From: Ugur Koc (return1997@hotmail.com)
Date: Sun 15 Feb 2004 - 10:30:58 EST
Default Policy ler DROP edilmek zorundadır ilk önce. uygunsuz bir kural
olduğunda zaten hata verecektir.
üzerinde binlerce kapısı olan bir bina düşün. bunu iki şekilde ele alalım
birincisi tüm kapılar açık ve her kapının önünde bir nöbetçi olsun kapılar
açık olduğu için her girmek isteyen kişiye nöbetçi elindeki tabloya ve gelen
kişinin elindeki tabloya bakarak izin verir yada vermez. bu olayı her kapı
için düşünürsen o zaman biraz zaman kaybı olmazmı ??
Bu yüzden bütün kapıları default olarak kapatmak gereklidirki belirlediğin
kapıları belirlediğin kurallara göre açmak daha mantıklı olucaktır böylece
hem kapıdaki nöbetçi sayısından kurtulmuş hemde buradaki sorgu hızından
yaralanmış olmuş oluyorsun.
buna göre senin senaryonda şöyle kurallar yazarsan işini görür sanırım, dns
çözümlemelerinin ve diğer ayarlarının yapıuldığını varsayarak
172.16.1.0 networkunun mail alıp verebilmesi için.
burada eth0 ı senin local networkun eth1 ide external networkun olarak
varsayıyorum
iptables -t nat -A POSTROUTING -p tcp -s 172.16.1.0/24 -m multiport --dports
110,25 -j SNAT --to $External_ip
iptables -A INPUT -i eth0 -p tcp -s 172.16.1.0/24 -m multiport --dports
110,25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 172.16.1.0/24 -m multiport
--dports 110,25 -j ACCEPT
böylece loclindeki herkes mail alıp gönderebilecek
---------------------------------------------------------------------------------
172.16.1.10-20 arasındaki makinelerin web e bağlantısı için
10-20 gibi bir kural olmayacağı için ya bu kuralları 10 makine için tek tek
yapacaksın yada bir for döngüsünün içine koyup yazacaksın ben bir tanesi
için yazıyorum sen istediğin gibi yaparsın
iptables -t nat -A POSTROUTING -p tcp -s 172.16.1.10 --dport 80 -j SNAT --to
$External_ip
iptables -A INPUT -i eth0 -p tcp -s 172.16.1.10 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 172.16.1.10 --dport 80 -j
ACCEPT
dediğim gibi ya bu satırları makine başına tekrarlarsın yada bir for döngüsü
ile yazarsın
------------------------------------------------------------------------------------
172.16.1.123 bu makinenin sınırsız her yere erişmesi için ise
iptables -t nat -A POSTROUTING -s 172.16.1.123 -j SNAT --to $External_ip
iptables -A INPUT -i eth0 -s 172.16.1.123 -j ACCEPT
iptables -A FORWARD -i eth0 -s 172.16.1.123 -j ACCEPT
boylece bu makineye sınırsız hak verdik.
------------------------------------------------------------------------
bundan sonra yapacağın işlem yukarıdaki kurallara uymayan paketleri DROP
ettirmek olucak istersen logda tutturup böylece neler olup bittiğini
anlarsın.
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
bu iki satır da yukarıdaki durumlara uymayan her bir paketi DROP edecektir.
Kolay Gelsin
>From: "Aykut" <aykuty@tepemobilya.com.tr>
>Reply-To: linux-network@liste.linux.org.tr
>To: <linux-network@liste.linux.org.tr>
>Subject: [linux-network] iptable kurallari calisma sirasi
>Date: Sat, 14 Feb 2004 12:47:59 +0200
>
>merhaba..
>iptable kurallarinin calisma sirasi nedir?
>uygunsuz bir kural gorunce diger kurallara bakmazmı?
>peki boyleyse neden baktıgım tum orneklerde ilk olarak input ve output
>zincirleri
>drop olarak tanimlaniyor?
>
>mesela..
>172.16.1.0 subnetinde tüm makinalarin mail alip verebilmesi, 172.16.1.10-20
>arasindaki makinalarin internete baglanmasi( sadece web ) ve 172.16.1.123
>ipsinin hic bir kisitlamasiolmaması için kuralları hangi sirada
>yazmaliyim..
>
>1-) 172.16.1.0 için 25 ve 110 portlarin giriş ve cikisini kabul et
>2-) 172.16.1.10-20 için 80 portunun giriş ve cikisini kabul et
>3-) 172.16.1.123 için herseyi kabul et..
>4-) hiç bir bağlantıyı kabul etme..
>
>kurallar bu şelidemi olmalıdır..böyleysede değilsede açıklamada
>bulunursanız sevinirim..
>
>şimdiden çok teşekkürler
>aykut
>
_________________________________________________________________
Protect your PC - get McAfee.com VirusScan Online
http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=3963