bilgi verirseniz daha faydali olabiliriz gibime geliyor..
>
> Bir agi ne kadar sadelestirir, boyle port/nat taklalarini ne kadar
azaltirsaniz, hem idare etmeniz hem guvenligini saglamaniz o kadar kolay
olur. Bu tur karmasik konfigurasyonlar olmadik kombinasyonlarda olmadik
kapilarin acik kalmasina yol acar cogu zaman. Eger bir firewall ihtiyaciniz
varsa, tecrube edilmis en iyi tercih, BAD/GOOD/DMZ cozumudur. Yani bir 3.
ethernet takmak. Boylece serverlere erisimi, internete erisimi, yerel aga
erisimi kolayca kurallara baglarsiniz. Belki bir HUB+ETH masrafi baslangicta
fazla gorunebilir fakat, gercekte cok daha ucuza cikar.. Daha rahat
uyursunuz..
>
> > /sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 23 -j ACCEPT
>
> Yerel agdan telnet'i kabul ediyorsunuz.
>
> > /sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
>
> Binde bir yapilacak (genelde sadece zone transferi) DNS server
baglantilarini kabul ediyorsunuz.
>
> > /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
> WebServere gelenleri kabul ediyorsunuz.
>
> > /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
>
> SMTP OK
>
> > /sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
>
> POP3 OK
>
> > /sbin/iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
>
> SQUID OK
>
> > /sbin/iptables -A INPUT -p tcp --syn -j DROP
>
> Bize baglanti icin muracaat eden diger paketleri DROP Ediyoruz. Boylece bu
protlarin disinda kimse bize baglanamaz. Fakat UDP gene yok ortalikta. UDP
pek cok servis icin gerekli bir protokoldur. En basta DNS olmak uzere..
>
> Saygi ve sevgiler..
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------