From: ZEKI CATAV (zcatav@isnet.net.tr)
Date: Fri 02 May 2003 - 23:39:31 EEST
TR karakterleri iptal olmus mesajimi okunmasi daha kolay ama yazmasi daha z=
or=20
sekliyle tekrar yolluyorum..
Merhaba,
Mandrake linux 9.1 kullanmaya basladim. Daha once Suse 7.1'de Suse personal=
=20
firewall ve bir ara Gelecek 2'de lokkit kullaniyordum. Mandrake'de shorewal=
l=20
yukledim. onceki sistemlerde firewall ayarlari otomatik olup hersey=20
kendiliginden (artik ne kadar oluyorsa) halloluyordu. Shorewall ve iptables=
=20
Mandrake'de de otomatik olarak yapilandi. Sadece drakesec ile iptables icin=
=20
sistemi nete acan server servislerin hicbirini isaretlemedim. Gelelim=20
sorunuma; asagida gorulen kurallar yururlukte sanirim. =DDnternet baglantim=
i=20
dialup olarak sagliyorum. Kppp baglantiyi sagliyor ama firewall aktif iken =
ne=20
mail alisverisi nede sorf yapmak mumkun oluyor. Firewall kapatilinca mail v=
e=20
Internet trafIgInIn dIger kIsImlarI calIsIr hale gelIyor. LInux'u amator=20
olarak ev ve Is yerI bIlgIsayarlarImda kulland=FDg=FDm IcIn asagIdakI tablo=
yu=20
yorumlamam veya IstedIgIm yenI bIr konfIgurasyonu tanImlamam mumkun degIl.
OlmasInI IstedIgIm sey, evdekI baglantImda benI Istenmeyen zIyaretcIler ve=
=20
saldIrIlara karsI olabIldIgInce koruyacak ama benIm dIsa acIlmamI=20
engellemeyecek bIr fIrewall konfIgurasyonu. Bunu asagIdakI konfIgurasyonu=20
modIfIye ederek mI saglayabIlIrIm? LokkIt v.b. baska bIr program mI=20
kullanmalIyIm?
=46Irewall kapali iken dialup bIr ev kullanIcIsI olarak ne kadar tehlikedey=
Im?
Mandrake ile gelen "secure" derlenmIs cekIrdegI kullanmak bu konularda bana=
=20
yarar saglar mI?=20
IsyerInde onlIne baglantI kullaniyorum, ayrica Intranet ve Internete acIk w=
eb=20
server olarak kullanmayI dusundugum bu makIna IcIn onerIlerInIz nedIr?
YardImlarInIz IcIn tesekkur ederIm.
# Generated by Iptables-save v1.2.7a on Mon Apr 28 21:26:31 2003
*mangle
:PREROUTING ACCEPT [1108:102419]
:INPUT ACCEPT [1108:102419]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1108:102419]
:POSTROUTING ACCEPT [1108:102419]
:outtos - [0:0]
:pretos - [0:0]
=2DA PREROUTING -j pretos=20
=2DA OUTPUT -j outtos=20
=2DA outtos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10=20
=2DA outtos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10=20
=2DA outtos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10=20
=2DA outtos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10=20
=2DA outtos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08=20
=2DA outtos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08=20
=2DA pretos -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10=20
=2DA pretos -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10=20
=2DA pretos -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10=20
=2DA pretos -p tcp -m tcp --sport 21 -j TOS --set-tos 0x10=20
=2DA pretos -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08=20
=2DA pretos -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08=20
COMMIT
# Completed on Mon Apr 28 21:26:31 2003
# Generated by Iptables-save v1.2.7a on Mon Apr 28 21:26:31 2003
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [13:818]
:OUTPUT ACCEPT [13:818]
COMMIT
# Completed on Mon Apr 28 21:26:31 2003
# Generated by Iptables-save v1.2.7a on Mon Apr 28 21:26:31 2003
*fIlter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:all2all - [0:0]
:common - [0:0]
:dynamIc - [0:0]
:Icmpdef - [0:0]
:loc2net - [0:0]
:net2all - [0:0]
:newnotsyn - [0:0]
:ppp0_fwd - [0:0]
:ppp0_In - [0:0]
:reject - [0:0]
:shorewall - [0:0]
=2DA INPUT -I lo -j ACCEPT=20
=2DA INPUT -I ppp0 -j ppp0_In=20
=2DA INPUT -j common=20
=2DA INPUT -j LOG --log-prefIx "Shorewall:INPUT:REJECT:" --log-level 6=20
=2DA INPUT -j reject=20
=2DA FORWARD -I ppp0 -j ppp0_fwd=20
=2DA FORWARD -j common=20
=2DA FORWARD -j LOG --log-prefIx "Shorewall:FORWARD:REJECT:" --log-level 6=
=20
=2DA FORWARD -j reject=20
=2DA OUTPUT -o lo -j ACCEPT=20
=2DA OUTPUT -p Icmp -j ACCEPT=20
=2DA OUTPUT -j common=20
=2DA OUTPUT -j LOG --log-prefIx "Shorewall:OUTPUT:REJECT:" --log-level 6=20
=2DA OUTPUT -j reject=20
=2DA all2all -m state --state RELATED,ESTABLISHED -j ACCEPT=20
=2DA all2all -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK S=
YN -j=20
newnotsyn=20
=2DA all2all -j common=20
=2DA all2all -j LOG --log-prefIx "Shorewall:all2all:REJECT:" --log-level 6=
=20
=2DA all2all -j reject=20
=2DA common -p Icmp -j Icmpdef=20
=2DA common -p tcp -m state --state INVALID -j DROP=20
=2DA common -p udp -m udp --dport 137:139 -j REJECT --reject-wIth=20
Icmp-port-unreachable=20
=2DA common -p udp -m udp --dport 445 -j REJECT --reject-wIth=20
Icmp-port-unreachable=20
=2DA common -p tcp -m tcp --dport 135 -j reject=20
=2DA common -p udp -m udp --dport 1900 -j DROP=20
=2DA common -d 255.255.255.255 -j DROP=20
=2DA common -d 224.0.0.0/240.0.0.0 -j DROP=20
=2DA common -p tcp -m tcp --dport 113 -j reject=20
=2DA loc2net -m state --state RELATED,ESTABLISHED -j ACCEPT=20
=2DA loc2net -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK S=
YN -j=20
newnotsyn=20
=2DA loc2net -j ACCEPT=20
=2DA net2all -m state --state RELATED,ESTABLISHED -j ACCEPT=20
=2DA net2all -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK S=
YN -j=20
newnotsyn=20
=2DA net2all -j common=20
=2DA net2all -j LOG --log-prefIx "Shorewall:net2all:DROP:" --log-level 6=20
=2DA net2all -j DROP=20
=2DA newnotsyn -j DROP=20
=2DA ppp0_fwd -j dynamIc=20
=2DA ppp0_In -j dynamIc=20
=2DA reject -p tcp -j REJECT --reject-wIth tcp-reset=20
=2DA reject -j REJECT --reject-wIth Icmp-port-unreachable=20
COMMIT
# Completed on Mon Apr 28 21:26:31 2003
=2D-=20
ZekI catav
zcatav@Isnet.net.tr
http://catav.kolayweb.com