Ismail OZATAY yazmış:
Merhaba;
En son huzeyfe hocam la yazıştığım fakat hala sonuçlandıramadığım bir
sorunumu tekrar anlatıyorum. Bir topolojide perimeter firewall dizaynı
var. Bu yapıda internal firewallun arkasındaki 6 adet networkü (vlan
tagged) farklı dış iplerle perimeter firewall a doğru natlıyorum çünkü
iç network teki iplerimin görünmesini istemiyorum. Perimeter firewall
da ise natlanmış olan bu 6 ip adresini internete 6 adet gerçek ip ile
yeniden ayrı ayrı natlıyorum. Bu yapıda ftp bana çok ciddi sıkıntı
oluyor. Internal firewall da ftp-proxy kullanırsan giden ftp trafiği
firewallun default ipsinden çıkıyor ve data akışı geri dönemiyor bu
sorun perimeter firewall içinde geçerli. Ben de çözüm bulana kadar
mecburen passive ftp için gerekli portları açtım. Active ftp için ise
henüz bir çare bulamadım. Aslında benim sorunumu çözecek ftp proxy
yazılımımı buldum adı ftpsesame. Fakat bu yazılımda nat la çalışmıyor.
Böyle bir firewall dizaynında ftp proxy kullanan var mı ?
Not : Tüm firewall lar OepnBSD 4.3 Stable + Pf
İyi çalışmalar
Huzeyfe hocam merhaba;
/etc/rc.conf dosyamda ftp-proxy için ftpproxy_flags="" şeklinde normal
kullanım yapmıştım. Sonrasında ftp-proxy kullanımını bırakıp passive ve
active ftp için gerekli portları ilgili kaynak ve hedefe göre açmak
suretiyle kurallar girmiştim. Her iki firewall da da bu şekilde rule lar
yazmıştım. Sizin dediğinize göre ftp-proxy -a parametresiyle kullanmamı
söylemiştiniz. Anlattığım gibi 6 adet iç networkümü dışarıya doğru
farklı external ip lerle nat yapıyorum. İçerden farklı iplerle de
gelseler output yine default ip sinden olacak diye düşünüyorum. Bu
durumda route-to ile gelen paketleri oraya buraya yönlendirmem gerekiyor
diye düşünüyorum. Ama buna da girmek istemiyorum. Siz böyle bir primeter
firewall da nasıl çare buldunuz hocam ?
İyi çalışmalar
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
