From: Serdar KÖYLÜ (serdarkoylu@yahoo.com)
Date: Thu 21 Mar 2002 - 05:53:09 EET
Selamlar..
Her firmanin ihtiyacina gore bir ag yapilandirmasi gerekir. Ihtiyac bugun kadar yarinida kapsar. Yani agin genisleme yetenekleri filan ona gore ayarlanir. Bu durumda en temel duzlemde bir agi 3'e ayirabiliriz. Ag ? Eger bir makine internete bagliysa, devasa bir agin bir parcasi olur. Bu durumda isyerinizdeki agi 3 parca dusunebiliriz.
1. Internet tarafi. Burasi mechuldur. ISS Bize bir hat verir. Bu hattin ucundan erisilebilecek bir subnetimiz vardir. Teorik olarak (Genelde pratik olarak ta) bu uca baglanan bilgisayarlara, internet uzerindeki her makine full-duplex erisebilir. Yani, hem internetteki makinalara, hem sizin makinalara ayni anda erisilebilir. Size gelecek guvenlik ihlalleri buradan yapilacagindan, bu aga BAD (Kotu) diyoruz.
2. Sizin kullandiginiz makineler. Sekreterin masasindaki bilgisayar filan. Bunlar istemcilerdir. Teorik olarak bunlarin kendi sistemlerine saldirmayacaklari dusunulur. Bunlar iyi adamlardir (GOOD) Fakat birileri onlarin makinesini ele gecirebilir. Bu nedenle onlari internetten erisilemez yapmak en guzeli olacaktir.
3. Internet uzerinden size ulasmak isteyenler ise serverlerinizle muhatap olacaklardir. Bunlar hem internet, hemde clientler tarafindan ulasilabilir olmalidir. Bu makineler internetten mutlak ulasilabilir durumdadirlar. Bunlara DMZ denir. Demilitarize zone. Sivil bolge anlaminda. Bunlar dusman atesine aciktir ve kendilerini koruma/savunma kabiliyetleri yoktur. Eger, benim IPTABLES seminerlerini hazirlarken ki dalginligimi tekrar ederde, clientleri ve bu makineleri ayni aga koyarsaniz, isin icinden cikamaz hale gelirsiniz. DMZ grubuna giren aletleri mutlaka fiziksel olarak ayri bir agda toplayin.
Bir firewall kullaniminda oncelikle bu ucunu birbirinden fiziksel olarak ayirmakla ise baslanir. Yani bu tur bir sistemde en az iki hub ve firewall uzerinde 3 ethernet karti bulunmalidir.
Simdi gelelim devamina. IPTABLES ile ne yapacaksiniz. Oncelikle BAD uzerinden GOOD'a dogru olan istekleri (erisimi degil) yasaklayacaksiniz. Bunlar internet uzerinden erisilemez olacaklar. Bunun en iyi yolu, bu garibanlara private bir IP vermektir. Su meshur 192.168... serisi gibi. Bunu yaptiginizda ne olur ? Bu adresler internet routerlari tarafindan reject edilir ve erisim buyuk olcude engellenir. Ama boyle dusunmek gaflet olur. Birisi gider, chat yaparken, bir backbone routerin basinda oturan elemana kufreder, oda BGP, RIP vs. ile hatti oyle bir duzenlerki, sizin girilemez dediginiz adresler kut diye 'heryerden' girilebilir olur cikar. Ardindan gerisi insafina ve sizin kabiliyetlerinize kalmis:
iptables -t filter -A FORWARD -i eth0 -d 192.168.0.0/0 -j DROP #eth0 routera bagli olan farzedelim.
Sonrasinda, bu clientleri (GOOD) 192.168.1.0/24 agina koyalim. Bunlarin internete client olarak baglanabilmesini saglayalim. Basit bir makyajla..
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
Artik onlar internete cikabilir. Fakat, internetten kimse onlara bir oturum baslatamaz. MASQ, internete paylastirma degil, bu is icin vardir. Yani bir A sinifi aginiz dahi olsa, bu guvenlik icin basvurulan bir metottur.
Ardindan DMZ isine sira gelir. 1.2.3.4 = WWW, 1.2.3.5 = FTP, 1.2.3.6 = MAIL, 1.2.3.7 = DNS olsun. Bunlari internetten ve clientlerden erisilebilir hale getirelim.
iptables -P FORWARD DROP #Varsayilan olarak tum paketleri oldur..
iptables -A FORWARD -p tcp -d 1.2.3.6 --dport smtp -j ACCEPT
iptables -A FORWARD -p tcp -d 1.2.3.6 --dport pop3 -j ACCEPT
iptables -A FORWARD -p tcp -d 1.2.3.4 --dport www -j ACCEPT
iptables -A FORWARD -p tcp -d 1.2.3.5 --dport ftp -j ACCEPT
iptables -A FORWARD -p udp -d 1.2.3.7 --dport domain -j ACCEPT
iptables -A FORWARD -p tcp -d 1.2.3.7 --dport domain -j ACCEPT #Zone transfer vs. isleri icin TCP kullanabilir BIND..
Artik kimse bu portlar haricindeki portlara/makinelere baglanamaz. Diyelimki sizin makine 192.168.1.45 ve bunlara telnet yapmak istiyorsunuz.
iptables -A FORWARD -p tcp --dport telnet -o eth1 -j ACCEPT
gibisinden filtering yapabilirsiniz. Eee, bu 1.2.3.4, sizin 192.168.2.1 gibi bir durumsa ? Olabilir. Bu hic bir seyi degistirmez. Sadece, BAD'den gelen cagrilarin bu makineye yonlendirilmesi gerekir. firewall = router'dir. Kabaca tabi. Simdi gene flame baslatmayin. Bu routere girmeden once paketin gidecegi adresi degistirirseniz, bu router, onu alir, icerdeki makineye yollar. IPTABLES statefull'dur, kimin nereye gittigini takip eder. Yolladigi yerden cevap gelince, bunun orijinal adresini bilir, ona gore gerekeni yapar. router'in onundeki tablo, PREROUTING. Gidecegi (Destination) adresi degistirecegiz (NAT) = DNAT.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport smtp -j DNAT --to 192.168.2.1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport pop3 -j DNAT --to 192.168.2.1
Bakin hedef adresi yok. Yani sizin makineye eth0'dan (BAD=internet) ulasan her smtp ve pop3 istegi, sizin mail servere yoneltilecek demek. Diyelim ki siz, 1.2.3.8 adresi icin bu isi yapmak istiyorsunuz. -i eth0 yerine, -d 1.2.3.8 yazarsiniz, is biter. Gerisini iptables halleder.
www.siyahsapka.com adresinde, benim IPTABLES seminerinin bir sunumu var. Bundaki DMZ vs. tarifi hatali. Fakat, hangi tablonun ne is yaptigi filan bir hayli duzgunce mevcut. BU seminer bir hayli aceleye gelmisti ve sacma hatalar yapmistim. Herkesten ozur dilerim. Gerci "aceleye geldi" tabirini bahane olarak kabul etmiyorum, bu mazeret olamaz ve hataliyim. Gerci semineri anlatirken farkina vardik fakat sunumu duzeltemedik. Bir ara tekrar elden gecirecegim. Soyleki, Fatih Bey, onu sayfalarina koyana kadar benim elimde son hali yoktu.
Sanirim, ayakustu verdigimiz bu bilgiler size yeterince fikir vermistir. Genelde isin sistematigini anlatarak degilde, komutlari alt alta yazmakla hazirlanan step-by-step dokumanlar yetersiz kaliyor. Gecenin bu vakti, kesin komutlari filan yanlis yazmisimdir, bir seyleri sacmalamisimdir aceleyle ama, beni duzeltecek saglam adamlarimiz var allaha sukur !
Umarim bu bilgiler iptables ve firewalli anlamanizda faydali olur..
Saygi ve sevgiler..
On Wed, 20 Mar 2002 19:02:38 +0200
Mustafa ÖZBAKIR <mozbakir@deba.com.tr> wrote:
>
> Hello Serdar,
>
> Thursday, March 21, 2002, 12:56:11 AM, you wrote:
>
>
> SK> Selamlar..
>
> SK> Oncelikle Hocam bir kac seyi karistirmis. Soyleki web server icin degil, Exchange Mail server icin kural yazilacakti. Fakat onceki mesajlara da baktim. Genel bir seyler yazmak lazim geldi..
>
> SK> ipchains ile mantikli bir firewall kurmak gercekten zordur. Eger 2.2.18 ve uzeri 2.2 serisi bir kerneliniz var, bu kernelden de vazgecme sanisinz yoksa, ipnatadm vs. ile NAT yapabilirsiniz. Fakat
> SK> bu hic bir sekilde tavisye edilmez. Sanirim 2.4 serisi kerneliniz var. RedHat 7.2'den bahsediyordunuz. Oncelikle kernelinizi yukseltin. 2.4.17 veya 2.4.18 yapin. Ardindan ipchains yerine iptables
> SK> kullanin. iptables, statefull (%100 olmasa da %95 filan) bir firewall olusturmaniza yardimci olur. Ardindan olmaz denen NAT isini yaparsiniz. 1.2.3.4 sizin disaridan gorunen Statik IP'niz. Yani
> SK> internetten gorunen. 192.168.1.123 ise Exchange server olunca..
>
> SK> iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 110 -j DNAT 192.168.1.123 --to 110
> SK> iptables -t nat -A PREROUTING -d 1.2.3.4 --dport 25 -j DNAT 192.168.1.123 --to 25
>
>
> SK> Burada aslen gerekli olan iki satirdan biraz daha fazlasi. Bu, smtp serverin (yolladiginiz mailler) disariya gitmesi icin bir seyler yapmaniz gerekiyor. Yani, dahili SMTP server disariyla
> SK> irtibata gecince onu masquerading, SNAT (Yukaridaki DNAT) vs. yapmaniz lazim. Bu iki satir komutun ilki pop3 cagrilari icin, ikincisi smtp istekleri icin. Eger, internet uzerinden, maillerin
> SK> okunmasini istemiyorsaniz (evden okumak gibi), ilk satiri kaldirabilirsiniz. Agin genel konfigurasyonunu bilmedegimizden daha fazlasin yazmamiz zor.
>
> SK> NAT basit bir tanimdir. Network Adress Translation. Eger routing yaparken IP adresi veya herhangi bir Port bilgisini degistiriyorsaniz NAT Yapmis olursunuz. REDIRECT islemi, sadece local
> SK> makinedeki bir porta yonlendirme icin kullanilabilir. Herkes kendisi, farkli sekillerde NAT uygular. Sonra MAP-to-MAP vs. diye adlar takar. Benim bildigim su NAT islemi soyle yapilacak filan
> SK> gibisinden bir RFC, IETF-DRAFT v.s yok.
>
> SK> Tipik bir ag uzerinde gerekli olabilecek her tur adres degistirme isi icin size gereken 2.4 serisi bir kernel ve iproute2 paketinden ibarettir. Elbette bu kerneldeki netfilter arabirimini
> SK> konfigure etmek icin bir de iptables. Herseyden once, 2.2 serisi bir kernel ile 2.4 serisi bir kernel arasindaki en buyuk farklar, yenilenmis IP stack ve network layerindedir.
> -----------------------------
> himm abi sana soylenecek bisi bulamiyorum.(buyuksun beah).evet
> disardanda kullanicilarimiz var.hem owa da kullanilacak.ya aslinda
> benim merak ettiklerim artti. peki exchange serveri masq islemlerini
> dnat kurallarindan oncemi yazacagiz.ve tum netwoku masq yapacak bir
> iptables kurali daha yazabilirmisiniz?
>
> sevgiler saygilar..
>
>
>
> --
> Best regards,
> Mustafa mailto:mozbakir@deba.com.tr
>
> -----------------------------------------------------------------------
> Liste üyeliğiniz ile ilgili her türlü işlem için
> http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
>
> Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
> "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
> -----------------------------------------------------------------------
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------