From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Mon 02 Jul 2001 - 16:33:31 EEST
Selamlar..
Kusura bakmayin, benim iyice kafam karisti.
--- Egemen Ergel <egemen.ergel@rt.net.tr> wrote:
>
> tek yonlu kimlik bilgisi (auth) kontrolu icin olabilir aslinda ama
> niye
> boyle bir ihtiyaciniz olur orasi ayri bir konu..
> bir paketi ozellikle baska bir makinaya route ettirerek onunda
> sonradan
> orjinal hedefe route etmesini saglayabilirsek (tum paketler icin
> ve/veya
> sadece belirli port paketleri icin ) orjinal hedef makina zaten
> default
> routing inden source u bulacaktir...
route ile paket forwarding aslinda ayni sey (biri digerinin kapsaminda)
diye biliyorum.
> asimetrik yonlendirme sayilirmi bilemiyorum ama WAN a cikacak port 80
> isteklerini ozellikle WCCP CACHE ENGINE e yonlendiriyoruz cogunlukla.
80, yani http icerecek olan www paketleri...
> disari gidecek paket iceriye force ediliyor. simdi bundan sonra
> cachede
> bulunamayan paketi orginalinden alip bize veren bir proxy yerine bu
> istegi
> source biz olmak uzere internete salan bir proxy olsa bizim source da
> bu
> paketin proxy tarafindan disari yollandigindan bir sekilde haber
> alsa.. (off
> olme essegim olme) orjinal hedef kendi cevabini zaten bize gonderir
> eh bizde
> cevabin gelecegini biliyor isek aliriz.
Dogru bunu yapana genelde router denir. Arti NAT bunun adresleri
degistiren versiyonudur. Fakat bildigim kadariyla hic bir zaman
paketler cache edilmez. Bu paketlerin ulasmasi istenen hedefin
gonderecegi bilgi onceden cache edilmis olanlardan alinip yerine konur.
Yani cache'te tutulan paket degil, paketin hedeften geri getirecegi
dusunulen bilgidir. Yani cache eden makine, hedef serveri simule eder.
Ama paketleri degil, Icerigi.Bu da ancak http ve ftp gibi servisler
icin mantikli olur. Gidip route bulmak icin kullanilan bir ICMP
paketini cachelemek ? Veya bir telnet paketini ? Sanirim paket kavrami
ile icerik kavrami biraz karismis.
> boyle birseye neden gerek duyulsun ki : ? cache edilmesi istenmeyen
> bir
> takim siteler icin cache engine in cache etmeyecegi paketler icin
> yorulmasini istemiyor olabiliriz ornegin.
O zaman cache'i nasil olusturacak ? 0 aninda paket gelecek, istedigi
bilgi yok. Git orijinal hedefinle isini bitir diyecek, gelen bilgi
kendine ugramayacagi icin o tur baska bir pakete verilecek cevabi
bilemiyecek. Yani cache olusturamayacak. Bu ancak http icin redirect
gibi bir seyde olabilir. Mesela su denir, a.b.c.d adresine giden
paketlere su cevabi ver. Digerleri ise dogrudan gitsin. Bu ise
firewall'deki REDIRECT ve/veya NAT'in baska bir tarifi olur.
> LAN/WAN asimetrik yonlendirme oldu ama ben acikcasi boyle birseye
> hicbir
> zaman ihtiyac duymadim.
>
> birde sanki LAN icinde gezinen paketlerin tamamini bir sekilde
> process
> etmemiz gerkiyor olsa ayni lan da bile olsa source / dest arasinda
> source
> tarafindan route force edilerek gw e gonderilmis (yada gw tarafindan
> sniff
> edilerek yakalanip distort edilen )bir paket sozkonusu olabilir.. ama
> sanirim application bazindada birseyler yazmak gerekecektir...
Belki WAN uzerinde olabilir. Eger sizin ve karsi tarafin ilk
gateway'inden itibaren, tamamen ayri, hic kesismeyen bir yol olursa, bu
bilgilerinizin sniff edilme sansini cok azaltir. Hackerin tek bir
baglantiyi ele gecirmesi yetmez, geri donus hattini tespit edip onuda
ele gecirmesi gerekir, en azindan iki misli emek :))
Bu arada Murat, sanirim uydularin calisma sistemi cok farkli. Bunda
routing degilde, sizin bir tur clientiniz var, bununla uydu kontrol
merkezindeki servise komutlar gonderiyorsunuz. Yani bir tur SOCKS
server gibi bir sey. Belki farkli calisanda olabilir. Benim denememde
karsi site benim adresimi degil, alakasiz bir adresi goruyordu. Belki
vestelnet'in malum proxy'sine toslamista olabilirim. Ama geri donus
yolu uydu uzerinden VPN kullanilarak (cok benziyor) yapiliyor. Belki
VPN degildi ama, benzeri bir security destekli tunnel kullaniliyor.
Saygi ve sevgiler..
__________________________________________________
Do You Yahoo!?
Get personalized email addresses from Yahoo! Mail
http://personal.mail.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------