From: M. Umut Karabudak (umut@hiperaktif.com)
Date: Fri 01 Nov 2002 - 16:21:19 EET
Selam,
Karsilikli 80'inci portlardan ya da 80 <-> 443 gibi port kombinasyonlari
ile anlasacak makinalar icin dediginiz kurallar calisacaktir. Ancak
istemci tarafindan karsidaki sunucunun 80.portuna baglanmasi icin
kendinde 80'inci portu kullanmayabilir. (buyuk ihtimal)
Yani browser'inizdan www.yahoo.com'a baglandiginizda sizin acik portunuz
80 degildir.=20
netstat -vat ile varolan baglantilari gorebilirsiniz.
On Fri, 2002-11-01 at 12:04, no code wrote:
>=20
> merhabalar,
> iptables ile ilgili sormak istedigim bir konu var.yapmak istediklerimi=20
> yaptiklarimi anlatayim, yanlis veya duzeltilmesi gereken yerleri uyarirsa=
niz=20
> cok sevinirim.
> iki etherneti olan bir makinem var, iki ethernetindede real ip var.
> bu makinenin eth1 i guvenilir networke eth2 si internete bakiyor.
>=20
> istiyorumki bu makine iceriden ve disaridan sadece http https ve ftp=20
> hizmetlerini gecirsin baska hicbir is yapmasin.ama bu yazdiklarimla bu=20
> mumkun olmadi.alet izin verdigim (sandigim) halde gecit vermiyor.ama sade=
ce=20
> ip_forwarding i acinca hersey calisiyor.
>=20
> yazdiklarim ise soyle
>=20
> echo 1 > /proc/sys/net/ipv4/ip_forward
> IPTABLES -P INPUT DROP
> IPTABLES -P OUTPUT DROP
> IPTABLES -P FORWARD DROP
>=20
> burada ip_forwarding i acip makinenin tum paketleri input output ve=20
> forwarding islemleri isteklerini drop ediyorum, yada oyle saniyorum.
>=20
> sonra ise http https ve ftp izinlerini su sekilde veriyorum.
> bu http icin;
>=20
> iptables -A INPUT -p tcp -i eth1 --destination-port 80 -j ACCEPT
> iptables -A INPUT -p tcp -i eth2 --destination-port 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth1 --destination-port 80 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth2 --destination-port 80 -j ACCEPT
> iptables -A FORWARD -p tcp -i eth1 -o eth2 --destination-port 80 -j ACCEP=
T
> iptables -A FORWARD -p tcp -i eth2 -o eth1 --destination-port 80 -j ACCEP=
T
>=20
> bu https icin ;
> iptables -A INPUT -p tcp -i eth1 --destination-port 443 -j ACCEPT
> iptables -A INPUT -p tcp -i eth2 --destination-port 443 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth1 --destination-port 443 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth2 --destination-port 443 -j ACCEPT
> iptables -A FORWARD -p tcp -i eth1 -o eth2 --destination-port 443 -j ACCE=
PT
> iptables -A FORWARD -p tcp -i eth2 -o eth1 --destination-port 443 -j ACCE=
PT
>=20
> buda ftp icin ;
>=20
> iptables -A INPUT -p tcp -i eth1 --destination-port 21 -j ACCEPT
> iptables -A INPUT -p tcp -i eth2 --destination-port 21 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth1 --destination-port 21 -j ACCEPT
> iptables -A OUTPUT -p tcp -o eth2 --destination-port 21 -j ACCEPT
> iptables -A FORWARD -p tcp -i eth1 -o eth2 --destination-port 21 -j ACCEP=
T
> iptables -A FORWARD -p tcp -i eth2 -o eth1 --destination-port 21 -j ACCEP=
T
>=20
>=20
> ama yinede calismiyor, sorun nerede olabilir.cevaplariniz ve uyarilariniz=
=20
> icin simdiden tesekkurler.
>=20
> iyi calismalar
>=20
> _________________________________________________________________
> Broadband? Dial-up? Get reliable MSN Internet Access.=20
> http://resourcecenter.msn.com/access/plans/default.asp
>=20
> -----------------------------------------------------------------------
> Liste =FCyeli=F0iniz ile ilgili her t=FCrl=FC i=FElem i=E7in
> http://liste.linux.org.tr adresindeki web aray=FCz=FCn=FC kullanabilirsin=
iz.
>=20
> Listeden =E7=FDkmak i=E7in: 'linux-request@linux.org.tr' adresine,
> "Konu" k=FDsm=FDnda "unsubscribe" yazan bir e-posta g=F6nderiniz.
> -----------------------------------------------------------------------
>=20
--=20
Iyi Calismalar
M. Umut Karabudak=20
System Administrator - Hiperaktif
http://www.hiperaktif.com
---- --=20 Iyi Calismalar M. Umut Karabudak=20 System Administrator - Hiperaktif http://www.hiperaktif.com --------------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------