From: Genco YILMAZ (gyilmaz@genco.gen.tc)
Date: Sat 26 Jun 2004 - 09:39:06 EEST
selam,
-A : ile kural belirtilen zincirin sonuna eklenir
-I FORWARD 2 : ile kuraliniz forward zincirinde 2. siraya yerlesir.
Diger butun kurallar da bir sira geriye kayar. Sayi girmezseniz 1 on
tanimli deger. O nedenle ilk siraya yerlesiyor.
Sizin durumunuzda ozel kuralinizi hice sayan genel bir kural var gorunuyor.
Farklari da bu sekilde..
kolay gelsin.
> Merhabalar.
> iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
> şeklinde yapınca birbirlerine ping dahi atmamaya başladı. Yardımınız için
> teşekkürler..
>
> Zincire yeni kural ekleme (-A).
> Zincirde herhangi bir konuma kural eklemek için (-I). (IPTABLES Basit
> Kullanım Dökümanı ( Levent Yıldırım ))
>
> Farkını tam çözemedim ama herhalde kuralın uygulanma sırası ile ilgili.
>
> -----Original Message-----
> From: linux-network-bounce@liste.linux.org.tr
> [mailto:linux-network-bounce@liste.linux.org.tr]On Behalf Of Genco
> YILMAZ
> Sent: Thursday, June 24, 2004 1:30 PM
> To: linux-network@liste.linux.org.tr
> Subject: [linux-network] Re: Iki ag arasindaki sorun
>
>
> Selam ,
> bunlarin calismasi gerekiyordu. Daha yukarilarda bu aglara izin veren
> kurallariniz var mi?
> -A ile sone eklemek yerine
> -I ile en basa eklemeyi deneyin.
> iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
> seklinde.
>
> Ayrica IP ye ek olarak giris ve cikis arayuzleri de belirtebilirsiniz.
> iptables -I FORWARD -i eth0 -s 192.168.1.0/24 -o eth1 -d 192.168.2.0/24 -j
> DROP
>
> seklinde.
>
> iyi calismalar
>
> saygilar
>
>
>> Iptables komutlarini denedim. maalesef olmadi. Iki ag birbirlerini hala
>> "Ag
>> Komsulari"ndan goruyorlar. Iki ag arasindaki makinalar birbirlerine ping
>> atabiliyorlar. nerede yanlis yapiyoruz acaba.
>>
>>>selam,
>>>bu sekilde bir yapi calistirarak broadcast trafigi engelliyorsunuz.
>>>Unicast trafik engellenmiyor. Unicast trafigi de kapatmak icin iki agin
>>>adreslerine yonlendirmeyi kapatmaniz gerekir. Ornegin;
>>>
>>>
>>>iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
>>>iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP >>
>>>
>>>
>>>bu sekilde 1.0 agindan cikip 2.0 agina gitmek isteyen paketleri
>>> yasaklamis
>>>oluyorsunuz. Ayni zamanda 2.0 dan cikip 1.0 a gitmek isteyenleri de.
>>>
>>>
>>>Aklima gelen ilk cozum buydu baska taklalar da attirilmasi mumkun
>>> olabilir
>>>tabii:)
>>>
>>>
>>>iyi calismalar..
>>
>>
>>
>>
>>
>>>> Merhabalar.
>>>> 192.168.1.0 netmask 255.255.255.0
>>>> 192.168.2.0 netmask 255.022.022.0
>>>>
>>>> bu iki agi linux makinaya farkli ethernetlerle bagladim. her
>>>> ethernetin
>>>> >>IP
>>>> adresine de 192.168.1.1 ve 192.168.2.1 olarak verdim.
>>>>
>>>> Clientler win 98 ve XP karisik makinalar. linux makinada Redhat 9
>>>> kurulu,
>>>> modem ile IP masq. ile interneti paylastiriyor. dhcp, , squid
>>>> calisiyor
>>>> ve
>>>> dhcp-bind ile dinamik dns hizmeti vermekte. Gayet guzel calisiyor.
>>>>
>>>> Sorun su. Benim bu yapilandirmeayi boyle yapmaktaki amacim iki farkli
>>>> agdaki
>>>> makinalarin birbirlerini ag komsularindan gormasinler diye ve band
>>>> genisliklerini sinirlandirabilmek icindi. Ancak Ag komsularinda
>>>> gorunmemelerine ragmen "bilgisayar bul" deyip diger agdaki
>>>> makinalardan
>>>> birinin ismini yazdigimda goruyor. Bir de mesela 192.168.1.100
>>>> makinasindan
>>>> 192.168.2.97 makinasini ping ettigimde cevap aliyorum. Nedeni route
>>>> tanimlamasindan olabilir mi? Istedigim bu iki agin arasinda hic bir
>>>> fiziksel
>>>> baglanti olmamasi.
>>
>>
>>
>
>
>
>
>
>