From: Mustafa ÖZBAKI (mozbakir@deba.com.tr)
Date: Wed 20 Mar 2002 - 19:02:38 EET
Hello Serdar,
Thursday, March 21, 2002, 12:56:11 AM, you wrote:
SK> Selamlar..
SK> Oncelikle Hocam bir kac seyi karistirmis. Soyleki web server icin degil, Exchange Mail server icin kural yazilacakti. Fakat onceki mesajlara da baktim. Genel bir seyler yazmak lazim geldi..
SK> ipchains ile mantikli bir firewall kurmak gercekten zordur. Eger 2.2.18 ve uzeri 2.2 serisi bir kerneliniz var, bu kernelden de vazgecme sanisinz yoksa, ipnatadm vs. ile NAT yapabilirsiniz. Fakat
SK> bu hic bir sekilde tavisye edilmez. Sanirim 2.4 serisi kerneliniz var. RedHat 7.2'den bahsediyordunuz. Oncelikle kernelinizi yukseltin. 2.4.17 veya 2.4.18 yapin. Ardindan ipchains yerine iptables
SK> kullanin. iptables, statefull (%100 olmasa da %95 filan) bir firewall olusturmaniza yardimci olur. Ardindan olmaz denen NAT isini yaparsiniz. 1.2.3.4 sizin disaridan gorunen Statik IP'niz. Yani
SK> internetten gorunen. 192.168.1.123 ise Exchange server olunca..
SK> iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 110 -j DNAT 192.168.1.123 --to 110
SK> iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 25 -j DNAT 192.168.1.123 --to 25
SK> Burada aslen gerekli olan iki satirdan biraz daha fazlasi. Bu, smtp serverin (yolladiginiz mailler) disariya gitmesi icin bir seyler yapmaniz gerekiyor. Yani, dahili SMTP server disariyla
SK> irtibata gecince onu masquerading, SNAT (Yukaridaki DNAT) vs. yapmaniz lazim. Bu iki satir komutun ilki pop3 cagrilari icin, ikincisi smtp istekleri icin. Eger, internet uzerinden, maillerin
SK> okunmasini istemiyorsaniz (evden okumak gibi), ilk satiri kaldirabilirsiniz. Agin genel konfigurasyonunu bilmedegimizden daha fazlasin yazmamiz zor.
SK> NAT basit bir tanimdir. Network Adress Translation. Eger routing yaparken IP adresi veya herhangi bir Port bilgisini degistiriyorsaniz NAT Yapmis olursunuz. REDIRECT islemi, sadece local
SK> makinedeki bir porta yonlendirme icin kullanilabilir. Herkes kendisi, farkli sekillerde NAT uygular. Sonra MAP-to-MAP vs. diye adlar takar. Benim bildigim su NAT islemi soyle yapilacak filan
SK> gibisinden bir RFC, IETF-DRAFT v.s yok.
SK> Tipik bir ag uzerinde gerekli olabilecek her tur adres degistirme isi icin size gereken 2.4 serisi bir kernel ve iproute2 paketinden ibarettir. Elbette bu kerneldeki netfilter arabirimini
SK> konfigure etmek icin bir de iptables. Herseyden once, 2.2 serisi bir kernel ile 2.4 serisi bir kernel arasindaki en buyuk farklar, yenilenmis IP stack ve network layerindedir.
-----------------------------
himm abi sana soylenecek bisi bulamiyorum.(buyuksun beah).evet
disardanda kullanicilarimiz var.hem owa da kullanilacak.ya aslinda
benim merak ettiklerim artti. peki exchange serveri masq islemlerini
dnat kurallarindan oncemi yazacagiz.ve tum netwoku masq yapacak bir
iptables kurali daha yazabilirmisiniz?
sevgiler saygilar..
-- Best regards, Mustafa mailto:mozbakir@deba.com.tr----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------