From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Thu 05 Jul 2001 - 19:40:46 EEST
Selamlar..
Firewall olusturmada temel iki duzlem mevcut. Spesifisik makinelere,
servis bazinda erisimi belirlemek. Bu, DMZ agi olarak biliniyor, sivil
bolge.. Burada web serveriniz, ftp serveriniz vs. bulunuyor. Bu
duzlemde ornegin web serverdeki http portunun disinda bir porttan
erisim engelleniyor. Bir diger duzlemde ise IP hatlarinin iki yonlu
erisimini, tek yonluye cevirmek icin gerekli duzenlemeler mevcut. Bu
duzlemde disaridan erisilmesi istenmeyen, fakat disariya erismesi
gereken uygulamalar bulunuyor. Bu amacla NAT, Masquerading islemleri
yapiliyor. Ucuncu ve bizim disimizda kalan, disarisi dedigimiz ag ise
bad, "kotu" olarak aniliyor, bu agin bizim agimiza ulasmasi
engellenmeye calisiliyor. Firewall'in temel duzenegi boyle. Bu durumda
iceriden disariya erisimi kisitlamanin bir firewall'in isi olmadigi
acikca goruluyor. Elbette bir kac spesifik agi DENY edebiliriz ama,
bilinmeyen bir serverin bilinmeyen bir portundaki ICQ veya IRC server'e
erisimi kesmek bir firewall'in isi degil. Bunun icin proxy serverler ve
content-filterler var. Ornegin TCP established bir paketin icindeki
bilgiye bakarak bunun bir http istegi veya irc paketi oldugunu anlamak
mumkun. Boyle yaparak paket filtreleme metoduyla calisma yapiliyor.
Ornegin bir cache tutuluyor, bu tur adresler cache'e saklanarak uzun
incelemelerde bulunmadan quick block yapiliyor. Genelde bir paketin ilk
10 bayti paketin kimligini ortaya cikariyor. Proxy serverler ise
uygulamaya ozel yetkilendirme sagliyor. Ornegin virtual hosting yapan
bir merkezdeki 100 sayfadan 10 tanesini firewall kullanarak blok
edemeyiz. Cunku bunlarin hepsi ayni adrestedir. Fakat squid kullanarak
bunu kolayca yapabiliriz, ayrica squid ile bir domain/host altindaki
belirli sayfalarida tek tek bloke edebiliriz.
Kisaca erisim yasaklama hakkinda bunlari soyleyebiliriz. Bu durumda
boyle spesifik yaklasimlarda dis dunya icin bloke isleminde cok fazla
bir sey yapamayacagimiz goruluyor. Ama bir content-filter kurmak
yeterli olabilir. Fakat bunlari bulmak zor.
Kisa bir yol, clientleri bir transparent proxy'ye yonlendirmek, belirli
portlar disinda (domain, pop3, imap, smtp, http gibi) kalan tum
portlari kapatmak olabilir. Boylece port sasirtan serverleri kapatmis
oluruz. Ama bunlar kurnaz ve IP mustemilati hakkinda yeterince bilgi
sahibi birisine ancak komik gelecektir. Content-filterler dahi...
Superonline ttnet musterilerine icerigi ban'lamis. Guleyim bari.
Ortalik public proxy kayniyor. Bunu ancak tipik windows kullanicilari
asamaz...
Saygi ve sevgiler..
--- Oguz Demirkapi <oguz@oguz.de> wrote:
> > ICQ Biraz zor. Ama olmaz degil.
> > IRC ise:
> > ipchains -A input -s yasaklanacak_ip -d 0/0 6500:7500 -j DENY
>
> Mantik olarak dogru, ancak irc portlarinin ozellikle ircadminler
> tarafindan farkli $ekilde tanimlanmasi ve acik olan bu portlari bilen
> birileri tarafindan kullanilmasi durumunda cok da onlem alinamamakta.
> Ornegin 9000 yada 20000 gibi baglanti portu bulunan bircok irc server
> var :)
> > yeterli olur. Fakat ICQ icin soyle bir sey deneyebiliriz:
> >
> > ipchains -A input -s yasaklanacak_ip -d 205.188.179.233 -j DENY
> > ipchains -A input -s yasaklanacak_ip -d 64.12.162.57 -j DENY
> Benzeri bi yolu ben denemi$tim ve oldukca ba$arili idi.
>
> Ancak ce$itli socks forwarder programlarla (Socks2http vb.) gerekli
> port
> ihtiyaclarini tunneling yolu ile http uzerinden gercekle$tiren
> "akilli"
> larin varligi ciddi ugra$tirdi. Ozellikle, dikkat edilmesi gereken
> client sayisi cok fazla olunca her birini bu tur programlarin
> kullanimina kar$i ayri ayri denetlemek oldukca zor oluyor.
>
> >
> > Bunlar login.icq.com'un ip'leri. Aksama degisebilir, bir garantisi
> yok.
> > Bir script yazilarak cron jobu icinde periyodik duzenleme
> yapilabilir.
> > Ama ICQ'yu bir IP bloguna yasaklamak hakikaten zor.
> >
> > Bu arada "Anlasilmaz Network Sorunu" hangi durumda ?
__________________________________________________
Do You Yahoo!?
Get personalized email addresses from Yahoo! Mail
http://personal.mail.yahoo.com/
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------