From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Fri 27 Apr 2001 - 15:42:49 EEST
Selamlar..
Bu cozumde oldukca guzel. Fakat oncelikle bu adreslerin bir domain olarak
tanimlanmasi ve bu sadece bu domainin acilmasi daha mantikli olur. Sanirim
arkadaslar 153.225.x.x/16 blogunun tamamini kastetmiyordur. Bu nedenle bence
oncelikle DNS ve /etc/hosts vs. uzerinde domain tanim yapmak uygun olur. Her
iki durumda da makinenin yuku bir miktar artacaktir. ipchains, kernel
uzerinde static olarak calisacagi icin daha verimli olur. Cunku
/etc/hosts.allow vs. dosyalari, tcp yiginin ustundeki inetd + tcpd ile
calisir, OS tipinize bagli olarak 4.3BSD Socketleri veya SysV TLI
servislerinden... ftpaccess ise dogrudan ftp serverini (ftpd) ilgilendirir
yanlis hatirlamiyorsam, demekki ftpaccess icin, ftp server calisacak,
dosyaya bakacak, gerekirse DNS cozumu yapacak.... Bir hayli uzun bir yol.
Firewall biraz daha altta, kernel seviyesindedir, yapacaginiz duzeltmeler
vs. cogu zaman ilgili routing tablolarina/bufferlerine vs. ugramadan
calisacaktir. Bu da arabellek, yolbulma vs. veriminizi artirir. Yogun bir
sistemde, RAM ve CPU yuku toplamlarini hesaplarsaniz, muazzam performans
artisi elde edebilirsiniz: Bedavadan RAM veya CPU MHZ.i, fena mi ? Ayni
durumu yaptirimi "ipchains -A output -p tcp -d ! 153.225.0.0/16 -s 0/0 21 -j
DENY" gibi bir yaptirim koyarsaniz yasarsiniz. Oyleki ftp server bile
gereksiz yere devreye girmis olur. ipchains'le firewall veya ftp server
uzerinde:
ipchains -N ftpchain # ftpchain
adinda bir zincir olustur..
ipchains -A ftpchain -j DENY # Bu zincirde
herkesi reddet.
ipchains -A ftpchain -s 153.225.0.0/16 -j ACCEPT # 153.225.0.0/255.255.0.0
agindan gelenleri kabul et.
ipchains -A input -p tcp -d 0/0 ftp -j ftpchain # Hedefi ftp olan
paketleri ftpchain zincirine gonder..
Pek cok arkadas, (Baktim, benim makinede bile devrede ikiside :)) Cuvaldiz
nerdeydi ?...) hic kullanmadigi halde tcpdump'u devreye alir. Hatta cogulari
guzel firewall eklemeleri yaptiklari halde gene tcpd ve tcpdump'u kullanir.
Oysa, ne kadar hizli olursa olsun, herhangi bir sekilde, paket takibi,
/etc/hosts.allow icersinde all olan, yani aslen is yapmayan tcpd ve tcpdump,
net hizinizi bir hayli azaltir. Sonra da millet, Win2000 daha hizli diyerek,
Linux'u kucumser. Eger bu dosyalarinizi hakikaten kullanmiyorsaniz, hic bir
zaman tcpd + tcpdump kullanmayin. Ayni sekilde sendmail icin relaying,
anonymous ftp icin ftpaccess vs tanimlari da sistemi yavaslatan birer etmen
olacaktir. Firewall'unuz boyle yasaklamalar icin daha hizli ve etkili
cozumler sunar.. Elbette bunlar benim yorumlarim, baskalarinin da
yorumlarini ogrenmek isterim..
Saygi ve sevgiler..
-----Özgün İleti-----
Kimden: Ozgur <ozgur_liste@yahoo.com>
Kime: Multiple recipients of list LINUX <linux@listweb.bilkent.edu.tr>
Tarih: 19 Nisan 2001 Perşembe 00:23
Konu: [LINUX:27335] Re: ipchains
>On Wed, 18 Apr 2001, you wrote:
>> iyi gunler,
>>
>> makinami ipchains ile 155.223.X.X ipleri disindaki makinalara nasil
>> kapatabilirim? (ftp servisi icin..)
>ftp vb. servisler için /etc/ dizini altindaki hosts.allow/deny ;
ftpaccess vb.
>conf. dosyalarini kullanabilirsiniz..
># man ftpaccess => komutu sorunuza cevap olacaktir.
>
>-Ozgur
>
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/