From: mesut guler (mesut@egemenyazilim.com)
Date: Tue 05 Oct 2004 - 19:19:36 EEST
Serdar KOYLU wrote:
>Selamlar..
>
>
>
>
>>iptables ile cozum yolunu anlatmaya calisayim. squidguard ile cozumu
>>Afşin arkadaşımız açıklamış.
>>
>>
>
>
>
>>lazim. bu baglamda yukaridaki gibi bir network yapisina ihtiyaciniz var.
>>aksi durumda DNAT in calisacagini dusunmuyorum.
>>iptables -t nat -I PREROUTING -s yerel_pc_ip -d gitmemesi_gereken_ip -p
>>tcp --dport 80 -j DNAT --to sirket_web_server_ip
>>
>>eger isin icinde DHCP server varsa yani clientlarda sabit ip yoksa bu
>>islemi MAC adresine gore de yapabilirsiniz.
>>
>>iptables -t nat -I PREROUTING -m mac --mac-source 00:08:A1:4C:89:44 -d
>>gitmemesi_gereken_ip -p tcp --dport 80 -j DNAT --to sirket_web_server_ip
>>
>>
>
>Iyi hos ama, content'e gore nasil kisitlama yapacakki bu kurallar ?
>
>Isin icine content giriyorsa, squid vs. den ziyade, dansGuardian
>onerilebilir. Bir yere kadar basarili olur. DansGuardian squid ile
>kombine edilebilir vs.
>
>Diger yandan, istenmeyen IP adreslerini degil, istenmeyen web
>adreslerini yasaklamak istiyorsunuz. Yani Layer 5+ olmasi durumu.
>Kabaca, diyelim ki, 1.2.3.4 adresi bir hosting sirketine (geocities.com
>?) ait olsun. Buradaki muzir.geocities.com ile finans.geocities.com icin
>ayni IP adresleri gorunecek, her ikisinide yasaklayacaksiniz
>boylelikle.. Dahasi bu liste o kadar uzayacaktir ki, elle eklemek
>imkansiz olacaktir.
>
>Demekki, bunun cozumu, proxy uzerinde (application level) bu isi
>halletmek. Diger cozumler, bilhassa IP bazinda vs. olanlar akillica
>olmayacaktir.
>
>Saygi ve sevgiler..
>
>
>
>
>
>
>
haklisiniz. :)
-- Mesut Guler Egemen Yazilim