From: mesut guler (mesut@egemenyazilim.com)
Date: Sat 06 Nov 2004 - 16:35:38 EET
serkansoker wrote:
> Merhaba ,,
>
><>Cevabınız icin tesekkurler ,,, Asagıdakı
>yapıya cevirdim. Ip bazlı siteler gidiyorym. Dns cozumleme
>yapamıyorum ( clintlerde dns adresi var )
>
> size neyi unutuyorum ???
>
bence bir sey unutmuyorsunuz :) kurallar izin veriyor gibi geldi.
asagidaki belirttigim kurali deneyin. o kural engelliyor olabilir
(FORWARD zincirinde). o da olmazsa linuxdaki BIND (named) servisini
calistirin (herhangi bir ayar yapmaniza gerek yok). clientlara da dns
olarak linuxun ipsini verip, oyle bir deneyin.
>
> *****************************************************************************************
> # Tum gelen ve yonlendirilen paketler ontanimli olarak
> reddediliyor. /sbin/iptables -P INPUT DROP /sbin/iptables -P
> OUTPUT DROP /sbin/iptables -P FORWARD DROP
>
> # Loopback aygiti icin kurallari ontanimli kabul olarak
> ayarlanmasi. /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
>
> /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
>
><>/sbin/iptables
>-A FORWARD -p udp --dport 53 -j ACCEPT
>
>/sbin/iptables -A FORWARD -p tcp -m multiport --dports 80,443,53 -j
>ACCEPT
>
>
bu kurallar internet-yerel ag arasinda cift yonlu olarak bu portlarin
erisimine izin verecektir. guvenlik acisindan "-s" ile source ip
adresini (yerel ag) de belirtin. yada input interface olarak "-i ethX" i
belirtin. (ethX yerele bakan ethernet) boylece yerel ag daha guvende
olacaktir. asagidaki gibi:
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports
80,443,53 -j
ACCEPT
><>/sbin/iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -j
>ACCEPT
>
/sbin/iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
kullansaniz daha iyi olur.
><>
> ***************************************************************************************************
> >yasaklama amaciyla, port bazinda MASQUERADE uygulamak bence pek
> mantikli >degil. onun yerine yerel agdan gelen ve internete giden
> isteklerein >hepsine MASQUERADE uygulayin. FORWARD den ise sadece
> gecisini >istediginiz dns,smtp,pop3,http gibi portlara izin verin.
> boylece sadece >bu istekler haricindekiler forward zincirinde
> postrouting e erisemeden >bloklanacaktir. >sorununuzu ise
> clientlara domain adi cozumlemesi icin dns olarak ISP nin >dns
> serverlarinin ipsini verin.
>
>
> ____________________________________________________________________________
>
> Mynet Arkadaşım
> <http://servad.mynet.com/admynet/adredir.asp?ciid=7951&url=http://arkadasim.mynet.com/smsarkadasim.asp>
> ile aradığınız arkadaş size bir cep telefonu kadar yakın!
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Linux-ag mailing list
>Linux-ag@liste.linux.org.tr
>http://liste.linux.org.tr/mailman/listinfo/linux-ag
>
>
kolay gelsin.
-- Mesut Guler Egemen Yazilim_______________________________________________ Linux-ag mailing list Linux-ag@liste.linux.org.tr http://liste.linux.org.tr/mailman/listinfo/linux-ag