From: Serdar KOYLU (skoylu@altavista.com)
Date: Tue 30 Jan 2001 - 20:25:33 EET
Selamlar..
On Tue, 30 January 2001, "burak_bayraktar" wrote:
>
> merhaba
>
> Ben ipchains olayini tam olarak anlamis degilim. yani anladigim
> yerler var tabi okudugum dokumanlardan aklimda kalanlar ama
> anlamadigim ve sormak istedigim bir kac sey var.
>
> 1-) Bu ipchains olayi illah cift ethernet karti ilemi olur ?
Hayır..
> 2-) bunu yabarsam cok Iyi bir sekilde guvende olabilirmiyim ?
> en azindan surf yabarken. chat, icq vs.
Bir hayli iyi olur.
>
> yine birbirine karisdirdigim Ip_masquering (boylemi yaziliordu?)
> bu olay ile ip chains ayni seymi ? ikisindede cift ethernet kartimi
> gerekir ?
Oncelikle IPCHAINS ile digerini karistiriyorsunuz.
>
> ben kablonet uzerinden tek ethernet karti ile cikis yabiyorum.
> Ethernet kartimin markasi = Realtek
> bi tane daha realtek alsam linux tanirmi ?
> Mandrake 7.2 ve Redhat 6.2 butun herseyi kendi buluordu (ekran, ses
> ethernet karti monitor vs.)
>
> cift ethernet karti taksam ikisinide tanirmi ?
basit bir ayarlama ile, veya kurduysaniz kudzu ile hemen tanir.
> sirf bu ip chains olayi icin cift ethernet karti takmayi dusunuyorum.
> okudugum dokumanlarda baya Iyi yararli bir sey oldugunu anladim.
> komutlarida daha onceki maiilerden okudum anladim sayilir.
>
> Yardimlarinizi bekliyorum.
> Iyi calismalar
Once ipchains nedir ona bakalim. Bunun icin firewall nedir ondan biraz bahsetmek gerekiyor. Firewall, makinenizdeki IP stackina gelen paketlerin yonetilmesi icin kullanilan bir uygulamadir. Asil hedefi guvenlik saglamaktir. Temel gorevleri
1. Sizin istemediginiz yerden gelen paketleri durdurmak.
2. Sizin istemediginiz yere giden paketleri durdurmak.
3. Makinedeki bir servise varsayilan olarak gelen paketi baska bir servise aktarmak
4. Gerekiyorsa sizi dis agda gizlemek. Yani sizi dis agdan saklamak.
1 ve 2'yi anlamak kolaydir ama 3 ve 4 biraz teferruatlidir.
3. Servis yonlendirme, ornegin sizin makinenizdeki web servere gelen paketi proxy'ye yoneltme olarak tarif edilebilir.
4. Sadece makineniz bir router olarak calisiyorsa anlam tasir. Ic agdan gelen paketleri dis aga gonderirken, ic agi ana agdan yalitir. Boylece ic aga gelebilecek saldirilar dogrudan firewall'e gelir. Bu da asil agdaki makineleri tehlikeli ataklardan ve sizma girisimlerinden korur. Iste masquerading budur.
Bir baska husus ta routing kavramidir. IP aglarinda arabirimlerin hangi makinalara ulasabildigi bilgisine routing diyebiliriz. Mesela eth0 192.168.1.0/24 makinelerine (24 = 24 Bit = 255.255.255.0 ag maskesi), eth1 192.168.2.0/24 makinelerine ulasiyor olsun. Makine 192.168.1.11 makinesine ulasmak icin eth0'a gitmesi gerektigini bu kavrama bakarak bilir. Simdi 192.168.2.15'ten gelen ama, hedef adresi 192.168.1.10 olan bir paket normalde hic bir isleme tabi tutulmaz. Ama eger kernele sana ulasan boyle paketleri gitmesi gereken yere gonder derseniz, Linux'u router olarak kullanmis olursunuz. Buna ip forwarding, ip ilerletme denir. Bu durumda eth0'dan gelen bu paket, eth1 den gercek hedefine gider. Simdi bu paket niye bize gelsin ki diyebilirsiniz. Her makinede belli aglar icin, paketi o aga gonderecek gecidin (gateway) kaydi tutulur. Dikkat ederseniz 192.168.1.0/24 agi icin bu gecidimiz eth0'dur. Birde diyelimki baska bir makinedeki 192.168.3.0/24 agi icin gecit olan 192.168.1.30 eth'i bulunsun. Bu durumda 192.
168.3.0/24 icin gateway 192.168.1.30 olur. Makinemiz ARP tablosundan bu ethernet kartini bulup direk o makineye paketi yollar. Olay OSI layer 2 ile 3 arasindaki baglanti olayidir. Iste bize paketi yollayan makinede gecit olarak makinemizi gordugunden paketi bize yollar. Normalde bizim bu paketi aynen alip ilgili aga gondermemiz gerekir. Her makinede belirlenmis bir aga ait olmayan paketlerin hangi alet uzerinden gonderilecegi belirtilir: Default gateway., Varsayilan gecit. Iste makineden modem internete baglaninca varsayilan gecit bu modemin obur ucu olur: P-t-P adresi.
Simdi bir taraftan her yeri goren gecide eth0 (ppp0 = Modemde olabilir) Diger taraftan yerel aga bagli bir Linux'ta ip forwardingi acarsaniz, yerel agdan gelen paketler guzelce internetteki hedeflerine ulasir. Fakat o hedefden gelen cevap asla bize ulasamaz. Cunku yerel agimizin adresleri yoldaki diger Router'lar uzerinde tanimsizdir. Bizim agimiz tanimli ise, yani gercek kayitli IP kullaniyorsaniz sorun yok paketler size geri donebilir. Simdi ikinci durumda sunu dusunebiliriz. Bizim yerel makinelerde onemli bilgiler var. Birileri bunlari calabilir. Hemen router olarak calisan linux'taki firewalla basvururuz. Deriz ki sen bu paketleri kendi adresinle aga gonder. Boylece internetteki tum makineler sadece bizim firewall'imizi gorur disardan. Iste masquerading bu ise yarar.
Masquerading'in dolayli bir kullanimi soyle olur. Yerel agdaki sahte IP'ye (!) sahip makineler, router'den (bizim makine) dis aga gitmek isterlerse, gercek bir IP (Makinemizdeki internete bagli arabirimin IP'si) ile internete acilir. Boylece yerel agda kiralik ve pahali gercek IP'ler kullanilmadan tek bir IP ile tamami internete istemci olarak girebilir. Ama ornegin yerel agda bir web server varsa, buna internetten ulasilamaz. Eger masq.. yerine NAT kullanirsaniz bu imkanda gerceklesir.
IPCHAINS, linuxtaki kernelde gomulu duran firewall'i yonetmek icin bir programdir. masq.. filan hepsi bu komutla yonetilir.
Sanirim bu kisa (! Gercekten, detaylara girsek 100 sayfa filan olur) bilgiden sonra size neyin gerekli oldugunu anlayabiliyorsunuzdur.
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/