From: Kemal M. Ergur (kemal.ergur@gtkbilgisayar.com)
Date: Sat 24 Apr 2004 - 15:38:58 EEST
On Sat, 2004-04-24 at 15:07, linux42 wrote:
> iptables -A FORWARD -s 192.168.0.3 -j DROP
> komutunu verince bu ipnin internet cıkışı gercekleşiyor ama bu seferde bu
> makinede bulunan qmaile ulaşamıyor aynı kullanıcı mesela sadece 80. port
> cıkışını yasaklamak icin ne yapa bilirim veya linux makineye ulaşsın ama
> dışarıya cıkış yapamasın gibi teşekkür ederim kolay gelsin...
Gecenlerde listelerde isimlerin kullanilmamasindan duyulan bir
hosnutsuzluk dile getirilmisti ki ben de buna katiliyorum. Zira insan
nasil hitap edecegi konusunda tereddute dusuyor.
Sorunuza gelince, bu sorunu cozebilmek icin dokuman okumaniz gerekmekte.
Bunun icin netfilter.org iyi bir baslangic olabilir. Zira dokuman
okumayinca "internet cikisi" gibi bir terim kullanilabiliyor. Nedir bu
internet cikisi? http trafigi mi, ftp trafigi mi, ftp mi, pop3 mu, imap
mi, smtp mi vs vs. Isin buraya kadar olan kismi balik tutmayi ogrenmeniz
icindi.
Simdi de biraz karninizi doyuralim: iptables'da filter, nat ve mangle
olmak uzere 3 adet tablo bulunur. Bunlardan default olani filter'dir.
Yani iptables komutundan sonra -t (nat|filter|mangle) demezseniz, filter
tablosu varsayilir. Yine bu filter tablosunun uc adet zinciri vardir,
INPUT, OUTPUT ve FORWARD. Makinanin lokal adreslerine gelen paketler
icin kurallar INPUT zincirine, makinanin lokal ip'sinden uretilen
paketler icin OUTPUT zincirine ve makian uzerinden route edilecek
paketler icin olan kurallar FORWARD zincirine yazilir.
Simdi de biraz muneccimlik yapalim: Diyelim ki posta sunucunuz bu linux
makinada ve siz mail alip verebilmesini istiyorsunuz. O zaman
iptables -A INPUT -s 192.168.0.3 -p tcp -dport smtp -j ACCEPT
iptables -A INPUT -s 192.168.0.3 -p tcp -dport pop3 -J ACCEPT
Yukaridaki satirlar ile 192.168.0.3 makinasindan, linux sunucuda bulunan
mail servera smtp ve pop3 icin erisim verdiniz.
Diyelim ki bu makinada proxy server calisiyor ve siz bu client'in proxy
sunucusuna erismesini istemiyorsunuz. O zaman
iptables -A INPUT -s 192.168.0.3 -p tcp -dport 3128 -j DROP
komutunu vererek yasaklayabilirsiniz. Diyelim ki siz 192.168.0.3
client'inin yerel ag disina cikmasini istemiyorsunuz. O zaman da
iptables -A FORWARD -s 192.168.0.3 -p all -j DROP
komutu ile bunu saglayabilirsiniz.
Yukaridaki kurallar cok genel kurallardir ve tek basina kullanilmalari
uygun degildir. Bu arada OUTPUT zincirinizin varsayilan politikasinin
ACCEPT oldugu kabul edilmistir.
Bu iletide verilen bilgileri bir anahtar olarak kullanip, dokuman
okumanizi kuvvetle oneririm. En azindan 'man iptables'
Kolay gelsin,
> --
> Kemal M. Ergur <kemal.ergur@gtkbilgisayar.com>
> GTK Bilgisayar