[FreeBSD] pf ALTQ ile bant genisligi kontrolu
Merhaba
FreeBSD uzerinde pf de ALTQ yu etkinlestirip kullanan vardir mutlaka..
Ben de web server uzerinde etkinlestirdim. kural yazmaya geldi sira ve toplam 4
mbit bant genisliginin 2 mbit ini http daemonu icin atamak istiyorum.
altq on em0 cbq bandwidth 2Mbps queue {http}
queue std bandwidth 50% cbq(default)
https yi de eklemem gerekiyor degil mi? bu kurallari aktif edip pf yi de
active ettigimde
root@:/etc# pfctl -f /etc/pf.conf
/etc/pf.conf:18: Rules must be in order: options, normalization, queueing,
translation, filtering
/etc/pf.conf:19: Rules must be in order: options, normalization, queueing,
translation, filtering
/etc/pf.conf:20: Rules must be in order: options, normalization, queueing,
translation, filtering
/etc/pf.conf:21: Rules must be in
order: options, normalization, queueing, translation, filtering
pfctl: Syntax error in config file: pf rules not loaded
hepsini commentleyip sadece
altq on em0 cbq bandwidth 2Mb queue {http}
yi biraktigimda da
/etc/pf.conf:17: Rules must be in order: options, normalization, queueing,
translation, filtering
pfctl: Syntax error in config file: pf rules not loaded
diyor
En son olarak da
altq on em0 cbq bandwidth 4Mb queue { http, https, ssh }
18 queue http bandwidth 50% cbq(default)
seklinde degistirdim sanki toplam bantgenisligi 4 mb yapmaliyim da sonra child
queue leri yaratmaliyim gibime geldi
Ne yapmaliyim?
Kisaca web serverin kullandigi bant genisligi toplam 4 Mbit ile sinirli ve ben
de http ve https prosesinin sadece 2 Mbit kullanmasini nasil ayarlarim?
-- Her development, her freedom, her independence,
must come from and through herself. First, by asserting herself as a
personality, and not as a sex commodity. Second, by refusing the right of
anyone over her body; by refusing to bear children, unless she wants them, by
refusing to be a servant to God, the State, society, the husband, the family,
etc., by making her life simpler, but deeper and richer. That is, by trying to
learn the meaning and substance of life in all its complexities; by freeing
herself from the fear of public opinion and public condemnation. [Emma
Goldman, Anarchism and Other Essays, p. 211] Hoscakalin,
___
Yahoo! Türkiye açıldı! http://yahoo.com.tr
İnternet üzerindeki en iyi içeriği Yahoo! Türkiye sizlere sunuyor!
[FreeBSD] PF FTP OUT
Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp
pop3 smtp vb. portlar açık bu durum da iç network den dış network de bir ftp
ye bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu
portları açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları
serbest bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum
block log quick on $INT_IF proto { udp tcp } from any port 1863 to any #
Block Ports
şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili
bir öneriniz var mı ?
SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp,
8080, 47120, smtp, pop3, 1024:65535}
pass out log on $INT_IF inet proto { udp tcp } from any to any port
$SafePortsOut flags S/SA modulate state # Global Outbound Protocols
RE: [FreeBSD] PF FTP OUT
FTP Proxy, 21 portundan yapilan kimlik dogrulama isleminden sonra, Passive Mode
icin acilmasi gereken portlari dinamik olarak takip edip PF'de anchor
kullanarak bunlara dinamik olarak izin vermektedir. OpenBSD'nin FTP Proxy ve
PF-Anchor ozelligine bakin.
--
Mehmet CELIK
Date: Fri, 17 Apr 2009 20:24:09 +0300
From: ser...@emirci.com
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] PF FTP OUT
Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp pop3
smtp vb. portlar açık bu durum da iç network den dış network de bir ftp ye
bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu portları
açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları serbest
bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum
block log quick on $INT_IF proto { udp tcp } from any port 1863 to any # Block
Ports
şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili bir
öneriniz var mı ?
SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp,
8080, 47120, smtp, pop3, 1024:65535}
pass out log on $INT_IF inet proto { udp tcp } from any to any port
$SafePortsOut flags S/SA modulate state # Global Outbound Protocols
_
Kendinizi ifade edin: giriş sayfanızı Live.com ile istediğiniz biçimde
tasarlayın.
http://www.live.com/getstarted
RE: [FreeBSD] PF FTP OUT
Sanırım ftp proxy uygulaması kullanmanız lazım..
From: Serdar EMIRCI [mailto:ser...@emirci.com]
Sent: Friday, April 17, 2009 8:24 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] PF FTP OUT
Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp
pop3 smtp vb. portlar açık bu durum da iç network den dış network de bir ftp
ye bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu
portları açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları
serbest bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum
block log quick on $INT_IF proto { udp tcp } from any port 1863 to any #
Block Ports
şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili
bir öneriniz var mı ?
SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp,
8080, 47120, smtp, pop3, 1024:65535}
pass out log on $INT_IF inet proto { udp tcp } from any to any port
$SafePortsOut flags S/SA modulate state # Global Outbound Protocols
__ Information from ESET Smart Security, version of virus signature
database 4014 (20090416) __
The message was checked by ESET Smart Security.
http://www.eset.com
RE: [FreeBSD] PF HTTP header
Merhaba, Büyük olasılıkla kural diziliminde bir hata yapılmıştır. Normalde bu acl le zaten hedef adreslerin gateway.dll içeren satırları yasakladığınız için dolayısıyla hepsi yasaklanmış oluyor. http_access deny msn satırını http_access kurallarının en üstüne yazın. From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 4:37 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81 application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI
Re: [FreeBSD] PF HTTP header
teşekkürler sadece bu kural işimi görü acl msn_rep rep_mime_type ^application/x-msn-messenger$ http_reply_access deny msn_rep 2009/3/24 Mehmet Zahid Öğrenç za...@ihlaskoleji.com Merhaba, Büyük olasılıkla kural diziliminde bir hata yapılmıştır. Normalde bu acl le zaten hedef adreslerin gateway.dll içeren satırları yasakladığınız için dolayısıyla hepsi yasaklanmış oluyor. http_access deny msn satırını http_access kurallarının en üstüne yazın. *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 4:37 PM *To:* freebsd@lists.enderunix.org *Subject:* Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/ 65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 1:49 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI -- Serdar EMIRCI
[FreeBSD] pf kural takma ad
merhaba pf de kurallar için takma ad kullanılabiliyorumu loglar da giriş ve çıkışları kurallara göre takip etmrek istedim ama numra yazdığından bişey anlayamıyorum bazı ıp ler var bunları block ettim ama quick ile yaptım boyle olunca oluyor ama quick kalktıgında başka bir rule dan çıkıyor bunu bulmak istiyorum Anchors nedir ne işe yarar teşekkürler... log çıktılarım 000587 rule 159/0(match): pass in on fxp0: 10.14.29.50.50821 75.71.46.60.10971: tcp 16 [bad hdr length 16 - too short, 20] 69 rule 159/0(match): pass in on fxp0: 10.14.29.50.50822 212.159.113.212.12790: tcp 16 [bad hdr length 16 - too short, 20] 94 rule 159/0(match): pass in on fxp0: 10.14.29.50.50823 212.178.27.143.28817: tcp 16 [bad hdr length 16 - too short, 20] 60 rule 159/0(match): pass in on fxp0: 10.14.29.50.50824 213.243.176.20.36861: tcp 16 [bad hdr length 16 - too short, 20] 3. 540238 rule 159/0(match): pass in on fxp0: 10.14.29.50.50825 80.252.110.146.4661: [|tcp]
Re: [FreeBSD] pf kural takma ad
Selamlar, kural tanimlayici olarak label tanimini kullanabilirsin. pass in on $int_if all label IC_AGDAN_GELENLER gibi pfctl -s labels ile labellera ait istatistikleri gorebilirsin. Firewall loglarinda malesef label olarak goremiyorsunuz kurallari. Bunun icin N. Ersen'in bir yamasi vardi. Belki onu deneyebilirsin. Ek olarak kurallardaki numaralari pfctl -s rules -vv ile gorebilirsin. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/3/23 Serdar EMIRCI ser...@emirci.com: merhaba pf de kurallar için takma ad kullanılabiliyorumu loglar da giriş ve çıkışları kurallara göre takip etmrek istedim ama numra yazdığından bişey anlayamıyorum bazı ıp ler var bunları block ettim ama quick ile yaptım boyle olunca oluyor ama quick kalktıgında başka bir rule dan çıkıyor bunu bulmak istiyorum Anchors nedir ne işe yarar teşekkürler... log çıktılarım 000587 rule 159/0(match): pass in on fxp0: 10.14.29.50.50821 75.71.46.60.10971: tcp 16 [bad hdr length 16 - too short, 20] 69 rule 159/0(match): pass in on fxp0: 10.14.29.50.50822 212.159.113.212.12790: tcp 16 [bad hdr length 16 - too short, 20] 94 rule 159/0(match): pass in on fxp0: 10.14.29.50.50823 212.178.27.143.28817: tcp 16 [bad hdr length 16 - too short, 20] 60 rule 159/0(match): pass in on fxp0: 10.14.29.50.50824 213.243.176.20.36861: tcp 16 [bad hdr length 16 - too short, 20] 3. 540238 rule 159/0(match): pass in on fxp0: 10.14.29.50.50825 80.252.110.146.4661: [|tcp] FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF HTTP header
ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler
RE: [FreeBSD] PF HTTP header
acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler
Re: [FreeBSD] PF HTTP header
eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/ 65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 1:49 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI
RE: [FreeBSD] PF HTTP header
Merhaba, acl msn_req req_mime_type -i ^application/x-msn-messenger$ http_access deny msn_req acl msn_rep rep_mime_type ^application/x-msn-messenger$ http_reply_access deny msn_rep Bu şekilde dener misiniz ? Ayrıca 1863 hedef port cikisini da kapatmaniz lazim. -- Mehmet CELIK Date: Mon, 23 Mar 2009 16:37:01 +0200 From: ser...@emirci.com To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81 application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI _ Sadece e-posta iletilerinden daha fazlası: Diğer Windows Live™ özelliklerine göz atın. http://www.microsoft.com/windows/windowslive/
[FreeBSD] PF de birden fazla ip
pf ve freebsd 7.1 ile aynı class daki bir kaç IP adresinine gelen dış istekleri local deki bir başka sunucuya yönlendirmek isyiorum örnegin 80 ve 53 portunu yapı şu şekilde 192.168.1.1 pf kurulu olan makinanın IP adresi bu ip adresine metro ethernet ten bnat yapıldı yani rela IP me dışardan ve içerden gelen tum istekler 192.168.1.1 yönlendirildi bu ip ile rdr yapabiliyorum sorun yok ama bir ip m daha var buda aynı class da yani 192.168.1.2 bu ip adresi de yine diğer ip ye sahip tum ozellikler var konuyu toparlamak gerekirse her ip nin bir de real ip si var ben bu ipler den rdr yapmak istiyorum nasıl bir yol izlemem gerekiyor
RE: [FreeBSD] PF + PureFtpd
Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? _ From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Wednesday, January 21, 2009 12:24 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim
Re: [FreeBSD] PF + PureFtpd
Selam, Muhtemelen Passive mode'da session'ı ilk olarak karşı tarafa siz açtığınız için size geri dönebiliyordur bu yüzden bağlanabiliyorsunuz. Active mode'da da bağlanabilmek için pf veya sunucu üzerindeki port yönlendirme ayarlarınızda birşeyler yapmak gerekir diye düşünüyorum. Alttaki url'de anlatıyor incelemekte fayda var : http://slacksite.com/other/ftp.html Kolay gelsin, C. Ahmet Selman İnanç wrote: Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Wednesday, January 21, 2009 12:24 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF + PureFtpd
aşağıdaki parametreler ile çalıştırıyorum pure-ftpd -A -b -c50 -B -C8 -D -fftp -H -I15 -lmysql:/usr/local/etc/pureftpd-mysql.conf -L2000:8 -m4 -p49152:65535 -P10.14.29.4 -s -U133:022 -u100 -Ostats:/var/log/pureftpd.log -j -k99 -Z 2009/2/5 Ahmet Selman İnanç selmanin...@ihlas.net.tr Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? -- *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Wednesday, January 21, 2009 12:24 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim -- Serdar EMIRCI
Re: [FreeBSD] PF Load balance
Aynı şeyi IPFW ile yapmak mümkün müdür ? Çağrı Ersen. 2008/11/28 Huzeyfe ONAL(Gmail) huzeyfe.o...@gmail.com: Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç za...@ihlaskoleji.com: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet -- Cagri Ersen FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF + PureFtpd
Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim
Re: [FreeBSD] PF + PureFtpd
Anladığım kadarı ile PF passive ftp isteklerine izin veriyor. Bu durumda konu FW ile alakali degil gibi gorunuyor. pure-ftpd.conf icerisindeki BrokenClientsCompatibility opsiyonunu yes yapmayı denediniz mi ? Bu özellik IE ile alakali problemleri muhtemelen çözecektir. Çağrı. 2009/1/21 Serdar EMIRCI ser...@emirci.com: Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim -- Cagri Ersen FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF + PureFtpd
Serdar EMIRCI yazmış: Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim Serdar hocam ; ftp-proxy kullanırsan sorunsuz ftp servisi kullanabilirsin. http://www.openbsd.org/faq/pf/ftp.html adresinde ayrıntılı anlatılıyor. Kolay gelsin. ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] pf baglanti sonlandirma
*pfctl -F all* ile tüm state leri flush edebilir ya da *pfctl -k 192.168.32.35* komutu ile sozkonusu ip ye ait baglantilari kill edebilirsiniz... 2008/12/29 Abdullah OZTURK abdullahozt...@enkamoscity.com Freebsd de PF ile aktif baglantilari nasil sonlandarilabilir…. -- Saygılarımla Destan YILANCI
[FreeBSD] PF Load balance
Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
Re: [FreeBSD] PF Load balance
Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç [EMAIL PROTECTED]: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
[FreeBSD] Pf policy route
Merhaba ;
Arkadaslar birkaç gündür pf ile policy routing deniyorum. Bir test ortamım
var topoloji şöyle ;
Sunucu : openbsd 4.3 stable
1. int : adsl
2.int : leased line
3.int: : dmz (real subnet mevcut bu bacak için nat yapmıyorum )
4.int : internal 5 adet vlan tagged virtual interfaces ( vlan1.vlan5)
Bu sunucu üzerinde pf, squid transparent ve ftp-proxy çalıştırıyorum.
Default gateway adsl modemi verdim.
Policy route yaptım vlan interfacelerden gelenleri adsl e dmz networkünü de
leased line a yönlendirdim.
Squid de tcp_outgoing_address dmz networkunu leased line subnetinden bir ip
ile eşleştirdim.
Bu şekilde iç networktekiler squid üzerinden internete çıkıyorlar çünkü
default gw adsl. Fakat dmz internete çıkamıyor ( https, dns çalışıyor )
çünkü squid beni adsl den gönderiyor. Squid den dmz için çıkan trafiğin
leased line yönlendirilmesini için birkaç deneme yaptım ama başaramadım.
Keza öyle aynı sorun ftp içinde geçerli. İç network ftp ye rahatlıkla
çıkıyor dmz yine gidemiyor. Sunucuya default gw girmeden sadece pf ile tüm
yönlendirmeleri yapmayı denedim. Bu seferde caching nameserverı route
edemedim. :)
Aşağıda yaptığım configleri yolluyorum;
pf.conf
---
ll_if=sk0
ll_ip=212.212.1.1
ll_gw=212.212.1.2
dmz_if=sk1
dmz_net=100.100.100.0/24
dmz_ip=100.100.100.1
dsl_if=rl0
dsl_ip=10.1.1.1
dsl_gw=10.1.1.2
dsl_vlan1_ip=10.1.1.10
dsl_vlan2_ip=10.1.1.20
dsl_vlan3_ip=10.1.1.30
dsl_vlan4_ip=10.1.1.40
dsl_vlan5_ip=10.1.1.50
all_loc_if ={ vlan1, vlan2, vlan3, vlan4, vlan5 }
nat on $dsl_if from all_net to any - $dsl_if
rdr pass on $all_loc_if proto tcp to port ftp - $lo_ip port 8021
rdr pass on $dmz_if proto tcp to port ftp - $lo_ip port 8021
rdr pass on $all_loc_if proto tcp to port www - $lo_ip port 3128
rdr pass on $dmz_if proto tcp to port www - $lo_ip port 3128
block in log all
block out log all
pass out log on $ll_if inet proto tcp from $ll_if to any flags S/SA modulate
state
pass out log on $ll_if inet proto udp from $ll_if to any keep state
pass out log on $ll_if inet proto icmp from $ll_if to any icmp-type echoreq
keep state
pass out log on $dsl_if inet proto tcp from $dsl_if to any flags S/SA
modulate state
pass out log on $dsl_if inet proto udp from $dsl_if to any keep state
pass out log on $dsl_if inet proto icmp from $dsl_if to any icmp-type
echoreq keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto tcp from $dmz_net
to any port https flags S/SA keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto udp from $dmz_net
to any port domain keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto icmp from $dmz_net
to any icmp-type echoreq keep state
pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port ftp flags
S/SA keep state
pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port 3128
flags S/SA keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto tcp from $int_net
to any port https flags S/SA keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto udp from $int_net
to any port domain keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto icmp from $int_net
to any icmp-type echoreq keep state
pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port ftp flags
S/SA keep state
pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port 3128 flags
S/SA keep state
squid.conf
---
http_port 127.0.0.1:3128 transparent
acl dmz src 100.100.100.0/255.255.255.0
tcp_outgoing_address 212.212.1.1 dmz
Bu şekilde squid sorunumu nasıl çözebilirim.
Teşekkürler
Kolay gelsin
ismail
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf policy route+ squid tcp_outgoing_address ayarlari
Merhabalar,
problem su ki Squid'de yaptiginiz tcp_outgoing_address ayarlamalari
isletim sisteminde ek bir ayar olmadan dogrudan default gw'e gitmeye
calisir. Bizim default gw e gitmeye calisan paketleri pf +route-to ile
dogru arabirime yonlendirmemiz lazim
Asagida kendi ortamimdan ornek kurallari aktariyorum siz de bunlara
bakarak kendi ortaminiza uygun kurallari yazarsiniz.
default gw 192.168.2.1
ext_if1 192.168.2.21 --default cikis arabirimi
ext_if2 172.16.10.2 -- diger cikis arabirimi
pf.conf
-
ext_if1=vic0
ext_if2=vic1
int_if=vic2
ext_gw1=192.168.2.1
ext_gw2=172.16.10.1
...
...
nat on $ext_if1 proto tcp from 172.16.10.2 to any - $ext_if2
...
pass out log(all)on $ext_if1 route-to{($ext_if2 $ext_gw2)} proto tcp
from 172.16.10.2 to any port 80 keep state
...
squid.conf
...
acl ag src 192.168.80.1/255.255.255.255
acl ag2 src 192.168.80.10/255.255.255.255
tcp_outgoing_address 172.16.10.2 ag
tcp_outgoing_address 192.168.2.21 ag2
Bu kurallarla default gw arabirimine giden paketler uygun bir sekilde
dogru arabirime yonlendiriliyor.
ps: Konu basligini daha anlasilir olmasi icin degistirdim.
Ismail OZATAY yazmış:
Merhaba ;
Arkadaslar birkaç gündür pf ile policy routing deniyorum. Bir test
ortamım var topoloji şöyle ;
Sunucu : openbsd 4.3 stable
1. int : adsl
2.int : leased line
3.int: : dmz (real subnet mevcut bu bacak için nat yapmıyorum )
4.int : internal 5 adet vlan tagged virtual interfaces (
vlan1.vlan5)
Bu sunucu üzerinde pf, squid transparent ve ftp-proxy çalıştırıyorum.
Default gateway adsl modemi verdim.
Policy route yaptım vlan interfacelerden gelenleri adsl e dmz
networkünü de leased line a yönlendirdim.
Squid de tcp_outgoing_address dmz networkunu leased line subnetinden
bir ip ile eşleştirdim.
Bu şekilde iç networktekiler squid üzerinden internete çıkıyorlar
çünkü default gw adsl. Fakat dmz internete çıkamıyor ( https, dns
çalışıyor ) çünkü squid beni adsl den gönderiyor. Squid den dmz için
çıkan trafiğin leased line yönlendirilmesini için birkaç deneme yaptım
ama başaramadım. Keza öyle aynı sorun ftp içinde geçerli. İç network
ftp ye rahatlıkla çıkıyor dmz yine gidemiyor. Sunucuya default gw
girmeden sadece pf ile tüm yönlendirmeleri yapmayı denedim. Bu seferde
caching nameserverı route edemedim. :)
Aşağıda yaptığım configleri yolluyorum;
pf.conf
---
ll_if=sk0
ll_ip=212.212.1.1
ll_gw=212.212.1.2
dmz_if=sk1
dmz_net=100.100.100.0/24
dmz_ip=100.100.100.1
dsl_if=rl0
dsl_ip=10.1.1.1
dsl_gw=10.1.1.2
dsl_vlan1_ip=10.1.1.10
dsl_vlan2_ip=10.1.1.20
dsl_vlan3_ip=10.1.1.30
dsl_vlan4_ip=10.1.1.40
dsl_vlan5_ip=10.1.1.50
all_loc_if ={ vlan1, vlan2, vlan3, vlan4, vlan5 }
nat on $dsl_if from all_net to any - $dsl_if
rdr pass on $all_loc_if proto tcp to port ftp - $lo_ip port 8021
rdr pass on $dmz_if proto tcp to port ftp - $lo_ip port 8021
rdr pass on $all_loc_if proto tcp to port www - $lo_ip port 3128
rdr pass on $dmz_if proto tcp to port www - $lo_ip port 3128
block in log all
block out log all
pass out log on $ll_if inet proto tcp from $ll_if to any flags S/SA
modulate state
pass out log on $ll_if inet proto udp from $ll_if to any keep state
pass out log on $ll_if inet proto icmp from $ll_if to any icmp-type
echoreq keep state
pass out log on $dsl_if inet proto tcp from $dsl_if to any flags S/SA
modulate state
pass out log on $dsl_if inet proto udp from $dsl_if to any keep state
pass out log on $dsl_if inet proto icmp from $dsl_if to any icmp-type
echoreq keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto tcp from
$dmz_net to any port https flags S/SA keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto udp from
$dmz_net to any port domain keep state
pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto icmp from
$dmz_net to any icmp-type echoreq keep state
pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port ftp
flags S/SA keep state
pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port
3128 flags S/SA keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto tcp from
$int_net to any port https flags S/SA keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto udp from
$int_net to any port domain keep state
pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto icmp from
$int_net to any icmp-type echoreq keep state
pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port ftp
flags S/SA keep state
pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port 3128
flags S/SA keep state
squid.conf
---
http_port 127.0.0.1:3128 transparent
acl dmz src 100.100.100.0/255.255.255.0
tcp_outgoing_address 212.212.1.1 dmz
Bu şekilde squid sorunumu nasıl çözebilirim.
Teşekkürler
Kolay gelsin
ismail
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen
[FreeBSD] Pf route-to hakk
Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, Freebsd de calismayip OpenBSD de calisan pf kurallarini gonderebilir misiniz. Baska bir problem olabilir zira Freesd 7 de route-to calisiyor. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/5 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf route-to hakk
Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, route-to kurallarinizin calismasi icin ilgili ip adreslerini dogru arabirimden nat yapmis olmaniz gerekir. nat on $LL from $DMZ_NET to any - $LL gibi bir kural eksik. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Ismail OZATAY [EMAIL PROTECTED]: Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf Squid
Arkadaşlar Mrb,
Kaç gündür üzerinde çalıştığım bir konuda yardımda bulunabilirseniz
sevinirim.
squid de tanıtmış olduğum acl lerimi tcp_outgoing ile farklı gw lere
yönlendirdim.
acl A src A
acl B src B
acl C src C
acl D src D
acl E src E
tcp_outgoing_address 192.168.4.2 A
tcp_outgoing_address 192.168.4.2 B
tcp_outgoing_address 192.168.4.2 C
tcp_outgoing_address 192.168.0.2 D
tcp_outgoing_address 192.168.0.2 E
squid tarafında D ve E için gw2 git dedikten sonrada pf de
lan_net = { 192.168.5.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = em0
ext_gw1 = 192.168.4.1
ext_gw2 = 192.168.0.1
bim_ip = {192.168.5.13,192.168.5.15}
at on $ext_if2 from $bim_ip to any - ($ext_if2)
nat on $ext_if from $lan_net to any - ($ext_if)
pass in quick on $int_if route-to { ($ext_if2 $ext_gw2) } proto {tcp udp
icmp} from $bim_ip to any flags S/SA keep state
pass in quick on $int_if route-to ($ext_if $ext_gw1) proto tcp from
$lan_net to any port $lan_port flags S/SA keep state
pass out on $ext_if route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
keep state
bu şekilde de kaynağı bim_ip olan pc leri gw2den gidiyor problem yok ama
80 giden istekler gw1 gidiyor acaba nerde bir yanlışlık yapıyorum kaynağı
bim_ip olan pclerin bütün isteklerini gw2 nasıl yönledirebilirim.
Kolay Gelsin
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF
liste arşivinde bununla ilgili bir konu vardı veysi hocam. 2008/5/20 [EMAIL PROTECTED]: Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF
ali hocam mrb, dediğiniz gibi öyle bir konu vardı ve baktım yaşdığım sıkıntı şuydu. sunucu üzerinde aynı zamanda squid kurulu iç ağ kullanıcıları squid üzerinden internete çıkmakta pf.conf ta ozel diye bir makro tanımlayıp bunları gw2 kullan dedim ama 80 dışındaki bütün istekleri gw2 ye yönledirdi.squid üzerinden cıkan trafigi bir türlü gw2 ye yönlendiremedim sıkıntı burda şuan. liste arşivinde bununla ilgili bir konu vardı veysi hocam. 2008/5/20 [EMAIL PROTECTED]: Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF
Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF NAT Sonrası
Mrb Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
Re: [FreeBSD] PF NAT Sonrası
Serdar hocam ; pf.conf dosyanizi mail atar misiniz ? kolay gelsin - Original Message - From: Serdar EMIRCI To: freebsd@lists.enderunix.org Sent: Wednesday, May 14, 2008 1:45 PM Subject: [FreeBSD] PF NAT Sonrası Mrb Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
RE: [FreeBSD] PF NAT Sonrası
set limit { frags 15000, states 2 }
set loginterface $INT_IF
scrub in
#NAT/RDR
nat on $INT_IF from !($INT_IF) - ($INT_IF:0)
rdr on $INT_IF proto {udp,tcp} from any to any port 80 - 10.14.29.110
pass in on $INT_IF inet proto {udp,tcp} to any port 53 keep state
pass out on $INT_IF inet proto {udp,tcp} to any port 53 keep state
pass in on $INT_IF inet proto {udp,tcp} to any port 80 flags S/SA keep state
pass out on $INT_IF inet proto {udp,tcp} to any port 80 user proxy flags
S/SA keep state
From: Ismail OZATAY [mailto:[EMAIL PROTECTED]
Sent: Wednesday, May 14, 2008 3:41 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] PF NAT Sonrası
Serdar hocam ;
pf.conf dosyanizi mail atar misiniz ?
kolay gelsin
- Original Message -
From: Serdar EMIRCI mailto:[EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Sent: Wednesday, May 14, 2008 1:45 PM
Subject: [FreeBSD] PF NAT Sonrası
Mrb
Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki
kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç
ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun
IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar
haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar
aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o
adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da
yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
[FreeBSD] PF
Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba en başta lan_net dediğim için bütün iç ağı kapsamakta ve ext_if gw1 den çıkarmakta kolay gelsin FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf round-robin
mrb
pf de yapmis oldugum konfigurasyonda kurallarda ne gibi hata yapm?s olabilirim
lan_net = { 192.168.1.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.2.1
ext_gw2 = 192.168.3.1
fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2}
lan_port = {80,53,444,443,8080}
mail_port = {25,110}
ic agdan gelen mail_portlarini ext_if2 ye gitmesini
pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from
$lan_net to any port $mail_port flags S/SA modulate state
ic agdan gelen lan_port isteklerinide 2 gw ye tag?tmas?n? istiyorum
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2)
} round-robin proto tcp from $lan_net to any port $lan_port flags S/SA
modulate state
bu sekilde konfigurasyonumu duzenledim ama mail istekleri gw1 den cikiyor.
diger lan_portlari cikislarini loglardan baktigim kadariyla 2 gw yde
dagitiyor.
diger bir sorum ise bim diye bir grup tanimlamak ve bu grubun disari
cikislarini gw2 den vermek icin kural su olmasi laz?m degilmi.
pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from bim
to any flags S/SA modulate state
yard?mc? olacak arkadaslara simdiden tesekkur ederim.
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] pf ve Round-Robin
Arkadaslar tekrar mrb,
pf de anlamadigim bir kac olay var yardimci olursaniz sevinirim.
lan_net = { 192.168.1.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.2.1
ext_gw2 = 192.168.3.1
fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2}
lan_port = {80,53,444,443,8080}
mail_port = {25,110}
pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from
$lan_net to $int_if:0 port $mail_port flags S/SA modulate state
bu kuralla lan_net ten gelen portu mail_portu ise $ext_if2 $ext_gw2
gönder demek de?ilmi loglara bakt???mda ic agdan bir kullanici mail
atmaya calistiginda $ext_if $ext_gw1 kullaniyor
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2)
} round-robin proto tcp from $lan_net to $int_if:0 port $lan_port
flags S/SA modulate state
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2)
} round-robin proto { udp, icmp } from $lan_net to any keep state
bu satirlada lan_net ten gelen portu lan_port sa ext_if $ext_gw1 ,
$ext_if2 $ext_gw2 dagit demek degilmi
fw ve mail sunucum ayni makine simdi ic ag kullanicilarim mail atarken
veya alirken trafigin gw2 den gitmesini bunlar?n disindaki cikislarida
gw1 ve gw2 ye dagitmasini istiyorum (80,443vs)
yukaridaki kurallarla bunu yapmaya calisiyorum ama bir turlu
basaramadim burdaki yanlislarim nelerdir acaba mail sunucum kendisi
mail atarken gw2 yi kullaniyor ama ic ag kullaniclari disari mail
atarken gw1 den cikmaya calisiyor mail_portlari disindaki trafigi
dagit diyorum ama trafik gw1 den gidiyor
kullanmis oldugum pf.conf dosyam ektedir.
Saygilarimla..
###
# Macros
###
lan_net = { 192.168.1.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.2.1
ext_gw2 = 192.168.3.1
fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2}
lan_port = {80,53,444,443,8080}
mail_port = {25,110}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
table bim persist file /usr/local/etc/fw/bim
table yasakip persist file /usr/local/etc/fw/yasakip
table disbirim persist file /usr/local/etc/fw/disbirim
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if proto tcp from self to any port $mail_port tag IF2 - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 192.168.1.150 port 8080
rdr pass on $ext_if2 inet proto tcp from any to any port = pptp - 192.168.3.2
port 1723
rdr pass on $ext_if2 inet proto gre all - 192.168.3.2
##
#Firewall Kurallari
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to
$int_if:0 port $mail_port flags S/SA modulate sta
te
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin proto tcp from $lan_net to $int_if:0 port
$lan_port flags S/SA modulate state
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin proto { udp, icmp } from $lan_net to any
keep state
##
#Lan'dan Firewalla Gelisler
##
pass in quick on $int_if proto tcp from bim to any flags S/SA modulate state
pass in quick on $int_if proto { udp, icmp } from bim to any keep state
block in quick log on $int_if proto tcp from any to yasakip
pass in quick on $int_if proto tcp from $lan_net to any port $lan_port flags
S/SA modulate state
pass in quick log on $int_if proto tcp from $lan_net to $int_if:0 port
$mail_port flags S/SA modulate state
pass in quick on $int_if proto { udp, icmp } from $lan_net to any keep state
pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA
modulate state
pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA
modulate state
##
#Firewall C7FDkFDFElar
##
pass out on $ext_if proto tcp from $fwips to any flags S/SA modulate state
pass out on $ext_if proto { udp, icmp } from $fwips to any keep state
pass out on $ext_if2 proto tcp from $fwips to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from $fwips to any keep state
pass out quick log on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
pass out quick log on $ext_if route-to ($ext_if2
[FreeBSD] Pf round-robin
Arkada?lar tekrar mrb, pfde yine tak?ld???m birkac konuda yard?mlar?n?za ihtiyac?m var. 2 adet dsl ba?lant?m mevcut ext_if (ADSL) ve ext_if2 (GHDSL) 1. ic ag kullan?c?lar?n? internete cikarirken 2 dsl minde yuku paylasmas?n? istiyorum. 2. diger bir sorunum ise ic agdaki bir grup ip ninde butun ?nternet trafigini sadece ext_if2 (GHDSL) uzerinden gitmesini nas?l saglamak istiyorum bu konularda bir kac ornekle ac?klayabilirseniz.birde pf trafigi round-robin yaparken gelen iste?i bir adsl ye 1 ghdsl le mi gönderiyor. mesala ghdslde hat gitmi?se veya adsl de nas?l davran?yor. Sayg?lar?mla FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] pf kuralları
çok teşşekür ederim dediğiniz gibi yapınca çalıştı.
- Original Message -
From: Huzeyfe ONAL [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Sent: Saturday, April 26, 2008 3:36 PM
Subject: Re: [FreeBSD] pf kuralları
Merhabalar,
pass in quick log on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
kuralinda ic agdan gelen smtp, pop vs isteklerin tum her yere gitmesine
izin vermissiniz. Kuralinizi
pass in quick log on $int_if proto tcp from $lan_net to*
$FIREWALL_IC_IP_ADRESI p*ort { 22,25,80,110,8080,12200,443,444,53 } flags
S/SA keep state
seklinde degistirirseniz kullanicilariniz sadece ic mail sunucu ile
haberlesebilir.
vys yazmış:
Merhabalar,
pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110
portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem ve
mail sunucum aynı makine içerideki kullanıcılarımın sadece içerideki mail
sunucumla haberleşmesini sağlıyorum firewall kurallarında mail sunucumun
dışarı çıkmasına izin vermeme rağmen içerideki kullanıcılarda dışarıdaki
bir mail sunucuyla bağlantı kurabiliryor landaki kullanıcılarımın 25 ve
110 portları dışarıyla bağlantısını nasıl engelleyebilirim. ben
kuralların en başında herşeyi blocklayıp sonra iç ağdan fw ye 25 ve 110
portlarını açmama rağmen neden dışarıya çıkar. kurallarda yapmış olduğum
hatayı bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213
ext_gw2 = 192.168.110.25
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if proto tcp from self to any port smtp tag IF2 -
($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 -
($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick log on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
##
# Firewalla izin veriliyor E7FDkFDFElar
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep
state
pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep
state
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] pf kuralları
Merhabalar,
pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110 portlarına
izin verdim. şimdi burda yapmak istediğim firewall makinem ve mail sunucum aynı
makine içerideki kullanıcılarımın sadece içerideki mail sunucumla
haberleşmesini sağlıyorum firewall kurallarında mail sunucumun dışarı çıkmasına
izin vermeme rağmen içerideki kullanıcılarda dışarıdaki bir mail sunucuyla
bağlantı kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla
bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi
blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen neden
dışarıya çıkar. kurallarda yapmış olduğum hatayı bulamıyorum.yardımcı olacak
arkadaşlara şimdi den teşeker ederim.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213
ext_gw2 = 192.168.110.25
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick log on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
##
# Firewalla izin veriliyor E7FDkFDFElar
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep state
Re: [FreeBSD] pf kuralları
Merhabalar,
pass in quick log on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
kuralinda ic agdan gelen smtp, pop vs isteklerin tum her yere gitmesine
izin vermissiniz. Kuralinizi
pass in quick log on $int_if proto tcp from $lan_net to*
$FIREWALL_IC_IP_ADRESI p*ort { 22,25,80,110,8080,12200,443,444,53 }
flags S/SA keep state
seklinde degistirirseniz kullanicilariniz sadece ic mail sunucu ile
haberlesebilir.
vys yazmış:
Merhabalar,
pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110
portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem
ve mail sunucum aynı makine içerideki kullanıcılarımın sadece
içerideki mail sunucumla haberleşmesini sağlıyorum firewall
kurallarında mail sunucumun dışarı çıkmasına izin vermeme rağmen
içerideki kullanıcılarda dışarıdaki bir mail sunucuyla bağlantı
kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla
bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi
blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen
neden dışarıya çıkar. kurallarda yapmış olduğum hatayı
bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213
ext_gw2 = 192.168.110.25
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick log on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
##
# Firewalla izin veriliyor E7FDkFDFElar
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep
state
pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any
keep state
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Freebsd + PF
tekrar merhabalar,
kurallarımın en başında belirtmiş olduğum
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
bu satırlarından sonra iç ağdaki kullanıcılarıma fw belli portlara ulaşma izini
verdim
pass in quick on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
daha sonra fw nin dış modemlere bakan interfacelerinede çıkış izini verdim
pass out on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out on $ext_if2 proto {tcp,udp} from $fwips to any keep state
iç ağdaki kullanıcılarım fw üzerinde izin verdiğim portlara bağlanabiliyorlar
problem yok ama izin vermeme rağmen dışarıdaki bir mail serverada
bağlanabiliyorlar.
bunu nasıl engelleyebilirim.
- Original Message --pass in quick on $int_if proto tcp from $lan_net to
any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
From: vys
To: freebsd@lists.enderunix.org
Sent: Wednesday, April 16, 2008 8:55 AM
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim
sağlıçakla kalın
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 9:34 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde
natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda
IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini
kullanmam icin o sekilde belirtmem gerekiyor J
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 -
($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 -
($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag
IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne
yapmak istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any
port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl
den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den
çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de
ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
Re: [FreeBSD] Freebsd + PF
merhabalar bu konu pf ile ama ipfw... benim sistemim freebsd 7.0 sistem üzerinde dhcp squid squidguard çalışmakta makinalar.ip alıp browsere proxy tanıtmak koşuluyla int çkış yapabiliyorlar ama.. ping yada başka bir portu kullanan bir program çalıştıklarında int yokmuş gibi davranıyor halbuki ipfw de allow from ant to any kuralı geçerli ne yapmam lazım.
[FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail
sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state
##
#Port Bazli Routing
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips
to any port 25 keep state
pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep state
pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from
$lan_net to any port 25 keep state
##
# Firewalla izin veriliyor ç?k??lar
##
pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA
keep state
pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA keep
state
pass in quick on $int_if proto { udp, icmp } from $lan_net to any keep state
##
#Ext_if2 Uzerinden Gelisler
##
pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110,53}
flags S/SA keep state
##
#Ext_if Uzerinden Gelisler
##
pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SA
keep state
RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
##
#Port Bazli Routing
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from
$fwips to any port 25 keep state
pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
state
pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from
$lan_net to any port 25 keep state
##
# Firewalla izin veriliyor ç?k??lar
##
pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state
pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state
##
#Lan_net ten Firewalla izin verilen Portlar
##
pass in quick on $int_if proto tcp from $lan_net to any port {
22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state
pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA
keep state
pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA
keep state
pass in quick
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü
acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat
dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
##
#Port Bazli Routing
##
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from
$fwips to any port 25 keep state
pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken
2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1.
dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kurallari
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Kurallar
##
block in log-all all
block out log-all all
pass in quick on lo0 all
pass out quick on lo0 all
##
#Route-to
##
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep
state
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam,
yardımlarınız için çok teşekkür ederim şuan için söylediğiniz şekilde kurallar
çalışıyor. şuan için gördüğüm tek sıkıntı server üzerinden başka bir makinenin
mail sunucusuna telnet le bağlandığımda ehlo deyince 1-2 dakikalık bekleme
yapıyor ama dışarıdan kendi sunucuma bağlandığımda bir problem yok gayet hızlı
içeriden dışarı çıkmaya çalıştığımda bir yavaşlama var acaba nedendir. loglara
baktığımda bir engellemede yok.
Saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim
bir kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 }
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213 (Proxy için)
ext_gw2 = 192.168.110.25 (Mail Trafigi için)
fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26}
##
#Tanimlar
##
table msn persist file /usr/local/etc/fw/msn
table ftp persist file /usr/local/etc/fw/ftp
###
# Set
Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any
to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak
istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya
başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den
çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın
gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim
bir kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba
gözden
kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki
gibidir.
###
# Macros
###
lan_net
RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde
natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme
kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip
adresini kullanmam icin o sekilde belirtmem gerekiyor :-)
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var
bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 -
($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 -
($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag
IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne
yapmak istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken
2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1.
dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi
nat/filtering kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin
ve round-robin kullanmayin.
_
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Arkadaslar Merhaba,
daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir
kaç durumu
sizlerle paylasmak istedim.
bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda.
simdi benim
yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla
mail sunucumun
mailleri gönderirken ve mailleri alirken adsl1 üzerinden
haberlessin,kullanicilariminda
internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin
istiyorum.
buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum
birincisi
disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor
loglarda ise pass
olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2
üzerinden hiçbir
problem yok adsl1 üzerinden 25,110 sunucuya
Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim
sağlıçakla kalın
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 9:34 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum
ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2
seklinde isaretlenmis paketleri diger arabirime gonderiyorum.
2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi
sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini
kullanmam icin o sekilde belirtmem gerekiyor J
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 8:36 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb,
Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan
çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları
açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından.
1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir.
2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from
any to $ext_if2:0 port 80 keep state
satırındaki $ext_if2:0 ne anlama geliyor
3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state
burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak
istiyoruz.
huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur.
Saygılar..
- Original Message - nat on $ext_if proto tcp from self to any port
smtp tag IF2 - ($ext_if2)
nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2)
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 7:13 PM
Subject: RE: [FreeBSD] Freebsd + PF
Selamlar,
SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna
bakarak cogaltabilirsiniz.
pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp
from any to $ext_if0:0 port 25 keep state
Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde
bulabilirsiniz.
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 7:06 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar,
Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz
mümkünmü acaba.
kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail
veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl
den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den
çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam.
saygılar
- Original Message -
From: Huzeyfe ONAL
To: freebsd@lists.enderunix.org
Sent: Tuesday, April 15, 2008 5:53 PM
Subject: RE: [FreeBSD] Freebsd + PF
Merhabalar,
Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to
kullanmaniz gerekiyor.
Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic
agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin
urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering
kurallari yazmayi deneyin.
(II. hattan SMTP isteklerinin cikmasi icin)
nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2)
pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep
state
(OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok)
Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek
hat dusunulerek yazilmis kurallar gibi gozukuyor.
En basitinden ;
pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin from $lan_net to any keep state
kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz,
isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve
round-robin kullanmayin.
--
From: vys [mailto:[EMAIL PROTECTED]
Sent: Tuesday, April 15, 2008 1:03 PM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] Freebsd + PF
Re: [FreeBSD] pf ve nat
Merhabalar,
ic agdaki kullanicilara kisitli internet vermek istiyorsaniz bunu NAT
tanimlari ile degil de filtreleme kurallari ile yapmayi deneyin.
izinli_kullanicilar= { ip adresleri}
izinli_portlar = { port2 port 5 ...}
sonrasinda filtreleme tarafinda
pass in on $int_if proto tcp from $izinli_kullanicilar to any port $izinli_portlar keep state
gibi kurallar yazabilirsiniz.
afsin cakir wrote:
Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar içinmi nat yapmam gerekiyor..
Date: Fri, 18 Jan 2008 21:46:05 +0200
From: [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf ve nat
Merhabalar,
block all 'dan sonra kullandiginiz
pass in on $int_if from $int_if:network to any keep state
kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz.
Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz.
nat on $ext_if from $int_net to any - 192.168.2.68
Ve en sonunda kullandiginiz
pass out on $ext_if proto tcp from to any modulate state flags S/SA
kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz.
Boylece yazdiginiz block kurali islevsiz kalmis.
Tam olarak ne yapmaya calisiyorsunuz?
afsin cakir wrote:
Merhabalar.
network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf
kullanarak lacaldeki pcleri internete çıkarmak istiyorum.
local network - freebsd -- adsl modem--- internet
kullandığım pf.con dosyası aşağıdaki şekilde
int_if = vr0
ext_if = fxp0
int_net = 192.168.20.0/24
tcp_services = { 22 }
icmp_types = echoreq
nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan
ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum)
block all
pass quick on lo0 all
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state
Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete
çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra
kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim
isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak
sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında
ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze
şimdiden teşekkürler.
_
Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz
her şey tek bir yerde.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
http://www.lifeoverip.net
Trust, but Verify!
R.R
_
Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava
durumu ve çok daha fazlası.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
Trust, but Verify!
R.R
signature.asc
Description: OpenPGP digital signature
RE: [FreeBSD] pf ve nat
yardımınız için teşekkürler. deniyeceğim
Date: Sun, 20 Jan 2008 12:06:10 +0200
From: [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf ve nat
Merhabalar,
ic agdaki kullanicilara kisitli internet vermek istiyorsaniz bunu NAT
tanimlari ile degil de filtreleme kurallari ile yapmayi deneyin.
izinli_kullanicilar= { ip adresleri}
izinli_portlar = { port2 port 5 ...}
sonrasinda filtreleme tarafinda
pass in on $int_if proto tcp from $izinli_kullanicilar to any port
$izinli_portlar keep state
gibi kurallar yazabilirsiniz.
afsin cakir wrote:
Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz
karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin
ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3
gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli
portlar içinmi nat yapmam gerekiyor..
Date: Fri, 18 Jan 2008 21:46:05 +0200
From: [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf ve nat
Merhabalar,
block all 'dan sonra kullandiginiz
pass in on $int_if from $int_if:network to any keep state
kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz.
Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak
degistirmissiniz.
nat on $ext_if from $int_net to any - 192.168.2.68
Ve en sonunda kullandiginiz
pass out on $ext_if proto tcp from to any modulate state flags S/SA
kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz.
Boylece yazdiginiz block kurali islevsiz kalmis.
Tam olarak ne yapmaya calisiyorsunuz?
afsin cakir wrote:
Merhabalar.
network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf
kullanarak lacaldeki pcleri internete çıkarmak istiyorum.
local network - freebsd -- adsl modem--- internet
kullandığım pf.con dosyası aşağıdaki şekilde
int_if = vr0
ext_if = fxp0
int_net = 192.168.20.0/24
tcp_services = { 22 }
icmp_types = echoreq
nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan
ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum)
block all
pass quick on lo0 all
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags
S/SA
pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state
Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın
internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all
dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını
zannediyordum. benim isteğim local networkten pc ler sadece belli portlara
ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve
belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam
gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler.
_
Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz
her şey tek bir yerde.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
http://www.lifeoverip.net
Trust, but Verify!
R.R
_
Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor,
hava durumu ve çok daha fazlası.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
http://www.lifeoverip.net
Trust, but Verify!
R.R
_
Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava
durumu ve çok daha fazlası.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail
Re: [FreeBSD] pf ve nat
Merhabalar,
block all 'dan sonra kullandiginiz
pass in on $int_if from $int_if:network to any keep state
kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz.
Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz.
nat on $ext_if from $int_net to any - 192.168.2.68
Ve en sonunda kullandiginiz
pass out on $ext_if proto tcp from to any modulate state flags S/SA
kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz.
Boylece yazdiginiz block kurali islevsiz kalmis.
Tam olarak ne yapmaya calisiyorsunuz?
afsin cakir wrote:
Merhabalar.
network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf
kullanarak lacaldeki pcleri internete çıkarmak istiyorum.
local network - freebsd -- adsl modem--- internet
kullandığım pf.con dosyası aşağıdaki şekilde
int_if = vr0
ext_if = fxp0
int_net = 192.168.20.0/24
tcp_services = { 22 }
icmp_types = echoreq
nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan
ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum)
block all
pass quick on lo0 all
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state
Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete
çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra
kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim
isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak
sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında
ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze
şimdiden teşekkürler.
_
Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz
her şey tek bir yerde.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
Trust, but Verify!
R.R
signature.asc
Description: OpenPGP digital signature
[FreeBSD] pf ve nat
Merhabalar.
network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf
kullanarak lacaldeki pcleri internete çıkarmak istiyorum.
local network - freebsd -- adsl modem--- internet
kullandığım pf.con dosyası aşağıdaki şekilde
int_if = vr0
ext_if = fxp0
int_net = 192.168.20.0/24
tcp_services = { 22 }
icmp_types = echoreq
nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan
ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum)
block all
pass quick on lo0 all
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state
Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın
internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan
sonra kural tanımlamadığım için local networkün internete çıkmayacağını
zannediyordum. benim isteğim local networkten pc ler sadece belli portlara
ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve
belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam
gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler.
_
Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz
her şey tek bir yerde.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] pf ve nat
Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz
karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama
iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi)
erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar
içinmi nat yapmam gerekiyor..
Date: Fri, 18 Jan 2008 21:46:05 +0200
From: [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf ve nat
Merhabalar,
block all 'dan sonra kullandiginiz
pass in on $int_if from $int_if:network to any keep state
kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz.
Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak
degistirmissiniz.
nat on $ext_if from $int_net to any - 192.168.2.68
Ve en sonunda kullandiginiz
pass out on $ext_if proto tcp from to any modulate state flags S/SA
kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz.
Boylece yazdiginiz block kurali islevsiz kalmis.
Tam olarak ne yapmaya calisiyorsunuz?
afsin cakir wrote:
Merhabalar.
network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf
kullanarak lacaldeki pcleri internete çıkarmak istiyorum.
local network - freebsd -- adsl modem--- internet
kullandığım pf.con dosyası aşağıdaki şekilde
int_if = vr0
ext_if = fxp0
int_net = 192.168.20.0/24
tcp_services = { 22 }
icmp_types = echoreq
nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan
ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum)
block all
pass quick on lo0 all
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services
flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state
pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags
S/SA
pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state
Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın
internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all
dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını
zannediyordum. benim isteğim local networkten pc ler sadece belli portlara
ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve
belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam
gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden
teşekkürler.
_
Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla
istediğiniz her şey tek bir yerde.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
--
Huzeyfe ONAL
http://www.lifeoverip.net
Trust, but Verify!
R.R
_
Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava
durumu ve çok daha fazlası.
http://www.live.com/getstarted
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] PF Hakkinda
Arkadaslar merhaba ; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Iyi calismalar - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Ismail OZATAY yazmış: Arkadaslar merhaba ; Selamlar; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Belirli zamanlarda belirli kurallarin calismasini mi istiyorsunuz ? Ne yapmak istediginizi soylerseniz daha kolay cozum bulunabilir. Iyi calismalar iyi calismalar Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin --- EnderUnix Guvenlik E- Posta Listesi http://lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - Afsin Taskiran yazmış: Ismail OZATAY yazmış: Arkadaslar merhaba ; Selamlar; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Belirli zamanlarda belirli kurallarin calismasini mi istiyorsunuz ? Ne yapmak istediginizi soylerseniz daha kolay cozum bulunabilir. Iyi calismalar iyi calismalar Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin --- EnderUnix Guvenlik E- Posta Listesi http://lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] PF Hakkinda
İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Cengiz hocam iptables da oyle yapiyorum , pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Tesekkur ederim Iyi calismalar Cengiz CAKAR yazmış: İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] PF Hakkinda
İşin içine yine de crontabı sokmak zorundasınız sanırım :D http://archive.openbsd.nu/?ml=openbsd-pfa=2005-01t=635485 -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:37 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Cengiz hocam iptables da oyle yapiyorum , pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Tesekkur ederim Iyi calismalar Cengiz CAKAR yazmış: İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Selamlar; Ismail OZATAY yazmış: Cengiz hocam iptables da oyle yapiyorum , iptables da cron dan dogrudan destek almaniza gerek yok. iptables in time modulu ile gelismis zaman ozelliklerini kullanarak asagidaki ornekteki gibi kural yazabilirsiniz. Patch-O-Matic (POM) ile de iptables da daha bircok ozellige kavusabilirsiniz. iptables -A FORWARD -p tcp -m multiport \ --dport ssh -o eth1 -i eth0 \ -m time --timestart 08:30 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Bildigim kadariyla pf'de su anda dogrudan bir zaman destegi yok. Ancak cron a bagli kalinarak pf in anchor destegi ile belirli zamanlarda belirli kurallarin aktif kalmasi saglanabiliyor. Tesekkur ederim iyi calismalar -- Afşin Taşkıran EnderUnix Core Team Member www.enderunix.org/afsin EnderUnix Guvenlik Portali EnderUnix Guvenlik E- Posta Listesi www.enderunix.org/security lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] pf firewall
selam arkdaslar freebsd 6.2 ustune pf ve squid kurulu. Trace cekildiginde firewall'in gorunmemesi icin ne yapmaliyim. 192.168.2.0/24 -- BSD -- 192.168.1.0 -- ADSL Modem -- INT 2.22 --| |-- 1.2 1.1 --| Not: scrub in on $int_if min-ttl 2seklinde denedigimde asagidaki gibi bir cikti aliyorum 1 2 ms 1 ms 1 ms 192.168.1.1 2 4 ms 1 ms 1 ms 192.168.1.1 356 ms59 ms14 ms dsl.static8 normal cikti 11 ms1 ms 1 ms 192.168.2.22 2 4 ms 1 ms 1 ms 192.168.1.1 317 ms12 ms11 ms dsl.static81 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] pf firewall
Merhabalar, ic arabirime gelen paketlerin min. ttl degerini iki yaptiginiz icin firewall gozukmuyor(ilk arabirime ttl degeri 1 olarak gelen paketin ttl degeri 2 yapilarak bir sonraki duraga gonderiliyor) olsa da ic agdaki ip-arp ikilisini bilen bir kullanici bu ciktiya bakarak aradaki firewall'u cok rahatlikla kesfedebilir. Tam bir gorunmezlik isterseniz FreeBSD makineyi bridge modda calistirmayi deneyebilirsiniz. Arda bozkurt wrote: selam arkdaslar freebsd 6.2 ustune pf ve squid kurulu. Trace cekildiginde firewall'in gorunmemesi icin ne yapmaliyim. 192.168.2.0/24 -- BSD -- 192.168.1.0 -- ADSL Modem -- INT 2.22 --| |-- 1.2 1.1 --| Not: scrub in on $int_if min-ttl 2seklinde denedigimde asagidaki gibi bir cikti aliyorum 1 2 ms 1 ms 1 ms 192.168.1.1 2 4 ms 1 ms 1 ms 192.168.1.1 356 ms59 ms14 ms dsl.static8 normal cikti 11 ms1 ms 1 ms 192.168.2.22 2 4 ms 1 ms 1 ms 192.168.1.1 317 ms12 ms11 ms dsl.static81 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf ip forwarding
Merhabalar,
pass in on $int_if route-to { $ext_ifx 1.1.1.1 } from 1.1.1.25 to any
gibi bir tanim kullanabilirsiniz.
Arda bozkurt wrote:
herkese selamlar,
ipfw kullaniyorum ve PF testi icin bir makina kurdum. ipfw'de
add fwd 1.1.1.1 ip from 1.1.1.25/32 to any
gibi bir satirla source adresine gore farkli iplere route edebiliyorum.
acaba ayni seyi PF ilede yapabilirmiyim.
Iyi calismalar
Arda
signature.asc
Description: OpenPGP digital signature
[FreeBSD] Yanıt: Re: [FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, Huzeyfe Bey. Bu yontemle soylediginiz sekilde calistiramadim serveri. Kullanici ipsini degistirdigi zaman yine baglanabiliyor. Atladigim bir nokta mi var acaba? Saygilarimla.. --- Huzeyfe ONAL [EMAIL PROTECTED] wrote: Merhabalar, PF bridge modda calisiyorsa brconfig ve tagleri kullanarak MAC adresine gore filtreleme yapabilirsiniz. Ama bu yontemi atlatmak MAC adresini degistirmek kadar kolaydir. Bunun yerine http://blog.huzeyfe.net/index.php?op=ViewArticlearticleId=258blogId=1 adresinde bahsettigim yontemi denemek daha saglikli ve kesin cozum. Kisaca yapilan gatewayde kullanicilarin IP-MAC'lerini statik ve sabit olarak tanimlayip IP adresine gore kural yazmak. IP adresini ya da MAC adresini degistiren kullanicinin gateway ile baglantisi kesileceginden internete cikamayacaktir. Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, PF bridge modda calisiyorsa brconfig ve tagleri kullanarak MAC adresine gore filtreleme yapabilirsiniz. Ama bu yontemi atlatmak MAC adresini degistirmek kadar kolaydir. Bunun yerine http://blog.huzeyfe.net/index.php?op=ViewArticlearticleId=258blogId=1 adresinde bahsettigim yontemi denemek daha saglikli ve kesin cozum. Kisaca yapilan gatewayde kullanicilarin IP-MAC'lerini statik ve sabit olarak tanimlayip IP adresine gore kural yazmak. IP adresini ya da MAC adresini degistiren kullanicinin gateway ile baglantisi kesileceginden internete cikamayacaktir. Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
[FreeBSD] pf webcam
Network u sinirli nat yapmistim(belli portlarda cikislara izin vermistim) ama simdi msn webcam i de acmam gerekiyor portu nedir ? veya bu porta guvenli portlar listesine eklemem yeterli olur mu acaba... - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] pf webcam
port 1713 imis bilgilerinize safe port listesine ekleyince baglanti oldu Hamza ASLAN wrote: Network u sinirli nat yapmistim(belli portlarda cikislara izin vermistim) ama simdi msn webcam i de acmam gerekiyor portu nedir ? veya bu porta guvenli portlar listesine eklemem yeterli olur mu acaba... - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] pf ftp problemi
XP Sp2 de sorun çıkıyordu firewall aktifse düzeldimi o?
Bir ara o olmayınca pftpx kullandım sorunsuz çalışmıştı.
Saygılar.
From: Huzeyfe Onal [mailto:[EMAIL PROTECTED]
Sent: Thursday, May 10, 2007 1:02 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf ftp problemi
Merhabalar,
http://csirt.ulakbim.gov.tr/dokumanlar/openbsd_pf_guvenlik_duvari.pdf
adresindeki belgenin Packet Filter ve FTP kismini incelerseniz hem FTP
ile ilgili problemin ne oldugunu hem de cozumunu net bir sekilde
anlayabilirsiniz.
On 5/10/07, Hamza ASLAN [EMAIL PROTECTED] wrote:
Hamza ASLAN wrote:
pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya
baglanamiyor
safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 }
nat on $ext_if from $internal_net to any port $safe - a.b.c.d
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
[FreeBSD] pf ftp problemi
Hamza ASLAN wrote:
pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya
baglanamiyor
safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 }
nat on $ext_if from $internal_net to any port $safe - a.b.c.d
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf ftp problemi
Hamza ASLAN wrote:
Hamza ASLAN wrote:
Merhaba;
pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya
baglanamiyor
safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 }
nat on $ext_if from $internal_net to any port $safe - a.b.c.d
Ic aginizdaki kullanicilarin disariya ftp yapabilmelerini saglamak icin
21 portuna izin vermek yeterli degildir.
pf.conf unuzun NAT kismina ;
nat-anchor ftp-proxy/*
rdr-anchor ftp-proxy/*
rdr on $int_if proto tcp from any to any port 21 - 127.0.0.1 port 8021
eklemelisiniz.
Kurallar (rules) kismina da ;
anchor ftp-proxy/*
baglantisini eklemeniz gerekir. ftp-proxy programinin da root
kullanicisi ile calistirilmis olmasi gerekir. Eger aktif FTP ye de izin
vermek isterseniz ftp-proxy i -r parametresi ile calistirabilirsiniz.
ftp-proxy yazilimin acilista calismasini isterseniz /etc/rc.conf.local
dosyasina
ftpproxy_flags=
satirini eklemelisiniz.
PF uzerinde FTP kullanimi icin OpenBSD FAQ yu bakabilirsiniz.
http://www.openbsd.org/faq/pf/ftp.html
--
Afsin Taskiran |Ford Otosan
EnderUnix Core Team Member |Security Engineer
www.enderunix.org/afsin/blog|www.ford.com.tr
International BSD Conferance in Turkey
www.bsdcontr.org
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
[FreeBSD] Yanıt: [FreeBSD] pf ftp problemi
Merhaba,
http://ipucu.enderunix.org/view.php?id=601lang=tr
isinizi gorecektir.
Saygilarimla..
--- Hamza ASLAN [EMAIL PROTECTED] wrote:
Hamza ASLAN wrote:
pf' den ftp portu 21 i disariya baglanti acmama
ragmen disariya
baglanamiyor
safe= { pop3, smtp, domain, http, https, 3389,
ftp, 443, 1863, 995 }
nat on $ext_if from $internal_net to any port
$safe - a.b.c.d
-
Listeye soru sormadan once lutfen
http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail:
[EMAIL PROTECTED]
Liste arsivi:
http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi:
http://www.acikakademi.com/catalog/freebsd
___
Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com
Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma
Yahoo! Posta'da
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf ftp problemi
Merhabalar,
http://csirt.ulakbim.gov.tr/dokumanlar/openbsd_pf_guvenlik_duvari.pdfadresindeki
belgenin Packet Filter ve FTP kismini incelerseniz hem FTP
ile ilgili problemin ne oldugunu hem de cozumunu net bir sekilde
anlayabilirsiniz.
On 5/10/07, Hamza ASLAN [EMAIL PROTECTED] wrote:
Hamza ASLAN wrote:
pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya
baglanamiyor
safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 }
nat on $ext_if from $internal_net to any port $safe - a.b.c.d
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
[FreeBSD] pf outgoing load balance ve squid
Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . Ahmet ORHAN Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED]
Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar,
asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www
portuna giderken load balance yapmanizi saglar.
pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep
state
bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken
paketler icin de bir route-to yazilmali.
ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin
cikislerini iki hatta dagitirsiniz sonra PF ile source based routing
yaparsiniz.
benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller
ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance
yaptiginizda problem yasayabiliyorsunuz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Merhaba,
Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl
biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak
istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan
arabirimden çıkışlarını sağlamak)
Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel
ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak...
Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı
acaba? Yoksa default gateway den mi çıkış yapar.
Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz..
Teşekkürler..
.
*Ahmet ORHAN*
Altınbaşak Tekstil A.Ş.
0258 269 10 69
[EMAIL PROTECTED]
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
Re: [FreeBSD] pf outgoing load balance ve squid
Huzeyfe Hocam Merhaba,
Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi
ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi
uygulamalara tahsis etmek.
Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının
bu hattan çıkması için ne yapmam gerekir?
squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli
olur mu? Yoksa pf de bir kural gerekir mi?
Şimdiden çok teşekkür ederim..
- Original Message -
From: Huzeyfe Onal
To: freebsd@lists.enderunix.org
Sent: Wednesday, May 02, 2007 2:56 PM
Subject: Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar,
asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna
giderken load balance yapmanizi saglar.
pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state
bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken
paketler icin de bir route-to yazilmali.
ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin
cikislerini iki hatta dagitirsiniz sonra PF ile source based routing
yaparsiniz.
benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller
ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance
yaptiginizda problem yasayabiliyorsunuz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Merhaba,
Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl
biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak
istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan
arabirimden çıkışlarını sağlamak)
Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel
ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak...
Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı
acaba? Yoksa default gateway den mi çıkış yapar.
Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz..
Teşekkürler..
.
Ahmet ORHAN
Altınbaşak Tekstil A.Ş.
0258 269 10 69
[EMAIL PROTECTED]
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
Re: [FreeBSD] pf outgoing load balance ve squid
Merhaba,
Squid kurulu makinenin default gateway'ine DSL modemin iç IP sini yazarsanız
daha basit olur.
Devrim
Çarşamba 02 May 2007 16:09 tarihinde, Ahmet ORHAN şunları yazmıştı:
Huzeyfe Hocam Merhaba,
Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani
squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi
uygulamalara tahsis etmek.
Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid
kullanıcılarının bu hattan çıkması için ne yapmam gerekir?
squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli
olur mu? Yoksa pf de bir kural gerekir mi?
Şimdiden çok teşekkür ederim..
- Original Message -
From: Huzeyfe Onal
To: freebsd@lists.enderunix.org
Sent: Wednesday, May 02, 2007 2:56 PM
Subject: Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar,
asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www
portuna giderken load balance yapmanizi saglar.
pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state
bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken
paketler icin de bir route-to yazilmali.
ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin
cikislerini iki hatta dagitirsiniz sonra PF ile source based routing
yaparsiniz.
benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger
protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi)
load balance yaptiginizda problem yasayabiliyorsunuz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Merhaba,
Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl
biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak
istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan
arabirimden çıkışlarını sağlamak)
Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel
ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak...
Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı
acaba? Yoksa default gateway den mi çıkış yapar.
Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz..
Teşekkürler..
.
Ahmet ORHAN
Altınbaşak Tekstil A.Ş.
0258 269 10 69
[EMAIL PROTECTED]
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf outgoing load balance ve squid
Devrim bey merhaba,
Dsl modemin iç bacağını yazamıyorum..
aynı makinede mail web dns.. serverlar da mevcut ve bu servisler için gshdsl
hattın ip sini kullanıyorum.(dns ler o ip de kayıtlı).
İstediğim kısaca,
iki hattı tek makineye bağlamak. Gshdsl hattı server uygulamarı için
kullanmak..
Dsl modemin hattını da squid isteklerini yönlendirmek için.. squid.conf da
tcp_outgoing_address tanımlamalarını yapıyorum ama aşağıdaki hatayı alıyorum
commBind: Cannot bind socket FD 33 to 192.168.0.1:0: (49) Can't assign
requested address
dsl modemin iç bacağı 192.168.0.1
acl normal_service_net src 192.168.0.28/32
tcp_outgoing_address 192.168.0.1 normal_service_net
tcp_outgoing_address 192.168.0.1
Teşekkürler..
- Original Message -
From: Devrim Sipahi [EMAIL PROTECTED]
To: freebsd@lists.enderunix.org
Sent: Wednesday, May 02, 2007 5:02 PM
Subject: Re: [FreeBSD] pf outgoing load balance ve squid
Merhaba,
Squid kurulu makinenin default gateway'ine DSL modemin iç IP sini
yazarsanız daha basit olur.
Devrim
Çarşamba 02 May 2007 16:09 tarihinde, Ahmet ORHAN şunları yazmıştı:
Huzeyfe Hocam Merhaba,
Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani
squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server
gibi uygulamalara tahsis etmek.
Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid
kullanıcılarının bu hattan çıkması için ne yapmam gerekir?
squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam
yeterli olur mu? Yoksa pf de bir kural gerekir mi?
Şimdiden çok teşekkür ederim..
- Original Message -
From: Huzeyfe Onal
To: freebsd@lists.enderunix.org
Sent: Wednesday, May 02, 2007 2:56 PM
Subject: Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar,
asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www
portuna giderken load balance yapmanizi saglar.
pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep
state
bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi
gereken paketler icin de bir route-to yazilmali.
ya da squid'de tcp_outgoing_address kullanarak ic agdaki
kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source
based routing yaparsiniz.
benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger
protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs
gibi) load balance yaptiginizda problem yasayabiliyorsunuz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Merhaba,
Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri
dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak
istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan
arabirimden çıkışlarını sağlamak)
Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim
yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak...
Bu durumda aynı makinede çalışan squid için pf load balancing yapar
mı acaba? Yoksa default gateway den mi çıkış yapar.
Squid ile birlikte Outgoing load balancing yapmak için ne
önerirsiniz..
Teşekkürler..
.
Ahmet ORHAN
Altınbaşak Tekstil A.Ş.
0258 269 10 69
[EMAIL PROTECTED]
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine
bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
__ NOD32 2233 (20070501) Bilgi __
Bu mesaj NOD32 antivirüs sistemi tarafından kontrol edilmiştir.
http://www.eset.com
-
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf outgoing load balance ve squid
merhabalar,
squid'de tcp_outgoing_address ile belirlediginiz IP adresini kullanmasini
saglarsiniz, sonrada PF ile o ipden gelip any'nin 80 portuna gidenleri
belirli bir hatta yonlendirirsiniz.
uc hattinizin oldugunu varsayiyorum.
1 - int_if
2 - dsl_if -5.5.5.2 olsun, default gw 5.5.5.1 diyelim.
3- gdsl_if
dsl_gw 5.5.5.1
squid icin;
tcp_outgoing_address 5.5.5.2
pf icin.
...
pass out on $dsl_if route-to ($dsl_if $dsl_gw ) from $dsl_if to any keep
state
pass out on $gdsl_if route-to ($dsl_if $dsl_gw) from $dsl_if to any
...
ayarlamalarini yaparsaniz squid'i dsl hattindan cikarmis olursunuz.
*pf kurallarini isteginize gore esnetebilirsiniz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Huzeyfe Hocam Merhaba,
Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani
squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi
uygulamalara tahsis etmek.
Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid
kullanıcılarının bu hattan çıkması için ne yapmam gerekir?
squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam
yeterli olur mu? Yoksa pf de bir kural gerekir mi?
Şimdiden çok teşekkür ederim..
- Original Message -
*From:* Huzeyfe Onal [EMAIL PROTECTED]
*To:* freebsd@lists.enderunix.org
*Sent:* Wednesday, May 02, 2007 2:56 PM
*Subject:* Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar,
asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www
portuna giderken load balance yapmanizi saglar.
pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1
$ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep
state
bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken
paketler icin de bir route-to yazilmali.
ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin
cikislerini iki hatta dagitirsiniz sonra PF ile source based routing
yaparsiniz.
benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger
protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi)
load balance yaptiginizda problem yasayabiliyorsunuz.
On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote:
Merhaba,
Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl
biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak
istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan
arabirimden çıkışlarını sağlamak)
Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel
ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak...
Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı
acaba? Yoksa default gateway den mi çıkış yapar.
Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz..
Teşekkürler..
.
*Ahmet ORHAN*
Altınbaşak Tekstil A.Ş.
0258 269 10 69
[EMAIL PROTECTED]
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
--
Huzeyfe ONAL
[EMAIL PROTECTED]
http://www.lifeoverip.net
+90 555 255 4593
Ag guvenligi listesine uye oldunuz mu?
http://netsec.huzeyfe.net
---
[FreeBSD] PF pass in ve pass out
Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) pass in satırı ile ethernet kartına gelen, pass out ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : pass in ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in pass out ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir pass in ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 pass in 2 pass out olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar
Re: [FreeBSD] PF pass in ve pass out
Merhabalar, kullandiginiz guvenlik duvari(burada PF oluyor) durum korumali calissada bunu default olarak yapmiyor.. Yani pass in, pass out dediginizde o paketin durumunu tutmuyor. Yazacaginiz kurallara keep state eklerseniz yazdiginiz bir kural icin durum tutturmus olursunuz ki bu da ayni paketin donusu icin ek paket yazilmamasi icindir. User---out(Fw) in-Internet User---in (Fw) out-Internet PF'de kontrolun tamamen sizde olmasi icin yazacaginiz kurallari arabirimlere gore yazarsiniz. Yani bir paket geldiginde once dis bacaktan bir giris yapacak sonra ic bacaktan cikis yapacak. Guvenlik duvari politikaniza gore ic bacaktan cikislara tamamen izin verebilirsiniz boylece ek kurallar yazmamis olursunuz. ek not: disaridan gelen paket dis bacaka in kurali ile gelir gozukur, ic bacaktan out kurali ile cikar. Disaridan gelen paketin ic bacakta in seklinde gozukmez. On 12/21/06, Varol KÜÇÜKKARALAR [EMAIL PROTECTED] wrote: Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) pass in satırı ile ethernet kartına gelen, pass out ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : pass in ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in pass out ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir pass in ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 pass in 2 pass out olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
[FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Merhaba, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. Fakat, inceledigim belgelerden tam olarak anlayamadigim noktalari listeye danismak istedim. Amacimiz, 4 bacakli bir yonlendirici sunucu (FreeBSD) kurmak. Bir bacagi ic aga bakacak, ikinci bacak sirketin diger birimlerine erisen Cisco yonlendiriciye baglanacak. Diger iki bacak da internet cikislari icin kullanilacak. Internet icin kullanilacak bacaklardan biri genel isteklere hizmet verecek, digeri de (esas hedefimiz) ozel hizmet (VPN, Skype, gmail, yahoo-mail, hotmail vs.) cikislarini tasiyacak. Burada tam olarak anlayamadigim, kurulacak servisler icindeki rol paylasimi oldu. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? Iyi Calismalar Volkan Evrin - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
merhabalar, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. iyi bir tercih olmus. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Huzeyfe Onal wrote: PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. Aslinda bunu nasil belirleyecegimi tam cozemedim. PF ustunde inceledigim tum belgeler genel olarak IP'ler ve portlar uzerinden yonlendirmeleri ve kural kumelerini tanimlamaya donuktu. Yani bir kullanici kullandigi internet gezginine gmail.google.com ya da mail.yahoo.com vs. yazdigi zaman onu ikinci arabirime yonlendirmenin yolunu bulamadim. Bunun gibi web uzerinden hizmet veren adreslerin de sabit bir IP'leri var midir, belki onu arastirabilirim. Skype'ta da benzer bir sekilde, kisitlamaya donuk bazi denemeler gordum, Skype bos gordugu tum portlardan sirayla tarama yaptigindan tam sonuc bulunamadigini okudum, ama yonlendirmeye donuk ornekler bulamadim. tesekkurler, volkan evrin * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden
Gelisler kismindaki pass out quick
on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick
on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto
tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall
Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote:
merhaba,
kural tablomu soylediginiz yola gore yeniden
duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar
acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik
olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local
makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural
tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur
dilerim.kural tablosunu en son halini tekrar asagiya yazdim
saygilar.
Macros###lan_net = {
10.0.0.0/24, 10.0.2.0/24
, 10.0.3.0/24,
10.0.4.0/24 }int_if =
bge0ext_if = vr0ext_if2 = vr1ext_gw1 =
192.168.100.213ext_gw2 =
192.168.110.25
###Tanımlar##table
msn persist file /usr/local/etc/fw/msntable kamera persist
file /usr/local/etc/fw/kameratable ftp persist file
/usr/local/etc/fw/ftptable sigorta persist file
/usr/local/etc/fw/sigortatable banka persist file
/usr/local/etc/fw/banka
Set
Optimizations###set
limit { frags 3, states 25000 }set loginterface $ext_ifscrub in
all
###Nat
Kuralları##nat on
$ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to
any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 -
10.0.0.2 port 8080
###Firewall
Kuralları##block in
allblock out allpass in on $int_if route-to \ {
($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
pass in on $int_if route-to \
{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
###1.Adsl Uzerinden
Gelisler##pass in quick
log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick
on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out
on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep
state
###2.Adsl Uzerinden
Gelisler##pass in quick
log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass
out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep
statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to
any keep state
###Localden Firewall
Gelisler##pass out quick
log on $int_if proto tcp from msn to any port = 1863 flags S/SApass
out quick log on $int_if proto tcp from kamera to any port = 18082 flags
S/SApass out quick log on $int_if proto tcp from sigorta to any port
= 12173 flags S/SApass out quick log on $int_if proto tcp from banka
to any port = 443 flags S/SApass out quick log on $int_if proto tcp from
ftp to any port = 21 flags S/SApass out quick log on $int_if proto
tcp from any to any port { 22, 25, 80, 110 } flags S/SA
- Original Message -
From:
Huzeyfe
Onal
To:
freebsd@lists.enderunix.org
Sent: Friday, November 03, 2006 6:42
PM
Subject: Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap
niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural
tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul
ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim;
pass out quick on $ext_if proto { udp, icmp }
from any to any keep statepass out quick on $ext_if2 proto { udp, icmp }
from any to any keep statepass in quick log on $ext_if2 proto tcp from
any to any port {25,80,110} flags S/SApass out quick log on $ext_if2
proto tcp from any to any port {25,80,110}flags S/SApass in quick log
on $ext_if proto tcp from any to any port = 22 flags S/SApass out on
$ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
Re: [FreeBSD] freebsd pf
Huzeyfe mrb,
yapmis oldugunuz yardimlardan dolayi tesekkur
ederim.vermis oldugunuz bilgiler sayesinde suan firewall calisiyor.cok tesekkur
ederim.
Saygilar
Veysi Gumus
- Original Message -
From:
Huzeyfe
Onal
To: freebsd@lists.enderunix.org
Sent: Saturday, November 04, 2006 11:00
AM
Subject: Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden
Gelisler kismindaki pass out quick on
$ext_if proto { udp, icmp } from $ext_if to any keep
statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH
yapabilirsiniz.pass out quick on
$ext_if proto { tcp, udp, icmp } from $ext_if to any keep
stateolmali kural..Ic agdan gelisler icin herhangibir kural
yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick
log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags
S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall
Gelisler kismi islevsiz gozukuyor.
On 11/4/06, Veysi
Gümüs [EMAIL PROTECTED]
wrote:
merhaba,
kural tablomu soylediginiz yola gore yeniden
duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar
acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port
acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu
yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110
80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan
dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya
yazdim
saygilar.
Macros###lan_net =
"{ 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }"int_if = "bge0"ext_if = "vr0"ext_if2 = "vr1"ext_gw1
= "192.168.100.213"ext_gw2
= "
192.168.110.25"
###Tanımlar##table
msn persist file "/usr/local/etc/fw/msn"table kamera
persist file "/usr/local/etc/fw/kamera"table ftp persist file
"/usr/local/etc/fw/ftp"table sigorta persist file
"/usr/local/etc/fw/sigorta"table banka persist file
"/usr/local/etc/fw/banka"
Set
Optimizations###set
limit { frags 3, states 25000 }set loginterface $ext_ifscrub in
all
###Nat
Kuralları##nat on
$ext_if from $lan_net to any - ($ext_if)nat on
$ext_if2 from $lan_net to any - ($ext_if2)rdr
on $int_if proto tcp from any to any port 80 - 10.0.0.2 port
8080
###Firewall
Kuralları##block in
allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin \ proto tcp from $lan_net to any flags
S/SA modulate state
pass in on $int_if route-to
\ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) }
round-robin \ proto { udp, icmp } from $lan_net to any
keep state
###1.Adsl
Uzerinden
Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22
flags S/SApass out quick on $ext_if proto { udp, icmp } from
$ext_if to any keep statepass out on $ext_if2 route-to
($ext_if $ext_gw1) from $ext_if to any keep state
###2.Adsl Uzerinden
Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port
{25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp }
from $ext_if2 to any keep statepass out on $ext_if route-to
($ext_if2 $ext_gw2) from $ext_if2 to any keep state
###Localden
Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any
port = 1863 flags S/SApass out quick log on $int_if proto tcp
from kamera to any port = 18082 flags S/SApass out quick log on
$int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to
any port = 443 flags S/SApass out quick log on $int_if proto tcp
from ftp to any port = 21 flags S/SApass out quick log on
$int_if proto tcp from any to any port { 22, 25, 80, 110 } flags
S/SA
-
Original Message -
From:
Huzeyfe Onal
To:
freebsd@lists
[FreeBSD] freebsd pf
Huzeyfe bey mrb,
söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping
cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server a
ulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum.
saygilar
veysi gumus
###
# Macros
###
lan_net = 10.0.0.0/24
lan2_net = 10.0.2.0/24
lan3_net = 10.0.3.0/24
lan4_net = 10.0.4.0/24
int_if = bge0
ext_if = vr0
ext_if2 = vr1
ext_gw1 = 192.168.100.213
ext_gw2 = 192.168.110.25
##
#Tanımlar
##
table msn persist file /usr/local/etc/fw/msn
table kamera persist file /usr/local/etc/fw/kamera
table ftp persist file /usr/local/etc/fw/ftp
table sigorta persist file /usr/local/etc/fw/sigorta
table banka persist file /usr/local/etc/fw/banka
###
# Set Optimizations
###
set limit { frags 3, states 25000 }
set loginterface $ext_if
scrub in all
##
#Nat Kuralları
##
nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if from $lan2_net to any - ($ext_if)
nat on $ext_if from $lan3_net to any - ($ext_if)
nat on $ext_if from $lan4_net to any - ($ext_if)
nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if2 from $lan2_net to any - ($ext_if2)
nat on $ext_if2 from $lan3_net to any - ($ext_if2)
nat on $ext_if2 from $lan4_net to any - ($ext_if2)
rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080
##
#Firewall Kuralları
##
block in all
block out all
pass in quick on lo0 all
pass out quick on lo0 all
pass in quick on $int_if all
pass in on $int_if route-to \
{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
pass in on $int_if route-to \
{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state
pass out quick on $int_if proto { udp, icmp } from any to any keep state
pass out quick on $ext_if proto { udp, icmp } from any to any keep state
pass out quick on $ext_if2 proto { udp, icmp } from any to any keep state
pass out quick log on $int_if proto tcp from msn to any port = 1863
flags S/SA
pass out quick log on $int_if proto tcp from kamera to any port = 18082
flags S/SA
pass out quick log on $int_if proto tcp from sigorta to any port = 12173
flags S/SA
pass out quick log on $int_if proto tcp from banka to any port = 443
flags S/SA
pass out quick log on $int_if proto tcp from ftp to any port = 21 flags
S/SA
pass out quick log on $int_if proto tcp from any to any port
{22,25,80,110} flags S/SA
pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SA
pass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SA
pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SA
pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any
-
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
merhaba,sunucular icin yonlendirme(rdr) kuraliniz yok. smtp, pop, www servisler firewall uzerinde mi calisiyor? Yok firewall uzerinde calismiyorsa bu sunucular icin RDR kurallari yazmalisiniz.ek olarak yazdiginiz pass inquick on $int_if all kurali ondan sonra $int_if 'e gelecek tum kurallarin islevsiz kalmasini sagliyor.
On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote:
Huzeyfe bey mrb,söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping
cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server aulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum.saygilarveysi gumus###
# Macros###lan_net = 10.0.0.0/24lan2_net = 10.0.2.0/24lan3_net =
10.0.3.0/24lan4_net = 10.0.4.0/24int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 =
192.168.100.213ext_gw2 = 192.168.110.25###Tanımlar##
table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigorta
table banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 }
set loginterface $ext_ifscrub in all###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)
nat on $ext_if from $lan2_net to any - ($ext_if)nat on $ext_if from $lan3_net to any - ($ext_if)nat on $ext_if from $lan4_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)
nat on $ext_if2 from $lan2_net to any - ($ext_if2)nat on $ext_if2 from $lan3_net to any - ($ext_if2)nat on $ext_if2 from $lan4_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 -
10.0.0.2 port 8080###Firewall Kuralları##block in allblock out allpass inquick on lo0 all
pass out quick on lo0 allpass inquick on $int_if allpass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto tcp from $lan_net to any flags S/SA modulate state
pass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto { udp, icmp } from $lan_net to any keep statepass out quick on $int_if proto { udp, icmp } from any to any keep state
pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass out quick log on $int_if proto tcp from msn to any port = 1863
flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443
flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flagsS/SApass out quick log on $int_if proto tcp from any to any port{22,25,80,110} flags S/SApass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any-Cikmak icin, e-mail:
[EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]
http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar- Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member [EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim;
pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}
flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to anyen ustteki kurada quick kelimesi kullandginiz icin alttaki out kurallarina bakilmiyor ve paketler diger arabirimden cikmaya calisiyor. Bunu netlestirmek icin tcpdump -i ext_if2(arabirim adi neyse) -tttnn tcp port 25 komutunu calistirirsiniz ve disaridan bir yerden baglanti kurmaya calisirsiniz gelen paketleri burada goruyor olmalisiniz. ayni komutu diger arabirim icin calistirirsaniz paketlerin o arabirimden cikmaya calistiklarini da goreblirsiniz.
asagida yazdigim kurallar sadece 2. hattan gelen baglantilarin ayni hattan donmesi icin. Buna gore diger kurallar yazarsinizpass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SA
pass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state
On 11/3/06, Veysi Gümüs [EMAIL PROTECTED] wrote:
Huzeyfe bey mrb,
öncelikle yardimlariniz için tesekur
ederim.
freebsd ve pf'ye yeni başladigim için anlatmaya
çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ?
kural dosyasinda bahsetmis oldugumuz kurallar
yazili oldugu halde calismiyor
pass out on $ext_if route-to ($ext_if2
$ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if
$ext_gw1) from $ext_if to any
saygilar...
- Original Message -
From:
Huzeyfe
Onal
To:
freebsd@lists.enderunix.org
Sent: Friday, November 03, 2006 2:54
PM
Subject: Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri
icin gecerli idi...Disaridan erisilememe problemi paketlerin diger
hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan
ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye
calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin
ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim.
pass out quick on
$ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to
any keep stateek olarak bu kural ailesi istediginiz isleri
yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur.
On 11/3/06, [EMAIL PROTECTED]
[EMAIL PROTECTED] wrote:
evet
smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr
kuralı eklemedim söylediğiniz gibipass inquick on
$int_if all kurallını iptal edip tekrar denedim fakatyinede
ulaşamadım.saygılar-Cikmak
icin, e-mail: [EMAIL PROTECTED]Liste
arsivi: http://lists.enderunix.orgTurkiye'nin
ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
-- Huzeyfe ÖNALEnderUnix Core Team
Member[EMAIL PROTECTED]
http://www.enderunix.org/huzeyfe+90
505 5260064---
-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe
+90 505 5260064---
[FreeBSD] pf
Arkadalar mrb, paket filter yazlmyla örnek msnde [EMAIL PROTECTED] msn kullansn [EMAIL PROTECTED] bu kullanc kullanmasn gibi tanmlar yapabiliyormuyuz. Veysi
Re: [FreeBSD] pf
Selam, Hayir, maalesef standart packet filter yazilimlari ile Layer I, II, ve III (TCP/IP Layering) filtering yapilabilmektedir. Istediginizi, content filtering destegi olan firewall'lar ile yapabilirsiniz. On Thu, Oct 19, 2006 at 02:09:55PM +0300, Veysi G?m?s wrote: Arkadaslar mrb, paket filter yazilimiyla örnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi -- Murat http://www.enderunix.org/murat/ - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] pf
Merhaba, Authpf özelliğini kullanarak istenen kişilerin msn kullanmasına izin verbilirsiniz. devrim Perşembe 19 Ekim 2006 14:09 tarihinde, Veysi Gümüs şunları yazmıştı: Arkadaslar mrb, paket filter yazilimiyla örnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] pf
Merhaba,MSN'i IP ya da port bazli engelleyemedigimizi dusunursek authpf kullanarak kullanici bazli MSN kisitlama yapamayiz.ek olarak sizin istediginiz islem icerik filtrelemelerini de asan bir konu, zira kullanacaginiz sistemin gelen/giden msn paketinin icerigine bakarak MSN IDsini hesaplamasi lazim.. Bunu da anca Snort vs gibi bir sistemle basarabilirsiniz. On 10/19/06, Devrim Sipahi [EMAIL PROTECTED] wrote: Merhaba,Authpf özelliğini kullanarak istenen kişilerin msn kullanmasına izin verbilirsiniz.devrimPerşembe 19 Ekim 2006 14:09 tarihinde, Veysi Gümüs şunları yazmıştı: Arkadaslar mrb, paket filter yazilimiylaörnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi-Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe +90 505 5260064---
