From: Serdar KÖYLÜ (serdarkoylu@yahoo.com)
Date: Wed 13 Feb 2002 - 02:03:30 EET
Selamlar..
On Tue, 12 Feb 2002 16:39:17 +0200
ozmalkoc@proda.com.tr wrote:
>
>
> selam arkadaslar, iptables ile kurallar yazmaya calisiyorum... bunlari bir
> dosyaya koydum, ordan calistiriyorum. ama sorunlarim var...
> dosya icerigi soyle:
------- Cut, for listar rules.. ------------
> iptables bunlara itiraz etmiyor, fakat yalnizca en ustteki
> izin_verilecek_ip_1 icin kurallar gecerli oluyor, diger 2 ve 3 nolu ipler
> icin kurallar gecerli olmuyor... Hatam nerde acaba??
Sanirim sorun yok gibi. IPTables kullaniyorsunuz, bu kurallarda local makine firewall uzerinde, FTP erisimi icin kullaniliyor. Siz sadece izin_*_{1 2 3} un bu FTP'ye erisimini saglamak istiyorsunuz. Ama bu kurallari FTP serverin uzerindeki firewall yerine sistem gateway uzerinde veya FTP'nin onundeki firewall'de yapmak istiyorsaniz bu kurallarin tamami gecersiz.
Eger FTP server uzerinde bu isi yapmak istiyorsaniz, FTP server konfigurasyonunu kullanmaniz daha etkili olabilir. Cunku IP adreslerini degistirmek kolaydir. Buda su anlama geliyor, IPTables -m mac ile makinelerin Eth adreslerini kullanip cok daha etkili bloke yapabilirsiniz.
Daha fazla yardimci olabilmemiz icin network durumunu bize aciklamaniz lazim.
> Bir diger konu da izin_verilecek_ip_1'in netmask'i 255.255.255.240 buna
> gore kurali yazarken izin_verilecek_ip_1 / x (?) yazmak istersem, buradaki
> x kac olmali, nasil hesaplanir??? Ya da bizim network'teki tum iplere izin
> vermek istersem, o zaman x kac olmali, nasil hesaplaniyor???
> not: 255.255.255.240'tan, her nasil oluyorsa :-))), anlasildigi gibi, 16
> tane ip'miz var...
Sayilari ikili tabana cevirelim:
255 = 11111111
240 = 11110000 (Yanlissa duzeltin :))
255.255.255.240 = 11111111.11111111.11111111.11110000
Bastan itibaren kac tane 1 var sayin. Oooo, 1, 2, 4 .. 28 tane. Demekki a.b.c.d/28 yazacaksiniz. Asil format a.b.c.d/255.255.255.240
Bu arada 16 IP adresiniz yok. Sadece 14 tane var. Netmask kurallari... a.b.c.240, Network adresiniz, a.b.c.255 broadcast adresiniz. Elbette, 240, mesela 192'de olabilir. Bunu bilmek icin, size bir ag adresi ve netmask verilir zaten. Biz, ag adresinizin 240 oldugunu farzettik. Ornegin Ag adresiniz a.b.c.224 ise, Ag adresi a.b.c.224, Broadcast adresi subnet bitlerinin tamami 1 oldugu zaman 15 olacak, buda 224+15, 239 olacaktir:
224 = 1110 0000
| ---- Host bitleri..
+------ Netmask bitleri..
Host bitleriniz 1 olunca: 1110 1111 = 239 broadcast adresi olur..
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------