From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Sun 08 Apr 2001 - 00:10:36 EEST
Selamlar..
Anladigim kadari ile makine ip forward etmiyor. Bunun iki sebebi olabilir,
ya route tablonuz bozuk, bunu cozmek icin kestrimeden
# routed
veya kernel IP ilerletme kapali, ki gorunen en buyuk ihtimal bu, bunun icin
de
echo "1" > /proc/sys/net/ipv4/ip_forward
Umarim yolu yanlis yazmamisimdir.
Bunu yapinca calismasi lazim. Birazda satir satir supheli noktalara bakalim.
-----Özgün İleti-----
Kimden: Mustafa BiNATLI <linux@orbitallabs.com>
Kime: Multiple recipients of list LINUX <linux@listweb.bilkent.edu.tr>
Tarih: 07 Nisan 2001 Cumartesi 12:00
Konu: [LINUX:26935] Firewall
>Merhaba arkadaslar,
>
>Benim sormak istedigim, teorik olarak hep yapilabilecegi soylenen ama
>yapani gormedigim ve bir turlu yapamadigim birsey. Firewall olarak
>kurdugum bir makinenin arkasina yetkili girise izin vermek istiyorum.
>Ya da birakin yetkiyi, herkesin firewall'un arkasindaki legal ip'si
>olan bir makineye ulasabilmesini istiyorum. Kullandigim script
>asagidaki sekilde. Bu arada asagidaki scriptin firewall ozelligi yok,
>hersey ACCEPT neredeyse ama yine de basaramadim. Bunu yapmis birileri varsa
onu da ogrenmek
>istiyorum. Yardimlariniz icin tesekkurler...
>
>legal ip'lerimizin 211.111.211.0/27 oldugunu varsayin.
>
>
>
>IPCHAINS=/sbin/ipchains
>$IPCHAINS -P input ACCEPT
>$IPCHAINS -P forward ACCEPT
>$IPCHAINS -P output ACCEPT
>
>$IPCHAINS -F
???? Neden acaba once doldurup sonra hepsini bosaltiyorsunuz ?
>$IPCHAINS -X
>$IPCHAINS -N i_eth1
>$IPCHAINS -N o_eth1
>
># input rules
>$IPCHAINS -A input -p tcp -s $Any -d $Any www -j REDIRECT 8080
Tum web istekleri 8080'e. Peki localhost:8080 'de ne calisiyor. Transparent
squid mi ?
>$IPCHAINS -A input -s $Any -d $Any -j ACCEPT -f
>$IPCHAINS -A input -s $Any -d $Any -i lo -j ACCEPT
>$IPCHAINS -A input -s $Any -d $Any -i eth0 -j ACCEPT
>$IPCHAINS -A input -s $Any -d $Any -i eth1 -j ACCEPT
>$IPCHAINS -A input -p icmp -s $Any -d $Any -j ACCEPT
Yukardaki 5 satir aslinda tek satir:
ipchains -A input ACCEPT
>
># forward rules
>$IPCHAINS -A forward -s 192.168.1.0/24 -d $Any -j MASQ
>$IPCHAINS -A forward -s 192.168.2.0/24 -d $Any -j MASQ
>$IPCHAINS -A forward -s 211.111.211.0/27 -d $Any -j ACCEPT
>$IPCHAINS -A forward -s $Any -d 211.111.211.0/27 -j ACCEPT
>$IPCHAINS -A forward -s 127.0.0.0/8 -d $Any -j MASQ
Bu da biraz kafa karistirici. Loopback'tan gelen paketler, forward zincirine
girmez, bu kafa karistirmaktan baska bir sey yapmiyor...
>
># output rules
>$IPCHAINS -A output -s $Any -d $Any -j ACCEPT
>
># i_eth1 rules
>$IPCHAINS -A i_eth1 -s $Any -d $Any -j ACCEPT
>
># o_eth1 rules
>$IPCHAINS -A o_eth1 -s $Any -d $Any -j ACCEPT
i_eth1 ve o_eth1 chain'leri, gerdanligi tamamlayacak bir susten oteye
gitmeyen zincirler, hic bir kurallari yok, hic bir paket bu zincirlere
gecmiyor.
http://ipchains.kernelnotes.org
adresine mutlaka bir ugrayin. Burada guzel dokumanlar var. Bunlari iyice bir
gozden gecirin. Ayrica, eger bu makinenin ne yapmasini istediginizi acikca
yazarsaniz, size yetkin scriptler olusturabiliriz. Su an bu scriptte, tum
web isteklerinin 8080'e yonlendirilmesi ve 192.168.1.0, 192.168.2.0
aglarinin MASQ Edilmesi disinda hicbir sey yok. Buda,
ipchains -A input -p tcp -d 0/0 80 j REDIRECT 8080
ipchains -A forward -s 192.168.1.0/24 -j MASQ
ipchains -A forward -s 192.168.2.0/24 -j MASQ
bu uc satirla halledilebilir. Ama DMZ, Local ve Internet baglantilarinin
oldugu bu agda bu tanimlar olumcul guvenlik delikleri, pardon han kapilari,
birakir.
Saygi ve sevgiler..
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/