From: mesut guler (mesut@egemenyazilim.com)
Date: Tue 05 Oct 2004 - 18:42:33 EEST
Sanem Üzümcü wrote:
>Kesinlikle hem ip ye gore kisitlama hem de icerige gore kisitlama yapip,
>kullanici bu kisitlamalardan birine erismek istediginde sirket web
>sayfasina
>yonlendirmek istiyorum.
>Bu konuda ornek verebilirmisiniz?
>
>Bir de ip tables dnat la terminal icin port acip yonlendirme islemi
>disinda
>bir sey gerekiyor mu? Mesela squid de access control list olusturmak
>gibi?
>Bununla ilgilide ornek verebilir misiniz?
>Tesekkurler.
>
>Sanem Uzumcu
>System Support Engineer
>Maestrosoftware
>
>
>
>
iptables ile cozum yolunu anlatmaya calisayim. squidguard ile cozumu
Afşin arkadaşımız açıklamış.
1- DNAT
iptables ile bunu yapabilmek icin asagidaki gibi network yapisina gerek var:
internet --linux firewall-- DMZ (web server, DNS server vb.)
|
Yerel ag
sonucta destination NAT calismasi icin source NAT in da uygulanmasi
lazim. bu baglamda yukaridaki gibi bir network yapisina ihtiyaciniz var.
aksi durumda DNAT in calisacagini dusunmuyorum.
iptables -t nat -I PREROUTING -s yerel_pc_ip -d gitmemesi_gereken_ip -p
tcp --dport 80 -j DNAT --to sirket_web_server_ip
eger isin icinde DHCP server varsa yani clientlarda sabit ip yoksa bu
islemi MAC adresine gore de yapabilirsiniz.
iptables -t nat -I PREROUTING -m mac --mac-source 00:08:A1:4C:89:44 -d
gitmemesi_gereken_ip -p tcp --dport 80 -j DNAT --to sirket_web_server_ip
2 - REDIRECT
bir diger yol olarak da REDIRECT dusunulebilir:
bu yolla sadece firewall uzerinde calisan bir web servera ihtiyaciniz
var. ornekte 8080 portunu dinliyor.
iptables -t nat -I PREROUTING -s yerel_pc_ip -d gitmemesi_gereken_ip -p
tcp --dport 80 -j REDIRECT --to-port 8080
boylece clienttan gelen ve istemediginiz yere giden web istekleri
firewall uzerindeki web servera yonlendirilecektir.
iyi aksamlar.
-- Mesut Guler Egemen Yazilim