From: Serdar KÖYLÜ (serdarkoylu@yahoo.com)
Date: Thu 21 Mar 2002 - 01:12:53 EET
Selamlar..
On Wed, 20 Mar 2002 17:05:24 +0200
Mustafa ÖZBAKIR <mozbakir@deba.com.tr> wrote:
>
> Hello Evrim,
>
> Wednesday, March 20, 2002, 4:33:40 PM, you wrote:
> EU> ilker ARABACI wrote:
> --------------------------------------------
> yaw niye tartismaya giriyoruz arkadaslar beah.yani valla kendimi deli
> gibi hissettim yani.hakkinizi helal edin.ortaya bi tas attim.ozur
Tartismalar iyidir. Burasi da zaten bir tartisma listesi. Bu isler bazen kafa goz yararak oluyor. Ama guzel oluyor. Onemli olan, uslubu bozup hakaret noktasina gelmemek bence..
> dilerim gercekten.simdi localde transparent proxy kullanmak zorundayim
> bu bir.bunun icinde masq gerekli sanirim bu da iki.ve bana soylenende
> exchange i disari cikarmanin yolunun nat oldugu soylendigi
> idi.iptables dokumanini yazan levent yildirim isimli arkadas saolsun
> benim ipchains kurallarini iptablesa ceviri yapiveriyor.(tekrar
> tesekkur ediyorum burdan kendisine.)ve diger bir kac arkadasta
> (onlarada ayrica) iptables ile gerekli komutlari gonderdiler.fakat
> burada benim gordugum olay ip cevrimi degilde servis yonlendirilmesi
> oluyor.yani interntte benim mail.deba.com.tr adrsi yine firewallin
> adresi olarak gorulecek ama servisi veren icerdeki exchange makina
> olacak.benim ise(bilgisizligimden dolayi) illaki localdeki bu ip
> disariya legal ip gibi cikmali dusuncem olayi karistiriyor bence.
Sorunu boyle soyleyin de havanda su dogmekten bizi bir kurtarin. Simdi sizin kac tane reel IP'niz var ? Web serveriniz kac tane ? Bir DMZ olusturuyormusunuz ? Yerel aginiz nasil ? Bunlari bilmeden sizin icin yazacagimiz her kuralin bir seyi duzeltirken baska bir seyi bozuyor olmasi sozkonusu. Oncelikle sistemi uc parcaya ayirin. Client makineler, serverlar ve internet olarak. Bu iyi bilinen BAD-GOOD-DMZ cozumudur. Bunlari firewall ile birlestirin, hepsi bu. Yani, serverleriniz ve clientleriniz ayri birer ag olsun. Bridge ile filan ugrasmayin. Bridge isi icin gereken arp proxy. Fakat bunun size getireceginden cok goturecegi olur. Gerci transparent firewall Firewall makinesine de squid'i koyar, transparent olarak calistirirsiniz olur biter.
Yarim yamalak cozumlerle ugrasmayin. Oncelikle aginizi bu hale bir getirin. Eger aglari NAT kabiliyetli bir firewall ile birlestiriyorsaniz, hangi agda private, hangisinde public IP kullandiginiz filan onemli olmaz. Oncelikle duzgunce bir ag planlamasi yapin. Servisleri (MUhasebe, satin alma, finans vs) Alt aglar halinde olusturun. Serverleri ayri bir hub/switch, clientleri ayri bir hub/switch vs. ye baglayin. Bunlari farkli ethernetlerle firewall'e baglayin. Bir diger ethernet ile de firewall'i internete baglayin. Hepsi bu. Bundan sonra arkasi corap sokugu gibi gelir.
Saygi ve sevgiler..
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------