From: Serdar KÖYLÜ (serdarkoylu@yahoo.com)
Date: Thu 21 Mar 2002 - 00:56:11 EET
Selamlar..
Oncelikle Hocam bir kac seyi karistirmis. Soyleki web server icin degil, Exchange Mail server icin kural yazilacakti. Fakat onceki mesajlara da baktim. Genel bir seyler yazmak lazim geldi..
ipchains ile mantikli bir firewall kurmak gercekten zordur. Eger 2.2.18 ve uzeri 2.2 serisi bir kerneliniz var, bu kernelden de vazgecme sanisinz yoksa, ipnatadm vs. ile NAT yapabilirsiniz. Fakat bu hic bir sekilde tavisye edilmez. Sanirim 2.4 serisi kerneliniz var. RedHat 7.2'den bahsediyordunuz. Oncelikle kernelinizi yukseltin. 2.4.17 veya 2.4.18 yapin. Ardindan ipchains yerine iptables kullanin. iptables, statefull (%100 olmasa da %95 filan) bir firewall olusturmaniza yardimci olur. Ardindan olmaz denen NAT isini yaparsiniz. 1.2.3.4 sizin disaridan gorunen Statik IP'niz. Yani internetten gorunen. 192.168.1.123 ise Exchange server olunca..
iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 110 -j DNAT 192.168.1.123 --to 110
iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 25 -j DNAT 192.168.1.123 --to 25
Burada aslen gerekli olan iki satirdan biraz daha fazlasi. Bu, smtp serverin (yolladiginiz mailler) disariya gitmesi icin bir seyler yapmaniz gerekiyor. Yani, dahili SMTP server disariyla irtibata gecince onu masquerading, SNAT (Yukaridaki DNAT) vs. yapmaniz lazim. Bu iki satir komutun ilki pop3 cagrilari icin, ikincisi smtp istekleri icin. Eger, internet uzerinden, maillerin okunmasini istemiyorsaniz (evden okumak gibi), ilk satiri kaldirabilirsiniz. Agin genel konfigurasyonunu bilmedegimizden daha fazlasin yazmamiz zor.
NAT basit bir tanimdir. Network Adress Translation. Eger routing yaparken IP adresi veya herhangi bir Port bilgisini degistiriyorsaniz NAT Yapmis olursunuz. REDIRECT islemi, sadece local makinedeki bir porta yonlendirme icin kullanilabilir. Herkes kendisi, farkli sekillerde NAT uygular. Sonra MAP-to-MAP vs. diye adlar takar. Benim bildigim su NAT islemi soyle yapilacak filan gibisinden bir RFC, IETF-DRAFT v.s yok.
Tipik bir ag uzerinde gerekli olabilecek her tur adres degistirme isi icin size gereken 2.4 serisi bir kernel ve iproute2 paketinden ibarettir. Elbette bu kerneldeki netfilter arabirimini konfigure etmek icin bir de iptables. Herseyden once, 2.2 serisi bir kernel ile 2.4 serisi bir kernel arasindaki en buyuk farklar, yenilenmis IP stack ve network layerindedir.
Saygi ve sevgiler..
On Wed, 20 Mar 2002 16:11:23 +0200
M.Umut Karabudak <ukarabudak@cizgi.com.tr> wrote:
>
> Selam,
> Eger dogru anladiysam siz SNAT yapmak istiyorsunuz.
> Yani NAT yapan makinaniza legal ipden gelen 25'i port isteklerini illegal ipye sahip LAN'daki bir makinaya yonlendirmek. (http://www.gelecek.com.tr/belgeler/nat/linux_ve_nat.html adresindeki Company 1)
> Iptables ile halledebilirsiniz.
>
> iptables -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $SMTP_IP --dport 80 -j DNAT --to-destination $LAN_SMTP_IP
>
> $ ile baslayan degiskenlere onceden deger atamaniz lazim.
>
> --
> M. Umut Karabudak
> http://www.cizgi.com.tr
> Çizgi Elektronik
>
> -----------------------------------------------------------------------
> Liste üyeliğiniz ile ilgili her türlü işlem için
> http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
>
> Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
> "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
> -----------------------------------------------------------------------
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------