[FreeBSD] Fwd: OpenBSD 4.5 released, May 1, 2009
Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- -- Forwarded message -- From: Theo de Raadt dera...@cvs.openbsd.org Date: Thu, Apr 30, 2009 at 8:07 PM Subject: OpenBSD 4.5 released, May 1, 2009 To: m...@openbsd.org May 1, 2009. We are pleased to announce the official release of OpenBSD 4.5. This is our 25th release on CD-ROM (and 26th via FTP). We remain proud of OpenBSD's record of more than ten years with only two remote holes in the default install. As in our previous releases, 4.5 provides significant improvements, including new features, in nearly all areas of the system: - New/extended platforms: o Initial ports to the xscale based gumstix platform and the ARM based OpenMoko o OpenBSD/sparc64 o New vdsk(4) and vnet(4) drivers provide support for virtual I/O between logical domains on Sun's CoolThreads servers, including UltraSPARC T2+ machines. o Workstations and laptops with UltraSPARC IIe CPUs can now scale down the CPU frequency to save power. - Improved hardware support, including: o Several new/improved drivers for sensors, including: o The cac(4) driver now has bio and sensor support. o The mpi(4) driver now has bio and sensor support. o New gpiodcf(4) driver for DCF77/HBG timedelta sensors through GPIO pins. o New schsio(4) driver for SMSC SCH311x LPC Super I/O devices. o The it(4) driver now supports IT8720F chips. o The it(4) driver now supports FAN4 and FAN5 sensors for IT8716F/IT8718F/IT8720F/IT8726F chips. o The owtemp(4) driver now supports Maxim/Dallas DS18B20 and DS1822 temperature sensors. o The km(4) driver now supports AMD Family 11h processors (Turion X2 Ultra et al). o The lm(4) driver now supports W83627DHG attachment on the ICC bus. o The lmenv(4) driver now has better support for the fan sensors on lm81, adm9240 and ds1780 chips. o The sdtemp(4) driver now supports ST STTS424 chips. o The em(4) driver now supports ICH9 IGP M and IGP M AMT chips. o The sdmmc(4) driver now supports SDHC cards. o The msk(4) driver now supports Yukon-2 FE+ (88E8040, 88E8042) based devices. o The iwn(4) driver now supports Intel WiFi Link 5100/5300 devices. o The wpi(4) and iwn(4) drivers now support hardware CCMP cryptography. o The ath(4) driver now has WPA-PSK support. o age(4), a driver for Attansic L1 gigabit Ethernet devices was added. o ale(4), a driver for Atheros AR81xx (aka Attansic L1E) Ethernet devices was added. o mos(4), a driver for Moschip MCS7730/7830 10/100 USB Ethernet devices was added. o jme(4), a driver for JMicron JMC250/JMC260 10/100 and Gigabit Ethernet devices was added. o run(4), a driver for Ralink USB IEEE 802.11a/b/g/Draft-N devices was added. o auacer(4), a driver for Acer Labs M5455 audio devices was added. o ifb(4), a driver for Sun Expert3D, Expert3D-Lite, XVR-500, XVR-600 and XVR-1200 framebuffers (accelerated). o wildcatfb(4), an X driver for Sun Expert3D, Expert3D-Lite, XVR-500, XVR-600 and XVR-1200 framebuffers (unaccelerated). o sunffb(4), an accelerated X driver for Sun Creator, Creator 3D and Elite 3D framebuffers. o vdsk(4), a driver for virtual disks of sun4v logical domains. o vnet(4), a driver for virtual network adapters of sun4v logical domains. o vrng(4), a driver for the random number generator on Sun UltraSPARC T2/T2+ CPUs. o The vcons(4) driver is now interrupt driven. o ips(4), a driver for IBM SATA/SCSI ServeRAID controllers was added. o udfu(4), a driver for device firmware upgrade (DFU) was added. o Many improvements were made to the acpi(4) subsystem. o The umsm(4) driver supports several new EVDO/UMTS devices. o The mfi(4) driver now supports the next generation of MegaRAID SAS controllers. o New vsbic(4) driver for the MVME327A SCSI and floppy controller on mvme88k machines. o The re(4) driver, now supports 8168D/8111D-based devices. o The ehci(4) driver now supports isochronous transfers. o S/PDIF output support has been added to the ac97(4), auich(4), auvia(4) and azalia(4) drivers. o azalia(4) mixer has been clarified and simplified, support for 20-bit and 24-bit encodings has been added. o The gbe(4) frame buffer driver now supports acceleration. - New tools: o ypldap(8), an YP server using LDAP as a backend. o xcompmgr(1) was added to xenocara. - New functionality: o The libc resolver(3) may now be forced to perform lookups by TCP only using a new resolv.conf(5) option. The nameserver declaration in resolv.conf(5) has also been extended to allow specification of non-default nameserver ports. o apropos(1) has two new options (-S and -s
[FreeBSD] 5651sayili kanun hakkinda wiki calismasi
Malumumuz 5651 sayili kanun hakkinda cok fazla bilgi yok ve kanunu teknik olarak yorumlamada zorluk cekiliyor. Bu konuda sirketinizin/kurumumuzun kanuna gore nerede durdurgu, yapmasi gerekenler hangi urunlerle(ticari , acik kod vs) nasil yapacagi vs gibi konularda merkezi bir bilgi bankasi olmasi amaci ile belgeleme calismasi yapiyoruz. Ya bir blog sayfasinda ya da bir wiki sayfasina bu bilgileri aktaracagiz. Kanunu kendi sirketinde, baska sirketlerde uygulamaya baslayan arkadaslardan kisaca firma ismi vs vermeden isi hangi urunlerle nasil yaptiklarina dair yorumlar alabilirsem iceirgi zenginlestirmede faydali olacaktir. Ornek yorum: Sirketim, kurumum kanuna gore şu kategorilere(Erişim sağlayıcı, İçerik sağlayıcı:, Yer sağlayıcı, Toplu kullanım sağlayıcı ticari amacli Toplu kullanım sağlayıcı) giriyor. Bunun icin su su ticari/acik kod urunu kullandim. Su sorunlarla karsilastim vs diye yazmaniz yeterli. Adres olarak huze...@lifeoverip.net adresini kullanabilirsiniz. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net ---
Re: [FreeBSD] pf kural takma ad
Selamlar, kural tanimlayici olarak label tanimini kullanabilirsin. pass in on $int_if all label IC_AGDAN_GELENLER gibi pfctl -s labels ile labellera ait istatistikleri gorebilirsin. Firewall loglarinda malesef label olarak goremiyorsunuz kurallari. Bunun icin N. Ersen'in bir yamasi vardi. Belki onu deneyebilirsin. Ek olarak kurallardaki numaralari pfctl -s rules -vv ile gorebilirsin. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/3/23 Serdar EMIRCI ser...@emirci.com: merhaba pf de kurallar için takma ad kullanılabiliyorumu loglar da giriş ve çıkışları kurallara göre takip etmrek istedim ama numra yazdığından bişey anlayamıyorum bazı ıp ler var bunları block ettim ama quick ile yaptım boyle olunca oluyor ama quick kalktıgında başka bir rule dan çıkıyor bunu bulmak istiyorum Anchors nedir ne işe yarar teşekkürler... log çıktılarım 000587 rule 159/0(match): pass in on fxp0: 10.14.29.50.50821 75.71.46.60.10971: tcp 16 [bad hdr length 16 - too short, 20] 69 rule 159/0(match): pass in on fxp0: 10.14.29.50.50822 212.159.113.212.12790: tcp 16 [bad hdr length 16 - too short, 20] 94 rule 159/0(match): pass in on fxp0: 10.14.29.50.50823 212.178.27.143.28817: tcp 16 [bad hdr length 16 - too short, 20] 60 rule 159/0(match): pass in on fxp0: 10.14.29.50.50824 213.243.176.20.36861: tcp 16 [bad hdr length 16 - too short, 20] 3. 540238 rule 159/0(match): pass in on fxp0: 10.14.29.50.50825 80.252.110.146.4661: [|tcp] FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] djbdns Long Response Packet Remote Cache Poisoning Vulnerability
DJB'nin yazilimlarinda ilk acikligi bulan kisiye verecegi odulu Matthew Dempsky buldugu djbdns Long Response Packet Remote Cache Poisoning Vulnerability acikligi ile almaya hak kazandi. Djbdns kullanan arkadaslarin acikligi inceleyip yama gecmelerinde fayda var. Detay bilgi icin: http://www.securityfocus.com/bid/33937/info http://marc.info/?l=djbdnsm=123554945710038 Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Firewall
Merhabalar, FreeBSD 5.3'den beri PF geliyor bildigim kadari ile. kldload pf.ko ya da kerneli tekrar derleyerek aktif edebilirsiniz. http://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/2/1 Namık Güngör na...@ofisiletisim.com: FreeBSD de default olarak IPF geliyor. 7.1 kurdum . PF gelmesini nasıl sağlarım? Namık Güngör Huzeyfe ONAL yazmış: Her ucu de asagi yukari ayni isi yapabilecek kapasitede. Hangisini daha iyi biliyorsaniz onu kullanin derim, sifirdan ogrenip kullanmaya baslayacaksaniz Packet Filter'i oneririm. Sebebi hem aktif olarak gelistiriliyor ve kullaniliyor hem de kullanimi -goreceli olarak- biraz daha kolay. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/2/1 Namık Güngör na...@ofisiletisim.com: Merhaba. Hangi firewall u kullanmalıyım? PF, IPFW, IPF ? İyi çalışmalar. Namık Güngör FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Firewall
Her ucu de asagi yukari ayni isi yapabilecek kapasitede. Hangisini daha iyi biliyorsaniz onu kullanin derim, sifirdan ogrenip kullanmaya baslayacaksaniz Packet Filter'i oneririm. Sebebi hem aktif olarak gelistiriliyor ve kullaniliyor hem de kullanimi -goreceli olarak- biraz daha kolay. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/2/1 Namık Güngör na...@ofisiletisim.com: Merhaba. Hangi firewall u kullanmalıyım? PF, IPFW, IPF ? İyi çalışmalar. Namık Güngör FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Re: Re: Ftp proxy hakkında
Merhabalar, ben size iki cikisli bir Firewall'da FTP-proxy ornegi vereyim siz onu 6 farkli ip adresi icin uygulayin. VLAN_1 _Cikis_IP1 ||Firewall-1 || --Internet VLAN_2 _ Cikis_IP2 Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw'i olsun. Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz. VLAN1 icin ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021 VLAN2 icin ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022 sonra pf.confu su sekilde duzenlemeniz gerekecek. ... nat-anchor ftp-proxy/* rdr-anchor ftp-proxy/* rdr pass on $int_if proto tcp from VLAN1 to port ftp - 127.0.0.1 port 8021 rdr pass on $int_if proto tcp from VLAN2 to port ftp - 127.0.0.1 port 8022 anchor ftp-proxy/* pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any Bu kural eger cikislar farkli arabirimlerdense gerekir. Ayni arabirim uzerinden yapiyorsaniz gerekmemesi lazim. 6 farkli ip adresinden cikis yapiyorsaniz 6 farkli ftp-proxy calistirmaniz lazim.Yukaridakine benzer sekilde. Sonraki Firewall'da tek bir cikis adresi varsa sadece ftp-proxy'i calistirmis olmaniz yeterli olur. Bu arada amaciniz sadece networkleri birbirinden ayirmak ve gostermemek ise bunun icin iki farkli Firewall yerine tek bir Firewall'a yeteri kadar interface takarak yapmayi denediniz mi? Ihtiyaciniza cevap vermedi de mi boyle karisik bir yapi tercih ettiniz merak ettim:). Kisaca: ftp-proxy default cikis ip adresinden o interface ait ip adresi ile cikmaya calisir. Sizin isteginiz ise farkli cikis ipleri kullanmak. Bunun icin ftp-proxy -a cikis1 -b 127.0.0.1 -p 8021 ftp-proxy -a cikis2 -b 127.0.0.1 -p 8022 ftp-proxy -a cikis3 -b 127.0.0.1 -p 8023 ftp-proxy -a cikis4 -b 127.0.0.1 -p 8024 ftp-proxy -a cikis5 -b 127.0.0.1 -p 8025 ftp-proxy -a cikis6 -b 127.0.0.1 -p 8026 sonrada rdr kurallarinda ilgili vlanden gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek. Eger bu 6 farkli ip adresi bir interface uzerinden cikis yapiyorsa baska bir isleme gerek kalmadan calismasi lazim. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/1/15 Ismail OZATAY ism...@ismailozatay.net: Huzeyfe hocam ; Ekteki resimde topolojiyi çizdim ve orada belirttiğim açıklamaları aşağıda detaylandırıyorum ; Açıklama - 1 : A, B, C, D, E ve F birbirinden bağımsız networklerdir. Herbiri ayrı birer vlan olarak ayarlandı ve switch de belirlenen bir trunk portundan firewall a aktarılıyor. Açıklama - 2 : Trunk portundan gelen A, B, C, D, E ve F networklerini External Node 'a doğru farklı iplerle Nat yapar. Açıklama - 3 : DMZ için real bir subnet kullanılmıştır ( X . X . X . X /27 ). External Node dış bacakta farklı bir subnet kullanmaktadır ( Y . Y . Y . Y /28 ). Açıklama - 4 : External node DMZ networkünü dışarıya NAT yapmaz, real subneti yönlendirir. Açıklama - 5 Açıklama - 6 : External Node firewall , Internal Node 'dan gelen ipleri tekrar dış bacaktaki Y . Y . Y . Y /28 subnetinden iplerle farklı farklı Nat yapar ( ileriye dönük bazı işlemlerin takibi için farklı iplerle natlanıyorlar). Altq ile bant genişliği kuralları burada yazılır. Açıklama - 7 : Amaç iç subnetlerin tespitini önlemek. Ben bu subnetleri External Node a doğru ayrı ayrı farklı iplerle bu sebepten natlıyorum. Çünkü ben Internal networkün dışını servis sağlayıcı gibi düşünüyorum :) Hocam yapı böyle olunca ftp-proxy kullanımı bana sıkıntı oldu. DMZ tarafında sıkıntı yok ama iç netwoktekiler için ciddi sıkıntı doğurmaya başladı. Bu topolojide kusursuz ve güvenli bir ftp kullanımı için ne önerirsiniz ? İyi çalışmalar. ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Re: Ftp proxy hakkında
Selamlar, Anlattığım gibi 6 adet iç networkümü dışarıya doğru farklı external ip lerle nat yapıyorum. İçerden farklı iplerle de gelseler output yine default ip sinden olacak diye düşünüyorum. ftp-proxy -a parametresi ile bir grup ftp istemcinin hangi ip adresi ile disari cikacagini belirtiyorsunuz. Sonra PF ile default cikistan gitmeye calisan bu ip adreslerini route-to ile duzgun arabirimlere yonlendirme islemi kaliyor. Yani 6 network varsa adet route-to kurali yazmaniz yeterli olmasi lazim. Iki farkli hat icin kullandim bahsettim yapiyi fakat hic 6 farkli ip adresini kullanma gereksinimi duymadim. Bence bu sekilde iki farkli firewall ayni isleri yapmak pek uygun degil. Yapiyi biraz cizip neden bu yontemi tercih ettiginizi anlatabilirseniz baska cozumler de bulabiliriz. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/1/12 Ismail OZATAY ism...@ismailozatay.net: Ismail OZATAY yazmış: Merhaba; En son huzeyfe hocam la yazıştığım fakat hala sonuçlandıramadığım bir sorunumu tekrar anlatıyorum. Bir topolojide perimeter firewall dizaynı var. Bu yapıda internal firewallun arkasındaki 6 adet networkü (vlan tagged) farklı dış iplerle perimeter firewall a doğru natlıyorum çünkü iç network teki iplerimin görünmesini istemiyorum. Perimeter firewall da ise natlanmış olan bu 6 ip adresini internete 6 adet gerçek ip ile yeniden ayrı ayrı natlıyorum. Bu yapıda ftp bana çok ciddi sıkıntı oluyor. Internal firewall da ftp-proxy kullanırsan giden ftp trafiği firewallun default ipsinden çıkıyor ve data akışı geri dönemiyor bu sorun perimeter firewall içinde geçerli. Ben de çözüm bulana kadar mecburen passive ftp için gerekli portları açtım. Active ftp için ise henüz bir çare bulamadım. Aslında benim sorunumu çözecek ftp proxy yazılımımı buldum adı ftpsesame. Fakat bu yazılımda nat la çalışmıyor. Böyle bir firewall dizaynında ftp proxy kullanan var mı ? Not : Tüm firewall lar OepnBSD 4.3 Stable + Pf İyi çalışmalar Huzeyfe hocam merhaba; /etc/rc.conf dosyamda ftp-proxy için ftpproxy_flags= şeklinde normal kullanım yapmıştım. Sonrasında ftp-proxy kullanımını bırakıp passive ve active ftp için gerekli portları ilgili kaynak ve hedefe göre açmak suretiyle kurallar girmiştim. Her iki firewall da da bu şekilde rule lar yazmıştım. Sizin dediğinize göre ftp-proxy -a parametresiyle kullanmamı söylemiştiniz. Anlattığım gibi 6 adet iç networkümü dışarıya doğru farklı external ip lerle nat yapıyorum. İçerden farklı iplerle de gelseler output yine default ip sinden olacak diye düşünüyorum. Bu durumda route-to ile gelen paketleri oraya buraya yönlendirmem gerekiyor diye düşünüyorum. Ama buna da girmek istemiyorum. Siz böyle bir primeter firewall da nasıl çare buldunuz hocam ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Ftp proxy hakkında
Selamlar, son mesajimda sizden ftp-proxy icin girdiginiz kurallari istemistim. Onlari gonderebilirseniz daha hizli cozum bulabiliriz. Ozellikle ftp-proxy kullanirken birden fazla cikis ip adresi kullaniyorsaniz her bir cikis ip adresi icin farkli ftp-proxy prosesleri kullanmaniz ve -a parametresi ile cikis iplerini yazmaniz gerekir. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/1/7 Ismail OZATAY ism...@ismailozatay.net: Merhaba; En son huzeyfe hocam la yazıştığım fakat hala sonuçlandıramadığım bir sorunumu tekrar anlatıyorum. Bir topolojide perimeter firewall dizaynı var. Bu yapıda internal firewallun arkasındaki 6 adet networkü (vlan tagged) farklı dış iplerle perimeter firewall a doğru natlıyorum çünkü iç network teki iplerimin görünmesini istemiyorum. Perimeter firewall da ise natlanmış olan bu 6 ip adresini internete 6 adet gerçek ip ile yeniden ayrı ayrı natlıyorum. Bu yapıda ftp bana çok ciddi sıkıntı oluyor. Internal firewall da ftp-proxy kullanırsan giden ftp trafiği firewallun default ipsinden çıkıyor ve data akışı geri dönemiyor bu sorun perimeter firewall içinde geçerli. Ben de çözüm bulana kadar mecburen passive ftp için gerekli portları açtım. Active ftp için ise henüz bir çare bulamadım. Aslında benim sorunumu çözecek ftp proxy yazılımımı buldum adı ftpsesame. Fakat bu yazılımda nat la çalışmıyor. Böyle bir firewall dizaynında ftp proxy kullanan var mı ? Not : Tüm firewall lar OepnBSD 4.3 Stable + Pf İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Ftp ve PF hakkında
Merhabalar, onde ve arkada fırewall tanımlarını anlamadım fakat yazdıgınız FTP kurali ile sadece Pasif FTP cesidini kullanabilirsiniz. Aktif FTP kullanabilmeniz icin FTP sunucunun 20. portundan sizin tarafa gelen tum istekleri(1024) de acmalisiniz. ftp-proxy kullanırsanız buna gerek kalmaması lazım. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/12/25 Ismail OZATAY ism...@ismailozatay.net: Arkadaşlar merhaba ; Openbsd ile pf kullanıyorum. 2 adet firewall var önde ve arkada. Pf le birlikte ftp proxy kullanmıyorum. Her iki firewall da da ftp erişimleri için aşağıdaki gibi bir kuralım var ; pass in on $int_if inet proto tcp from $pc to any port { ftp, 20, 1023 } Bu şekilde herhangi bir yere ftp ile gidebiliyorum ama bugün ftp://sftp.yapikredi.com.tr adresine giriş yapamadım. Firewalllardan logları inceliyorum o yöne doğru hiçbir drop olan paket yok ama ftp ye giremiyorum. Ayrı bir adsl den denedim sorunsuz giriliyor. Bir ara ftp froxy ile de denedim yine bağlanamadım. Aklıma deneyecek başka birşey gelmedi sizce ne gibi bir sorunla karşı karşıyayım ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Ftp ve PF hakkında
Merhabalar, eger icerde dinleyen bir servis/portnunuz varsa tabi ki yapabilir. Ftp-proxy kullanmanin amaci da bu, yani sadece gerekli portlara dinamik olarak firewallun izin vermesi. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/12/25 Cagri Ersen cagri.er...@gmail.com: Huzeyfe hocam bu konuda bir şey sormak istiyorum. Bahsedilen şekilde, dışarıdan gelen ve kaynak portu 20 olan istekleri içeriye 1024 şeklinde açtığımız zaman, biri spoof ederek kaynak portunu 20. gösterip açık portlardan içeri sızabilir mi ? Selamlar. Çağrı Ersen. 2008/12/25 Huzeyfe ONAL huze...@lifeoverip.net: Merhabalar, onde ve arkada fırewall tanımlarını anlamadım fakat yazdıgınız FTP kurali ile sadece Pasif FTP cesidini kullanabilirsiniz. Aktif FTP kullanabilmeniz icin FTP sunucunun 20. portundan sizin tarafa gelen tum istekleri(1024) de acmalisiniz. ftp-proxy kullanırsanız buna gerek kalmaması lazım. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/12/25 Ismail OZATAY ism...@ismailozatay.net: Arkadaşlar merhaba ; Openbsd ile pf kullanıyorum. 2 adet firewall var önde ve arkada. Pf le birlikte ftp proxy kullanmıyorum. Her iki firewall da da ftp erişimleri için aşağıdaki gibi bir kuralım var ; pass in on $int_if inet proto tcp from $pc to any port { ftp, 20, 1023 } Bu şekilde herhangi bir yere ftp ile gidebiliyorum ama bugün ftp://sftp.yapikredi.com.tr adresine giriş yapamadım. Firewalllardan logları inceliyorum o yöne doğru hiçbir drop olan paket yok ama ftp ye giremiyorum. Ayrı bir adsl den denedim sorunsuz giriliyor. Bir ara ftp froxy ile de denedim yine bağlanamadım. Aklıma deneyecek başka birşey gelmedi sizce ne gibi bir sorunla karşı karşıyayım ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey -- Cagri Ersen
Re: [FreeBSD] Squid Bir Banka
Merhabalar, eger https trafiginiz Squid uzerinden geciyorsa domain bazli bloklama yapabilirsiniz.. acl CONNECT method CONNECT acl site dstdomain .sube.garanti.com.tr http_access deny CONNECT site gibi... On 12/6/08, Serdar EMIRCI [EMAIL PROTECTED] wrote: teşekkürler anladığım kadarıyla https olan adresler squid den transit geçiyor izin kontrolu olmaksızın 2008/12/6 Kubilay KOCA [EMAIL PROTECTED] Merhaba; Asagidaki adreste yapilan islemleri Squid loglarinda goremezsin. Sebebi ise web istegi olan 80. port kullanmis oldugun kuralda Squid portu olan 3128'e yonlenmistir fakat https portu ise 443 oldugundan dolayi bu istekler Squid e ugramadan direkt gecer. Https ( port 443 ) isteklerini de Squid uzerinden denetlemek ve izlemek istersen Squid 3.1 kurman gerekir. 06 Aralık 2008 Cumartesi 10:32 tarihinde Serdar EMIRCI [EMAIL PROTECTED]yazdı: Merhaba squid kullanmaktayım access larım da https://sube.*garanti* .com.tr https://sube.garanti.com.tr/ adresi ile ilgi herhangi bir erişim yok tamamen kapalı ama local den herhangi bir kullanıcı bu adrese baglanabiliyor ne var bu sube de anlamadım siz squid kullanıyorsanız lütfen erişimin kapalı oldugu bir makinanız da deneyin bu siteye bağlanılabiliyormu kaynağı nedir bunu öğrenmek istiyor -- Serdar EMIRCI -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net ---
Re: [FreeBSD] PF Load balance
Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç [EMAIL PROTECTED]: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
[FreeBSD] Fwd: [FreeBSD-Announce] FreeBSD 6.4-RELEASE Available
Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- -- Forwarded message -- From: Ken Smith [EMAIL PROTECTED] Date: Fri, Nov 28, 2008 at 8:11 PM Subject: [FreeBSD-Announce] FreeBSD 6.4-RELEASE Available To: [EMAIL PROTECTED] The FreeBSD Release Engineering Team is pleased to announce the availability of FreeBSD 6.4-RELEASE. At this time 6.4-RELEASE is expected to be the last of the 6-STABLE releases. Some of the highlights: - New and much-improved NFS Lock Manager (NLM) client - Support for the Camellia cipher - boot loader changes allow, among other things, booting from USB devices and booting from GPT-labeled devices with GPT-enabled BIOSes - DVD install ISO images for amd64/i386 - KDE updated to 3.5.10, GNOME updated to 2.22.3 - Updates for BIND, sendmail, OpenPAM, and others For a complete list of new features and known problems, please see the online release notes and errata list, available at: http://www.FreeBSD.org/releases/6.4R/relnotes.html http://www.FreeBSD.org/releases/6.4R/errata.html For more information about FreeBSD release engineering activities, please see: http://www.FreeBSD.org/releng/ The FreeBSD Security Team intends to support 6.4-RELEASE until November 30th, 2010. Availability - FreeBSD 6.4-RELEASE is now available for the amd64, i386, pc98, and sparc64 architectures. The builds for the alpha architecture have not completed yet and will be announced later. FreeBSD 6.4-RELEASE can be installed from bootable ISO images or over the network; the required files can be downloaded via FTP or BitTorrent as described in the sections below. While some of the smaller FTP mirrors may not carry all architectures, they will all generally contain the more common ones, such as i386 and amd64. MD5 and SHA256 hashes for the release ISO images are included at the bottom of this message. The contents of the ISO images provided as part of the release has changed for most of the architectures. Using the i386 architecture as an example, there are ISO images named bootonly, disc1, disc2, disc3, docs, and dvd1. The bootonly image is suitable for booting a machine to do a network based installation using FTP or NFS. The disc1, disc2, and disc3 images are CDROM-sized (700MB media) and are used to do a full installation that includes a basic set of packages and does not require network access to an FTP or NFS server during the installation. In addition, disc1 supports booting into a live CD-based filesystem and system rescue mode. The docs image has all of the documentation for all supported languages. The dvd1 image is DVD-sized and includes everything that is on the CDROM discs. So dvd1 can be used to do a full installation that includes a basic set of packages, it has all of the documentation for all supported languages, and it can be used for booting into a live CD-based filesystem and system rescue mode. Most people will find that disc1, disc2 and disc3 are all that are needed if their machine does not have a DVD-capable drive. For people with machines that do have a DVD-capable drive dvd1 should be all that is required. If you intend to install ports from source instead of using the pre-built packages included with the release only disc1 is needed. FreeBSD 6.4-RELEASE can also be purchased on CD-ROM from several vendors. One of the vendors that will be offering FreeBSD 6.4-based products is: ~ FreeBSD Mall, Inc.http://www.freebsdmall.com/ BitTorrent -- 6.4-RELEASE ISOs are available via BitTorrent. A collection of torrent files to download the images is available at: http://torrents.freebsd.org:8080/ FTP --- At the time of this announcement the following FTP sites have FreeBSD 6.4-RELEASE available. ftp://ftp.freebsd.org/pub/FreeBSD/ ftp://ftp3.freebsd.org/pub/FreeBSD/ ftp://ftp7.freebsd.org/pub/FreeBSD/ ftp://ftp9.freebsd.org/pub/FreeBSD/ ftp://ftp10.freebsd.org/pub/FreeBSD/ ftp://ftp12.freebsd.org/pub/FreeBSD/ ftp://ftp.at.freebsd.org/pub/FreeBSD/ ftp://ftp.cz.freebsd.org/pub/FreeBSD/ ftp://ftp.dk.freebsd.org/pub/FreeBSD/ ftp://ftp.fi.freebsd.org/pub/FreeBSD/ ftp://ftp.fr.freebsd.org/pub/FreeBSD/ ftp://ftp2.ie.freebsd.org/pub/FreeBSD/ ftp://ftp.se.freebsd.org/pub/FreeBSD/ ftp://ftp.si.freebsd.org/pub/FreeBSD/ ftp://ftp1.ru.freebsd.org/pub/FreeBSD/ ftp://ftp2.uk.freebsd.org/pub/FreeBSD/ ftp://ftp3.us.freebsd.org/pub/FreeBSD/ ftp://ftp7.us.freebsd.org/pub/FreeBSD/ ftp://ftp9.us.freebsd.org/pub/FreeBSD/ ftp://ftp11.us.freebsd.org/pub/FreeBSD/ However before trying these sites you may want to check your regional mirror(s) first by going to: ftp://ftp.yourdomain.FreeBSD.org/pub/FreeBSD Any additional mirror sites will be labeled ftp2, ftp3 and so on. More information about FreeBSD mirror sites can be found at: http://www.FreeBSD.org/doc
[FreeBSD] Fwd: [FreeBSD-Announce] Official FreeBSD Forums
FreeBSD'nin resmi forum sayfasi acilmis. http://forums.FreeBSD.org -- Forwarded message -- From: Brad Davis [EMAIL PROTECTED] Date: Sun, Nov 16, 2008 at 6:04 PM Subject: [FreeBSD-Announce] Official FreeBSD Forums To: [EMAIL PROTECTED] Dear FreeBSD users, The FreeBSD project is finally, after much work, pleased to announce the availability of an official FreeBSD web based discussion forum. It is our hope that this forum will serve as a public support channel for FreeBSD users around the world and as a complement to our fine mailing lists. You can register and start using our new service here: http://forums.FreeBSD.org The structure of the forum is still in a late beta stage, so if you have ideas, suggestions for improvements or bug reports, send them to: forum-moderators at FreeBSD dot org. Please also have a look at our rules before you create your first thread or post your first message. You can find our official list of forum rules here: http://forums.freebsd.org/faq.php?faq=vb_faq#faq_rules Also, FreeBSD developers (people with commit access to our CVS/SVN trees) can be distinguished by having an '@' character at the end of their username. It is our hope that both users and developers will find this new service useful. Please help spread the word. Sincerely, The FreeBSD Forums Admin Team ___ [EMAIL PROTECTED] mailing list http://lists.freebsd.org/mailman/listinfo/freebsd-announce To unsubscribe, send any mail to [EMAIL PROTECTED] FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PFsense firewall performans
Merhabalar, ek not: Pfsense'de Dansguardian'i native olarak kullanamazsiniz, paketler arasinda gelmiyor. SquidGuard var content filtering icin. Performans konusuna gelince yeterli ram ve CPU verdikten sonra 4000 kullaniciyi da kaldirabilir. Tabi uzerinde kullanacaginiz ek bilesenler onemli. Snort vs kullanmaya calisirsaniz performans degerlerinizde dusme olacaktir. Abdullah OZTURK wrote: Pf+squid-2.7.3 su anda kullaniyorum performans oldukca iyi ama pfsense ile birlikte icerik filtreleyicisi dansguardian falan girince biraz yavaslar diye dusunuyorum sakin bir gunde bir deneme yapmam lazim bakalim ne oluyor Millet insallah internet sisti diye kapiya cadir kurmaz Slm Abdullah? -Original Message- From: Murat Balaban [mailto:[EMAIL PROTECTED] Sent: Wednesday, November 05, 2008 6:21 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PFsense firewall performans Merhaba, Bahsettiginiz rakamlarda pfsense tecrubem olmadi; fakat, bundan daha buyuk sayilarda host barindiran aglari squid+ipf'in kolaylikla yonetebildigini sahsen tecrube ettim. pfsense icin de, Standart dualcore 2 ghz ustu 4 GB ramli bir makina squid+pf konfigurasyonunda o sayilari rahatlikla kaldirir diye tahmin ediyorum. Denemekten zarar gelmez :) Deneyip sonuclari paylasabilirsiniz. -- Murat http://www.enderunix.org/murat/ On Wed, 2008-11-05 at 18:08 +0300, Abdullah OZTURK wrote: Pfsense ile performans olarak nasildir 400-500 makinali bir sistemi sorunsuz idare edebilir mi acaba? Selamlar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: Re[3]: [FreeBSD] DNS Server
Anladigim kadari ile sizin istediginiz bir nevi honeypot. Dns sorgularini ve cevaplarini yakalayarak NXDOMAIN(domain not exist ) flagli cevaplar icerisinde degisiklik yaparak istediginiz yere yonlendirecek. Boyle bir honeypot yazilimi var mi bilmiyorum , bir de ozel degilse neden boyle bir yapiya ihtiyac duydugunuzu merak ettim. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/10/8 Ahmet FIRAT [EMAIL PROTECTED]: ben onu yoksa diye soylemistim zaten ama var sa yine o domainin ip isini verecek istedigim tek sey A kaydi olmayan yada hic olmayan domainleri belli bir ip ye yonlendirmek - Original Message - From: Mesut GÜLNAZ [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Wednesday, October 08, 2008 12:01 PM Subject: RE: Re[3]: [FreeBSD] DNS Server Peki ya gggooogggllleee.com adında bir domain varsa.o zaman ne olacak? -Original Message- From: Ahmet FIRAT [mailto:[EMAIL PROTECTED] Sent: Wednesday, October 08, 2008 11:52 AM To: freebsd@lists.enderunix.org Subject: Re: Re[3]: [FreeBSD] DNS Server Merhaba Sanirim tekrar bi yanlis anlama var bahsi gecen DNS server CACHE hizmeti veren bir dns domain kaydi olmayacak olay su ben dns e google.com kaydini sorguladim ve bana dedi ki 62.2.2.2 bu gercek ip si google in fakat kullanici gggooogggllleee.com diye bir seyi yanlislikla sordu dns bakti domain kaydi yok ve benim onceden girdigim dns kaydindaki ip yi yazmasini istiyorum yani 1.1.1.1 e gidecek sizin dediginiz seklini ben kullaniyorum bir nevi park sayfasi icin fakat bu anlattigimi yapan bir dns server istiyorum Saygilarimizla... - Original Message - From: Cafer Şimşek [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Sunday, October 05, 2008 10:56 PM Subject: Re[3]: [FreeBSD] DNS Server Tekrar Merhaba, Bu gün aynı olayı Bind ile de denedim (Debian üzerinde BIND 9.3.4-P1.1 sürümü), gayet başarılı bir şekilde çalıştı. org isminde bir zone ekledim ve *.org için 10.0.0.1 şeklide A kaydı ekledim, sonra bir de cafer.org isminde domain ekledim ona da gerçek IP adresini verdim. Sorgu sonuçları aşağıda. [EMAIL PROTECTED]:/etc/bind$ host -ta cafer.org 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: cafer.org has address 65.19.178.8 [EMAIL PROTECTED]:/etc/bind$ host -ta cafer11.org 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: cafer11.org has address 10.0.0.1 [EMAIL PROTECTED]:/etc/bind$ Saygılar, Sevgiler. Sunday, October 5, 2008 Tarihinde Cafer Şimşek demiş ki: Tekrar Merhaba, İlk yaptığım zaman ben de öyle düşünmüştüm, ancak djbdns ile gayet sorunsuz bir şekilde bu yöntemle çalıştığını gördüm. Bind ile deniyorsanız onda durum nedir tam bilmiyorum. Saygılar. Sunday, October 5, 2008 Tarihinde Ahmet FIRAT demiş ki: Merhabalar Dediginiz yapildigi taktirde eger bu zone dns de var ise ve com diye de bir zone actigimiz icin direk kendi icindeki zone dosyasindan iletmekte ve ip kontrolu yapilmamakta. Saygilarimizla... - Original Message - From: Cafer Şimşek [EMAIL PROTECTED] To: Ahmet FIRAT [EMAIL PROTECTED] Cc: freebsd@lists.enderunix.org Sent: Saturday, October 04, 2008 9:02 PM Subject: Re: [FreeBSD] DNS Server Merhaba Ahmet Bey, Zamanında böyle bir şeyi yapmıştım. Yalnız biraz uğraşmanız gerekiyor. Yapılması gereken işlemler şunlar (ben djbdns kullanmıştım bunun için ama muhtemelen bind için de aynı ayarları uygulayabilirsiniz): * TLD'ler ve gTLD'ler için (.com, .net, .org, .tr vs...) birer zone tanımlayın. Kullanacağınız tüm tld ve gtld'ler için zone olmak zorunda. Ve bu zone'ların ismi .com domainler için com, .net domainler için net şeklinde olmalı. * Zone'ların altına wildcard a kaydı girin. djbdns için mesela: +*.com:10.0.0.1:800 gibi. Sanırım wildcard desteği bind'da da var. Bu işlemleri tamamlandığınızda istediğinize ulaşacaksınız ve herhangi bir com uzantılı bir domaini sorguladığınızda eğer bir kayıt yoksa bu wildcard'a takılacak ve 10.0.0.1 ip adresini çözümleyecek. Saygılar, İyi Çalışmalar. PS: Bundan güzel bir ipucu olur aslında. :) Saturday, October 4, 2008 Tarihinde Ahmet FIRAT demiş ki: Merhaba Arkadaslar, Bir dns server a ihtiyacim var bu dns serveri kendi sistemlerimizde domain kontrolu icin kullanmak istiyoruz fakat soyle bir yapi olmasi gerekiyor bilen yada nasil yapacagim konusunda fikri olan var mi ? google.com u dns serverina sorgulayacagiz ve bize ornegin 1.1.1.1 ip sini verecek ve client a ip cozumlemesini yapip dns olarak isini bitirecek fakat ben aaagole.com diye bir domain sorguladim fakat bir sonuc donmedi boyle bir domain yok boyle bir domain geldiginde benim istedigim bir ip ye yonlendirecek ornegin 9.9.9.9 gibi bu yapiyi kurabilecegim bir dns server var mi yada bu konuda yardimci olabilrimisiniz ? Saygilarimizla... FreeBSD 6 kitabi: http
Re: [FreeBSD] Squid SSL destegi
Merhabalar, listede daha once benzeri -ayni-konuyu tartistik. Arsivleri kurcalarsaniz detay aciklama bulabilirsiniz. Kisa cevap: Squid native olarak https isteklerini transparent olarak desteklemez. Bunun icin biraz takla attirmak gerekiyor.(sslbump'i inceleyin) Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/10/2 Ali KAPUCU [EMAIL PROTECTED]: Merhabalar freebsd transparent Proxy olarak problemsiz çalışıyor. Ancak netwok'un ssl paketlerinide nat yaparak Proxy yönlendirdiğimde Access.log da 1222969888.864 9 192.168.0.8 TCP_DENIED/400 1539 NONE error:unsupported-request-method - NONE/- text/html 1222969890.412 5 192.168.0.5 TCP_DENIED/400 1539 NONE error:unsupported-request-method - NONE/- text/html diye hata alıyorum Squid.conf dosyasında ssl ve safe portslar şöyle acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1 3128 1025-65535 acl sslports port 443 563 1 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access allow safeports http_access allow CONNECT sslports sizce problemi nasıl giderebilirm
Re: [FreeBSD] Squid3 ve https transparent
Merhabalar, sorun tam olarak ney? Biraz daha detay verebilir misiniz. I.smail ÖZATAY wrote: Arkadas,lar merhaba; Squid Cache: Version 3.0.STABLE8 ile https trafig(ini transparent çal?s,t?rmay? deniyorum. Biraz aras,t?rd?m sslBump kullanmam? söylüyorlar fakat birkaç örnekle de çal?s,t?ramad?m. As,ag(?daki gibi denemis,tim; http_port 3128 sslBump cert=/etc/squid/ca.pem Farkl? portlarla da denedim ama olmad?. Bu sorunu nas?l çözebilirim ? I.yi çal?s,malar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Natd ve kernel panic problemi
Merhabalar, eger sorunun natd'den kaynaklandigindan eminseniz bence daha stabil bir surum/sistem ya da guvenlik duvari yazilimi kullanin(Packet Filter gibi). Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/26 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Arkadaşlar, bu konuda bilgisi olan yok mu? Natd kernel panic moda sokuyor ve freebsd ne kayıt alabiliyor ne de restart oluyor. Yardımcı olabilecek olan varsa halen çözüm bulamadığımı hatırlatayım dedim :) İyi çalışmalar. Murat Sürücü -Original Message- From: MURAT SÜRÜCÜ [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 7:12 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] Natd ve kernel panic problemi FreeBSD'de panic moda resetlenmesi için kerneli aşağıdaki gibi derlemek gerekiyormuş sanırım. -- makeoptions DEBUG=-g options KDB_UNATTENDED -- Yalnız bende işe yaramadı. Kernel panic moduna soktuğumda aşağıdaki gibi bir ekran çıkıp kalıyor, ne bu ekrandaki hataları bir dosyaya kaydedebildim, ne de hata olduğunda resetleyebildim sistemi :( -- #sysctl -w debug.kdb.panic=1 panic: kdb_sysctl_panic cpuid = 9 Uptime: 11m50s Physical Memory: 16370 MB Dumping 629 MB: Error dumping block 0x0 ** DUMP FAILED (ERROR 5) ** aac0: shutting down controller...FAILED. Automatic reboot in 15 seconds - press a key on the console to abort Rebooting... cpu_reset: Stopping other CPUs -- aac0 sanıyorum scsi kartı. Henüz bir çözüm bulamadım, fikri olan varsa her türlü fikre açığım. Teşekkürler. -Original Message- From: MURAT SÜRÜCÜ [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 5:37 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] Natd ve kernel panic problemi FreeBSD'de sanıyorum yok öyle bir şey, İçinde panic geçen sadece şu değişkenler var. # sysctl -d -a | grep panic kern.sync_on_panic: Do a sync before rebooting from a panic debug.ddb.textdump.do_panic: Dump kernel panic message in textdump debug.trace_on_panic: Print stack trace on kernel panic debug.debugger_on_panic: Run debugger on kernel panic debug.kdb.panic: set to panic the kernel machdep.enable_panic_key: Enable panic via keypress specified in kbdmap(5) machdep.panic_on_nmi: Panic on NMI Acaba başka bir yolunu bilen var mı? Bir de kernelde aşağıdaki seçenekleri ekleyip yeniden derledim. makeoptions DEBUG=-g options KDB options DDB options INVARIANTS options INVARIANT_SUPPORT options WITNESS Sizce çok performans kaybı yaşarmıyım, çünkü performans kaybı yaşayacağıma dair warning verdi açılışta. Kernelin Panic moduna neden düştüğünü anlamak için bunlarıda kernel'e eklemek gerektiğini anladım okuduklarımdan. Doğru mudur yaptığım şey? Ayrıca /etc/rc.conf içine de dumpdev=/dev/aacd1s1b satırını ve /etc/syslog.conf içine de *.err;kern.debug /var/log/hatalar.log Satırını ekledim. En azından panic modunda olduğunda ekrandakileri hatalar.log dosyasına alıyorum böylelikle değil mi? Teşekkürler :)) -Original Message- From: Huzeyfe ONAL(Gmail) [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 3:50 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Natd ve kernel panic problemi Merhabalar, OpenBSD'de #sysctl -w ddb.panic=0 komutu ile panic sonrasi otomatik reboot yaptirilabilyor. FreeBSD icin de sanirim benzer bir secenek vardi. Tabi bunun calismasi icin kernel'da bazi seceneklerin aktif edilmesi gerekebilir. http://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug-options. html Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/7 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Merhabalar, Ara sıra Natd yüzünden kernel panic hatası alıyorum. Makinede freebsd7.0 stable amd64 var. IPFW ile port açıp kapatma ve nat işlemleri yapılıyor makinenin üzerinde. Önceleri sık sık verirdi kernel panic, Özkan Bey'in tavsiyesi ile natd üzerine düşen yükü azaltmıştım. 2 haftadır vermiyordu kernel panic. Bu gece yine kernel panic hatası verip çakılmış sistem. Donanım hatası değil de fazla yüklenildiğinde sorun çıkarıyor sanırım natd. Tüm donanım testlerini yapmama rağmen bir sorun bulamadım çünkü. Saldırı altında iken sanıyorum sorun çıkıyor. Natd problemini aşmanın veya kernel panic olduğunda tüm ağın trafiğinin kesilmemesi için sistemi resetlemenin bir yolu var mıdır? Herkese teşekkürler. Murat Sürücü FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http
Re: [FreeBSD] squid ve https
Merhabalar, bu kullanmaya calistiginiz ozellik SSL bir web sitesini Squid ile karsilamak icin kullaniliyor. ornek; Internet kullanicilari---SSL---Squid(ssl karsilar)-CLEAR_TEXT---gercek websitesi Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/18 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Arkadaşlar squid üzerinde https transparent deniyorum ama bir türlü çalıştıramadım. OpenBSD üzerinde aşağıdaki versiyonla derledim; # squid -v Squid Cache: Version 2.6.STABLE18 configure options: '--datadir=/usr/local/share/squid' '--enable-auth=basic digest' '--enable-arp-acl' '--enable-basic-auth-helpers=NCSA YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user unix_group' '--enable-removal-policies=lru heap' '--enable-ssl' '--enable-storeio=aufs ufs diskd null' '--with-pthreads' '--localstatedir=/var/squid' '--enable-follow-x-forwarded-for' '--prefix=/usr/local' '--sysconfdir=/etc' '--mandir=/usr/local/man' '--infodir=/usr/local/info' 'CC=cc' 'CFLAGS=-O2 -pipe' Key leri şu şekilde oluşturdum; openssl genrsa -des3 -out privkey.pem 2048 openssl req -new -x509 -nodes -key privkey.pem -out cacert.pem -days 3650 Squid için önce şunu denedim ama hiç bir bağlantı sağlayamadım ; https_port 3129 transparent cert=/etc/squid/cacert.pem key=/etc/squid/privkey.pem Sonra şunu denedim ve aşağıdaki hatayı aldım; https_port 443 cert=/etc/squid/cacert.pem key=/etc/squid/privkey.pem TCP_DENIED/400 2646 GET error:invalid-request - NONE/- text/html Squid ile https transparent kullananların önerilerini bekliyorum. İyi çalışmalar ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Natd ve kernel panic problemi
Merhabalar, OpenBSD'de #sysctl -w ddb.panic=0 komutu ile panic sonrasi otomatik reboot yaptirilabilyor. FreeBSD icin de sanirim benzer bir secenek vardi. Tabi bunun calismasi icin kernel'da bazi seceneklerin aktif edilmesi gerekebilir. http://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug-options.html Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/7 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Merhabalar, Ara sıra Natd yüzünden kernel panic hatası alıyorum. Makinede freebsd7.0 stable amd64 var. IPFW ile port açıp kapatma ve nat işlemleri yapılıyor makinenin üzerinde. Önceleri sık sık verirdi kernel panic, Özkan Bey'in tavsiyesi ile natd üzerine düşen yükü azaltmıştım. 2 haftadır vermiyordu kernel panic. Bu gece yine kernel panic hatası verip çakılmış sistem. Donanım hatası değil de fazla yüklenildiğinde sorun çıkarıyor sanırım natd. Tüm donanım testlerini yapmama rağmen bir sorun bulamadım çünkü. Saldırı altında iken sanıyorum sorun çıkıyor. Natd problemini aşmanın veya kernel panic olduğunda tüm ağın trafiğinin kesilmemesi için sistemi resetlemenin bir yolu var mıdır? Herkese teşekkürler. Murat Sürücü FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf policy route+ squid tcp_outgoing_address ayarlari
Merhabalar, problem su ki Squid'de yaptiginiz tcp_outgoing_address ayarlamalari isletim sisteminde ek bir ayar olmadan dogrudan default gw'e gitmeye calisir. Bizim default gw e gitmeye calisan paketleri pf +route-to ile dogru arabirime yonlendirmemiz lazim Asagida kendi ortamimdan ornek kurallari aktariyorum siz de bunlara bakarak kendi ortaminiza uygun kurallari yazarsiniz. default gw 192.168.2.1 ext_if1 192.168.2.21 --default cikis arabirimi ext_if2 172.16.10.2 -- diger cikis arabirimi pf.conf - ext_if1=vic0 ext_if2=vic1 int_if=vic2 ext_gw1=192.168.2.1 ext_gw2=172.16.10.1 ... ... nat on $ext_if1 proto tcp from 172.16.10.2 to any - $ext_if2 ... pass out log(all)on $ext_if1 route-to{($ext_if2 $ext_gw2)} proto tcp from 172.16.10.2 to any port 80 keep state ... squid.conf ... acl ag src 192.168.80.1/255.255.255.255 acl ag2 src 192.168.80.10/255.255.255.255 tcp_outgoing_address 172.16.10.2 ag tcp_outgoing_address 192.168.2.21 ag2 Bu kurallarla default gw arabirimine giden paketler uygun bir sekilde dogru arabirime yonlendiriliyor. ps: Konu basligini daha anlasilir olmasi icin degistirdim. Ismail OZATAY yazmış: Merhaba ; Arkadaslar birkaç gündür pf ile policy routing deniyorum. Bir test ortamım var topoloji şöyle ; Sunucu : openbsd 4.3 stable 1. int : adsl 2.int : leased line 3.int: : dmz (real subnet mevcut bu bacak için nat yapmıyorum ) 4.int : internal 5 adet vlan tagged virtual interfaces ( vlan1.vlan5) Bu sunucu üzerinde pf, squid transparent ve ftp-proxy çalıştırıyorum. Default gateway adsl modemi verdim. Policy route yaptım vlan interfacelerden gelenleri adsl e dmz networkünü de leased line a yönlendirdim. Squid de tcp_outgoing_address dmz networkunu leased line subnetinden bir ip ile eşleştirdim. Bu şekilde iç networktekiler squid üzerinden internete çıkıyorlar çünkü default gw adsl. Fakat dmz internete çıkamıyor ( https, dns çalışıyor ) çünkü squid beni adsl den gönderiyor. Squid den dmz için çıkan trafiğin leased line yönlendirilmesini için birkaç deneme yaptım ama başaramadım. Keza öyle aynı sorun ftp içinde geçerli. İç network ftp ye rahatlıkla çıkıyor dmz yine gidemiyor. Sunucuya default gw girmeden sadece pf ile tüm yönlendirmeleri yapmayı denedim. Bu seferde caching nameserverı route edemedim. :) Aşağıda yaptığım configleri yolluyorum; pf.conf --- ll_if=sk0 ll_ip=212.212.1.1 ll_gw=212.212.1.2 dmz_if=sk1 dmz_net=100.100.100.0/24 dmz_ip=100.100.100.1 dsl_if=rl0 dsl_ip=10.1.1.1 dsl_gw=10.1.1.2 dsl_vlan1_ip=10.1.1.10 dsl_vlan2_ip=10.1.1.20 dsl_vlan3_ip=10.1.1.30 dsl_vlan4_ip=10.1.1.40 dsl_vlan5_ip=10.1.1.50 all_loc_if ={ vlan1, vlan2, vlan3, vlan4, vlan5 } nat on $dsl_if from all_net to any - $dsl_if rdr pass on $all_loc_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $dmz_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $all_loc_if proto tcp to port www - $lo_ip port 3128 rdr pass on $dmz_if proto tcp to port www - $lo_ip port 3128 block in log all block out log all pass out log on $ll_if inet proto tcp from $ll_if to any flags S/SA modulate state pass out log on $ll_if inet proto udp from $ll_if to any keep state pass out log on $ll_if inet proto icmp from $ll_if to any icmp-type echoreq keep state pass out log on $dsl_if inet proto tcp from $dsl_if to any flags S/SA modulate state pass out log on $dsl_if inet proto udp from $dsl_if to any keep state pass out log on $dsl_if inet proto icmp from $dsl_if to any icmp-type echoreq keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto tcp from $dmz_net to any port https flags S/SA keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto udp from $dmz_net to any port domain keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto icmp from $dmz_net to any icmp-type echoreq keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port ftp flags S/SA keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port 3128 flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto tcp from $int_net to any port https flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto udp from $int_net to any port domain keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto icmp from $int_net to any icmp-type echoreq keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port ftp flags S/SA keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port 3128 flags S/SA keep state squid.conf --- http_port 127.0.0.1:3128 transparent acl dmz src 100.100.100.0/255.255.255.0 tcp_outgoing_address 212.212.1.1 dmz Bu şekilde squid sorunumu nasıl çözebilirim. Teşekkürler Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen
Re: [FreeBSD] OpenBSD port sorunu
Merhabalar, amaciniz Bind'i dns cache poisoning acikligindan korumak ise bunu simdilik yama ile cozmenizi tavsiye etmem. ISC'nin Bind icin cikardigi yama cogu sistemde performans sorununa yol aciyor(listelerde ozellikle isp calisanlarinin sikayetleri donuyor). Bunun yerine kullandiginiz sistemde dns sorgularini pf kullanarak nat yaparsaniz daha efektif bir koruma saglamis olursunuz. On Wed, 2008-08-06 at 18:02 +0300, Ismail OZATAY wrote: Arkadaslar merhaba; OpenBSD 4.3 STABLE sunucum var. Bugün port ağacımı güncelledim bind kurulumu yapayım dedim bind yok işin garip tarafı pkg_add -r bind9 ftp de de yok. Isc nin sitesinden de kaldırmış. Sanırım güvenlik açığı yüzünden herkes paketi kaldırmış. Bind kurulumu için openbsd bir patch de yayinlamis ama neden kuruluma müsade etmiyorlar anlayamadım. Ne önerirsiniz? Kolay gelsin FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] OpenBSD port sorunu
Merhabalar, bind'i porettan kurmaniza gerek yok. Base sistemle birlikte Bind 9.4.2 geliyor. Ek olarak patch icin buraya[1] ve buraya [2]gozatabilirsiniz. [1]ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.3/common/004_bind.patch [2]http://www.undeadly.org/cgi?action=articlesid=20080723204659 Ismail OZATAY wrote: Eğer bind ı kurabilirsem yamamayı düşünüyorum ama port ta ve ftpde bind yok. isc de de yok. bind kuramıyorum. Neler oluyor anlamadım. :) - Original Message - From: Huzeyfe ONAL [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Thursday, August 07, 2008 12:15 AM Subject: Re: [FreeBSD] OpenBSD port sorunu Merhabalar, amaciniz Bind'i dns cache poisoning acikligindan korumak ise bunu simdilik yama ile cozmenizi tavsiye etmem. ISC'nin Bind icin cikardigi yama cogu sistemde performans sorununa yol aciyor(listelerde ozellikle isp calisanlarinin sikayetleri donuyor). Bunun yerine kullandiginiz sistemde dns sorgularini pf kullanarak nat yaparsaniz daha efektif bir koruma saglamis olursunuz. On Wed, 2008-08-06 at 18:02 +0300, Ismail OZATAY wrote: Arkadaslar merhaba; OpenBSD 4.3 STABLE sunucum var. Bugün port aÄYacımı güncelledim bind kurulumu yapayım dedim bind yok iÅYin garip tarafı pkg_add -r bind9 ftp de de yok. Isc nin sitesinden de kaldırmıÅY. Sanırım güvenlik açıÄYı yüzünden herkes paketi kaldırmıÅY. Bind kurulumu için openbsd bir patch de yayinlamis ama neden kuruluma müsade etmiyorlar anlayamadım. Ne önerirsiniz? Kolay gelsin FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, Freebsd de calismayip OpenBSD de calisan pf kurallarini gonderebilir misiniz. Baska bir problem olabilir zira Freesd 7 de route-to calisiyor. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/5 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] ssh-fingerprint
Selamlar, her iki tarafin keyleri varsa cozebilirsin. ssh_decoder adli bir uygulama vardi , kullanmadim ama guvenlik listelerinden birinde calistigini okumustum. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Cihangir Besiktas [EMAIL PROTECTED]: Bir ssh sunucusunun fingerprint i ile o sunucuya giden ve gelen encrypt edilmiş verileri decrypt edebilirmiyim? Evet ise nasıl bir çözüm önerirsiniz? Cihangir Besiktas Enderunix Akademi|Student Participant in Google Summer of Code 2008 www.enderunix.org|http://code.google.com/soc/2008/ FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, route-to kurallarinizin calismasi icin ilgili ip adreslerini dogru arabirimden nat yapmis olmaniz gerekir. nat on $LL from $DMZ_NET to any - $LL gibi bir kural eksik. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Ismail OZATAY [EMAIL PROTECTED]: Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Squid access.log
Merhabalar, yapilandirma dosyasini fazla kurcalamadiysaniz ssl sayfalari icin asagidaki gibi log gormeniz gerekiyor. 1216392606.547 56371 10.20.11.65 TCP_MISS/200 8565 CONNECT https://docs.google.com:443 10.20.11.65 DEFAULT_PARENT/127.0.0.1 - 1216392606.548 56373 10.20.11.65 TCP_MISS/200 40604 CONNECT https://store.willcom-inc.com:443 10.2.1.65 DEFAULT_PARENT/127.0.0.1 - 1216392606.549 56377 10.20.11.65 TCP_MISS/200 3237 CONNECT https://www.commerceonlinebanking.com:443 10.20.11.65 DEFAULT_PARENT/127.0.0.1 - https baglantilari sifreli oldugu icin tam url goremezsiniz sadece baglanilmak istenin domain ismi ya da IP adresi bilgisini gorebilirsiniz. Ali Akgun wrote: SSL_Port un önüne ! işareti koydum. !SSL_Port Https sayfalarına bağlanmakda bir sorunum yok. Bunları access.log da göremiyorum. Teşekkür ederim ilginiz için. *From:* Ali KAPUCU mailto:[EMAIL PROTECTED] *Sent:* Monday, July 28, 2008 9:21 AM *To:* freebsd@lists.enderunix.org mailto:freebsd@lists.enderunix.org *Subject:* RE: [FreeBSD] Squid access.log Buna göre connect metodu bağlanan ssl leri iptal etmiş oluyorsun. Yapmak istediğin tam olarak nedir. *From:* Ali Akgun [mailto:[EMAIL PROTECTED] *Sent:* Monday, July 28, 2008 1:43 AM *To:* freebsd@lists.enderunix.org mailto:freebsd@lists.enderunix.org *Subject:* [FreeBSD] Squid access.log Merhaba arkadaşlar, yardımcı olablirseniz sevinirim. Girilen web sayfalarını access.log dan görebiliyorum. Fakat ssl-https bağlantılarını göremiyorum. Https sayfalar cgi gibi cache'lenmeyen sayfalardır değil mi? acl SSL_Port port 443 acl CONNECT method CONNECT http_access deny CONNECT !SSL_Port Teşekkürler. Invite your mail contacts to join your friends list with Windows Live Spaces. It's easy! Try it! http://spaces.live.com/spacesapi.aspx?wx_action=createwx_url=/friends.aspxmkt=en-us __ Information from ESET NOD32 Antivirus, version of virus signature database 3301 (20080727) __ The message was checked by ESET NOD32 Antivirus. http://www.eset.com __ Information from ESET NOD32 Antivirus, version of virus signature database 3301 (20080727) __ The message was checked by ESET NOD32 Antivirus. http://www.eset.com FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] freebsd mount
Merhabalar, baglama islemi yaparken read-only secenegi ile dener misiniz? Ornek; mount -t ufs -o ufstype=ufs2,ro /dev/wda1 /mnt/ ces 200 yazmış: kurulu sistemim openbsd, bağlamaya çalıştığım sistem freebsd (ufs2) mount -t ufs -o ufstype=ufs2 /dev/wda1 /mnt/ yapıyorum olmuyor. büyük ihtimalle kurulumda bir hata var, kurarken de tanıtmamış olailir miyim hdd yi? 22 Mayıs 2008 Perşembe 11:25 tarihinde Ali KAPUCU [EMAIL PROTECTED] yazdı: openbsd bağlamaya çalışıyoruz dimi open kullandığı dosya sistemi ne 2008/5/21 ces 200 [EMAIL PROTECTED]: freebsd dosya sistemi neyse o olması lazım değiştirmedim. fdisk yaptığım zaman freebsd olarak görünüyor. 21 Mayıs 2008 Çarşamba 17:00 tarihinde Ali KAPUCU [EMAIL PROTECTED] yazdı: dosya sistemine göre değşiyor galiba..dosya sistemin nedir 2008/5/21 ces 200 [EMAIL PROTECTED]: merhaba arkadaşlar, freebsd kurulu bir hdd yi openbsd ye nasıl bağlayabilirim. teşekkürler FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Servis ve firewall iliskisi ??
Merhabalar, Linux iptables'la bunu yapabilirsiniz(l7-filter.sourceforge.net). Pf icin bu islemleri yapan bir ozellik henuz yok(belki de hic olmayacak) Ismail OZATAY wrote: Arkadaslar merhaba ; Bir konu hakkinda fikir paylasimi yapmak istiyorum. Meslek hayatimda iptables,pf ve checkpointle ilgilendim.Firewall rule larimizi yazarken su ip den gelen , hedefi sura olan 80 nolu porta izin ver diyoruz veya benzer sekilde smtp,pop3 gibi... Ornegin 80 nolu portu http icin kullanabilecegimiz gibi bunun uzerinden baska servisler de calistirabiliriz smtp ve pop3 gibi.Ben checkpoint te rule yazarken ekledigim servisler checkpoint tarafindan protocol check yapiliyordu.Yani surdan gelen suraya giden http ye izin ver derken orda illaki bir web sunucu http protokolu uzerinden hizmet veriyor olmali.Baska bir servis calisiyor ise checkpoint blokluyordu.Ben sahsen bunun checkpointe has bir ozellik mi yoksa boyle bir teknik var da ben mi bilmiyorum diye size bir danisayim dedim.Bu teknigi iptables da veya pf de kullanan var mi? Iyi calismalar Ismail OZATAY FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Proxy Sunucu Piyasası
Merhabalar, listenin arsivini biraz kurcalarsaniz sadece firewall, proxy vs gibi konularin konusulmadigini gorebilirsiniz. Siz uye olduktan sonra sadece belli konulari goruyor olmaniz bu konulardaki talebin fazla oldugunu ve soru soranlarin liste arsivini okumadan sorduklarini gosterir. onur gunduz wrote: 500 dolar da olabilir 5 bin ytl da olabilir. Piyasada çok uçuk paralara başarısız işler, çok az paralara da müthiş uygulamalar, ağ topolojileri falan çıkarıldığına tanık oldum. Bu, Ali kardeşimizin kendisini ve yaptığı işi pazarlama konusundaki başarısına kalmış. Lakin bulunduğumuz listenin FreeBSD ile ilgili olması gerekiyor sanırım, proxy sunucusu kurulumu sonunda ne kadar para kazanılabileceğiyle ilgili olmaması gerekiyor. Ki verilen örnekde bile Windows piyasasına değinilmiş. Bunun karşılığı bu denilmiş. Aslında, Ali kardeşimiz bu soruyu herhangi bir mailing listte, hatta [Windows] başlıklı bir listte de sorabilirmiş. Bu mailing listte FreeBSD mi tartışılıyor? Yoksa proxy sunucu kurulumundan nasıl para kazanılır stratejileri mi? Listeye üye olduğumdan beri tek gördüğüm firewall/proxy sunucu, squid kurulumu ile ilgili tartışmalar oldu. Bunun dışında merak ettiğim şeylere de zaten yanıt bulamadım. Ama anlaşılan o ki, zaten bir avuç kadar -ve bir çoğu ağ yöneticileri- olan Türk FreeBSD kullanıcıları sayısı benim geyik sinifina giren gereksiz replylarim ile beni cok degerli firewall bilgilerinden mahrum birakacaklar. How cruel *sigh* 2008/5/14 Baris Simsek [EMAIL PROTECTED] mailto:[EMAIL PROTECTED]: Merhaba, Oncelikle geyik sinifina giren gereksiz reply'lar ile liste uyelerimizin mail trafigini artirmayalim lutfen. Vakitleri cok kiymetli bircok insan bu listeye uye. Ki bu kisiler genelde calisan profesyoneller. Gereksiz mail trafigi onlarin bu listeden kacmasina, dolaysiyla onlarin yardimlarindan mahrum kalmamiz/niz anlamina gelir. FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] squid round-robin
Merhabalar, PF'de mark vs yapmaniza gerek yok , direkt hangi ip adresi/cidr blok/port numarasi/user vs nin hangi hattan gitmesini istiyorsaniz route-to, reply-to tanimlari ile yapabilirsiniz. Ismail OZATAY wrote: Veysi hocam ; policy routing yapmalisin.Bunun için linuxta iproute2 ve iptables ile yapiyorum ama pf de mark nasil yapilir bilmiyorum.diger arkadaslar umarim biliyordur.Bir de asagidaki linke bir goz atsan iyi olur. http://www.debian-administration.org/articles/379 Kolay gelsin ismail - Original Message - From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Tuesday, May 06, 2008 5:21 PM Subject: [FreeBSD] squid round-robin Ardakas?lar mrb, freebsd üzerinde pf+dansguardian+PF olan sistemde 2 adet adsl mevcut pf kullanarak ic agdan gelen istekleri 2 adsl yönledirmem ragmen 80 port cikislar? sadece default gw den çikmakta bunu nasil 2 gw de dagitabilirim yardimci olacak arkadaslara simdiden tesekkur ederim FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Failover PF hakkinda
Merhabalar, FreeBSD degil ama OpenBSD uzerinde benzeri bir sistem kurmustum. 10Mb trafik icin kullanabileceginiz en basit sistemi kullanabilirsiniz, ama tum paketleri loglama yapacaksaniz , uzerinde IDS/IPS gibi bir sistem de calistiracaksaniz 1GB ram, P4 bir makine isinizi gorur. 50Mb hat icin bu konfigurasyonu kullanmistim. Ismail OZATAY wrote: Arkadaslar merhaba ; altyapimizi metro ethernete geciriyorum.10 Mb trafikte failover pf kullanmak istiyorum.Bu linki http://www.familywilson.ca/pf-carp-freebsd-redundant-firewall/ inceledim.Guzel ve basit bir ornek.Bahsi gecen bu sistemi kuran arkadaslar var mi? 10 Mb trafigin hemen hemen cogunu tuketebiliriz ve bunun icin gun icinde ataklari da goze alirsak nasil bir donanim onerirsiniz.Sistem stabil calisiyor mu ? Tecrubelerinizi aciklar misiniz ? iyi calismalar ismail ozatay FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] [Fwd: OpenBSD 4.3 released May 1, 2008]
sys.tar.gz OpenBSD 4.3 includes artwork and CD artistic layout by Ty Semaka, who also arranged an audio track on the OpenBSD 4.3 CD set. Ports tree and package building by Antoine Jacoutot, Nikolay Sturm, Robert Nagy and Christian Weisgerber. System builds by Theo de Raadt, and Miod Vallat. X11 builds by Todd Fries. ISO-9660 filesystem layout by Theo de Raadt. We would like to thank all of the people who sent in bug reports, bug fixes, donation cheques, and hardware that we use. We would also like to thank those who pre-ordered the 4.3 CD-ROM or bought our previous CD-ROMs. Those who did not support us financially have still helped us with our goal of improving the quality of the software. Our developers are: Alexander Bluhm, Alexander von Gernler, Alexandre Anriot, Alexandre Ratchov, Anders Magnusson, Antoine Jacoutot, Artur Grabowski, Austin Hook, Bernd Ahlers, Bob Beck, Brad Smith, Bret Lambert, Can Erkin Acar, Chad Loder, Charles Longeau, Chris Kuethe, Christian Weisgerber, Christopher Pascoe, Claudio Jeker, Constantine A. Murenin, Dale Rahn, Damien Bergamini, Damien Miller, Daniel Hartmeier, Darren Tucker, David Gwynne, David Krause, Deanna Phillips, Eric Faurot, Esben Norby, Federico G. Schwindt, Felix Kronlage, Gilles Chehade, Gordon Willem Klok, Hans-Joerg Hoexer, Henning Brauer, Henric Jungheim, Hugh Graham, Ian Darwin, Igor Sobrado, Jacob Meuser, Jakob Schlyter, Janne Johansson, Jason Dixon, Jason McIntyre, Jasper Lievisse Adriaanse, Joel Knight, Joel Sing, Johan Mson Lindman, Jolan Luff, Jonathan Gray, Jordan Hargrave, Joris Vink, Kenneth R Westerback, Kevin Steves, Kjell Wooding, Kurt Miller, Landry Breuil, Laurent Fanis, Marc Balmer, Marc Espie, Marc Winiger, Marco Peereboom, Marco Pfatschbacher, Marco S Hyman, Marcus Glocker, Mark Kettenis, Mark Uemura, Markus Friedl, Martin Reindl, Martynas Venckus, Mathieu Sauve-Frankel, Mats O Jansson, Matthias Kilian, Matthieu Herrb, Michael Erdely, Michael Knudsen, Mike Belopuhov, Miod Vallat, Moritz Grimm, Moritz Jodeit, Niall O'Higgins, Nick Holland, Nikolay Sturm, Okan Demirmen, Oleg Safiullin, Otto Moerbeek, Owain Ainsworth, Peter Stromberg, Peter Valchev, Pierre-Yves Ritschard, Ray Lai, Reyk Floeter, Robert Nagy, Rui Reis, Ryan Thomas McBride, Saad Kadhi, Simon Bertrang, Stefan Kempf, Steven Mestdagh, Stuart Henderson, Ted Unangst, Theo de Raadt, Thordur I. Bjornsson, Tobias Stoeckmann, Tobias Weingartner, Todd C. Miller, Todd T. Fries, Tomoyuki Sakurai, Uwe Stuehler, Will Maier, Wim Vandeputte, Xavier Santolaria, Joshua Stein -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] pf kuralları
Merhabalar, pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state kuralinda ic agdan gelen smtp, pop vs isteklerin tum her yere gitmesine izin vermissiniz. Kuralinizi pass in quick log on $int_if proto tcp from $lan_net to* $FIREWALL_IC_IP_ADRESI p*ort { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state seklinde degistirirseniz kullanicilariniz sadece ic mail sunucu ile haberlesebilir. vys yazmış: Merhabalar, pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110 portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem ve mail sunucum aynı makine içerideki kullanıcılarımın sadece içerideki mail sunucumla haberleşmesini sağlıyorum firewall kurallarında mail sunucumun dışarı çıkmasına izin vermeme rağmen içerideki kullanıcılarda dışarıdaki bir mail sunucuyla bağlantı kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen neden dışarıya çıkar. kurallarda yapmış olduğum hatayı bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 ext_gw2 = 192.168.110.25 fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state ## # Firewalla izin veriliyor E7FDkFDFElar ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep state FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Usb den giris
Merhabalar, Bir zamanlar boyle bir ihtiyacim olmustu, pam_usb'yi denemistim, tam olarak isteginizi karsilar nitelikte. http://www.pamusb.org/ ibrahim demirel yazmış: Merhabalar, Aklımda soyle birsey var, Usb bellegi okuyarak login olabilecek bir sistem acilisi yapmak istiyorum, bununla ilgili calismasi veya bilgisi olan varmi,yani klavye den giris olmadan usb yi taktığımda otomati olarak login olacak bir sistem İlgili çalışmayı windows üzerinde yapmışlar. Linkler http://www.rohos.com/welcome-screen/screenshots.htm http://www.rohos.com/welcome-screen/ ve ayrica Smart Token kullanarak yine windows uzerinde yapilmis bir uygulama da var. yardimci olursaniz sevinirim kolay gelsin Be a better friend, newshound, and know-it-all with Yahoo! Mobile. Try it now. http://us.rd.yahoo.com/evt=51733/*http://mobile.yahoo.com/;_ylt=Ahu06i62sR8HDtDypao8Wcj9tAcJ%20 FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
RE: [FreeBSD] Freebsd + PF
Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port 25 keep state ## # Firewalla izin veriliyor ç?k??lar ## pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA keep state pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA keep state pass in quick on
RE: [FreeBSD] Freebsd + PF
Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state
RE: [FreeBSD] Freebsd + PF
Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor :-) _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya
Re: Fwd: [FreeBSD] ipfw ve kurallar...
Merhabalar, Nmap icin ayzdiginiz kurallar gereksiz. Kurallarinizin basina scrub in all yazarsaniz tum o yazdiklarinizin yerine gecer. Ek olarak acik portlariniz Nmap ile her zaman acik gorunecektir cunku portlariniz acik ve disariya servis vermektedir. Nmap'i ancak IPS benzeri bir sistemle (port taramalarini anlayabilen) engelleyebilirsiniz. Acik olan portlarinizin disardan gorulmesi cok da cekinilecek bir durum degil*, onemli olan o portlardan servis veren yazilimlarin guvenli olmasi. *Kafasina koymus, yeterli bilgiye sahip birinin sizin acik portlarinizi bulmasini engelleyemezsiniz. Sinan wrote: Hocam pf.conf assadaki gibi bende proftpd yi kaldirdim sistemden ssh uzerinden dosyalarımı gondericem su anda istediğim tek sey nmap yapilmamasi sisteme portlar taranamasın onunla ilgili altaki ruler ı yaptım fakat nmap -sT -O -P0 10.0.0.20 http://10.0.0.20 yaptiğimiz zaman yine acik olan portları gosterio bu ruler da eksik ne var hocam sizce ek olarak ne eklemem gerekiyor bu nmap da portlar gozukmesin die saygılar hocam... * ext_if=le0 ext_ip={10.0.0.19 http://10.0.0.19/ , 10.0.0.20 http://10.0.0.20/ } scrub in all pass quick on lo0 keep state pass in quick on $ext_if inet proto tcp from any to $ext_ip port {22, 80} keep state flags S/SA pass in quick on $ext_if inet proto tcp from any to $ext_ip port = 53 keep state flags S/SA pass in quick on $ext_if inet proto udp from any to $ext_ip port = 53 keep state #default to deny block in log all block out log all # Block bad tcp flags from malicious people and nmap scans block in log quick on $ext_if proto tcp from any to any flags /S block in log quick on $ext_if proto tcp from any to any flags /SFRA block in log quick on $ext_if proto tcp from any to any flags /SFRAU block in log quick on $ext_if proto tcp from any to any flags A/A block in log quick on $ext_if proto tcp from any to any flags F/SFRA block in log quick on $ext_if proto tcp from any to any flags U/SFRAU block in log quick on $ext_if proto tcp from any to any flags SF/SF block in log quick on $ext_if proto tcp from any to any flags SF/SFRA block in log quick on $ext_if proto tcp from any to any flags SR/SR block in log quick on $ext_if proto tcp from any to any flags FUP/FUP block in log quick on $ext_if proto tcp from any to any flags FUP/SFRAUPEW block in log quick on $ext_if proto tcp from any to any flags SFRAU/SFRAU block in log quick on $ext_if proto tcp from any to any flags SFRAUP/SFRAUP block in log quick on $ext_if proto tcp all flags FUP/FUP pass out quick on $ext_if inet proto tcp all modulate state flags S/SA pass out quick on $ext_if inet proto { udp, icmp } all keep state block in quick all block out quick all FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] ethernet bridge mode
Merhabalar, lagg daha farkli amaclarla kullaniliyor, mesela iki ethernet kartini tek bir kart gibi kullanarak daha fazla performans elde etme ya da iki ethernet kartini birbirini yedekleme amacli kullanim gibi. Sizin aradiginiz bridge fonksiyonu.(http://www.freebsd.org/cgi/man.cgi?query=brconfigsektion=8manpath=OpenBSD) Metin KAYA wrote: Merhaba Mesut Bey, FreeBSD-7.0-RELEASE ile gelen lagg(4) isinize yarar sanirim: http://www.freebsd.org/doc/en/books/handbook/network-aggregation.html freebsd de iki ethernet kartını sanki bir ethernet kartı gibi kullanmak için ne yapılması gerekmektedir. Ms sunuculardaki bridge mode gibi. iki interface birleştirilip tek interface yapılacak ve IP bu interface verilecek. örnek interface: fxp0 ve fxp1 -- İyi çalışmalar... Mesut GÜLNAZ -- Metin KAYA EnderUNIX Software Developer Endersys Software Engineer http://www.EnderUNIX.org/metinhttp://www.Endersys.com/ FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] openbsd 4.2 squid transparent ve NCSA
Merhabalar, transparan mod icin http authentication ozelligini yeniden derleseniz de kullanamazsiniz. Bu bahsettiginiz yeniden derleme Squid'in accelerator modda authentication ozelligini kullanmak icindir. Mehmet CELIK wrote: Selamlar, Squid-2.X serisinde, transparan modda authentication default olarak kapili geliyor. Bunun birkac sebebi var.. Birincisi Backend haberlesmeler de problem cikardigi icin, ikincisi de transparan proxy'nin varligini bilmeyen kisilerin cikan uyarilari okumamasi ve kimlik dogrulamaya guvenmemesi yuzunden kaynaklanmaktadir :)) Ikincisi biraz komik ama gercek.. Transparan modda calistigi icin kimse onemsemiyor ve bircok sosyal problemler cikiyor.. Temelde bu ozellik transparan mod icin aktif edilebilir.. Kullandiginiz Squid'in kaynak kodunda acl.c dosyasi icerisinde # define AUTH_ON_ACCELERATION 0 olan degeri 1 olarak degistirip yeniden derlerseniz, istediginiz sekilde calisacaktir.. -- Mehmet CELIK From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Date: Thu, 7 Feb 2008 08:19:04 +0200 Subject: [FreeBSD] openbsd 4.2 squid transparent ve NCSA Herkese merhaba, openbsd 4.2 kurulu bir firewal üzerinde squid 2.6-13 transparent olarak kurulu. Sorunsuz çalışıyor. Yapmak istediğim ise squid’in NCSA authentication yapması. İnternetten bulduğum dökümanlar ile squidi ayarladım. Squid transparent modda olduğu için kullanıcı tarafında explorerda herhangi bir ayar yapmıyorum böyle olunca kullanıcı adı ve şifre sormuyor. Ancak explorerda proxy ayarlarını yaparsam o zaman NCSA çalışıyor. Acaba squid transparent modda ncsa desteklenmiyormu? Yoksa atladığımız bir yer mi var? Şimdiden herkese teşekkürler. Zeynel BÜYÜK _ Need to know the score, the latest news, or you need your Hotmail®-get your fix. http://www.msnmobilefix.com/Default.aspx FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] MAC eslesmesi
Merhabalar, sadece mac adresine gore yapacaginiz filtremeyi asmak cok kolay olacaktir. Agda trafigi izleyen birisi izinli MAC adreslerinden birini uzerine alarak erisim politikanizi asabilir. Firewall uzerinde ip-mac sabitlemesi yaparsaniz ve sadece izinli ip adreslerine erisim tanimlarsaniz bu tip degisiklik yaparak erisim kurallarini asmaya calisanlar yerel aga hapsolur. Detayli bilgi icin: http://blog.lifeoverip.net/index.php/2007/08/27/firewallrouterdan-ip-mac-degisimini-kontrol-etmek/ Gökhan Mollamegmetoglu wrote: Merhaba, firewal olarak iptables kullanmaktayiz.Istiyoruz ki izin verilen MAC lerin disinda hiç bir makine internete baglanamasin.Bunu nasil yapabiliriz. - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf ve nat
Merhabalar, ic agdaki kullanicilara kisitli internet vermek istiyorsaniz bunu NAT tanimlari ile degil de filtreleme kurallari ile yapmayi deneyin. izinli_kullanicilar= { ip adresleri} izinli_portlar = { port2 port 5 ...} sonrasinda filtreleme tarafinda pass in on $int_if proto tcp from $izinli_kullanicilar to any port $izinli_portlar keep state gibi kurallar yazabilirsiniz. afsin cakir wrote: Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar içinmi nat yapmam gerekiyor.. Date: Fri, 18 Jan 2008 21:46:05 +0200 From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ve nat Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL http://www.lifeoverip.net Trust, but Verify! R.R _ Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava durumu ve çok daha fazlası. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf ve nat
Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] snort 6.0 installation problem
Merhabalar, Snort 2.8 ve imzalarini snort.org'a uye olarak indirebiliyorsunuz. Download Rules kismindaki Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release) alt menusunu kullanarak guncel imzalari indirebilirsiniz. Kemalettin YILDIZ wrote: Merhaba Huzeyfe Bey, snort 2.6 evet snort'a uye oldum ardindan snort 2.8 ve imzalar ucretli sanirim elinizde varsa yada download edebilcegim biryerde varsa paylasiminizi rica ederim saygilarimla.. Huzeyfe ONAL [EMAIL PROTECTED] wrote: Merhabalar, Snort 2.6 demek istediniz sanirim. Problem kullandiginiz Snort versiyonu ile imzalarin uyumsuzlugu. Cozum icin ya Snort'u guncelleyin ya da problem cikaran ilgili satirlari(../rules/telnet.rules )baslarina # ekleyerek iptal edin. Ama baska kural setlerinde de benzer hatalarla karsilasabilirsiniz. En sagliklisi Snort 2.8 kurup guncel imzalarla calismak. Kemalettin YILDIZ wrote: merhaba arkadaslar, snort kurulumunda soyle bir problem aliyorum path'lerini kontrol ettigimde duzgun herhangi bir problem yok,boyle bir problemle karsilasan oldumu olduysa bu konuda yardimlarinizi bekliyorum.. FATAL ERROR: ../rules/telnet.rules(43): unknown modifier relative,rawbytes sevgiler.. - Sent from Yahoo! - a smarter inbox. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] freebsd ssh baglantisi sessionu
Merhabalar, 10 20 saniye cok kisa bir deger zaman asimi icin. Benzeri problemi ben de yasiyordum http://blog.lifeoverip.net/index.php/2007/10/26/ssh-baglantilarinda-timeout/ adresindeki gibi cozdum. Sizinki de benzer bir problem olabilir. Fatih Ekrem Genc wrote: ilgili satir yarum seklinde idi #LoginGraceTime 20m # burdaki *m* sanirim millisecond oluyor Seklinde degistirdim. LoginGraceTime 11600m ama para etmedi sanirim sorun baska bisey . On Dec 4, 2007 12:15 AM, Gokhan Bayraktar [EMAIL PROTECTED] wrote: Grace time değerine bakın, belli bir süre idle (boşta) kalırsanız sshd_config deki bu ayar sizi dışarı atıyor olabilir. Fatih Ekrem Genc yazmış: selam kurulu sadece tek bir freebsd serverim var. freebsd server ile winxp putty ssh client arasindak kurdugum ssh baglantisi 10 20 saniye kullanmadigim zaman baglanti kopuyor. bu bir cesit güvenlik önemi mi? yoksa baglantikda bir sorun mu var? - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] Bind DNS
Merhabalar, http://blog.lifeoverip.net/index.php/2007/09/04/dns-sunucularda-acl-kullanimi/ adresindeki bilgi isinizi gorecektir. Gökhan Mollamehmetoğlu wrote: Merhaba, Bind DNS kurulu bir sistemde farklı IP lerden gelen query lere farklı sonuçlar gönderme yapabilirmiyim.Örneğin ktudaks.ktu.edu.tr adresi 194.27.90.0 networkünden gelen isteklerde çözülsün diğer tüm hostlardan gelen isteklerde çözülmesin gibi bir konfigürsyon yapılabilirmi -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf firewall
Merhabalar, ic arabirime gelen paketlerin min. ttl degerini iki yaptiginiz icin firewall gozukmuyor(ilk arabirime ttl degeri 1 olarak gelen paketin ttl degeri 2 yapilarak bir sonraki duraga gonderiliyor) olsa da ic agdaki ip-arp ikilisini bilen bir kullanici bu ciktiya bakarak aradaki firewall'u cok rahatlikla kesfedebilir. Tam bir gorunmezlik isterseniz FreeBSD makineyi bridge modda calistirmayi deneyebilirsiniz. Arda bozkurt wrote: selam arkdaslar freebsd 6.2 ustune pf ve squid kurulu. Trace cekildiginde firewall'in gorunmemesi icin ne yapmaliyim. 192.168.2.0/24 -- BSD -- 192.168.1.0 -- ADSL Modem -- INT 2.22 --| |-- 1.2 1.1 --| Not: scrub in on $int_if min-ttl 2seklinde denedigimde asagidaki gibi bir cikti aliyorum 1 2 ms 1 ms 1 ms 192.168.1.1 2 4 ms 1 ms 1 ms 192.168.1.1 356 ms59 ms14 ms dsl.static8 normal cikti 11 ms1 ms 1 ms 192.168.2.22 2 4 ms 1 ms 1 ms 192.168.1.1 317 ms12 ms11 ms dsl.static81 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
[FreeBSD] [Fwd: Some thoughts on security after ten years of qmail 1.0]
qmail yazari Djb'den 10 yil sonra qmail ve guvenli tasarimi uzerine bir makale... Makale daha cok gelistiricilere hitap etse de qmail'in guvenligi, performansi ve isleyisi hakkinda detay bilgiye sahip olmak isteyenler icin de saglam bir kaynak olabilir. Original Message I just noticed Dan has a new paper on qmail and security: http://cr.yp.to/qmail/qmailsec-20071101.pdf -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
[FreeBSD] [Fwd: OpenBSD 4.2 release November 1, 2007]
easily. Be sure to try out xdm(1) and see how we have customized it for OpenBSD. The OpenBSD ports tree contains automated instructions for building third party software. The software has been verified to build and run on the various OpenBSD architectures. The 4.2 ports collection, including many of the distribution files, is included on the 3-CD set. Please see the PORTS file for more information. Note: some of the most popular ports, e.g., the Apache web server and several X applications, come standard with OpenBSD. Also, many popular ports have been pre-compiled for those who do not desire to build their own binaries (see BINARY PACKAGES, below). A large number of binary packages are provided. Please see the PACKAGES file (ftp://ftp.OpenBSD.org/pub/OpenBSD/4.2/PACKAGES) for more details. The CD-ROMs contain source code for all the subsystems explained above, and the README (ftp://ftp.OpenBSD.org/pub/OpenBSD/4.2/README) file explains how to deal with these source files. For those who are doing an FTP install, the source code for all four subsystems can be found in the pub/OpenBSD/4.2/ directory: xenocara.tar.gz ports.tar.gz src.tar.gz sys.tar.gz OpenBSD 4.2 includes artwork and CD artistic layout by Ty Semaka, who also arranged an audio track on the OpenBSD 4.2 CD set. Ports tree and package building by Antoine Jacoutot, Peter Valchev, Robert Nagy and Christian Weisgerber. System builds by Theo de Raadt, Kenji Aoyama, and Miod Vallat. X11 builds by Todd Fries. ISO-9660 filesystem layout by Theo de Raadt. We would like to thank all of the people who sent in bug reports, bug fixes, donation cheques, and hardware that we use. We would also like to thank those who pre-ordered the 4.2 CD-ROM or bought our previous CD-ROMs. Those who did not support us financially have still helped us with our goal of improving the quality of the software. Our developers are: Alexandre Anriot, Antoine Jacoutot, Aleksander Piotrowski, Kenji Aoyama, Artur Grabowski, Anil Madhavapeddy, Bob Beck, Bernd Ahlers, Bjorn Sandell, Alexander Bluhm, Camiel Dobbelaar, Can Erkin Acar, David Cathcart, Charles Longeau, Chris Kuethe, Claudio Jeker, Chad Loder, Constantine A. Murenin, Damien Couderc, Damien Bergamini, Dan Harnett, David Collins, David Krause, David Berghoff, Deanna Phillips, Theo de Raadt, Daniel Hartmeier, David Hill, Dimitry Andric, Damien Miller, David Gwynne, Don Stewart, Dale Rahn, Darren Tucker, Eric Faurot, Marc Espie, Federico G. Schwindt, Felix Kronlage, Mike Frantzen, Gilles Chehade Alexander Yurchenko, Alexander von Gernler, Gordon Willem Klok, Henning Brauer, Henric Jungheim, Hans Insulander, Hakan Olsson, Hans-Joerg Hoexer, Hugh Graham, Ian Darwin, Jun-ichiro itojun Itoh Hagino, Jakob Schlyter, Jared Yanovich, Jason Wright, Jacob Meuser, Jasper Lievisse Adriaanse, Joshua Stein, Jason Dixon, Janne Johansson, Jason McIntyre, Joel Knight, Jolan Luff, Jordan Hargrave, Joris Vink, Jonathan Gray, Jan-Uwe Finck, Mark Kettenis, Kevin Lo, Matthias Kilian, Kenjiro Cho, Kjell Wooding, Kenneth R Westerback, Kurt Miller, Mats O Jansson, Marco S Hyman, Marco Peereboom, Marc Matteo, Markus Friedl, Martin Reindl, Martynas Venckus, Matthieu Herrb, Marc Balmer, Ryan Thomas McBride, Michael Erdely, Marcus Glocker, Moritz Grimm, Michele Marchetto, Todd C. Miller, Miod Vallat, Michael Coulter, Michael Knudsen, Moritz Jodeit, Marco Pfatschbacher, Mathieu Sauve-Frankel, Christian Weisgerber, Nathan Binkert, Niall O'Higgins, Nick Holland, Nils Nordman, Esben Norby, Thomas Nordin, Otto Moerbeek, Christopher Pascoe, Patrick Latifi, Philipp Buehler, Peter Valchev, Pierre-Yves Ritschard, Alexandre Ratchov, Ray Lai, Robert Nagy, Reyk Floeter, Rui Reis, Saad Kadhi, Simon Bertrang, Stephen Kirkham, Igor Sobrado, Steven Mestdagh, Kevin Steves, Stuart Henderson, Nikolay Sturm, Ted Unangst, Thordur I. Bjornsson, Tobias Stoeckmann, Todd T. Fries, Tom Cosgrove, Uwe Stuehler, Tobias Weingartner, Peter Stromberg, Marc Winiger, Wim Vandeputte, Xavier Santolaria. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] dosya bütünlüğü
Merhabalar, md5, sha1 gibi araclarla sadece dosyanin iceriginin degisip degismedigi kontrol edilebiliyor. Dosyanin izinlerinin vs degismesi ile ilgili kontrol isterseniz Samhain, Osiris, Tripwire gibi daha ileri seviye bir yazilima ihtiyaciniz var. Benim tavsiyem Samhaini kullanmaniz. http://www.la-samhna.de/library/scanners.html adresinde Integrity Checker araclarinin guncel ve guvenilir karsilastirmasini inceleyebilirsiniz. Mesut GÜLNAZ wrote: Sistem içerisinde oluşturulan yakşalık 4.3 GB lik bir dosyanın değiştirilmediğini, değiştirilemez olduğunu, en son işlem tarihinden bu ana kadar herhangi bir işlem görmediğini kanıtlamak için ne önerirsiniz ya da sizler ne kullanıyorsunuz. Tabiki bunda zaman damgası vs da söz konusu. Hash olmalı sanırım ama nasıl? İyi çalışmalar... Mesut GÜLNAZ -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] Bir ip blogunun aylik paket alis veris byte toplamini nasil bir tool ile görebilirim?
Merhabalar, bu konuda cesitli araclar var. Benim tercihim yerine gore Bandwidthd ve Ntop. Her ikisinin de web arabirimi var. Yavuz Maslak wrote: Merhaba Bir ip blogunun aylik paket alis veris byte toplamini nasil bir tool ile görebilirim? Sonuçlari web olarak da görebilir miyim? - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] openvpn
Merhabalar, OpenVPN kendi istemci ve sunucu yazilimi ile calisan bir VPN uygulamasidir. Bu yuzden hariciden bir uygulama ile kullanamazsiniz. OpenVPN yonetimi icin web/gui olmak uzere cesitli uygulamalar var. http://sourceforge.net/search/?type_of_search=softwords=openvpn adresine bakacak olursaniz isinize yarayacak bir uygulamayi bulabilirsiniz. Arda bozkurt wrote: selam arkadaslar openvpn'e vpn destegi olabin bir adsl modemi register edebilirmiyim, birde openvpn serverda user accountlarini vs. yonetebilecegim bir gui varmi? iyi calismalar Arda signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf ip forwarding
Merhabalar, pass in on $int_if route-to { $ext_ifx 1.1.1.1 } from 1.1.1.25 to any gibi bir tanim kullanabilirsiniz. Arda bozkurt wrote: herkese selamlar, ipfw kullaniyorum ve PF testi icin bir makina kurdum. ipfw'de add fwd 1.1.1.1 ip from 1.1.1.25/32 to any gibi bir satirla source adresine gore farkli iplere route edebiliyorum. acaba ayni seyi PF ilede yapabilirmiyim. Iyi calismalar Arda signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: Re: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtrel
Merhabalar, olaya yine tesrsinden bakmaya calisiyorsunuz:).. IP adresini degistiren cok rahat mac adresini de degistirebilir. Cozum MAC adresi ile filtreleme degil. Eger dedigim yontemi anlayarak uygularsaniz sizin ortaminiz icin de calisacaktir. Ornek verelim; PF ile 10 adet IP adresine internet erisimi vermis olun ve bu ip adreslerine ait mac adreslerini sisteme sabit olarak girilmis olsun. 192.168.0.2 11:22:33:44:55:.. 192.168.0.3 11:22:33:00:55:.. 192.168.0.4 11:22:33:22:55:.. 192.168.0.5 11:22:33:33:55:.. 192.168.0.6 11:22:33:44:55:.. 192.168.0.7 11:22:33:66:55:.. ... bu tanimli ip adreslerinden baska ip adreslerini internete cikarmayacak sekilde PF ile gerekli kurallari girdiginizi varsayiyorum. Sonrasinda yaramaz calisaniniz ip adresini bu iplerden biri olarak degistirirse internete cikamayacaktir neden mi? Mesela kendi ip adresini 192.168.0.3 yapti ve firewall'a erismeye calisti. Firewall'da 192.168.0.3 11:22:33:00:55:.. seklinde bir kayit var. Yani 192.168.0.3 ip adresine giden paketleri dogrudan 11:22:33:00:55:.. mac adresine gonderilecektir diye. Arkadasin istekleri firewall'a gelecek fakat cevaplari ona donmeyecektir. Biraz daha anlasildi mi? Merhabalar, Cevap gecikti kusura bakmayin. Tum makinalar icin kayit girmedim. Network'te ip'leri dhcp dagitiyor. Normalde kullanicilarin makinanin admin sifresini bilmemesi gerekiyor ancak orada bulunan yonetici arkadasimiz anlasilan o ki admin sifresini paylasiyor. Ben bu network'e uzaktayim. Gidip tek tek MAC adreslerini kontrol edip o kisiyi tespit etmek mumkun ama bu hem zaman hem de mekan olarak mumkun degil benim acimdan. Bunun yerine MAC adresini bildigim bu makinanin tum internet trafigini kesebilirsem o vatandas zaten tipis tipis bana gelecek. Bu nedenle bahsettiginiz cozum benm sorunuma deva olmuyor. Vatandas elle farkli ipler veriyor. Bu dhcp havuzundan oldugu icin agin da dengesini bozuyor. Ben aldigi bir ip'yi yasakliyorum PF ile, o gidip farkli bir ip atiyor makinasina. Bu iddialasma boyle devam ediyor. Bu nedenle bana MAC adresi filtreleme gerekiyor sanirim. Saygilarimla.. --- Abdullah OZTURK [EMAIL PROTECTED] wrote: Network deki butun makinalarin kaydini girdiniz mi? -Original Message- From: Bedreddin Å#65533;AHBAZ [mailto:[EMAIL PROTECTED] Sent: Monday, August 20, 2007 4:01 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: Re: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtreleme Merhabalar, Cakisma olabilir tabii. Arkadas deneye yanila ve networkun icine ederek bosta bir ip buluyor neticede :( Saygilarimla.. --- Abdullah OZTURK [EMAIL PROTECTED] wrote: Huzeyfe bey, Asagidaki gibi bir senaryo gerceklestirse isini gorur diye dusunuyorum tabi sizing farkli bir aciliminiz varsa onu da ogrenmek isterimâ#65533;¦ Static arp kaydi network deki butun makinalarin arp kaydini girmeniz gerekir o zaman performansli calisir diye dusunuyorum aksi halde static arp kaydi girmediginiz bi ip den baglanti yapabilirâ#65533;¦.. Umarim isinize yararâ#65533;¦. Selamlar abdullah From: Huzeyfe ONAL [mailto:[EMAIL PROTECTED] Sent: Monday, August 20, 2007 3:29 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Yanıt: Re: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtreleme Merhabalar, bu durumda bir grup ip adresine erisim verdiniz ve arkadas kendi ip adresini bu grup icerisinden bir ip adresi ile ayni olacak sekilde degistiriyor? O zaman ortamda IP cakismasi olmuyor mu? Bedreddin Å#65533;AHBAZ wrote: Merhabalar Huzeyfe Bey, Bu cevabinizi gormeden bir soru yazdim onu dikkate almayiniz lutfen. Agda iplerle ilgili kisitlamalar elbette var. Benim derdim soyle birsey; Squid loglarinda bir ip adresi gordum. Interneti suistimal ediyordu. Bu ipnin MAC adresini buldum. MAC adresine gore DHCP^'den ayni ip yi almasini sagladim ve bu ip nin internet trafigini PF ile kestim. Ancak kullanici makinanin yonetici sifresini biliyor. Ag ayarlari ile oynayarak ip adresini otomatik aldan el ile vermeye gecirdi. Bu ag ile ayni lokasyonda degilim. Makina sayisi cok fazla. Bu kisiyi bulmanin en kolay yolu internete erisimini kesmem. Bu oldugunda kendisi tipis tipis gelecektir nasil olsa. Saygilarimla.. --- Huzeyfe ONAL mailto:[EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Merhabalar, siz IP bazinda kisitlama yapmiyor musunuz? Aginiza giren herhangi biri rastgele ip adresi alarak internete cikabiliyorsa zaten problem vardir ve cozumu bu onerdigimiz yontem degildir. Ek olarak agda bulunan tum ip-mac ciftlerini edinmek icin tum aga ping (fping
Re: [FreeBSD] Yanıt: Re: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtreleme
Merhabalar, bu durumda bir grup ip adresine erisim verdiniz ve arkadas kendi ip adresini bu grup icerisinden bir ip adresi ile ayni olacak sekilde degistiriyor? O zaman ortamda IP cakismasi olmuyor mu? Bedreddin #350;AHBAZ wrote: Merhabalar Huzeyfe Bey, Bu cevabinizi gormeden bir soru yazdim onu dikkate almayiniz lutfen. Agda iplerle ilgili kisitlamalar elbette var. Benim derdim soyle birsey; Squid loglarinda bir ip adresi gordum. Interneti suistimal ediyordu. Bu ipnin MAC adresini buldum. MAC adresine gore DHCP^'den ayni ip yi almasini sagladim ve bu ip nin internet trafigini PF ile kestim. Ancak kullanici makinanin yonetici sifresini biliyor. Ag ayarlari ile oynayarak ip adresini otomatik aldan el ile vermeye gecirdi. Bu ag ile ayni lokasyonda degilim. Makina sayisi cok fazla. Bu kisiyi bulmanin en kolay yolu internete erisimini kesmem. Bu oldugunda kendisi tipis tipis gelecektir nasil olsa. Saygilarimla.. --- Huzeyfe ONAL [EMAIL PROTECTED] wrote: Merhabalar, siz IP bazinda kisitlama yapmiyor musunuz? Aginiza giren herhangi biri rastgele ip adresi alarak internete cikabiliyorsa zaten problem vardir ve cozumu bu onerdigimiz yontem degildir. Ek olarak agda bulunan tum ip-mac ciftlerini edinmek icin tum aga ping (fping) atarsiniz sonrasinda arp -an komutu ile acik olanlarin kayitlarini otomatik alabilirsiniz. Ama oncelikli olarak yapmaniz gereken hangi ip adreslerinin internet erisimi olmasi gerektigini belirlemek ve bu ip adresleri disindakilere erisimi Firewall araciligi ile yasaklamak. Sonrasinda bu yontem ise yarayacaktir. Bedreddin ŞAHBAZ wrote: Merhabalar, Bu cozum pek de efektif olmuyor bu durumda. Agdaki makinanin kime ait oldugunu bilmiyorum ve internete cikisini yasaklamak istiyorum. Kullanici surekli ip degistiriyor. 100 tane makinanin MAC adresini tek tek aramak gerekecek sanirim :((( Saygilarimla.. --- Abdullah OZTURK [EMAIL PROTECTED] wrote: Sonu 151 ve 152 icin de arp kaydi girerseniz o zaman baglanamaz ama degistirmis oldugu ip de arp kaydi yoksa baglanti devam eder. -Original Message- From: Bedreddin ŞAHBAZ [mailto:[EMAIL PROTECTED] Sent: Monday, August 20, 2007 12:22 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtreleme Merhabalar, Abdullah Bey. Yontemi deniyorum ancak bir sorun var gibi geliyor bana. Ilgili ciktilar soyle; # arp -a | grep :61 ? (10.34.61.151) at 00:e0:91:02:ee:61 on em0 [ethernet] ? (10.34.61.152) at 00:e0:91:02:ee:61 on em0 permanent [ethernet] Baglantisini kesmek istedigim MAC adresi yukarida. Dosyadan verdigim arp kayidi gorunuyor. tcpdump ile gordugum trafikte ise sanki hic etki etmemis gibi statik arp kaydi; 00:e0:91:02:ee:61 00:0e:0c:c2:c8:05, ethertype IPv4 (0x0800), length 629: 10.34.61.151.1590 200.88.125.9.80: P 29557:30132(575) ack 27914 win 64654 00:0e:0c:c2:c8:05 00:e0:91:02:ee:61, ethertype IPv4 (0x0800), length 493: 200.88.125.9.80 10.34.61.151.1585: P 12266:12705(439) ack 31173 win 65535 00:e0:91:02:ee:61 00:0e:0c:c2:c8:05, ethertype IPv4 (0x0800), length 632: 10.34.61.151.1594 200.88.125.9.80: P 11310:11888(578) ack 8914 win 65535 00:e0:91:02:ee:61 00:0e:0c:c2:c8:05, ethertype IPv4 (0x0800), length 629: 10.34.61.151.1585 200.88.125.9.80: P 31173:31748(575) ack 12705 win 64657 Makina hala trafik aliyor gibi. Nerede hata yapiyorum acaba? Saygilarimla.. --- Abdullah OZTURK [EMAIL PROTECTED] wrote: Bir dosya olusturuyorsunuz icine asagidaki formatta ip leri giriyorsunuz 192.168.1.68 00:80:48:2c:b4:34 permanent Arp -f /dosya/ismi O kadar sonra ip adresini degistirirse gecise izin vermiyor Bu bilgi icin huzeyfe beye tesekkurler benim cok isimi gordu... :) Kolay gelsin.. abdullah -Original Message- From: Bedreddin ŞAHBAZ [mailto:[EMAIL PROTECTED] Sent: Thursday, August 16, 2007 3:30 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Yanıt: RE: [FreeBSD] Yanıt: [FreeBSD] Re: PF ile MAC Adresine Gore Filtreleme :) Biraz utanarak Huzeyfe Beyin blogunda yazili olan yontemi ben tam olarak anlayamadim. Nasil yapabiliriz acaba :( Saygilarimla.. --- Abdullah OZTURK [EMAIL PROTECTED] wrote: Bende ayni problemden muzdarip idim ama huzeyfe beyin isaret etmis oldugu yerde yontemle static mac kayiti tutarak dan bu problem hallettim ayrica arp zehirlemelerini de onluyebiliyorsun bu yolla -Original Message
Re: [FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, PF bridge modda calisiyorsa brconfig ve tagleri kullanarak MAC adresine gore filtreleme yapabilirsiniz. Ama bu yontemi atlatmak MAC adresini degistirmek kadar kolaydir. Bunun yerine http://blog.huzeyfe.net/index.php?op=ViewArticlearticleId=258blogId=1 adresinde bahsettigim yontemi denemek daha saglikli ve kesin cozum. Kisaca yapilan gatewayde kullanicilarin IP-MAC'lerini statik ve sabit olarak tanimlayip IP adresine gore kural yazmak. IP adresini ya da MAC adresini degistiren kullanicinin gateway ile baglantisi kesileceginden internete cikamayacaktir. Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] :Cannot HTTP Port hatası
Merhabalar, # squid -k check komutunun ciktisini gonderebilir misiniz. Hangi satirda nasil bir hata oldugunu soyleyecektir. Herkese merhaba, FreeBSD 6.2 üzerine Squid kurup taransparent olarak çalıştıracaktım fakat Squid start ettirdiğim zaman (Squid):Cannot HTTP Port hatsını alıyorum. 3128 port numarasını değiştirip farklı bi port numarası versemde yine aynı hataları alıyorum . İntenette bu hata ile ilgili araştırma yaptığım da herhangi bir sonuca ulaşamadım. bu hatayı nasıl giderebilirim veya atlamış olduğum bir yer mi var çözemedim. Teşekkürler, - Looking for a deal? Find great prices on flights and hotels with Yahoo! FareChase. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] :Cannot HTTP Port hatasý
Merhabalar, -k check komutu squid calisirken ise yarar. squid -k parse komutu sistem calismazken de ise yarar. -k parse ile bir sonuc alamazsaniz Squid'i calistirirken -d 4 parametresi ekleyip deneyin, bu daha fazla bilgi verecektir. Bir de hata tam olarak nedir? Cannot open HTTP Port mu diyor.. Ömer Koyun wrote: Merhaba Huzeyfe bey, Bilgileriniz için teþekkürler # squid -k check komutunu kullandýðým zaman ise aþaðýdaki hatayý alýyorum squid: ERROR: Could not send signal 0 to process 899: (3) No such process Teþekkürler Huzeyfe ONAL [EMAIL PROTECTED] wrote: Merhabalar, # squid -k check komutunun ciktisini gonderebilir misiniz. Hangi satirda nasil bir hata oldugunu soyleyecektir. Herkese merhaba, FreeBSD 6.2 üzerine Squid kurup taransparent olarak çalýþtýracaktým fakat Squid start ettirdiðim zaman (Squid):Cannot HTTP Port hatsýný alýyorum. 3128 port numarasýný deðiþtirip farklý bi port numarasý versemde yine ayný hatalarý alýyorum . Ýntenette bu hata ile ilgili araþtýrma yaptýðým da herhangi bir sonuca ulaþamadým. bu hatayý nasýl giderebilirim veya atlamýþ olduðum bir yer mi var çözemedim. Teþekkürler, - Looking for a deal? Find great prices on flights and hotels with Yahoo! FareChase. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Luggage? GPS? Comic books? Check out fitting gifts for grads at Yahoo! Search. signature.asc Description: OpenPGP digital signature
[FreeBSD] [Fwd: {Belge} Hping kullanarak TCP/IP Paketleri ile Oynamak]
Merhabalar, Hping kullanarak TCP/IP Paketleri ile Oynamak konulu hazirladigim belgeye http://www.lifeoverip.net/docs/hping.pdf adresinden erisilebilir. signature.asc Description: PGP signature signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] vpopmail Adres Listesi
merhabalar, Vpopmail'in Ldap/OpenLdap destegi var. vpopmail'i indirdiginizde README.ldap diye bir dosya olmali orada nasil yapilandiracaginiza dair bilgiler var. Vpopmail'de tanımla posta kutularına ait mail adreslerini Outlook da openldap dizinin de görebilir miyim vpopmail openldap desteği varmı? Teşekkürler. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] Gateway
Merhabalar, modeme/internete ulasabilmek icin FreeBSD makinede NAT yapmaniz gerekir. LAN--em1--em0-ADSL modem Selamlar; Networkümüzde internet bağlantısı kullanımını limitlemek istiyorum. enderunix sitesindeki ipfilter kurulumu adımlarını yaptım. Server'ımda iki ethernet kartı var. em0 ipsi 10.2.0.2 em1 ipsi 10.1.0.3 /etc/rc.conf içinde gateway_enable=YES şeklinde adsl modemimin ipsi 10.2.0.1 windows xp olan client makinemin ipsi 10.1.0.110 makinemin gateway'i 10.1.0.3 . Bahsi geçen herşey aynı switch'e bağlı şu anda. 10.1.0.110 ipli client üzerinden server'ın 10.2.0.2 ipli bacağına ping atabiliyorum. ama 10.2.0.1 ipli modeme atamıyorum. dolayısıyla internete çıkamıyorum. Lütfen Yardım :( -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] revhosts programı]
/usr/ports/devel/py-gobject kurmayi denediniz mi,? Mesut GÜLNAZ wrote: Konu hakkında bilgisi olan var mı arkadaşlar? revhosts tool u... On 6/11/07, Mesut GÜLNAZ [EMAIL PROTECTED] wrote: Python kurulu değildi kurdum. Ancak ilgili modül yine yüklü değil. aradım ama o şekilde bir modülde bulamadım. Bu arada sistem FreeBSD. Acaba söz konusu program sadece belirli bir işletim sistemi için mi yazılmış.. [EMAIL PROTECTED] find /usr/ports/ -iname *objec* | grep gobject /usr/ports/devel/py-gobject /usr/ports/lang/python24/work/Python-2.4.4/Include/stringobject.h /usr/ports/lang/python24/work/Python-2.4.4/Include/longobject.h /usr/ports/lang/python24/work/Python-2.4.4/Objects/longobject.c /usr/ports/lang/python24/work/Python-2.4.4/Objects/stringobject.c /usr/ports/lang/python24/work/Python-2.4.4/Objects/longobject.o /usr/ports/lang/python24/work/Python-2.4.4/Objects/stringobject.o /usr/ports/lang/python24/work/Python-2.4.4 /build.shared/Objects/longobject.o /usr/ports/lang/python24/work/Python-2.4.4 /build.shared/Objects/stringobject.o /usr/ports/x11-toolkits/qt33/files/0038- dragobject-dont-prefer-unknown.patch [EMAIL PROTECTED] pkg_info | grep python python-2.4.4,1 The meta-port for the stable version of Python interprete python24-2.4.4 An interpreted object-oriented programming language * * *İyi çalışmalar...* * * *Mesut GÜLNAZ* *From:* Genco Yilmaz [mailto:[EMAIL PROTECTED] *Sent:* Monday, June 11, 2007 9:46 AM *To:* [EMAIL PROTECTED] *Subject:* Re: [netsec] revhosts programı On 6/11/07, *Mesut GÜLNAZ* [EMAIL PROTECTED] wrote: /revhosts programını çalıştırmaya uğraşıyorum ancak. Çalıştırmak istediğimde ftp4:~/revhosts # ./revhosts [-] GUI not available Traceback (most recent call last): File ./revhosts, line 23, in ? import gobject ImportError: No module named gobject Şeklinde bir hata alıyorum. 23 satır ve diğerleri şu şekilde neden olabilir? Sistem SUSE LINUX 10.1 (i586) VERSION = 10.1 try: 18 import gtk 19 import gtk.gdk as gdk 20 import gtk.glade 21 except: 22 print [-] GUI not available 23 import gobject 24 import signal 25 import sys 26 from os.path import exists, join 27 import os *İyi çalışmalar...* * * *Mesut GÜLNAZ* Selam, Bu bir python uygulamasi ve 23 satirda gobject modulunu dahil ediyor. Sizde yuklu degil gibi ya da path sorunu var. python-gobject seklinde arastirabilirsiniz. kolay gelsin. Python yaziliminin daha oncede yuklu olmasi lazim aksi takdirde ilk basta verdiginiz hata mesajini alamazdiniz. Onun yerine bad interpreter seklinde bir mesaj gelmeliydi. Yazilimin dokumanlarina bakarak aslen hangi sistem icin yazildigini incelemelisiniz. Yinede Linux ve FreeBSD'de cok sorun yasatmamali. Gobject modulunu FreeBSD icin bulmaniz gerekiyor gibi gorunuyor ilk adimda import edebilmesi icin... kolay gelsin. - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] IP - host sorgulama
Normalde mumkun degildir(?) ama Passive DNS replication hizmeti veren biryerlerden bu tip bilgiler alinabilir. Detaylar icin http://blog.lifeoverip.net/index.php/2007/04/24/passive-dns-replication/ Mesut GÜLNAZ wrote: Şu şekilde bir sorgulama yapmak mümkün müdür? Herhangi bir yerden ( webden) ya da herhangi bir MS ya da unix program ya da tool kullanarak... bir IP adresinde kaç tane domain ve host (www mail test test2) yönlendirilmiş ya da o makine kaç tane bu şekilde adres host ediyor gibi... İyi çalışmalar... Mesut GÜLNAZ signature.asc Description: OpenPGP digital signature
RE: [FreeBSD] Yanıt: Re: [FreeBSD] syslog
+PGJyPjUpIFJlc3RhcnQgc3lzbG9nZDogL2V0Yy9yYy5kL3N5c2xv Z2QgcmVzdGFydDxicj48YnI+RmluYWwgdGhvdWdodHMgJmFtcDsgY2F2ZWF0czogCjxicj48YnI+ MSkgVXNlICZsdDtUQUImZ3Q7cyB0byBzZXBhcmF0ZSB0aGUgZW50cmllcyBpbiAvZXRjL3N5c2xv Zy5jb25mPGJyPjxicj4yKSBSdW5uaW5nIHN5c2xvZyBpbiBkZWJ1Zy1tb2RlIChpLmUuIHN5c2xv Z2RfZmxhZ3M9JnF1b3Q7LWQuLi4mcXVvdDsgaW48YnI+ZXRjL3JjLmNvbmYpIGlzIGEgdmVyeSBo ZWxwZnVsIHRvb2wgaW4gdHJhY2tpbmcgZG93biBwcm9ibGVtcy4gSXQ8YnI+CmtlZXBzIHN5c2xv Z2QgcnVubmluZyBpbiB0aGUgZm9yZWdyb3VuZCBhbmQgbG9ncyB2ZXJ5IGhlbHBmdWw8YnI+aW5m b3JtYXRpb24gdG8gdGhlIGNvbnNvbGU8YnI+PGJyPkJlIGF3YXJlIHRob3VnaCwgdGhhdCBzeXNs b2dkIGluIGRlYnVnLW1vZGUgaXMgYmVoYXZpbmcgc29tZXdoYXQ8YnI+ZGlmZmVyZW50LiBJdCBl Lmcuc2VlbXMgdG8gaWdub3JlIHRoZSAmcXVvdDstYSAuLi4mcXVvdDsgZmxhZ3MgdGhhdCBhcmUg Cjxicj5vdGhlcndpc2UgbmVjZXNzYXJ5IGluIG9yZGVyIGZvciBzeXNsb2cgdG8gYWNjZXB0IG1l c3NhZ2VzIGZyb20gcmVtb3RlPGJyPm1hY2hpbmVzLCBpLmUuIGFjY2VwdGluZyBtZXNzYWdlcyBm cm9tIGV2ZXJ5d2hlcmUgZXZlbiB3aXRob3V0IHRoZSAtYTxicj5mbGFnLjxicj48YnI+PGJyPjxi cj4mbmJzcDs8L2Rpdj4KPGRpdj48c3BhbiBjbGFzcz0iZ21haWxfcXVvdGUiPk9uIDYvNy8wNywg PGIgY2xhc3M9ImdtYWlsX3NlbmRlcm5hbWUiPk1lc3V0IEfcTE5BWjwvYj4gJmx0OzxhIGhyZWY9 Im1haWx0bzptZXN1dGdsQGllbS5nb3YudHIiPm1lc3V0Z2xAaWVtLmdvdi50cjwvYT4mZ3Q7IHdy b3RlOjwvc3Bhbj4KPGJsb2NrcXVvdGUgY2xhc3M9ImdtYWlsX3F1b3RlIiBzdHlsZT0iUEFERElO Ry1MRUZUOiAxZXg7IE1BUkdJTjogMHB4IDBweCAwcHggMC44ZXg7IEJPUkRFUi1MRUZUOiAjY2Nj IDFweCBzb2xpZCI+CjxkaXYgbGFuZz0iVFIiIHZsaW5rPSJwdXJwbGUiIGxpbms9ImJsdWUiPgo8 ZGl2Pgo8cD48c3BhbiBzdHlsZT0iRk9OVC1TSVpFOiAxMXB0OyBDT0xPUjogIzFmNDk3ZCI+Tm9y bWFsIHN5c2xvZyBp/mluaXppIGf2cmVjZWt0aXIuIEFuY2FrIGRhaGEgZ/x6ZWwgdmUgZXNtZWsg YmlyIHN5c2xvZyBzZXJ2ZXIgaedpbiBzeXNsb2ctbmcgeWkga3VsbGFuYWJpbGlyc2luaXouLi48 L3NwYW4+PC9wPgo8cD48c3BhbiBzdHlsZT0iRk9OVC1TSVpFOiAxMXB0OyBDT0xPUjogIzFmNDk3 ZCI+Jm5ic3A7PC9zcGFuPjwvcD4KPGRpdiBzdHlsZT0iQk9SREVSLVJJR0hUOiBtZWRpdW0gbm9u ZTsgUEFERElORy1SSUdIVDogMGNtOyBCT1JERVItVE9QOiAjYjVjNGRmIDFwdCBzb2xpZDsgUEFE RElORy1MRUZUOiAwY207IFBBRERJTkctQk9UVE9NOiAwY207IEJPUkRFUi1MRUZUOiBtZWRpdW0g bm9uZTsgUEFERElORy1UT1A6IDNwdDsgQk9SREVSLUJPVFRPTTogbWVkaXVtIG5vbmUiPgo8cD48 Yj48c3BhbiBsYW5nPSJFTi1VUyIgc3R5bGU9IkZPTlQtU0laRTogMTBwdCI+RnJvbTo8L3NwYW4+ PC9iPjxzcGFuIGxhbmc9IkVOLVVTIiBzdHlsZT0iRk9OVC1TSVpFOiAxMHB0Ij4gQXJkYSBib3pr dXJ0IFttYWlsdG86PGEgb25jbGljaz0icmV0dXJuIHRvcC5qcy5PcGVuRXh0TGluayh3aW5kb3cs ZXZlbnQsdGhpcykiIGhyZWY9Im1haWx0bzphcmRhYm96a3VydDFAZ21haWwuY29tIiB0YXJnZXQ9 Il9ibGFuayI+CmFyZGFib3prdXJ0MUBnbWFpbC5jb208L2E+XSA8YnI+PGI+U2VudDo8L2I+IFRo dXJzZGF5LCBKdW5lIDA3LCAyMDA3IDEyOjIyIFBNPGJyPjxiPlRvOjwvYj4gPGEgb25jbGljaz0i cmV0dXJuIHRvcC5qcy5PcGVuRXh0TGluayh3aW5kb3csZXZlbnQsdGhpcykiIGhyZWY9Im1haWx0 bzpmcmVlYnNkQGxpc3RzLmVuZGVydW5peC5vcmciIHRhcmdldD0iX2JsYW5rIj5mcmVlYnNkQGxp c3RzLmVuZGVydW5peC5vcmcKPC9hPjxicj48Yj5TdWJqZWN0OjwvYj4gW0ZyZWVCU0RdIHN5c2xv Zzwvc3Bhbj48L3A+PC9kaXY+PHNwYW4gY2xhc3M9InEiPgo8cD4mbmJzcDs8L3A+CjxkaXY+Cjxw PiZuYnNwOzwvcD48L2Rpdj4KPGRpdj4KPHA+SGVyaGFuZ2kgbWFraW5hIHlhZGEgcm91dGVyZGFu IGdlbGVuIHN5c2xvZ2xhcmkgbmFzaWwgZ29yZWJpbHJpbS4gZnJlZWJzZCB1emVyaW5kZSBraXdp Jm5ic3A7YmVuemVyaSBiaXIgdXlndWxhbWEgdmFybWkgYWNhYmEuJm5ic3A7IFRjcGR1bXAgaWxl IHN5c2xvZ2xhcmluIGdlbGRpZ2luaSBnb3J1eW9ydW0gYW1hIGxvZ2xhcmkgYWxhbWl5b3J1bS4g eWFyZGltbGFyaW56IGljaW4gc2ltZGlkZW4mbmJzcDt0ZXNla2t1cmxlci4gCjwvcD48L2Rpdj4K PGRpdj4KPHA+Jm5ic3A7PC9wPjwvZGl2Pgo8ZGl2Pgo8cD5peWkgY2FsaXNtYWxhcjwvcD48L2Rp dj4KPGRpdj4KPHA+QXJkYSZuYnNwOzwvcD48L2Rpdj48L3NwYW4+PC9kaXY+PC9kaXY+PC9ibG9j a3F1b3RlPjwvZGl2Pjxicj4K -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] trafigi AVP den gecirmek
Merhabalar, belirli porttan gececek trafik uzerinde virus kontrolu/engellemesi yapmak icin Snort- Clamav(Clamav preprocessor) yamasini kullanabilirsiniz. Benzer bir soruya verilen cevap; http://www.mail-archive.com/freebsd@lists.enderunix.org/msg10425.html Snort kullanmak istemezseniz her port icin ayri uygulama kullanmaniz gerekir.(80 icin dansguardian/clamav, smtp icin clamav-smtp , pop3 icin pop3proxy-clamav vs gibi.) Selam Agi izleyen ve ag uzerindeki trafikte virus taramasi yapan bi sistem dusunmekteyiz. Soyle ki; agdaki trafigi dinleyen izleyen ve belli bir porttan/portlardan akan trafigi AVP liycek... Bir serverda Squid, Squidguard ve/veya Dansguardian beraberinde calisan Clamav.. agdaki belirli trafigi (25. port 80. port) tarasa mumkun mudur?!?! Mumkunse nasildir?! Bu denemeye iliskin yasanmisliklariniz/ip uclariniz bize cok yardimci olacaktir. Bu arada bu dokumanida okudum ellerinize saglik http://www.enderunix.org/docs/trafikAnaliziBelirlemeEngelleme.pdf simdiden tesekkurler -- Her development, her freedom, her independence, must come from and throughherself. First, by asserting herself as a personality, and not as a sexcommodity. Second, by refusing the right of anyone over her body; byrefusing to bear children, unless she wants them, by refusing to be aservant to God, the State, society, the husband, the family, etc., by makingher life simpler, but deeper and richer. That is, by trying to learn themeaning and substance of life in all its complexities; by freeing herselffrom the fear of public opinion and public condemnation.[Emma Goldman, Anarchism and Other Essays, p. 211]Hoscakalin, - Yahoo! kullaniyor musunuz? Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da http://tr.mail.yahoo.com -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] openvpn'le ilgili
ïßx~˪vï½õó9Û_vçNôÓMerhabalar,. vars komutunu(./vars degil) calistirdiginizda KEY_CONFIG ve KEY_DIR degiskenlerini bulundugunuz dizine gore veriyor. Yani komutu /usr/local/etc/openvpn dizini altinda veriyorsaniz KEY_DIR degiskeni /usr/local/etc/openvpn/keys'i gostermeli. Bunu kendiniz de tanimlayabilirsiniz. 3) C:\Program Files\OpenVPN dizinini usb diskinize alarak(yapilandirma dosyasini dabuna gore ayarlamak gerekir) calistirabileceginizi dusunuyorum. ismail bey merhaba yazdiklarinizdan anladigim kadariyla asagidaki gibi bir deneme yaptim ama bir sonuc alamadim :( linux konusunda yeni oldugumdan kusuruma bakmayin# ./vars NOTE: when you run ./clean-all, I will be doing a rm -rf on /usr/local/etc/openvpn/easy-rsa/keys # ./clean-all you must define KEY_DIR # # # ./build-key xxx you must define KEY_DIRTesekkurler... ArdaOn 5/29/07, Ismail YENIGUL [EMAIL PROTECTED] wrote: Merhaba, ./build-key komutunu verdiginiz yerde bu komutu vermeden nce KEY_DIR gibi deðiþkenleri tanýmlamak iin # . vars komutunu vermeniz gerekiyor. build-key degil de build-key-pass komutunu kullanýrsanýz key'lere parola korumasý da ekleyebilirsiniz. Tuesday, May 29, 2007, 11:45:17 AM, you wrote: slmsitedeki dokumana benzer sekilde open vpn kurdum ama 1 adet deneme amacli sertifika olusturdum ve takildigim birkac konuda yardiminizi rice ediyorum. kullanicilar icin yeni sertifikalar olusturmak istiyorum ama ./build-key dedigimde you must define KEY_DIR seklinde bir msj aliyorum.1) Yeni bir user icin nasil sertifika olusturmam gerekiyor2) Serifikayla ve beraber username password kontrolude yaptirabilirmiyiz. (sertifika dosyalarina ulsabilen birisi kolayca sorun yaratabilir)3) openvpn-gui programini bir memory-stick uzerinden calistirabilirmiyiz. yani herhangi bir bilgisayar uzerinden memory-stick kullanarak vpn'e connect olabilirmiyiz.iyi calismalar Arda -- Ismail YENIGUL EnderUNIX Cekirdek Takimi Uyesi Acik Akademi Yayinlari Editoru [EMAIL PROTECTED] http://www.enderunix.org Yayinevi Sanal Magaza: http://dukkan.acikakademi.com endersys: http://www.endersys.com --Huzeyfe ONAL[EMAIL PROTECTED]http://www.lifeoverip.netAg guvenligi listesine uye oldunuz mu?http://netsec.huzeyfe.net - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] Syn_sent attack
çÎö~˪vÓ^:ã8ç_vçNôÓMerhabalar,sistem uzerinde firewall yuklu ise ip basina baglanti sinirlamasi koyarak engellemeyi denediniz mi?PF kullaniyorsaniz asagidakine benzer bir k ural ile baglanti sayisini sinirlayarak http'nin dolmasini engellenebilir fakat gelen syn_floodlar dagitik ise sizin yapabileceginiz cok birsey yok. Ondeki ISP'nin bir koruma onlemi almasi gerekir. table persist pass in on $ext_if proto tcp from any to ($ext_if) port www \ flags S/SA keep state (max-src-conn-rate 20/10, overload flush global) block drop in log (all) quick on $ext_if from Selamlar, 2 gndr sevgi dolu bir ya da birka arkadaÅın dehÅetli saldırısına maruz kalıyor server. Netstat -an bu aÅaÄıdaki sefaletle dolu tcp0 1 89.149.xx.xxx:39112 208.65.153.251:80 SYN_SENT5350/httpd tcp0 1 89.149.xx.xxx:39118 208.65.153.251:80 SYN_SENT5355/httpd tcp0 1 89.149.xx.xxx:39111 208.65.153.251:80 SYN_SENT5351/httpd tcp0 1 89.149.xx.xxx:39128 208.65.153.251:80 SYN_SENT5435/httpd tcp0 1 89.149.xx.xxx:39131 208.65.153.251:80 SYN_SENT5373/httpd tcp0 1 89.149.xx.xxx:39130 208.65.153.251:80 SYN_SENT5475/httpd AldıÄım tedbirler bunlar sysctl -A | grep syn net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 fs.quota.syncs = 17 Ve fakat bu alakları durduramıyorum, httpd 30 saniye iinde tepeleme doluyor. ps aux | grep /sbin/httpd | wc -l 1860 process Arkada ossec alıÅıyor, flood koruma alıÅıyor, mod_evasive alıÅıyor. Ara ara bulamadım, bi yardım medet, Gkhan - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 --Huzeyfe ONAL[EMAIL PROTECTED]http://www.lifeoverip.netAg guvenligi listesine uye oldunuz mu?http://netsec.huzeyfe.net - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] qmail Return Mail
Merhabalar, vpopmail'i ndash;roaming-user=y destegi ile derlediyseniz pop-before-smtp kullanarak da mail gonderimi yapabilirsiniz. Detaylarina http://www.enderunix.org/docs/vpopmail.htm adresinden ya da qmail kitabindan ulasabilirsiniz. Sistemi smtp-auth ile kurmuşsunuz. Sanırım yeniden derlemeniz ve smtp-auth u aktife etmeden kurmanız gerekiyor. Ama tavsiye edilmiyor. Bu şekilde kurulmalı zaten. Belki diğer arkadaşlar başka bir çözüm yolu önerirler. From: Serdar EMIRCI [mailto:[EMAIL PROTECTED] Sent: Tuesday, May 22, 2007 12:57 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] qmail Return Mail Sunucu Kimlik Doğrulaması Seçili Değil Sunucu Kimlik Doğrulaması Seçili Olduğun da Gönderiyor. Sunucu Kimlik Doğrulaması Seçili Olamadan Gönderebilme şansım var mı ? _ From: Mesut GÜLNAZ [mailto:[EMAIL PROTECTED] Sent: Tuesday, May 22, 2007 12:45 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] qmail Return Mail Sunucu kimlik doğrulaması gerektiriyor Seçili mi? From: Serdar EMIRCI [mailto:[EMAIL PROTECTED] Sent: Tuesday, May 22, 2007 12:01 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] qmail Return Mail 6.2,qmail,vpopmail,qsheff, clamav Dış domain lere mail göndermekte zorlanıyorum rcpthosts da kayıtlı domain lere mail gönderebiliyorum ama başka domain lere gönderemiyorum . Bunun nedeni ne olabilir. Gönderdiğim bir mesaja karşılık bir cevap aşağıya yazdım İletiniz, belirlenen alıcılardan bazılarına veya tümüne ulaşmadı. Konu:Deneme11 Tarih: 22.05.2007 11:47 Aşağıdaki alıcılara ulaşılamadı: '[EMAIL PROTECTED]',22.05.2007 11:47 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
Re: [FreeBSD] Openbsd pf
ó^µ~˪vÓMýïNõóNµçNôÓMerhabalar,bu tip taramalarin yaptigi islem sizin portlariniza cesitli paketler gondererek gelen cevaplari incelemek ve buna gore portun durumuna karar vermektir.Portun durumu icin muhtemel uc cevap vardir;Cevap gelmiyorsa : portun onunde bir firewall vs vardir.RST geliyorsa : Port kapalidirSYN/ACK geliyorsa : port aciktir.PF'de default bloklama drop seklindedir yani kapali portlar icin bir cevap donmez. Oysa RFC'ye gore kapali portlardan RST cevabi gelmelidir.pf.conf'da kurallardan once set block-policy return yaparak kapali portlar icin RST cevabi gondermesini ve boylece sisteminizin stealth gozukmesini saglayabilirsiniz. Ek olarak bazi araclar RFC'ye uymayan bozuk paketler gondererek de portlarinizi yoklayabilir. Bunun icin de pf de srubbing kullanirsaniz RFC'ye uyumsuz paketler bloklanacaktir. Merhaba, Openbsd pf ile bir firewall hazýrlamaya alýþtým. www.grc.com da shields up ile ve www.hackerwatch.org/probe ile port testi yaptýðýmda closed but unsecure aldým. Stealth halde deðildi in out her þeyi bloklayýp gateway olarak kullandýðým bu makinede 80 portuna izin verdim. https portuna da. Stealth halde olmasý iin ne yapmam gerekiyor. Yardým edebilirseniz ne iyi olur :) _ En etkili ve gvenilir PC Korumayi tercih edin, rahat edin! http://www.msn.com.tr/security/ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 --Huzeyfe ONAL[EMAIL PROTECTED]http://www.lifeoverip.net - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] boot
Merhabalar, http://ipucu.enderunix.org/view.php?id=1296lang=tr adresindeki ipucunu incelediniz mi? Belki bundan kaynaklaniyor olabilir sorununuz. iyi calismalar. Cevabiniz icin tesekkür ederim. Boot sorununu da GNU Grub ile hallettim ;) Fakat simdi de baska bir sorunum var, tabii yine boot ile alakali, aslinda FreeBSD'ye pek hakim olamadigimdan boot ve kernel konusunda da biraz korkularim var :) Sorunlari cöze cöze halledicegiz diye düsünüyorum. Neyse, problemim su sekilde; Grub menudunden FreeBSD'yi sectigimde boot0 ve boot1 tamamen yükleniyor. Fakat sistem acilirken root (yani / dizini) baglanirken bir hata olusuyor. Söyle ki; [EMAIL PROTECTED] /usr/home/ozgan]$ dmesg | tail Trying to mount root from ufs:/dev/ad4s3a Manual root filesystem specification: fstype:device Mount device using filesystem fstype eg. ufs:/dev/da0a ? List valid disk boot devices empty line Abort manual input mountroot burada mountroot tan sonra ufs:/dev/ad4s2a yazdiktan sonra cok güzel sistemim aciliyor fakat her sistemi acisimda yazmam gerekiyor. Boot konusuna dedigim gibi pek hakim olamadigim icin (en azindan *BSD sistemlerde) bu sorunu nasil halledebilecegime dair bir fikriniz varsa sevinirim. Bir baska sorunum da ses ve wireless ile alakali ama onlar icin internetten daha arastirma yapamadigim icin, malum bir yandan da okulun projeleri ile ugrasmak zorunda kaliyorum, daha sonra bir sorunla karsilasirsam tekrar sizleri rahatsiz edecegim gibi görünüyor. Saygilar ve Selamlar... 2007/5/12, Hasan Ahlatci [EMAIL PROTECTED]: cd den ports agacini kurmak icin #/stand/sysinstall cikan menude sirasi ile configure -- distributions -- ports --ok media olarak cd/dvd kismini secerseniz ports agacini kurabilirsiniz... Sevgilerle 2007/5/12, Mehmet OZGAN [EMAIL PROTECTED]: Merhabalar; FreeBSD'de boot ile alakali bir problemim var ve bir kac tane de sorum olacak; boot problemim su sekilde; +-+ | windows | -- primary |--| | fat32| -- primary |--| |FreeBSD | --primary |--| | linux-root| -- secondery (ext3) |--| | swap | -- secondery +-+ (eger yukaridaki harddisk semasi bozulmamis ise) FreeBSD diskimden boot yaparak windows'u acabiliyorum fakat linux'e acamiyorum. biraz boot0cfg komutu ile ugrastim ama yapamadim. http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/boot-blocks.html adresindeki boot menüsüne baktim ama ordaki menüye benzer bir menüyü nasil olusturacagimi bulamadim. Yapmak istedigim menü su sekilde ; F1 DOS F2 FreeBSD F3 Linux bunu acaba nasil yapabilirim? Bir sonraki sorum da su sekilde; FreeBSD 6.2 amd64 sistemimde /usr/ports diye bir dizinim yok, tabii bu demektir ki, port agacim kurulu degil. CD'den port agacimi nasil kurabilirim? Simdilik bu kadar sorularim, ama devami gelecek :) Cevaplariniz icin simdiden en icten tesekkürlerimi arz ederim; Saygilar ve Selamlar... -- [EMAIL PROTECTED] -- [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net
Re: [FreeBSD] pf ftp problemi
Merhabalar, http://csirt.ulakbim.gov.tr/dokumanlar/openbsd_pf_guvenlik_duvari.pdfadresindeki belgenin Packet Filter ve FTP kismini incelerseniz hem FTP ile ilgili problemin ne oldugunu hem de cozumunu net bir sekilde anlayabilirsiniz. On 5/10/07, Hamza ASLAN [EMAIL PROTECTED] wrote: Hamza ASLAN wrote: pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . *Ahmet ORHAN* Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] pf outgoing load balance ve squid
merhabalar, squid'de tcp_outgoing_address ile belirlediginiz IP adresini kullanmasini saglarsiniz, sonrada PF ile o ipden gelip any'nin 80 portuna gidenleri belirli bir hatta yonlendirirsiniz. uc hattinizin oldugunu varsayiyorum. 1 - int_if 2 - dsl_if -5.5.5.2 olsun, default gw 5.5.5.1 diyelim. 3- gdsl_if dsl_gw 5.5.5.1 squid icin; tcp_outgoing_address 5.5.5.2 pf icin. ... pass out on $dsl_if route-to ($dsl_if $dsl_gw ) from $dsl_if to any keep state pass out on $gdsl_if route-to ($dsl_if $dsl_gw) from $dsl_if to any ... ayarlamalarini yaparsaniz squid'i dsl hattindan cikarmis olursunuz. *pf kurallarini isteginize gore esnetebilirsiniz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Huzeyfe Hocam Merhaba, Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi uygulamalara tahsis etmek. Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının bu hattan çıkması için ne yapmam gerekir? squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli olur mu? Yoksa pf de bir kural gerekir mi? Şimdiden çok teşekkür ederim.. - Original Message - *From:* Huzeyfe Onal [EMAIL PROTECTED] *To:* freebsd@lists.enderunix.org *Sent:* Wednesday, May 02, 2007 2:56 PM *Subject:* Re: [FreeBSD] pf outgoing load balance ve squid Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . *Ahmet ORHAN* Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net --- -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] network sec problem
Merhabalar, bu konuda Cisco Switch*'lerin oldukca gelismis koruma ozellikleri var. Fiyatlari biraz farkli gelebilir ama guclu bir koruma istiyorsaniz bence incelemenizde fayda var. On 4/25/07, Hamza ASLAN [EMAIL PROTECTED] wrote: selamlar hardware konusunda sizlere danismak istedim . arp spoof ozelligi olan hangi switch i tavsiye edersiniz selamlar Hamza ASLAN wrote: slmlar, switcler eski oldugu icin arp spoof ozelligini kapatma durumum yok, arp kayitlarini permanent olarak ekledim. Huzeyfe Onal wrote: Merhabalar, ag gecidinde statik kayitlar kullanmaniz agdaki mitm tarzi saldirilari(msn gorusmelerini izlemek icin kisinin araya girmesi gerekiyor) engellemez. Switch'leriniz detekliyorsa portlarda arp spoof engellemeyi devreye alabilirsiniz ya da kimlerin yaptigini belirlemek icin arpwatch tarzi bir yazilim kullanmayi deneyin. Freebsd makinede arp kayitlarini nasil statik tutuyorsunuz? permanent arp kayitlari eklemediyseniz bu kayitlarin uzerine yazilacaktir. On 4/22/07, Hamza ASLAN [EMAIL PROTECTED] wrote: -sistem de switch kullaniliyor -yoneticiyim -siwitchlerin yonetimi bende mirroring islemi yapilmiyor -ag gecidi freebsd yonetimi bende -msnsnif diye bir program selamlar hamza aslan On 4/21/07, Mesut GULNAZ [EMAIL PROTECTED] wrote: birkaç sorum olacak: söz konusu sistemde switch mi hub mı kullanılıyor? söz konusu ağda client mısınız sistem yöneticisi mi? switch yönetimi sizde mi? switchler üzerinde mirroring işlemi yapılıyor mu? ağ geçidiniz nedir? ağ geçidini kim yönetiyor? network üzerinde sniff işlemleri derken ne tür bir programdan bahsediyorsunuz? enderunix in yazdığı program mı? iyi çalışmalar... Hamza ASLAN writes: network uzerinde sinif islemleri ile network de msn kullanicilarin yazismalari gorulebilmektedir.statik arp kaydi kullanmama ragmen halen devam etmekte nasil kesebilirim bur programlarin calismasini.. selamlar - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd Mesut GÜLNAZ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] network sec problem
Merhabalar, On 4/22/07, Hamza ASLAN [EMAIL PROTECTED] wrote: -sistem de switch kullaniliyor -yoneticiyim -siwitchlerin yonetimi bende mirroring islemi yapilmiyor -ag gecidi freebsd yonetimi bende -msnsnif diye bir program selamlar hamza aslan On 4/21/07, Mesut GULNAZ [EMAIL PROTECTED] wrote: birkaç sorum olacak: söz konusu sistemde switch mi hub mı kullanılıyor? söz konusu ağda client mısınız sistem yöneticisi mi? switch yönetimi sizde mi? switchler üzerinde mirroring işlemi yapılıyor mu? ağ geçidiniz nedir? ağ geçidini kim yönetiyor? network üzerinde sniff işlemleri derken ne tür bir programdan bahsediyorsunuz? enderunix in yazdığı program mı? iyi çalışmalar... Hamza ASLAN writes: network uzerinde sinif islemleri ile network de msn kullanicilarin yazismalari gorulebilmektedir.statik arp kaydi kullanmama ragmen halen devam etmekte nasil kesebilirim bur programlarin calismasini.. selamlar - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd Mesut GÜLNAZ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] network sec problem
Merhabalar, ag gecidinde statik kayitlar kullanmaniz agdaki mitm tarzi saldirilari(msn gorusmelerini izlemek icin kisinin araya girmesi gerekiyor) engellemez. Switch'leriniz detekliyorsa portlarda arp spoof engellemeyi devreye alabilirsiniz ya da kimlerin yaptigini belirlemek icin arpwatch tarzi bir yazilim kullanmayi deneyin. Freebsd makinede arp kayitlarini nasil statik tutuyorsunuz? permanent arp kayitlari eklemediyseniz bu kayitlarin uzerine yazilacaktir. On 4/22/07, Hamza ASLAN [EMAIL PROTECTED] wrote: -sistem de switch kullaniliyor -yoneticiyim -siwitchlerin yonetimi bende mirroring islemi yapilmiyor -ag gecidi freebsd yonetimi bende -msnsnif diye bir program selamlar hamza aslan On 4/21/07, Mesut GULNAZ [EMAIL PROTECTED] wrote: birkaç sorum olacak: söz konusu sistemde switch mi hub mı kullanılıyor? söz konusu ağda client mısınız sistem yöneticisi mi? switch yönetimi sizde mi? switchler üzerinde mirroring işlemi yapılıyor mu? ağ geçidiniz nedir? ağ geçidini kim yönetiyor? network üzerinde sniff işlemleri derken ne tür bir programdan bahsediyorsunuz? enderunix in yazdığı program mı? iyi çalışmalar... Hamza ASLAN writes: network uzerinde sinif islemleri ile network de msn kullanicilarin yazismalari gorulebilmektedir.statik arp kaydi kullanmama ragmen halen devam etmekte nasil kesebilirim bur programlarin calismasini.. selamlar - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd Mesut GÜLNAZ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] ipfilters virus tarama
Merhabalar, boyle bir yapi kurmak icin gereksinim duyacaginiz bilesenler; Snort-inline(FreeBSD icin ipfw ile calisiyor, Linux icin iptables ) ve Snort ClamAV Preprocessor(http://www.bleedingthreats.net/index.php/about-bleeding-edge-threats/all-projects/snort-clamav-preprocessor/) snort-inline'a tam bir koruma icin gereksinim duyarsiniz, inline modda olmadan da virus korumasi saglanabilir. On 4/20/07, Gökhan Mollamehmetoğlu [EMAIL PROTECTED] wrote: Merhaba; ipfilter da yada iptables da gelen tüm paketleri virüs taraması yapılmak üzere başka bir makineye yönlendirip taramadan geçtikten sonra geri pass edecek kuralı nasıl yazabilirim. -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] anormal dns sorgusu ortalama her 5 saniyede bir
Merhabalar, syslog'u kapatsaniz bile host uzerinden tcpdump ile trafigi izleyerek dns trafigi olup olmadigini gorebilirsiniz.[1] Ek olarak syslog'u kapatmaniza gerek yok sadece -n parametresi ile tekrar calistirin. Syslog'i eger -u (uzaktan gelen baglantilari kabul eden secenek) ile calistirirsaniz varsayilan durumda kendisine her log gonderen hostu cozumlemeye calisacaktir. Cozumleme icin de /etc/resolv.conf dosyasindaki dns sunucuyu(ve/etc/hosts dosyasindaki tanimlamalari) kullanacaktir. Bu da gelen her log icin bir sorgulama demektir, gordugunuz anormal dns trafigi muhtemelen bundan kaynaklaniyor. Eger -n parametresi ile calistirirsaniz uzak sistemlerden gelen her log icin dns sorgusu yapmayi kesecektir. [1] tcpdump -i arabirim_adi -tttnn -x udp port 53 bu komutla dns sorgularinin icerigini inceleyebilirsiniz. On 4/13/07, Fatih Ekrem Genc [EMAIL PROTECTED] wrote: mail trafigi ile bilgiili olmamasilazim mail trafigini surekli send/currnet log dosyasindan inceliyordum.. routerdaki bu asiri hareketi anliyamadigim icin loglari syslog yönlendirmistim.. nedense netgear routerim sadece bazen oda cok kisa yani sagliksiz bir baglanti ile uzaktan ulasabiliyorum. anladigim kadari ile islemci https ile sifreleyim dosyalari yolamaya yetmiyor (tabi paralel olarak yapmadi gereken diger isleride sayarsak) suan routerin kendi loglarina ulasamiyorum sadece syslog üzerinden loglari izliyebiliyorum dolayisi ile syslog kapatirsam loglari incelememde imkansiz :) ama daha önceden de dedigim gibi bu sorunu uzun sureli inceleyebilmek icin router loglarini syslog yönlendirmistim.. daha saglikli bir analiz icin ilgili routerin bulundugu mekana gittigimde inceleyecegim alternatif diagnoz fikirlerinize agigim mesela eger bu trafigi syslog yapmiyorsa hangi programin yaptigini nasil bulabilirim.. hayirli mesailar fatihgenc On 4/13/07, Huzeyfe Onal [EMAIL PROTECTED] wrote: Merhabalar, oncelikle sorgularin syslogd tarafindan yapildigina emin olmak icin syslogd prosesini oldurun , devam ediyorsa hangi prosesin yaptina bakin yok devam etmiyorsa Syslogd'yi calistirirken -n parametresi ile deneyin.. Boylece syslogd gelen kaynak adresleri cozmeye calismayacaktir. Tabi bu durum syslog uzaktan log almaya aciksa olusur. On 4/13/07, Fatih Ekrem Genc [EMAIL PROTECTED] wrote: mail ftp ve www (tekbir site host ediliyor ) serveri olan sistemden sürekli disariya dns sorgusu geliyor oldukca sakin ve hatta kimsenin bu serverde olmamasi gerektigi saatlerde dahi. mail trafigi sifirken ftpden kimseler online degilken.. sistem disariya dns sorgusu yoluyor bunu sebebi ne olabilir icin tam garip olan yani su dns sorgusu tam 5 saniyede bir kere olyuyor.. bu sorguyu yapan programi nasil bulabilirim genelde 54??? ile basliyan bir portan sorgu ciktigi icin netstat sölye bir parametre verdim syslogd neden bu kadar sik dns sorgusu yapsin ki ?? netstat -alnp | grep 54 udp0 0 192.168.0.5:54504 145.253.2.11:53 VERBUNDEN 26132/syslogd router fw'sinin yolari su sekilde ilgili server192.168.0.5 router 192.168.0.1 router extern ip 213.XX.XX.XX Apr 13 01:42:40 192.168.0.1 2007 Apr 12 15:19:20 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54114 ,LAN - Destination:145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:45 192.168.0.1 2007 Apr 12 15:19:25 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54115 ,LAN - Destination:145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:50 192.168.0.1 2007 Apr 12 15:19:30 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54116 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:55 192.168.0.1 2007 Apr 12 15:19:35 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54117 ,LAN - Destination:145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:00 192.168.0.1 2007 Apr 12 15:19:40 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54118 ,LAN - Destination:145.253.2.11 ,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:05 192.168.0.1 2007 Apr 12 15:19:45 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54119 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:10 192.168.0.1 2007 Apr 12 15:19:50 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54120 ,LAN - Destination:145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:15 192.168.0.1 2007 Apr 12 15:19:55 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54121 ,LAN - Destination:145.253.2.11 ,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:20 192.168.0.1 2007 Apr 12 15:20:00 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source
Re: [FreeBSD] anormal dns sorgusu ortalama her 5 saniyede bir
Merhabalar, oncelikle sorgularin syslogd tarafindan yapildigina emin olmak icin syslogd prosesini oldurun , devam ediyorsa hangi prosesin yaptina bakin yok devam etmiyorsa Syslogd'yi calistirirken -n parametresi ile deneyin.. Boylece syslogd gelen kaynak adresleri cozmeye calismayacaktir. Tabi bu durum syslog uzaktan log almaya aciksa olusur. On 4/13/07, Fatih Ekrem Genc [EMAIL PROTECTED] wrote: mail ftp ve www (tekbir site host ediliyor ) serveri olan sistemden sürekli disariya dns sorgusu geliyor oldukca sakin ve hatta kimsenin bu serverde olmamasi gerektigi saatlerde dahi. mail trafigi sifirken ftpden kimseler online degilken.. sistem disariya dns sorgusu yoluyor bunu sebebi ne olabilir icin tam garip olan yani su dns sorgusu tam 5 saniyede bir kere olyuyor.. bu sorguyu yapan programi nasil bulabilirim genelde 54??? ile basliyan bir portan sorgu ciktigi icin netstat sölye bir parametre verdim syslogd neden bu kadar sik dns sorgusu yapsin ki ?? netstat -alnp | grep 54 udp0 0 192.168.0.5:54504 145.253.2.11:53 VERBUNDEN 26132/syslogd router fw'sinin yolari su sekilde ilgili server192.168.0.5 router 192.168.0.1 router extern ip 213.XX.XX.XX Apr 13 01:42:40 192.168.0.1 2007 Apr 12 15:19:20 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54114 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:45 192.168.0.1 2007 Apr 12 15:19:25 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54115 ,LAN - Destination:145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:50 192.168.0.1 2007 Apr 12 15:19:30 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54116 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:42:55 192.168.0.1 2007 Apr 12 15:19:35 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54117 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:00 192.168.0.1 2007 Apr 12 15:19:40 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54118 ,LAN - Destination:145.253.2.11 ,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:05 192.168.0.1 2007 Apr 12 15:19:45 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54119 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:10 192.168.0.1 2007 Apr 12 15:19:50 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54120 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:15 192.168.0.1 2007 Apr 12 15:19:55 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54121 ,LAN - Destination:145.253.2.11 ,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:20 192.168.0.1 2007 Apr 12 15:20:00 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54122 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:25 192.168.0.1 2007 Apr 12 15:20:05 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54123 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:30 192.168.0.1 2007 Apr 12 15:20:10 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54124 ,LAN - Destination:145.253.2.11 ,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:35 192.168.0.1 2007 Apr 12 15:20:15 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source: 192.168.0.5,54125 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M Apr 13 01:43:41 192.168.0.1 2007 Apr 12 15:20:20 (FWG114P-cc-d5-9c) 213.XX.XX.XXUDP Packet - Source:192.168.0.5,54126 ,LAN - Destination: 145.253.2.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]^M selamlar fatihgenc -- Yeni Mobil numaram: 0178 54 06 227 http://www.fatihgenc.com -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] export komutu
Merhabalar, sanirim kullanicinizin shell'i /bin/sh ya da bash degil(defaultu csh/tcsh idi ). csh/tcsh'da cevre degiskeni atamak icin setenv kullanabilirsiniz. setenv degisken degeri (setenv TERM vt100 ) gibi.. On 3/14/07, Cahit Güçlü [EMAIL PROTECTED] wrote: FreeBSD 6.1 kurulu sistemde export komutu verdiğimde komut bulunamadı diyor. Bu komutu kullanabilmek için hangi paketi yüklemek gerekiyor? -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] ARP ile firewall kontrol
Merhabalar, dosya icerisine asagidaki formatta yazmaniz gerekiyor. 1.2.3.4 00:11:22:33:44:55 permanent ps: permanent, OpenBSD icin gecerli kalici arp kayitlari girilmesine yariyor. Diger turlu yeni gelen arp kayitlari varolanlarin uzerine yazacaktir ve kurdugunuz sistem ise yaramaycaktir. On 3/9/07, Abdullah OZTURK [EMAIL PROTECTED] wrote: Arp ile firewall I control etmek istiyorum onun icinde Huzeyfe beyin dokumanlarindan faydalandim x.arp diye bir dosya olusturdum icine de 1.2.3.4 00:55:11:23:50:40 abd Arp -f x.arpdosyasi seklinde yukledim ip yi degistirmeme ragmen ip hala firewall dan gecebilmekte acaba bilmedigim bir yerde bir hata mi yaptim… Selamlar abdullah -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.huzeyfe.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] kernel: arp:
Merhabalar, http://ipucu.enderunix.org/view.php?id=572lang=tr adresindeki ipucu isinize yarayabilir. On 1/27/07, Serdar EMIRCI [EMAIL PROTECTED] wrote: Jan 27 09:07:41 alpha kernel: arp: 192.168.10.100 is on fxp0 but got reply from 00:11:25:57:9a:b6 on fxp1 Jan 27 09:08:27 alpha kernel: arp: 192.168.10.100 is on fxp0 but got reply from 00:11:25:57:9a:b6 on fxp1 Jan 27 09:10:40 alpha last message repeated 13 times Jan 27 09:12:06 alpha last message repeated 3 times Jan 27 09:12:19 alpha kernel: arp: 192.168.10.179 is on fxp0 but got reply from 00:50:ba:38:f5:46 on fxp1 Jan 27 09:12:19 alpha kernel: arp: 192.168.10.179 is on fxp0 but got reply from 00:50:ba:38:f5:46 on fxp1 Jan 27 09:13:02 alpha kernel: arp: 192.168.10.100 is on fxp0 but got reply from 00:11:25:57:9a:b6 on fxp1 Jan 27 09:13:42 alpha kernel: arp: 192.168.10.100 is on fxp0 but got reply from 00:11:25:57:9a:b6 on fxp1 Sistem sürekli bu hatayı veriyor önemli birşey gibi gözükmüyor ama merak etim nedir - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
[FreeBSD] Re: [netsec] arp spoofing
Merhaba, kastettiginiz MITM(http://en.wikipedia.org/wiki/Man_in_the_middle_attack) mi yoksa arp spoof mu(http://en.wikipedia.org/wiki/ARP_Spoofing)? On 1/20/07, Mesut GÜLNAZ [EMAIL PROTECTED] wrote: Network te kişiye özel man in the middle attack yapan birisini nasıl bulabilirim? Iyi çalışmalar… -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] webserver
merhaba, php -m komutunun ciktisinda mysql gozukuyor mu? On 1/16/07, Sungun Umut [EMAIL PROTECTED] wrote: Selam Bir durum hakkinda gorus ve bilgilerini almak istedim. Birkac gundur web server kurmak icin calisiyorum. 3 ayri serverda FreeBSD 6.0 FreeBSD 6.1 ve FreeBSD 6.2 uzerinde Apache, PHP ve MYSQL kurdum. Bu surecte okudugum dokumanlar ve deneyimlerim sonucunda Apache2X ile MySQL5XPHP5 ile konusmadigini gordum. Su an FreeBSD6.0 serverda. ve mod_php4 yukledim, fakat updateler esnasinda mod_php porttan silinmis, pkg_add -r dedigimde de 6.0 portta bulunmadigini soylemekte. Bu neden ile kaldirdim ve php4-4.4.4_1 u yukledim. apache-1.3.33_2 php4-4.4.4_1 php4-4.4.4_1 php4-ctype-4.4.4_1 php4-dba-4.4.4_1 php4-dbase-4.4.4_1 php4-dbx-4.4.4_1 php4-extensions-1.0 php4-mysql-4.4.4_1 php4-overload-4.4.4_1 php4-pcre-4.4.4_1 php4-posix-4.4.4_1 php4-session-4.4.4_1 php4-tokenizer-4.4.4_1 php4-xml-4.4.4_1 php4-zlib-4.4.4_1 mysql-server-4.1.22 mysql-client-4.1.22 mysql-script-4.1.22 Su an itibari ile apache de mysql de php de guya calisiyor. test.php ye baktigimda apache ve php konusyor gorunmekte ancak mysql ile php konusamiyor cunku mysql e iliskin ne bir satir ne de bir comment var. Benzer web serverlarda inceledigimde ./configure satirinda mysql ibarelerina rastladim. Ben nasil mysql destegi verebilirim PHP ye? Kısaca bu sorun nereden kaynaklaniyor olabilir? Apache den mi? MYSQL den mi? yoksa PHP den mi? NOT: http://www.enderunix.org/docs/qmail-install.php http://www.node.mu/index.php/2006/07/19/apache-22-mysql-50-and-php-51-on-freebsd-61/ http://www.mydigitallife.info/2006/04/14/installing-web-server-in-freebsd-60-with-apache-22-mysql-50-and-php-5-part-5/ http://www.freebsdmadeeasy.com/tutorials/web-server/install-php-5-for-web-hosting.php gibi pek cok dokumandan ve enderunix ipuclarindan ve dahi enderunix kitaplarindan yararlanilmistir. Ancak su ana kadar hala bir cozum uretilememistir. saygilar -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] fedora linux
merhabalar, ekteki belgede isinize yarayacak bir bilgi var. http://interactive.linuxjournal.com/article/3121 ps: calistirdiktan sonra bir ipucu girerseniz(http://ipucu.enderunix.org) sonrasi icin kaynak olur. iyi calismalar. On 1/16/07, Gökhan Mollamehmetoğlu [EMAIL PROTECTED] wrote: Merhabalar, fedora linuxta makine açılır açılmaz herhangi bir user accaountuna login olmasını sağlayabilirmiyim -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] snort
Merhaba, snort kurallari artik uyelik ile dagitiliyor. Bir mail ile uye olup http://www.snort.org/pub-bin/downloads.cgi adresinden guncel kurallari indirebilirsiniz Bleeding Snort kurallari da http://www.bleedingsnort.com/ adresinden edinilebilir. Kendi kurallarinizi yazmak ve Sensor yonetimi icin icin Windows ortaminda GUI kullanmak isterseniz IDS Policy Manager isinize yarayabilir. (http://www.activeworx.org/) ps: ACID artik aktif olarak gelistirilmeyen bir proje, bunun yerine ayni yapi uzerine gelistirilen BASE'i kullanabilirsiniz..( http://sourceforge.net/projects/secureideas/) On 1/14/07, Cahit Güçlü [EMAIL PROTECTED] wrote: Teşekkürler, snortu ve acid i kurdum. Ama snortun kural dosyalarını bulamıyorum. Bunları nereden temin edebilirim? Ya da kendim mi yazmam gerekiyor? Eğer öyle ise bunun nasıl yapılacağını anlatan ayrıntılı bir belgeye ihtiyacım olacak sanırım! -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] PF pass in ve pass out
Merhabalar, kullandiginiz guvenlik duvari(burada PF oluyor) durum korumali calissada bunu default olarak yapmiyor.. Yani pass in, pass out dediginizde o paketin durumunu tutmuyor. Yazacaginiz kurallara keep state eklerseniz yazdiginiz bir kural icin durum tutturmus olursunuz ki bu da ayni paketin donusu icin ek paket yazilmamasi icindir. User---out(Fw) in-Internet User---in (Fw) out-Internet PF'de kontrolun tamamen sizde olmasi icin yazacaginiz kurallari arabirimlere gore yazarsiniz. Yani bir paket geldiginde once dis bacaktan bir giris yapacak sonra ic bacaktan cikis yapacak. Guvenlik duvari politikaniza gore ic bacaktan cikislara tamamen izin verebilirsiniz boylece ek kurallar yazmamis olursunuz. ek not: disaridan gelen paket dis bacaka in kurali ile gelir gozukur, ic bacaktan out kurali ile cikar. Disaridan gelen paketin ic bacakta in seklinde gozukmez. On 12/21/06, Varol KÜÇÜKKARALAR [EMAIL PROTECTED] wrote: Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) pass in satırı ile ethernet kartına gelen, pass out ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : pass in ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in pass out ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir pass in ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 pass in 2 pass out olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] squirrelmail sorunu...
merhaba, squirrelmail'i yapilandirirken tam yol verdiginiz degil mi? On 12/21/06, Mesut GÜLNAZ [EMAIL PROTECTED] wrote: Sorun safe_mod parametresi ile ilgili erişim izinlerinini uyuşmaması. Safe mod u kapayıp diğerlerini bu şekilde bıraktığımda sorun olmuyor. Herşey normal. Görünen o ki squirrelmail arka planda başka biryerlerdeki data yı bulmaya çalışıyor. Safe_mod izin vermediği içinde erişim gerçekleşmiyor. Ama nereye? Ve neden? -su-2.05b# ls -l /var/spool/ | grep squ drwxr-xr-x4 wwwwww 512 21 Ara 11:13 squirrelmail -su-2.05b# ls -l /var/spool/squirrelmail/ total 4 drwx-wx--- 2 www www 512 21 Ara 11:13 attach drwxr-x--- 2 www www 512 21 Ara 11:13 pref -su-2.05b# ls -l /var/spool/squirrelmail/attach/ total 0 -su-2.05b# ls -l /var/spool/squirrelmail/pref/ total 2 -rw-r--r-- 1 www www 65 21 Ara 11:13 default_pref -su-2.05b# *From:* Oktay ATAMAN [mailto:[EMAIL PROTECTED] *Sent:* Thursday, December 21, 2006 11:32 AM *To:* freebsd@lists.enderunix.org *Subject:* RE: [FreeBSD] squirrelmail sorunu... Mesut Bey; su-2.05b# egrep open_base /usr/local/etc/php.ini ; open_basedir, if set, limits all file operations to the defined directory open_basedir = /usr/local/www/data/ Php.ini dosyasını open_basedir = /usr/local/www/data/ kısmını Default bırakıp deneyebilirmisiniz? open_basedir = Şeklinde..Sorun buradan da kaynaklı olabilir. *From:* Oktay ATAMAN [mailto:[EMAIL PROTECTED] *Sent:* Thursday, December 21, 2006 11:17 AM *To:* freebsd@lists.enderunix.org *Subject:* RE: [FreeBSD] squirrelmail sorunu... Merhaba; Anladığım kadarı ile gerçi biraz acemice olacak belki ama Data klasör'ünün haklarının düzenlemeniz gerekli sanırım. *( **chown -R www:www data** ) **gibi böyle düzenlemeyi yaptınız mı?* -- *From:* Mesut GÜLNAZ [mailto:[EMAIL PROTECTED] *Sent:* Thursday, December 21, 2006 10:47 AM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] squirrelmail sorunu... Arkadaşlar bildiğim ve denediğim herşeyi yaptım ama başarılı olamadım. Sorun ne olabilir? Herhangi bir yere log da düşmüyor maalesef… PORTVERSION=1.4.9a 1. Data Directory : /usr/local/www/data/squirrelmail/pref/ 2. Attachment Directory: /usr/local/www/data/squirrelmail/attach/ *HATA* ../data/default_pref açılırken hata oluştu Varsayılan tercih dosyası bulunamadı veya okunabilir değil! Lütfen sistem yöneticinize bu hatayı bildirin. -su-2.05b# pwd /usr/local/www/data/squirrelmail -su-2.05b# ls -l data* total 6 -rwxrwxrwx 1 www www 14 2 Mar 2002 .htaccess -rwxrwxrwx 1 www www 65 21 Ara 09:26 default_pref -rwxrwxrwx 1 www www 492 4 Şub 2006 index.php -su-2.05b# ls -l | grep data drwxrwxrwx 2 www www 512 4 Ara 01:48 data -su-2.05b# ls -l | grep pref drwxrwxrwx 2 www www 512 21 Ara 09:47 pref -su-2.05b# ls -l pref* total 6 -rwxrwxrwx 1 www www 14 2 Mar 2002 .htaccess -rwxrwxrwx 1 www www 65 21 Ara 09:26 default_pref -rwxrwxrwx 1 www www 492 4 Şub 2006 index.php -su-2.05b# egrep safe_mode /usr/local/etc/php.ini safe_mode = On ; then turn on safe_mode_gid. safe_mode_gid = On ; When safe_mode is on, UID/GID checks are bypassed when safe_mode_include_dir = ; When safe_mode is on, only executables located in the safe_mode_exec_dir safe_mode_exec_dir = /usr/local/www/data safe_mode_allowed_env_vars = PHP_, LC_ALL, LANG, LANGUAGE, LC_CTYPE, LC_NUMERIC ; protected even if safe_mode_allowed_env_vars is set to allow to change them. safe_mode_protected_env_vars = LD_LIBRARY_PATH sql.safe_mode = Off -su-2.05b# egrep open_base /usr/local/etc/php.ini ; open_basedir, if set, limits all file operations to the defined directory open_basedir = /usr/local/www/data/ -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.409 / Virus Database: 268.15.26/594 - Release Date: 20.12.2006 -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.409 / Virus Database: 268.15.26/594 - Release Date: 20.12.2006 -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.409 / Virus Database: 268.15.26/594 - Release Date: 20.12.2006 -- No virus found in this outgoing message. Checked by AVG Free Edition. Version: 7.1.409 / Virus Database: 268.15.26/594 - Release Date: 20.12.2006 -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] uptime
Merhaba, merak bu guvenlik duvarinin(OpenBSD) teknik ozelliklerinin yeterli olmamasi(?) sebebi ile mi yoksa yonetim vs zorlugu ile mi degistirilmesi istendi. /merak Bu uptime'i saglarken makinenin hic guncellenmedigini goruyoruz. Oysa 3.4'den bu yana oldukca fazla ozellik ve guvenlik yamasi geldi(http://www.openbsd.org/errata34.html). Yine de bu seviyede bir uptime'i gormek guzel:). On 12/14/06, Orhan Berent [EMAIL PROTECTED] wrote: Devrim'den once ben cevap vereyim, bu aletin uzerinde pf calisiyor ve universitenin firewall'uydu. Ek bilgi vereyim, universitemiz bu aletin yerine simdi parayla satin alinan donanimsal kutu firewall ... koydu. Bu vesileyle de linux, ozgur yazilim, gnu, acik kod, bsd, unix vesaire vesaire konularinda siyasi ve sosyal mucadele etmeyip bu olguyu sadece teknik bir tartisma duzeyine indirgeyen kose baslarini tutmus akademik amcalarimin ellerinden oper, klavye tutan kutsal parmaklarini yalarim. Orhan Berent On Thu, 2006-12-14 at 13:08 +0200, Hasan Ahlatci wrote: tebrikler.. üzerinde neler çalıyor bu aletin :=) - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] Re: network problem
http://ipucu.enderunix.org/view.php?id=505lang=tr On 12/15/06, Afsin Taskiran [EMAIL PROTECTED] wrote: Ek olarak 192.168.1.191 IP si eger gateway gibi bir sistemse daha tehlikeli olabilir durum. Makinenize static arp kaydi girerek de bundan korunabilirsiniz. Afsin Taskiran Afsin Taskiran writes: Gunaydin; Aginizda ARP Spoof yontemiyle sizi sniff etmek isteyen biri var gibi gorunuyor. Eger oyleyse 192.168.1.191 hedef adresine ulasmaniz icin gereken fiziksel adres saldirgan tarafindan degistiriliyor. 00:c0:26:aa:32:a6 mac adresi saldirganin uzerine almak istedigi mac adresi. Eger switch yonetimi sizde ise arp tablosundan 00:c0:26:aa:32:a6 mac adresinin nerde oldugunu bulabilirseniz saldirgani da tespit edebilirsiniz. Selamlar Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin Abdullah OZTURK writes: Gunaydinlar, Network um de asagidaki gibi sorun cikmaya basladi her 5 sn de bir baska adreslerle asagidaki mesaj cikiyor acaba ne olabilir Dec 15 08:10:51 gate kernel: arp: 192.168.1.191 moved from 00:89:ee:6f:3d:47 to 00:c0:26:aa:32:a6 on rl0 Selamlar abdullah - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] Squid + Dansguardian beraber? ama hangisi?
merhabalar, * Dansguardian devreye girdiginde Squid yine Seffaf (Transparent) calisir mi? calisir. * Icerik yonetimi DG'nin gorevi olarak gorulse de Squid'in ACL'leri ile kesistigi noktalarda hangisi tercih etmek gerekir? duruma gore Squid ya da dansguardian tercih etmek gerekebilir. Dikkat edilecek nokta hangisi kullaniciyi karsiliyor? Kullaniciyi karsilayan ilk program politikalari belirleyecektir.(Genellikle Dansguardian karsilar) * Dosya uzantilarina (mp3, exe, vs.) gore kisitlama vs. Squid ile mi yapmak daha anlamlidir, yoksa DG ile mi? tum kullanicilar ayni kisitlamalari getirmek isterseniz Dansguardianla yapmak daha basit ve yonetilebilir olur. Fakat performans konusunda -kisisel tecrubelerime dayanarak- Squid Dansguardian'dan cok daha iyidir diyebilirim, tabi bu kullandiginiz acl2lere vs gore degisir. Tavsiyem ilk olarak tum isi Dansguardian'a yaptirmak , performansi yonetilebilirligini gozlemlemek ve sonrasinda takinilan noktalarda Squid'i devreye sokmak yonunde. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, Kurulum hazirligi yaptigimiz bir yonlendirici sunucuda: * Dansguardian devreye girdiginde Squid yine Seffaf (Transparent) calisir mi? * Icerik yonetimi DG'nin gorevi olarak gorulse de Squid'in ACL'leri ile kesistigi noktalarda hangisi tercih etmek gerekir? * Dosya uzantilarina (mp3, exe, vs.) gore kisitlama vs. Squid ile mi yapmak daha anlamlidir, yoksa DG ile mi? Bu konularda uygulanabilirlik ve performans olarak listenin gorusune basvurmak isterim. Iyi calismalar volkan evrin - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
merhabalar, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. iyi bir tercih olmus. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FW: pf prob.
merhabalar, PF'de NAT kurallarinin isleyis sirasi yukaridan asagiya dogrudur. Dolayisi ile no nat kuralini daha one yazmamiz gerekir. On 11/27/06, Muammer Dogan [EMAIL PROTECTED] wrote: Merhaba Merhaba asagidaki gibi bir yapiya sahibim ipfw kullaniyorum ama pf'e gecmek istiyorum. Localde bulunan serverlarim LL uzerinden farkli iplerle natlanarak internete cikiyor. Asagidaki kurallar ile pf'i aktif ettigimde tum makinalar sorunsuz internete cikiyor. Fakat server gurubundaki makinalar dogru olarak route edilmesine ragmen natlanarak route edildiginden sorunlar cikiyor. no nat satirinda yada kurallarda bir yanlislik yapiyor olabilirmiyim. Boyle bir system icin sizinde tavsiyelerinizi almak isterim. Yardimlariniz icin simdiden tesekkurler, Iyi calismalar Muammer 10.11.1.3 Adsl --| | 10.11.1.5 || FreeBSD |-- LAN 192.168.0.0/24 |192.168.0.5 10.11.1.4 LL -| ### ext_if=bge0 int_if=vr0 ext_ip=10.11.1.5 int_ip=192.168.0.5 lan_net=192.168.0.0/24 LL=10.11.1.4 UsR=10.11.1.3 SERVERS={192.168.0.11, 192.168.0.30, 192.168.0.31, 192.168.0.33, 192.168.0.114/28, 192.168.0.137, 192.168.0.140, 192.168.0.141} set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all nat on $ext_if from $lan_net to any - ($ext_if) no nat on $ext_if from $SERVERS to any ## pass in on $int_if from $lan_net to any pass out on $int_if from any to $lan_net pass in quick on $int_if from $lan_net to $int_if pass in on $int_if route-to ($ext_if $LL) proto tcp from $SERVERS to any flags S/SA modulate state pass in on $int_if route-to ($ext_if $LL) proto { udp, icmp} from $SERVERS to any keep state pass in on $ext_if all pass out on $ext_if all #block in on $ext_if all pass out on $ext_if proto tcp from any to any flags S/SA modulate state pass out on $ext_if proto { udp, icmp } from any to any keep state pass in on $ext_if proto tcp from any to $ext_ip port {22, 80, 1723} flags S/SA modulate state #ssh, www, vpn pass in on $ext_if proto icmp from any to $ext_ip keep state pass in on $ext_if proto tcp from any to 192.168.0.141 port {25, 110, 80} flags S/SA modulate state -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] FW: pf prob.
Isletim sisteminiz/surumu ne? PF'in bugi olabilir belki. yazdiginiz iki nat kuralindan ustteki kural alttaki kurala baskin oldugu icin ikinci nat kurali islemez. On 11/27/06, Muammer Dogan [EMAIL PROTECTED] wrote: No nat kuralini uste yazdigimda makina kilitleniyor ve cihazi kapatip acmak zorunda kaliyorum. -- *From:* Huzeyfe Onal [mailto:[EMAIL PROTECTED] *Sent:* 27 Kasım 2006 Pazartesi 16:18 *To:* freebsd@lists.enderunix.org *Subject:* Re: [FreeBSD] FW: pf prob. merhabalar, PF'de NAT kurallarinin isleyis sirasi yukaridan asagiya dogrudur. Dolayisi ile no nat kuralini daha one yazmamiz gerekir. On 11/27/06, *Muammer Dogan* [EMAIL PROTECTED] wrote: Merhaba Merhaba asagidaki gibi bir yapiya sahibim ipfw kullaniyorum ama pf'e gecmek istiyorum. Localde bulunan serverlarim LL uzerinden farkli iplerle natlanarak internete cikiyor. Asagidaki kurallar ile pf'i aktif ettigimde tum makinalar sorunsuz internete cikiyor. Fakat server gurubundaki makinalar dogru olarak route edilmesine ragmen natlanarak route edildiginden sorunlar cikiyor. no nat satirinda yada kurallarda bir yanlislik yapiyor olabilirmiyim. Boyle bir system icin sizinde tavsiyelerinizi almak isterim. Yardimlariniz icin simdiden tesekkurler, Iyi calismalar Muammer 10.11.1.3 Adsl --| | 10.11.1.5 || FreeBSD |-- LAN 192.168.0.0/24 |192.168.0.5 10.11.1.4 LL -| ### ext_if=bge0 int_if=vr0 ext_ip=10.11.1.5 int_ip= 192.168.0.5 lan_net= 192.168.0.0/24 LL=10.11.1.4 UsR=10.11.1.3 SERVERS={ 192.168.0.11, 192.168.0.30, 192.168.0.31, 192.168.0.33, 192.168.0.114/28, 192.168.0.137, 192.168.0.140, 192.168.0.141} set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all nat on $ext_if from $lan_net to any - ($ext_if) no nat on $ext_if from $SERVERS to any ## pass in on $int_if from $lan_net to any pass out on $int_if from any to $lan_net pass in quick on $int_if from $lan_net to $int_if pass in on $int_if route-to ($ext_if $LL) proto tcp from $SERVERS to any flags S/SA modulate state pass in on $int_if route-to ($ext_if $LL) proto { udp, icmp} from $SERVERS to any keep state pass in on $ext_if all pass out on $ext_if all #block in on $ext_if all pass out on $ext_if proto tcp from any to any flags S/SA modulate state pass out on $ext_if proto { udp, icmp } from any to any keep state pass in on $ext_if proto tcp from any to $ext_ip port {22, 80, 1723} flags S/SA modulate state #ssh, www, vpn pass in on $ext_if proto icmp from any to $ext_ip keep state pass in on $ext_if proto tcp from any to 192.168.0.141 port {25, 110, 80} flags S/SA modulate state -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] RE: {SPAM} Re: [FreeBSD] FW: pf prob.
merhabalar, sistemde sadece pf'i calisir hale getirip(ipfw, ipf kapali durumda) test edebilir misiniz. On 11/27/06, Muammer Dogan [EMAIL PROTECTED] wrote: No nat kurali icerisinde $SERVERS yerine takbir IP yazdigimda sorun yok gibi gorunuyor. Sanirim loop olusuyor ve bir sure sonra buffer overflow oluyor ve makina cakiliyor. Daha once ipfw calisiyordu acaba ipfw buna sebep olabilirmi. -- *From:* Huzeyfe Onal [mailto:[EMAIL PROTECTED] *Sent:* 27 Kasım 2006 Pazartesi 16:34 *To:* freebsd@lists.enderunix.org *Subject:* {SPAM} Re: [FreeBSD] FW: pf prob. Isletim sisteminiz/surumu ne? PF'in bugi olabilir belki. yazdiginiz iki nat kuralindan ustteki kural alttaki kurala baskin oldugu icin ikinci nat kurali islemez. On 11/27/06, *Muammer Dogan* [EMAIL PROTECTED] wrote: No nat kuralini uste yazdigimda makina kilitleniyor ve cihazi kapatip acmak zorunda kaliyorum. -- *From:* Huzeyfe Onal [mailto:[EMAIL PROTECTED] *Sent:* 27 Kasım 2006 Pazartesi 16:18 *To:* freebsd@lists.enderunix.org *Subject:* Re: [FreeBSD] FW: pf prob. merhabalar, PF'de NAT kurallarinin isleyis sirasi yukaridan asagiya dogrudur. Dolayisi ile no nat kuralini daha one yazmamiz gerekir. On 11/27/06, *Muammer Dogan* [EMAIL PROTECTED] wrote: Merhaba Merhaba asagidaki gibi bir yapiya sahibim ipfw kullaniyorum ama pf'e gecmek istiyorum. Localde bulunan serverlarim LL uzerinden farkli iplerle natlanarak internete cikiyor. Asagidaki kurallar ile pf'i aktif ettigimde tum makinalar sorunsuz internete cikiyor. Fakat server gurubundaki makinalar dogru olarak route edilmesine ragmen natlanarak route edildiginden sorunlar cikiyor. no nat satirinda yada kurallarda bir yanlislik yapiyor olabilirmiyim. Boyle bir system icin sizinde tavsiyelerinizi almak isterim. Yardimlariniz icin simdiden tesekkurler, Iyi calismalar Muammer 10.11.1.3 Adsl --| | 10.11.1.5 || FreeBSD |-- LAN 192.168.0.0/24 |192.168.0.5 10.11.1.4 LL -| ### ext_if=bge0 int_if=vr0 ext_ip=10.11.1.5 int_ip= 192.168.0.5 lan_net= 192.168.0.0/24 LL=10.11.1.4 UsR=10.11.1.3 SERVERS={ 192.168.0.11, 192.168.0.30, 192.168.0.31, 192.168.0.33, 192.168.0.114/28, 192.168.0.137, 192.168.0.140, 192.168.0.141} set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all nat on $ext_if from $lan_net to any - ($ext_if) no nat on $ext_if from $SERVERS to any ## pass in on $int_if from $lan_net to any pass out on $int_if from any to $lan_net pass in quick on $int_if from $lan_net to $int_if pass in on $int_if route-to ($ext_if $LL) proto tcp from $SERVERS to any flags S/SA modulate state pass in on $int_if route-to ($ext_if $LL) proto { udp, icmp} from $SERVERS to any keep state pass in on $ext_if all pass out on $ext_if all #block in on $ext_if all pass out on $ext_if proto tcp from any to any flags S/SA modulate state pass out on $ext_if proto { udp, icmp } from any to any keep state pass in on $ext_if proto tcp from any to $ext_ip port {22, 80, 1723} flags S/SA modulate state #ssh, www, vpn pass in on $ext_if proto icmp from any to $ext_ip keep state pass in on $ext_if proto tcp from any to 192.168.0.141 port {25, 110, 80} flags S/SA modulate state -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
Re: [FreeBSD] Network ile Ilgili Ilginc Bir Durum
Merhabalar, Linuxicin: ping, icmp paketlerini kullanir, traceroute ise udp paketlerini kullaniyor. Bundna kaynaklanabilir belki. traceroute -P icmp hedef seklinde denerseniz icmp paketleri ile ulasmaya calisacaktir. On 11/23/06, Bedreddin #350;AHBAZ [EMAIL PROTECTED] wrote: Merhabalar, Bir sorum var. Birbirinden VPN ile ayrilmis 2 ayri network var. VPN baglantisi modem tarafindan saglaniyor. Uzaktaki modeme ping atabiliyorum, ancak modemin arkasindaki diger makinalara ulasamiyorum. Karsi taraf ise benim tarafimdaki tum makinalara ulasabiliyor. Bunun sebebi benim tarafimdaki bir route eksikligi olabilir mi? Zira karsi taraftaki modeme ping atabildigim halde traceroute ile bakmak istedigimde sonuc alamiyorum. Ping atabildigim bir makinaya giden yolu traceroute komutu ile neden takip edemem? Saygilarimla.. Yahoo! Music Unlimited Access over 1 million songs. http://music.yahoo.com/unlimited - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 505 5260064 Bu kitabi okudunuz mu? http://www.acikakademi.com/catalog/nethacks/ ---
Re: [FreeBSD] port bazli routing
Merhabalar, *** pass in log on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $fwips to any flags S/SA modulate state pass in log on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $fwips to any keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state bu kurallarin bir islevi yok silebilirsiniz. $fwip'lerinden int_if uzerine herhangi bir paket gelmez. #Port Bazli Routing kismina sadece asagidaki kurallari eklerseniz calisacaktir. pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2proto tcp from $fwips to any port 25 keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port 25 keep state loglarda gorunen bloklar pfsync'den kaynaklaniyor . ifconfig pfsync0 down komutu ile pfsync arabirimini kapatabilirsiniz. On 11/13/06, Veysi Gümüs [EMAIL PROTECTED] wrote: mrb; evet iç ag kullanicilarini ve mail serverimdan disari giden smtp isteklerini istedigim interface den gecirmek. - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Sunday, November 12, 2006 1:35 PM Subject: Re: [FreeBSD] port bazli routing merhaba, yapmak istediginiz tam olarak ney? Ic ag kullanicilarinin disaridaki smtp sunucuya baglantilarini mi baska interface uzerinden cikarmaya calisiyorsunuz yoksa mail sunucudan giden istekleri mi yonlendirmek istiyorsunuz? iyi calismalar... On 11/11/06, Veysi Gümüs [EMAIL PROTECTED] wrote: Mrb, PF port bazinda routing yapmak istiyorum.yazmis oldugum kurallarda ise hala default gw den cikmaya calisiyor. 25 port giden isteklerimi su interfaceden cikmasini istyorum.yazmis oldugum kurallarda nasil bir yanlislik yapmis olabilirim. ikinci bir sorun ise pflog da surekli bir blocklama var neyi blocklamaya calistigini bulamadim.kurallar ve logtaki block satirlariniasagi satirlarda yazdim Saygilar Veysi GUMUS Macros###lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }int_if = bge0ext_if = vr0ext_if2 = vr1 ext_gw1 = 192.168.100.213ext_gw2 = 192.168.110.25fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}###Tanimlar##table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kamera table ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigortatable banka persist file /usr/local/etc/fw/bankatable fbs persist file /usr/local/etc/fw/fbs Set Optimizations###set limit { frags 3, states 25000 }set loginterface $ext_ifscrub in all ###Nat Kurallari##nat on $ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ###Firewall Kurallari## block in log all block out log allpass in quick on lo0 allpass out quick on lo0 all pass in log on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $fwips to any flags S/SA modulate state pass in log on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $fwips to any keep state ###Port Bazli Routing## pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep statepass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state ###1.Adsl Uzerinden Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SA pass out quick on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep statepass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ###2.Adsl Uzerinden Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SA pass out quick on $ext_if2 proto { tcp, udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state## #Localden Firewall Gelisler