[FreeBSD] pf ALTQ ile bant genisligi kontrolu
Merhaba FreeBSD uzerinde pf de ALTQ yu etkinlestirip kullanan vardir mutlaka.. Ben de web server uzerinde etkinlestirdim. kural yazmaya geldi sira ve toplam 4 mbit bant genisliginin 2 mbit ini http daemonu icin atamak istiyorum. altq on em0 cbq bandwidth 2Mbps queue {http} queue std bandwidth 50% cbq(default) https yi de eklemem gerekiyor degil mi? bu kurallari aktif edip pf yi de active ettigimde root@:/etc# pfctl -f /etc/pf.conf /etc/pf.conf:18: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:19: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:20: Rules must be in order: options, normalization, queueing, translation, filtering /etc/pf.conf:21: Rules must be in order: options, normalization, queueing, translation, filtering pfctl: Syntax error in config file: pf rules not loaded hepsini commentleyip sadece altq on em0 cbq bandwidth 2Mb queue {http} yi biraktigimda da /etc/pf.conf:17: Rules must be in order: options, normalization, queueing, translation, filtering pfctl: Syntax error in config file: pf rules not loaded diyor En son olarak da altq on em0 cbq bandwidth 4Mb queue { http, https, ssh } 18 queue http bandwidth 50% cbq(default) seklinde degistirdim sanki toplam bantgenisligi 4 mb yapmaliyim da sonra child queue leri yaratmaliyim gibime geldi Ne yapmaliyim? Kisaca web serverin kullandigi bant genisligi toplam 4 Mbit ile sinirli ve ben de http ve https prosesinin sadece 2 Mbit kullanmasini nasil ayarlarim? -- Her development, her freedom, her independence, must come from and through herself. First, by asserting herself as a personality, and not as a sex commodity. Second, by refusing the right of anyone over her body; by refusing to bear children, unless she wants them, by refusing to be a servant to God, the State, society, the husband, the family, etc., by making her life simpler, but deeper and richer. That is, by trying to learn the meaning and substance of life in all its complexities; by freeing herself from the fear of public opinion and public condemnation. [Emma Goldman, Anarchism and Other Essays, p. 211] Hoscakalin, ___ Yahoo! Türkiye açıldı! http://yahoo.com.tr İnternet üzerindeki en iyi içeriği Yahoo! Türkiye sizlere sunuyor!
[FreeBSD] PF FTP OUT
Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp pop3 smtp vb. portlar açık bu durum da iç network den dış network de bir ftp ye bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu portları açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları serbest bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum block log quick on $INT_IF proto { udp tcp } from any port 1863 to any # Block Ports şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili bir öneriniz var mı ? SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp, 8080, 47120, smtp, pop3, 1024:65535} pass out log on $INT_IF inet proto { udp tcp } from any to any port $SafePortsOut flags S/SA modulate state # Global Outbound Protocols
RE: [FreeBSD] PF FTP OUT
FTP Proxy, 21 portundan yapilan kimlik dogrulama isleminden sonra, Passive Mode icin acilmasi gereken portlari dinamik olarak takip edip PF'de anchor kullanarak bunlara dinamik olarak izin vermektedir. OpenBSD'nin FTP Proxy ve PF-Anchor ozelligine bakin. -- Mehmet CELIK Date: Fri, 17 Apr 2009 20:24:09 +0300 From: ser...@emirci.com To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF FTP OUT Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp pop3 smtp vb. portlar açık bu durum da iç network den dış network de bir ftp ye bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu portları açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları serbest bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum block log quick on $INT_IF proto { udp tcp } from any port 1863 to any # Block Ports şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili bir öneriniz var mı ? SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp, 8080, 47120, smtp, pop3, 1024:65535} pass out log on $INT_IF inet proto { udp tcp } from any to any port $SafePortsOut flags S/SA modulate state # Global Outbound Protocols _ Kendinizi ifade edin: giriş sayfanızı Live.com ile istediğiniz biçimde tasarlayın. http://www.live.com/getstarted
RE: [FreeBSD] PF FTP OUT
Sanırım ftp proxy uygulaması kullanmanız lazım.. From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Friday, April 17, 2009 8:24 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF FTP OUT Merhaba pf de tum portlar block durum da belli başlı bazı portlar http ftp pop3 smtp vb. portlar açık bu durum da iç network den dış network de bir ftp ye bağlanamıyorum ama 1024:65565 portu açtığım da bağlanabiliyorum bu portları açtığım da 1863 portu da açılmış oluyor haliyle msn çıkışları serbest bırakılıyor. bu durum da ben 1863 portuna bir block koyuyorum block log quick on $INT_IF proto { udp tcp } from any port 1863 to any # Block Ports şeklinde 1024:65535 bu port aralığını açmak istemiyorum bu konu ile ilgili bir öneriniz var mı ? SafePortsOut = { http, https, domain, ftp, ftp-data, ssh, rdp, nntp, ntp, 8080, 47120, smtp, pop3, 1024:65535} pass out log on $INT_IF inet proto { udp tcp } from any to any port $SafePortsOut flags S/SA modulate state # Global Outbound Protocols __ Information from ESET Smart Security, version of virus signature database 4014 (20090416) __ The message was checked by ESET Smart Security. http://www.eset.com
RE: [FreeBSD] PF HTTP header
Merhaba, Büyük olasılıkla kural diziliminde bir hata yapılmıştır. Normalde bu acl le zaten hedef adreslerin gateway.dll içeren satırları yasakladığınız için dolayısıyla hepsi yasaklanmış oluyor. http_access deny msn satırını http_access kurallarının en üstüne yazın. From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 4:37 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81 application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI
Re: [FreeBSD] PF HTTP header
teşekkürler sadece bu kural işimi görü acl msn_rep rep_mime_type ^application/x-msn-messenger$ http_reply_access deny msn_rep 2009/3/24 Mehmet Zahid Öğrenç za...@ihlaskoleji.com Merhaba, Büyük olasılıkla kural diziliminde bir hata yapılmıştır. Normalde bu acl le zaten hedef adreslerin gateway.dll içeren satırları yasakladığınız için dolayısıyla hepsi yasaklanmış oluyor. http_access deny msn satırını http_access kurallarının en üstüne yazın. *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 4:37 PM *To:* freebsd@lists.enderunix.org *Subject:* Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/ 65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 1:49 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI -- Serdar EMIRCI
[FreeBSD] pf kural takma ad
merhaba pf de kurallar için takma ad kullanılabiliyorumu loglar da giriş ve çıkışları kurallara göre takip etmrek istedim ama numra yazdığından bişey anlayamıyorum bazı ıp ler var bunları block ettim ama quick ile yaptım boyle olunca oluyor ama quick kalktıgında başka bir rule dan çıkıyor bunu bulmak istiyorum Anchors nedir ne işe yarar teşekkürler... log çıktılarım 000587 rule 159/0(match): pass in on fxp0: 10.14.29.50.50821 75.71.46.60.10971: tcp 16 [bad hdr length 16 - too short, 20] 69 rule 159/0(match): pass in on fxp0: 10.14.29.50.50822 212.159.113.212.12790: tcp 16 [bad hdr length 16 - too short, 20] 94 rule 159/0(match): pass in on fxp0: 10.14.29.50.50823 212.178.27.143.28817: tcp 16 [bad hdr length 16 - too short, 20] 60 rule 159/0(match): pass in on fxp0: 10.14.29.50.50824 213.243.176.20.36861: tcp 16 [bad hdr length 16 - too short, 20] 3. 540238 rule 159/0(match): pass in on fxp0: 10.14.29.50.50825 80.252.110.146.4661: [|tcp]
Re: [FreeBSD] pf kural takma ad
Selamlar, kural tanimlayici olarak label tanimini kullanabilirsin. pass in on $int_if all label IC_AGDAN_GELENLER gibi pfctl -s labels ile labellera ait istatistikleri gorebilirsin. Firewall loglarinda malesef label olarak goremiyorsunuz kurallari. Bunun icin N. Ersen'in bir yamasi vardi. Belki onu deneyebilirsin. Ek olarak kurallardaki numaralari pfctl -s rules -vv ile gorebilirsin. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/3/23 Serdar EMIRCI ser...@emirci.com: merhaba pf de kurallar için takma ad kullanılabiliyorumu loglar da giriş ve çıkışları kurallara göre takip etmrek istedim ama numra yazdığından bişey anlayamıyorum bazı ıp ler var bunları block ettim ama quick ile yaptım boyle olunca oluyor ama quick kalktıgında başka bir rule dan çıkıyor bunu bulmak istiyorum Anchors nedir ne işe yarar teşekkürler... log çıktılarım 000587 rule 159/0(match): pass in on fxp0: 10.14.29.50.50821 75.71.46.60.10971: tcp 16 [bad hdr length 16 - too short, 20] 69 rule 159/0(match): pass in on fxp0: 10.14.29.50.50822 212.159.113.212.12790: tcp 16 [bad hdr length 16 - too short, 20] 94 rule 159/0(match): pass in on fxp0: 10.14.29.50.50823 212.178.27.143.28817: tcp 16 [bad hdr length 16 - too short, 20] 60 rule 159/0(match): pass in on fxp0: 10.14.29.50.50824 213.243.176.20.36861: tcp 16 [bad hdr length 16 - too short, 20] 3. 540238 rule 159/0(match): pass in on fxp0: 10.14.29.50.50825 80.252.110.146.4661: [|tcp] FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF HTTP header
ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler
RE: [FreeBSD] PF HTTP header
acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler
Re: [FreeBSD] PF HTTP header
eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/ 65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Monday, March 23, 2009 1:49 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI
RE: [FreeBSD] PF HTTP header
Merhaba, acl msn_req req_mime_type -i ^application/x-msn-messenger$ http_access deny msn_req acl msn_rep rep_mime_type ^application/x-msn-messenger$ http_reply_access deny msn_rep Bu şekilde dener misiniz ? Ayrıca 1863 hedef port cikisini da kapatmaniz lazim. -- Mehmet CELIK Date: Mon, 23 Mar 2009 16:37:01 +0200 From: ser...@emirci.com To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF HTTP header eskiden 1236772319.764577 10.14.29.50 TCP_MISS/200 491 POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? - DIRECT/65.54.239.21 application/x-msn-messenger 1236772320.676909 10.14.29.50 TCP_MISS/200 7380 POST http://207.46.106.81/gateway/gateway.dll? - DIRECT/207.46.106.81 application/x-msn-messenger access.log dosyasında bu şekilde kayıtlar olur du şimdi neden dir göremiyorum siz acl msn url_regex -i gateway.dll kullanarak block lama yapıyormusunuz ben bir çok defa denedim bu yontemi ama olmadı Windows Live Messenger kullanıyorum bir faklılık olabilirmi sizce 2009/3/23 Mehmet Zahid Öğrenç za...@ihlaskoleji.com acl msn url_regex -i gateway.dll http_access deny msn yukarıda ki kuralla msn trafiğini bloklayabilirsiniz. Tabiki firewallunuzdan 1863 nolu portu kapatmanız gerekli. Böylece msn 80 portundan dışarı çıkacak ve squid kurallarına uygun ise izin verilecektir. Sadece belirli bir gruba izin verip diğerlerini yasaklamak için gerekli acl tanımlamalarınızı yapmalısınız. İyi çalışmalar, Mehmet Zahid Öğrenç From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Monday, March 23, 2009 1:49 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF HTTP header ISa server da http protocolunde Signature ile MSN messenger kullanıcılarını block edebiliyordum squid ile bunu yapamadım squid ile birçok yöntem denemdim msn block lama başarız oldu bu konu ile ilgili yardımcı olursanız sevinirim teşekkürler -- Serdar EMIRCI _ Sadece e-posta iletilerinden daha fazlası: Diğer Windows Live™ özelliklerine göz atın. http://www.microsoft.com/windows/windowslive/
[FreeBSD] PF de birden fazla ip
pf ve freebsd 7.1 ile aynı class daki bir kaç IP adresinine gelen dış istekleri local deki bir başka sunucuya yönlendirmek isyiorum örnegin 80 ve 53 portunu yapı şu şekilde 192.168.1.1 pf kurulu olan makinanın IP adresi bu ip adresine metro ethernet ten bnat yapıldı yani rela IP me dışardan ve içerden gelen tum istekler 192.168.1.1 yönlendirildi bu ip ile rdr yapabiliyorum sorun yok ama bir ip m daha var buda aynı class da yani 192.168.1.2 bu ip adresi de yine diğer ip ye sahip tum ozellikler var konuyu toparlamak gerekirse her ip nin bir de real ip si var ben bu ipler den rdr yapmak istiyorum nasıl bir yol izlemem gerekiyor
RE: [FreeBSD] PF + PureFtpd
Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? _ From: Serdar EMIRCI [mailto:ser...@emirci.com] Sent: Wednesday, January 21, 2009 12:24 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim
Re: [FreeBSD] PF + PureFtpd
Selam, Muhtemelen Passive mode'da session'ı ilk olarak karşı tarafa siz açtığınız için size geri dönebiliyordur bu yüzden bağlanabiliyorsunuz. Active mode'da da bağlanabilmek için pf veya sunucu üzerindeki port yönlendirme ayarlarınızda birşeyler yapmak gerekir diye düşünüyorum. Alttaki url'de anlatıyor incelemekte fayda var : http://slacksite.com/other/ftp.html Kolay gelsin, C. Ahmet Selman İnanç wrote: Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Wednesday, January 21, 2009 12:24 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF + PureFtpd
aşağıdaki parametreler ile çalıştırıyorum pure-ftpd -A -b -c50 -B -C8 -D -fftp -H -I15 -lmysql:/usr/local/etc/pureftpd-mysql.conf -L2000:8 -m4 -p49152:65535 -P10.14.29.4 -s -U133:022 -u100 -Ostats:/var/log/pureftpd.log -j -k99 -Z 2009/2/5 Ahmet Selman İnanç selmanin...@ihlas.net.tr Pure-ftpd'yi hangi parametrelerle birlikte calistiriyorsunuz ? -- *From:* Serdar EMIRCI [mailto:ser...@emirci.com] *Sent:* Wednesday, January 21, 2009 12:24 PM *To:* freebsd@lists.enderunix.org *Subject:* [FreeBSD] PF + PureFtpd Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim -- Serdar EMIRCI
Re: [FreeBSD] PF Load balance
Aynı şeyi IPFW ile yapmak mümkün müdür ? Çağrı Ersen. 2008/11/28 Huzeyfe ONAL(Gmail) huzeyfe.o...@gmail.com: Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç za...@ihlaskoleji.com: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet -- Cagri Ersen FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF + PureFtpd
Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim
Re: [FreeBSD] PF + PureFtpd
Anladığım kadarı ile PF passive ftp isteklerine izin veriyor. Bu durumda konu FW ile alakali degil gibi gorunuyor. pure-ftpd.conf icerisindeki BrokenClientsCompatibility opsiyonunu yes yapmayı denediniz mi ? Bu özellik IE ile alakali problemleri muhtemelen çözecektir. Çağrı. 2009/1/21 Serdar EMIRCI ser...@emirci.com: Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim -- Cagri Ersen FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF + PureFtpd
Serdar EMIRCI yazmış: Merhaba pf ve PureFTPD kullanıyorum 2 tane bsd sunucum var sunuculardan birinin real IP si var bu real ıpsi olan sunucunun ftp protunu diğer bsd sunucunu a yonlendiriyorum herşey normal herhangi bir problem yok ama IE den sunucuya baglansı saglamak şistediğim de bağlanamıyorum herhangi bir ftp programından baglanabiliyorum ftp programın da passive modu seçerek tabi internet explorer da da oyle bir ozellik var ama işe yaramıyor bu problemden nasıl kurtulabilirim Serdar hocam ; ftp-proxy kullanırsan sorunsuz ftp servisi kullanabilirsin. http://www.openbsd.org/faq/pf/ftp.html adresinde ayrıntılı anlatılıyor. Kolay gelsin. ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] pf baglanti sonlandirma
*pfctl -F all* ile tüm state leri flush edebilir ya da *pfctl -k 192.168.32.35* komutu ile sozkonusu ip ye ait baglantilari kill edebilirsiniz... 2008/12/29 Abdullah OZTURK abdullahozt...@enkamoscity.com Freebsd de PF ile aktif baglantilari nasil sonlandarilabilir…. -- Saygılarımla Destan YILANCI
[FreeBSD] PF Load balance
Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
Re: [FreeBSD] PF Load balance
Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç [EMAIL PROTECTED]: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
[FreeBSD] Pf policy route
Merhaba ; Arkadaslar birkaç gündür pf ile policy routing deniyorum. Bir test ortamım var topoloji şöyle ; Sunucu : openbsd 4.3 stable 1. int : adsl 2.int : leased line 3.int: : dmz (real subnet mevcut bu bacak için nat yapmıyorum ) 4.int : internal 5 adet vlan tagged virtual interfaces ( vlan1.vlan5) Bu sunucu üzerinde pf, squid transparent ve ftp-proxy çalıştırıyorum. Default gateway adsl modemi verdim. Policy route yaptım vlan interfacelerden gelenleri adsl e dmz networkünü de leased line a yönlendirdim. Squid de tcp_outgoing_address dmz networkunu leased line subnetinden bir ip ile eşleştirdim. Bu şekilde iç networktekiler squid üzerinden internete çıkıyorlar çünkü default gw adsl. Fakat dmz internete çıkamıyor ( https, dns çalışıyor ) çünkü squid beni adsl den gönderiyor. Squid den dmz için çıkan trafiğin leased line yönlendirilmesini için birkaç deneme yaptım ama başaramadım. Keza öyle aynı sorun ftp içinde geçerli. İç network ftp ye rahatlıkla çıkıyor dmz yine gidemiyor. Sunucuya default gw girmeden sadece pf ile tüm yönlendirmeleri yapmayı denedim. Bu seferde caching nameserverı route edemedim. :) Aşağıda yaptığım configleri yolluyorum; pf.conf --- ll_if=sk0 ll_ip=212.212.1.1 ll_gw=212.212.1.2 dmz_if=sk1 dmz_net=100.100.100.0/24 dmz_ip=100.100.100.1 dsl_if=rl0 dsl_ip=10.1.1.1 dsl_gw=10.1.1.2 dsl_vlan1_ip=10.1.1.10 dsl_vlan2_ip=10.1.1.20 dsl_vlan3_ip=10.1.1.30 dsl_vlan4_ip=10.1.1.40 dsl_vlan5_ip=10.1.1.50 all_loc_if ={ vlan1, vlan2, vlan3, vlan4, vlan5 } nat on $dsl_if from all_net to any - $dsl_if rdr pass on $all_loc_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $dmz_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $all_loc_if proto tcp to port www - $lo_ip port 3128 rdr pass on $dmz_if proto tcp to port www - $lo_ip port 3128 block in log all block out log all pass out log on $ll_if inet proto tcp from $ll_if to any flags S/SA modulate state pass out log on $ll_if inet proto udp from $ll_if to any keep state pass out log on $ll_if inet proto icmp from $ll_if to any icmp-type echoreq keep state pass out log on $dsl_if inet proto tcp from $dsl_if to any flags S/SA modulate state pass out log on $dsl_if inet proto udp from $dsl_if to any keep state pass out log on $dsl_if inet proto icmp from $dsl_if to any icmp-type echoreq keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto tcp from $dmz_net to any port https flags S/SA keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto udp from $dmz_net to any port domain keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto icmp from $dmz_net to any icmp-type echoreq keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port ftp flags S/SA keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port 3128 flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto tcp from $int_net to any port https flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto udp from $int_net to any port domain keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto icmp from $int_net to any icmp-type echoreq keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port ftp flags S/SA keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port 3128 flags S/SA keep state squid.conf --- http_port 127.0.0.1:3128 transparent acl dmz src 100.100.100.0/255.255.255.0 tcp_outgoing_address 212.212.1.1 dmz Bu şekilde squid sorunumu nasıl çözebilirim. Teşekkürler Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf policy route+ squid tcp_outgoing_address ayarlari
Merhabalar, problem su ki Squid'de yaptiginiz tcp_outgoing_address ayarlamalari isletim sisteminde ek bir ayar olmadan dogrudan default gw'e gitmeye calisir. Bizim default gw e gitmeye calisan paketleri pf +route-to ile dogru arabirime yonlendirmemiz lazim Asagida kendi ortamimdan ornek kurallari aktariyorum siz de bunlara bakarak kendi ortaminiza uygun kurallari yazarsiniz. default gw 192.168.2.1 ext_if1 192.168.2.21 --default cikis arabirimi ext_if2 172.16.10.2 -- diger cikis arabirimi pf.conf - ext_if1=vic0 ext_if2=vic1 int_if=vic2 ext_gw1=192.168.2.1 ext_gw2=172.16.10.1 ... ... nat on $ext_if1 proto tcp from 172.16.10.2 to any - $ext_if2 ... pass out log(all)on $ext_if1 route-to{($ext_if2 $ext_gw2)} proto tcp from 172.16.10.2 to any port 80 keep state ... squid.conf ... acl ag src 192.168.80.1/255.255.255.255 acl ag2 src 192.168.80.10/255.255.255.255 tcp_outgoing_address 172.16.10.2 ag tcp_outgoing_address 192.168.2.21 ag2 Bu kurallarla default gw arabirimine giden paketler uygun bir sekilde dogru arabirime yonlendiriliyor. ps: Konu basligini daha anlasilir olmasi icin degistirdim. Ismail OZATAY yazmış: Merhaba ; Arkadaslar birkaç gündür pf ile policy routing deniyorum. Bir test ortamım var topoloji şöyle ; Sunucu : openbsd 4.3 stable 1. int : adsl 2.int : leased line 3.int: : dmz (real subnet mevcut bu bacak için nat yapmıyorum ) 4.int : internal 5 adet vlan tagged virtual interfaces ( vlan1.vlan5) Bu sunucu üzerinde pf, squid transparent ve ftp-proxy çalıştırıyorum. Default gateway adsl modemi verdim. Policy route yaptım vlan interfacelerden gelenleri adsl e dmz networkünü de leased line a yönlendirdim. Squid de tcp_outgoing_address dmz networkunu leased line subnetinden bir ip ile eşleştirdim. Bu şekilde iç networktekiler squid üzerinden internete çıkıyorlar çünkü default gw adsl. Fakat dmz internete çıkamıyor ( https, dns çalışıyor ) çünkü squid beni adsl den gönderiyor. Squid den dmz için çıkan trafiğin leased line yönlendirilmesini için birkaç deneme yaptım ama başaramadım. Keza öyle aynı sorun ftp içinde geçerli. İç network ftp ye rahatlıkla çıkıyor dmz yine gidemiyor. Sunucuya default gw girmeden sadece pf ile tüm yönlendirmeleri yapmayı denedim. Bu seferde caching nameserverı route edemedim. :) Aşağıda yaptığım configleri yolluyorum; pf.conf --- ll_if=sk0 ll_ip=212.212.1.1 ll_gw=212.212.1.2 dmz_if=sk1 dmz_net=100.100.100.0/24 dmz_ip=100.100.100.1 dsl_if=rl0 dsl_ip=10.1.1.1 dsl_gw=10.1.1.2 dsl_vlan1_ip=10.1.1.10 dsl_vlan2_ip=10.1.1.20 dsl_vlan3_ip=10.1.1.30 dsl_vlan4_ip=10.1.1.40 dsl_vlan5_ip=10.1.1.50 all_loc_if ={ vlan1, vlan2, vlan3, vlan4, vlan5 } nat on $dsl_if from all_net to any - $dsl_if rdr pass on $all_loc_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $dmz_if proto tcp to port ftp - $lo_ip port 8021 rdr pass on $all_loc_if proto tcp to port www - $lo_ip port 3128 rdr pass on $dmz_if proto tcp to port www - $lo_ip port 3128 block in log all block out log all pass out log on $ll_if inet proto tcp from $ll_if to any flags S/SA modulate state pass out log on $ll_if inet proto udp from $ll_if to any keep state pass out log on $ll_if inet proto icmp from $ll_if to any icmp-type echoreq keep state pass out log on $dsl_if inet proto tcp from $dsl_if to any flags S/SA modulate state pass out log on $dsl_if inet proto udp from $dsl_if to any keep state pass out log on $dsl_if inet proto icmp from $dsl_if to any icmp-type echoreq keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto tcp from $dmz_net to any port https flags S/SA keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto udp from $dmz_net to any port domain keep state pass in log on $dmz_if route-to($ll_if $ll_gw) inet proto icmp from $dmz_net to any icmp-type echoreq keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port ftp flags S/SA keep state pass in log on $dmz_if inet proto tcp from $dmz_net to $lo_ip port 3128 flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto tcp from $int_net to any port https flags S/SA keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto udp from $int_net to any port domain keep state pass in log on vlan1 route-to($dsl_if $dsl_gw) inet proto icmp from $int_net to any icmp-type echoreq keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port ftp flags S/SA keep state pass in log on vlan1 inet proto tcp from $int_net to $lo_ip port 3128 flags S/SA keep state squid.conf --- http_port 127.0.0.1:3128 transparent acl dmz src 100.100.100.0/255.255.255.0 tcp_outgoing_address 212.212.1.1 dmz Bu şekilde squid sorunumu nasıl çözebilirim. Teşekkürler Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen
[FreeBSD] Pf route-to hakk
Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, Freebsd de calismayip OpenBSD de calisan pf kurallarini gonderebilir misiniz. Baska bir problem olabilir zira Freesd 7 de route-to calisiyor. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/5 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf route-to hakk
Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, route-to kurallarinizin calismasi icin ilgili ip adreslerini dogru arabirimden nat yapmis olmaniz gerekir. nat on $LL from $DMZ_NET to any - $LL gibi bir kural eksik. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Ismail OZATAY [EMAIL PROTECTED]: Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf Squid
Arkadaşlar Mrb, Kaç gündür üzerinde çalıştığım bir konuda yardımda bulunabilirseniz sevinirim. squid de tanıtmış olduğum acl lerimi tcp_outgoing ile farklı gw lere yönlendirdim. acl A src A acl B src B acl C src C acl D src D acl E src E tcp_outgoing_address 192.168.4.2 A tcp_outgoing_address 192.168.4.2 B tcp_outgoing_address 192.168.4.2 C tcp_outgoing_address 192.168.0.2 D tcp_outgoing_address 192.168.0.2 E squid tarafında D ve E için gw2 git dedikten sonrada pf de lan_net = { 192.168.5.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = em0 ext_gw1 = 192.168.4.1 ext_gw2 = 192.168.0.1 bim_ip = {192.168.5.13,192.168.5.15} at on $ext_if2 from $bim_ip to any - ($ext_if2) nat on $ext_if from $lan_net to any - ($ext_if) pass in quick on $int_if route-to { ($ext_if2 $ext_gw2) } proto {tcp udp icmp} from $bim_ip to any flags S/SA keep state pass in quick on $int_if route-to ($ext_if $ext_gw1) proto tcp from $lan_net to any port $lan_port flags S/SA keep state pass out on $ext_if route-to ($ext_if $ext_gw1) from $ext_if to any keep state pass out on $ext_if2 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state bu şekilde de kaynağı bim_ip olan pc leri gw2den gidiyor problem yok ama 80 giden istekler gw1 gidiyor acaba nerde bir yanlışlık yapıyorum kaynağı bim_ip olan pclerin bütün isteklerini gw2 nasıl yönledirebilirim. Kolay Gelsin FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF
liste arşivinde bununla ilgili bir konu vardı veysi hocam. 2008/5/20 [EMAIL PROTECTED]: Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] PF
ali hocam mrb, dediğiniz gibi öyle bir konu vardı ve baktım yaşdığım sıkıntı şuydu. sunucu üzerinde aynı zamanda squid kurulu iç ağ kullanıcıları squid üzerinden internete çıkmakta pf.conf ta ozel diye bir makro tanımlayıp bunları gw2 kullan dedim ama 80 dışındaki bütün istekleri gw2 ye yönledirdi.squid üzerinden cıkan trafigi bir türlü gw2 ye yönlendiremedim sıkıntı burda şuan. liste arşivinde bununla ilgili bir konu vardı veysi hocam. 2008/5/20 [EMAIL PROTECTED]: Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF
Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] PF NAT Sonrası
Mrb Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
Re: [FreeBSD] PF NAT Sonrası
Serdar hocam ; pf.conf dosyanizi mail atar misiniz ? kolay gelsin - Original Message - From: Serdar EMIRCI To: freebsd@lists.enderunix.org Sent: Wednesday, May 14, 2008 1:45 PM Subject: [FreeBSD] PF NAT Sonrası Mrb Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
RE: [FreeBSD] PF NAT Sonrası
set limit { frags 15000, states 2 } set loginterface $INT_IF scrub in #NAT/RDR nat on $INT_IF from !($INT_IF) - ($INT_IF:0) rdr on $INT_IF proto {udp,tcp} from any to any port 80 - 10.14.29.110 pass in on $INT_IF inet proto {udp,tcp} to any port 53 keep state pass out on $INT_IF inet proto {udp,tcp} to any port 53 keep state pass in on $INT_IF inet proto {udp,tcp} to any port 80 flags S/SA keep state pass out on $INT_IF inet proto {udp,tcp} to any port 80 user proxy flags S/SA keep state From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Wednesday, May 14, 2008 3:41 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF NAT Sonrası Serdar hocam ; pf.conf dosyanizi mail atar misiniz ? kolay gelsin - Original Message - From: Serdar EMIRCI mailto:[EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Wednesday, May 14, 2008 1:45 PM Subject: [FreeBSD] PF NAT Sonrası Mrb Pf kullanmaktayım birane Statik Real IP adresim var bu IP ile ağ daki kullanıcıalara nat ve port yönlendirmeleri yapıyorum örnegin 80 portunu iç ağda bir terminal e yönlendiriyorum ama ağdaki pclerden nat yapan sunucunun IP adresini gateway olarak kullanan kullanıcılar 80 portunu kullanamıyorlar haliyele iç ağ daki bir pc ye yönlendirdiğim için oraya gidiyor buraya kadar aslın da bir sorun yok. Kafamı karıştıran şey bir adsl modem aldınız ve o adsl modem hem nat yapıyor hemde port yonlendiriyor yani 80 portunu da yönlendiriyor. Bu nasıl oluyor ben bunu pf de nasıl uygulayabilirim.
[FreeBSD] PF
Arkadaşlar mrb, freebsd üzerinde pf + squid kullanmaktayım ve makineye 2 adet dsl modem takıldığında pf.conf içinde iç ağ kullanıcılarım için default gw den internetten çıkması için şu nat kurallını yazıyorum problem yok nat on $ext_if from $lan_net to any - ($ext_if) şimdi yine iç ağın içinde bulunan bazı iplerimide default olmayan ext_if2 gw2 den çıkarmak için nasıl bir nat kuralı yazmam lazım acaba en başta lan_net dediğim için bütün iç ağı kapsamakta ve ext_if gw1 den çıkarmakta kolay gelsin FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] Pf round-robin
mrb pf de yapmis oldugum konfigurasyonda kurallarda ne gibi hata yapm?s olabilirim lan_net = { 192.168.1.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.2.1 ext_gw2 = 192.168.3.1 fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2} lan_port = {80,53,444,443,8080} mail_port = {25,110} ic agdan gelen mail_portlarini ext_if2 ye gitmesini pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port $mail_port flags S/SA modulate state ic agdan gelen lan_port isteklerinide 2 gw ye tag?tmas?n? istiyorum pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto tcp from $lan_net to any port $lan_port flags S/SA modulate state bu sekilde konfigurasyonumu duzenledim ama mail istekleri gw1 den cikiyor. diger lan_portlari cikislarini loglardan baktigim kadariyla 2 gw yde dagitiyor. diger bir sorum ise bim diye bir grup tanimlamak ve bu grubun disari cikislarini gw2 den vermek icin kural su olmasi laz?m degilmi. pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from bim to any flags S/SA modulate state yard?mc? olacak arkadaslara simdiden tesekkur ederim. FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] pf ve Round-Robin
Arkadaslar tekrar mrb, pf de anlamadigim bir kac olay var yardimci olursaniz sevinirim. lan_net = { 192.168.1.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.2.1 ext_gw2 = 192.168.3.1 fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2} lan_port = {80,53,444,443,8080} mail_port = {25,110} pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to $int_if:0 port $mail_port flags S/SA modulate state bu kuralla lan_net ten gelen portu mail_portu ise $ext_if2 $ext_gw2 gönder demek de?ilmi loglara bakt???mda ic agdan bir kullanici mail atmaya calistiginda $ext_if $ext_gw1 kullaniyor pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto tcp from $lan_net to $int_if:0 port $lan_port flags S/SA modulate state pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto { udp, icmp } from $lan_net to any keep state bu satirlada lan_net ten gelen portu lan_port sa ext_if $ext_gw1 , $ext_if2 $ext_gw2 dagit demek degilmi fw ve mail sunucum ayni makine simdi ic ag kullanicilarim mail atarken veya alirken trafigin gw2 den gitmesini bunlar?n disindaki cikislarida gw1 ve gw2 ye dagitmasini istiyorum (80,443vs) yukaridaki kurallarla bunu yapmaya calisiyorum ama bir turlu basaramadim burdaki yanlislarim nelerdir acaba mail sunucum kendisi mail atarken gw2 yi kullaniyor ama ic ag kullaniclari disari mail atarken gw1 den cikmaya calisiyor mail_portlari disindaki trafigi dagit diyorum ama trafik gw1 den gidiyor kullanmis oldugum pf.conf dosyam ektedir. Saygilarimla.. ### # Macros ### lan_net = { 192.168.1.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.2.1 ext_gw2 = 192.168.3.1 fwips = {127.0.0.1, 192.168.2.2, 192.168.3.2} lan_port = {80,53,444,443,8080} mail_port = {25,110} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp table bim persist file /usr/local/etc/fw/bim table yasakip persist file /usr/local/etc/fw/yasakip table disbirim persist file /usr/local/etc/fw/disbirim ### # Set Optimizations ### set limit { frags 3, states 25000 } scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if proto tcp from self to any port $mail_port tag IF2 - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 192.168.1.150 port 8080 rdr pass on $ext_if2 inet proto tcp from any to any port = pptp - 192.168.3.2 port 1723 rdr pass on $ext_if2 inet proto gre all - 192.168.3.2 ## #Firewall Kurallari ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all pass in on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to $int_if:0 port $mail_port flags S/SA modulate sta te pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto tcp from $lan_net to $int_if:0 port $lan_port flags S/SA modulate state pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin proto { udp, icmp } from $lan_net to any keep state ## #Lan'dan Firewalla Gelisler ## pass in quick on $int_if proto tcp from bim to any flags S/SA modulate state pass in quick on $int_if proto { udp, icmp } from bim to any keep state block in quick log on $int_if proto tcp from any to yasakip pass in quick on $int_if proto tcp from $lan_net to any port $lan_port flags S/SA modulate state pass in quick log on $int_if proto tcp from $lan_net to $int_if:0 port $mail_port flags S/SA modulate state pass in quick on $int_if proto { udp, icmp } from $lan_net to any keep state pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA modulate state pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA modulate state ## #Firewall C7FDkFDFElar ## pass out on $ext_if proto tcp from $fwips to any flags S/SA modulate state pass out on $ext_if proto { udp, icmp } from $fwips to any keep state pass out on $ext_if2 proto tcp from $fwips to any flags S/SA modulate state pass out on $ext_if2 proto { udp, icmp } from $fwips to any keep state pass out quick log on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state pass out quick log on $ext_if route-to ($ext_if2
[FreeBSD] Pf round-robin
Arkada?lar tekrar mrb, pfde yine tak?ld???m birkac konuda yard?mlar?n?za ihtiyac?m var. 2 adet dsl ba?lant?m mevcut ext_if (ADSL) ve ext_if2 (GHDSL) 1. ic ag kullan?c?lar?n? internete cikarirken 2 dsl minde yuku paylasmas?n? istiyorum. 2. diger bir sorunum ise ic agdaki bir grup ip ninde butun ?nternet trafigini sadece ext_if2 (GHDSL) uzerinden gitmesini nas?l saglamak istiyorum bu konularda bir kac ornekle ac?klayabilirseniz.birde pf trafigi round-robin yaparken gelen iste?i bir adsl ye 1 ghdsl le mi gönderiyor. mesala ghdslde hat gitmi?se veya adsl de nas?l davran?yor. Sayg?lar?mla FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] pf kuralları
çok teşşekür ederim dediğiniz gibi yapınca çalıştı. - Original Message - From: Huzeyfe ONAL [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Saturday, April 26, 2008 3:36 PM Subject: Re: [FreeBSD] pf kuralları Merhabalar, pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state kuralinda ic agdan gelen smtp, pop vs isteklerin tum her yere gitmesine izin vermissiniz. Kuralinizi pass in quick log on $int_if proto tcp from $lan_net to* $FIREWALL_IC_IP_ADRESI p*ort { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state seklinde degistirirseniz kullanicilariniz sadece ic mail sunucu ile haberlesebilir. vys yazmış: Merhabalar, pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110 portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem ve mail sunucum aynı makine içerideki kullanıcılarımın sadece içerideki mail sunucumla haberleşmesini sağlıyorum firewall kurallarında mail sunucumun dışarı çıkmasına izin vermeme rağmen içerideki kullanıcılarda dışarıdaki bir mail sunucuyla bağlantı kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen neden dışarıya çıkar. kurallarda yapmış olduğum hatayı bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 ext_gw2 = 192.168.110.25 fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state ## # Firewalla izin veriliyor E7FDkFDFElar ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep state FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
[FreeBSD] pf kuralları
Merhabalar, pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110 portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem ve mail sunucum aynı makine içerideki kullanıcılarımın sadece içerideki mail sunucumla haberleşmesini sağlıyorum firewall kurallarında mail sunucumun dışarı çıkmasına izin vermeme rağmen içerideki kullanıcılarda dışarıdaki bir mail sunucuyla bağlantı kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen neden dışarıya çıkar. kurallarda yapmış olduğum hatayı bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 ext_gw2 = 192.168.110.25 fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state ## # Firewalla izin veriliyor E7FDkFDFElar ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep state
Re: [FreeBSD] pf kuralları
Merhabalar, pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state kuralinda ic agdan gelen smtp, pop vs isteklerin tum her yere gitmesine izin vermissiniz. Kuralinizi pass in quick log on $int_if proto tcp from $lan_net to* $FIREWALL_IC_IP_ADRESI p*ort { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state seklinde degistirirseniz kullanicilariniz sadece ic mail sunucu ile haberlesebilir. vys yazmış: Merhabalar, pf kurallarımda herşeyi blockladıktan sonra localden firewall 25,110 portlarına izin verdim. şimdi burda yapmak istediğim firewall makinem ve mail sunucum aynı makine içerideki kullanıcılarımın sadece içerideki mail sunucumla haberleşmesini sağlıyorum firewall kurallarında mail sunucumun dışarı çıkmasına izin vermeme rağmen içerideki kullanıcılarda dışarıdaki bir mail sunucuyla bağlantı kurabiliryor landaki kullanıcılarımın 25 ve 110 portları dışarıyla bağlantısını nasıl engelleyebilirim. ben kuralların en başında herşeyi blocklayıp sonra iç ağdan fw ye 25 ve 110 portlarını açmama rağmen neden dışarıya çıkar. kurallarda yapmış olduğum hatayı bulamıyorum.yardımcı olacak arkadaşlara şimdi den teşeker ederim. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 ext_gw2 = 192.168.110.25 fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick log on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state ## # Firewalla izin veriliyor E7FDkFDFElar ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state pass out quick log on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick log on $ext_if2 proto {tcp,udp} from $fwips to any keep state FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Freebsd + PF
tekrar merhabalar, kurallarımın en başında belirtmiş olduğum block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all bu satırlarından sonra iç ağdaki kullanıcılarıma fw belli portlara ulaşma izini verdim pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state daha sonra fw nin dış modemlere bakan interfacelerinede çıkış izini verdim pass out on $ext_if proto {tcp,udp} from $fwips to any keep state pass out on $ext_if2 proto {tcp,udp} from $fwips to any keep state iç ağdaki kullanıcılarım fw üzerinde izin verdiğim portlara bağlanabiliyorlar problem yok ama izin vermeme rağmen dışarıdaki bir mail serverada bağlanabiliyorlar. bunu nasıl engelleyebilirim. - Original Message --pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state From: vys To: freebsd@lists.enderunix.org Sent: Wednesday, April 16, 2008 8:55 AM Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe hocam bu değerli bilgiler için teşekkür ederim sağlıçakla kalın - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 9:34 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor J From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun
Re: [FreeBSD] Freebsd + PF
merhabalar bu konu pf ile ama ipfw... benim sistemim freebsd 7.0 sistem üzerinde dhcp squid squidguard çalışmakta makinalar.ip alıp browsere proxy tanıtmak koşuluyla int çkış yapabiliyorlar ama.. ping yada başka bir portu kullanan bir program çalıştıklarında int yokmuş gibi davranıyor halbuki ipfw de allow from ant to any kuralı geçerli ne yapmam lazım.
[FreeBSD] Freebsd + PF
Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port 25 keep state ## # Firewalla izin veriliyor ç?k??lar ## pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA keep state pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA keep state pass in quick on $int_if proto { udp, icmp } from $lan_net to any keep state ## #Ext_if2 Uzerinden Gelisler ## pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110,53} flags S/SA keep state ## #Ext_if Uzerinden Gelisler ## pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SA keep state
RE: [FreeBSD] Freebsd + PF
Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep state pass in quick log on $int_if route-to ($ext_if2 $ext_gw2) proto tcp from $lan_net to any port 25 keep state ## # Firewalla izin veriliyor ç?k??lar ## pass out quick on $ext_if proto {tcp,udp} from $fwips to any keep state pass out quick on $ext_if2 proto {tcp,udp} from $fwips to any keep state ## #Lan_net ten Firewalla izin verilen Portlar ## pass in quick on $int_if proto tcp from $lan_net to any port { 22,25,80,110,8080,12200,443,444,53 } flags S/SA keep state pass in quick on $int_if proto tcp from msn to any port = 1863 flags S/SA keep state pass in quick on $int_if proto tcp from ftp to any port = 21 flags S/SA keep state pass in quick
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ## #Port Bazli Routing ## pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) proto tcp from $fwips to any port 25 keep state pass out quick on $ext_if2 proto tcp from $fwips to any port 25 keep
RE: [FreeBSD] Freebsd + PF
Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kurallari ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Kurallar ## block in log-all all block out log-all all pass in quick on lo0 all pass out quick on lo0 all ## #Route-to ## pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state
Re: [FreeBSD] Freebsd + PF
Huzeyfe Hocam, yardımlarınız için çok teşekkür ederim şuan için söylediğiniz şekilde kurallar çalışıyor. şuan için gördüğüm tek sıkıntı server üzerinden başka bir makinenin mail sunucusuna telnet le bağlandığımda ehlo deyince 1-2 dakikalık bekleme yapıyor ama dışarıdan kendi sunucuma bağlandığımda bir problem yok gayet hızlı içeriden dışarı çıkmaya çalıştığımda bir yavaşlama var acaba nedendir. loglara baktığımda bir engellemede yok. Saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net = { 10.0.0.0/24, 10.0.2.0/24, 10.0.3.0/24, 10.0.4.0/24 } int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 (Proxy için) ext_gw2 = 192.168.110.25 (Mail Trafigi için) fwips = {127.0.0.1, 10.0.0.2, 192.168.100.212, 192.168.110.26} ## #Tanimlar ## table msn persist file /usr/local/etc/fw/msn table ftp persist file /usr/local/etc/fw/ftp ### # Set
Re: [FreeBSD] Freebsd + PF
Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya yönlendirilmis durumda acaba gözden kacirdigim veya bilmedigim bir seylerlemi var kural tablom asagidaki gibidir. ### # Macros ### lan_net
RE: [FreeBSD] Freebsd + PF
Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor :-) _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe mailto:[EMAIL PROTECTED] ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. _ From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF Arkadaslar Merhaba, daha öncede listede konu hakkinda sorularim olmustu ama hala çözemedigim bir kaç durumu sizlerle paylasmak istedim. bir sunucu üzerinde hem proxy hemde mail server kurulu ve çalisir durumda. simdi benim yapmak istedigim ise bu sunucuda 2 adet dsl takill durumda packet filterla mail sunucumun mailleri gönderirken ve mailleri alirken adsl1 üzerinden haberlessin,kullanicilariminda internete çikarken veya baska kaynaklara ulasirkende adsl2 yi kullanmasin istiyorum. buna görede pf.conf umu düzenledim.bu noktada su sorunlarla karsilasiyorum birincisi disaridan mail sunucusuna telnet le baglanmaya çalistigimda baglanmiyor loglarda ise pass olarak görebiliyorum ama ayni sekilde sunucuma sshla baglandigimda adsl2 üzerinden hiçbir problem yok adsl1 üzerinden 25,110 sunucuya
Re: [FreeBSD] Freebsd + PF
Huzeyfe hocam bu değerli bilgiler için teşekkür ederim sağlıçakla kalın - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 9:34 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, 1-3)ext_if uzerinden paketleri cikis ipleri ext_if2 olacak sekilde natliyorum ve bu paketleri IF2 olarak isaretliyorum, sonra filtreleme kisminda IF2 seklinde isaretlenmis paketleri diger arabirime gonderiyorum. 2) ext_if:0 daki :0 o arabirime ait ilk ip adresi manasina geliyor. Kendi sistemimde ext_if uzerinde birden fazla ip adresi oldugu icin ilk ip adresini kullanmam icin o sekilde belirtmem gerekiyor J -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 8:36 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Hocam Tekrar Mrb, Kurallarımı sizin söylediğiniz şekilde düzenledim ve sistem şuan çalışıyor.Fakat göndermiş olduğunuz kurallarda anlamadığım kısımlar var bunları açıklamız mümkünmü acaba. konuyu daha iyi kavrama açısından. 1. nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) burdaki smtp veya pop3 tag IF2 satırıyla ne yapmak istiyoruz tag IF2 nedir. 2.pass in quick log on $ext_if2 reply-to($ext_if2 $ext_gw2) proto tcp from any to $ext_if2:0 port 80 keep state satırındaki $ext_if2:0 ne anlama geliyor 3.pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state burda $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state ne yapmak istiyoruz. huzeyfe hocam inşallah çok fazla rahatsız etmemiyorumdur. Saygılar.. - Original Message - nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) nat on $ext_if proto tcp from self to any port pop3 tag IF2 - ($ext_if2) From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 7:13 PM Subject: RE: [FreeBSD] Freebsd + PF Selamlar, SMTP icin asagidaki kurali kullanabilirsiniz. Diger protokolleri de buna bakarak cogaltabilirsiniz. pass in quick log (all) on $ext_if0 reply-to($ext_if0 $ext_gw0) proto tcp from any to $ext_if0:0 port 25 keep state Firewalldan cikacak smtp paketleri icin ornegi bir onceki mailimde bulabilirsiniz. From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 7:06 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Freebsd + PF Huzeyfe Hocam Merhabalar, Öncelikle konuyu daha anlamak açısından biraz daha örnekler veremeniz mümkünmü acaba. kullanılan sistem freebsd merak ettiğim konu ise sunucumdan attığım mail veya başka bir şey 1. dsl den,sunucu üzerinden internette sörf yaparken 2.dsl den çıkması için veya dışarıdaki bir ssh sunucusuna bağlandığımda 1. dsl den çıksın gibi örnekleyerek verebilirseniz çok makbule geçer hocam. saygılar - Original Message - From: Huzeyfe ONAL To: freebsd@lists.enderunix.org Sent: Tuesday, April 15, 2008 5:53 PM Subject: RE: [FreeBSD] Freebsd + PF Merhabalar, Bir hat uzerinden gelen paketin ayni hattan geri donmesi icin reply-to kullanmaniz gerekiyor. Bunun haricinde route-to kavramini Firewall'un kendisi icin degil de ic agdan gelen istekler icin bu sekilde kullanabilirsiniz. Firewallun kendisinin urettigi trafigi farkli hatlara gondermek icin asagidaki gibi nat/filtering kurallari yazmayi deneyin. (II. hattan SMTP isteklerinin cikmasi icin) nat on $ext_if proto tcp from self to any port smtp tag IF2 - ($ext_if2) pass out quick on $ext_if route-to ($ext_if2 $ext_gw2) tagged IF2 keep state (OpenSD 4.2 vs kullaniyorsaniz keep state'e gerek yok) Ek olarak kurallariniza baktigimda eksik/yanlis tanimlar var. Genelde tek hat dusunulerek yazilmis kurallar gibi gozukuyor. En basitinden ; pass in on $int_if route-to { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net to any keep state kurali ile ic ag kullanicilarini iki hat uzerine dagitmis gozukuyorsunuz, isteginiz bu kullanicilarin tek hat uzerinden olmasi ise tek cikis gosterin ve round-robin kullanmayin. -- From: vys [mailto:[EMAIL PROTECTED] Sent: Tuesday, April 15, 2008 1:03 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] Freebsd + PF
Re: [FreeBSD] pf ve nat
Merhabalar, ic agdaki kullanicilara kisitli internet vermek istiyorsaniz bunu NAT tanimlari ile degil de filtreleme kurallari ile yapmayi deneyin. izinli_kullanicilar= { ip adresleri} izinli_portlar = { port2 port 5 ...} sonrasinda filtreleme tarafinda pass in on $int_if proto tcp from $izinli_kullanicilar to any port $izinli_portlar keep state gibi kurallar yazabilirsiniz. afsin cakir wrote: Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar içinmi nat yapmam gerekiyor.. Date: Fri, 18 Jan 2008 21:46:05 +0200 From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ve nat Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL http://www.lifeoverip.net Trust, but Verify! R.R _ Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava durumu ve çok daha fazlası. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
RE: [FreeBSD] pf ve nat
yardımınız için teşekkürler. deniyeceğim Date: Sun, 20 Jan 2008 12:06:10 +0200 From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ve nat Merhabalar, ic agdaki kullanicilara kisitli internet vermek istiyorsaniz bunu NAT tanimlari ile degil de filtreleme kurallari ile yapmayi deneyin. izinli_kullanicilar= { ip adresleri} izinli_portlar = { port2 port 5 ...} sonrasinda filtreleme tarafinda pass in on $int_if proto tcp from $izinli_kullanicilar to any port $izinli_portlar keep state gibi kurallar yazabilirsiniz. afsin cakir wrote: Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar içinmi nat yapmam gerekiyor.. Date: Fri, 18 Jan 2008 21:46:05 +0200 From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ve nat Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL http://www.lifeoverip.net Trust, but Verify! R.R _ Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava durumu ve çok daha fazlası. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL http://www.lifeoverip.net Trust, but Verify! R.R _ Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava durumu ve çok daha fazlası. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail
Re: [FreeBSD] pf ve nat
Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
[FreeBSD] pf ve nat
Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] pf ve nat
Cevabınız için teşekkürler daha önce ipfw kullanıyordum onun için kafam biraz karışıyor. tam olarak istediğim freebsd makinam internete bütünüyle erişsin ama iç networkteki kullanıcılar sadece belli servislere(örneğin smtp pop3 gibi) erişsin. galiba içerdeki kullanıcılar için ayrı ayrı iplerini belli portlar içinmi nat yapmam gerekiyor.. Date: Fri, 18 Jan 2008 21:46:05 +0200 From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ve nat Merhabalar, block all 'dan sonra kullandiginiz pass in on $int_if from $int_if:network to any keep state kurali ile ic agdaki herkesin ic bacaga kadar ulasmasini saglamissiniz. Sonrasinda NAT kurali ile ip adreslerini 192.168.2.68 olarak degistirmissiniz. nat on $ext_if from $int_net to any - 192.168.2.68 Ve en sonunda kullandiginiz pass out on $ext_if proto tcp from to any modulate state flags S/SA kurali ile 192.168.2.68 adresinden her yere cikis izni vermissiniz. Boylece yazdiginiz block kurali islevsiz kalmis. Tam olarak ne yapmaya calisiyorsunuz? afsin cakir wrote: Merhabalar. network yapısı aşağıdaki şekilde gibi olan bir yapıda freebsd içinde pf kullanarak lacaldeki pcleri internete çıkarmak istiyorum. local network - freebsd -- adsl modem--- internet kullandığım pf.con dosyası aşağıdaki şekilde int_if = vr0 ext_if = fxp0 int_net = 192.168.20.0/24 tcp_services = { 22 } icmp_types = echoreq nat on $ext_if from $int_net to any - 192.168.2.68 (freebsdnin modeme bakan ipsi. ip kullandım çünkü sonra alias tanımlamak istiyorum) block all pass quick on lo0 all pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state pass in inet proto icmp all icmp-type $icmp_types keep state pass in on $int_if from $int_if:network to any keep state pass out on $int_if from any to $int_if:network keep state pass out on $ext_if proto tcp from 192.168.2.68 to any modulate state flags S/SA pass out on $ext_if proto { udp, icmp } from 192.168.2.68 to any keep state Ben bu şekilde yapdığımda local networkün değilde sadece freebsd makinanın internete çıkacağını zannediyordum. çünkü nat kuralı olsa bile block all dan sonra kural tanımlamadığım için local networkün internete çıkmayacağını zannediyordum. benim isteğim local networkten pc ler sadece belli portlara ulaşabilsinler. tabi bu natlanarak sağlansın. bu konuda oldukça yeniyim ve belgeleri araştırıyorum. bana pf.conf dosyasında ne gibi değişikler yapmam gerektiği konusunda yardımcı olursanız sevinirim.Herkeze şimdiden teşekkürler. _ Live.com'u deneyin - hızlı ve kişiselleştirilmiş giriş sayfanızla istediğiniz her şey tek bir yerde. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL http://www.lifeoverip.net Trust, but Verify! R.R _ Live.com'u deneyin: çevrimiçi dünyanızı bir araya getirin; haberler, spor, hava durumu ve çok daha fazlası. http://www.live.com/getstarted - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] PF Hakkinda
Arkadaslar merhaba ; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Iyi calismalar - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Ismail OZATAY yazmış: Arkadaslar merhaba ; Selamlar; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Belirli zamanlarda belirli kurallarin calismasini mi istiyorsunuz ? Ne yapmak istediginizi soylerseniz daha kolay cozum bulunabilir. Iyi calismalar iyi calismalar Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin --- EnderUnix Guvenlik E- Posta Listesi http://lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - Afsin Taskiran yazmış: Ismail OZATAY yazmış: Arkadaslar merhaba ; Selamlar; Pf de yazdigim bir kuralin belirleyecegim zaman araliklarinda calismasini istiyorum.Bunun icin biraz arastirma yaptim ama birsey bulamadim.Daha once boyle bir konfigurasyon yapaniniz oldu mu? Belirli zamanlarda belirli kurallarin calismasini mi istiyorsunuz ? Ne yapmak istediginizi soylerseniz daha kolay cozum bulunabilir. Iyi calismalar iyi calismalar Afsin TASKIRAN EnderUnix Core Team Member EnderUnix SDT ~ Turkey www.enderunix.org/afsin --- EnderUnix Guvenlik E- Posta Listesi http://lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] PF Hakkinda
İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Cengiz hocam iptables da oyle yapiyorum , pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Tesekkur ederim Iyi calismalar Cengiz CAKAR yazmış: İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] PF Hakkinda
İşin içine yine de crontabı sokmak zorundasınız sanırım :D http://archive.openbsd.nu/?ml=openbsd-pfa=2005-01t=635485 -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:37 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Cengiz hocam iptables da oyle yapiyorum , pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Tesekkur ederim Iyi calismalar Cengiz CAKAR yazmış: İki tane script yazıp 1. Kural koyan script 2. Kural'ı iptal eden script Crontab ekleyebilirsiniz -- Cengiz CAKAR -Original Message- From: Ismail OZATAY [mailto:[EMAIL PROTECTED] Sent: Tuesday, January 01, 2008 8:03 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] PF Hakkinda Ornegin pass out on $if proto tcp from $if to any port www ( gun icinde 12:00 ile 18:30 arasinda ) Boyle bir konfigurasyon yapabilir miyiz ? Veya bunu karsilayacak bir sey yapabilir miyiz ? Iyi calismalar - - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF Hakkinda
Selamlar; Ismail OZATAY yazmış: Cengiz hocam iptables da oyle yapiyorum , iptables da cron dan dogrudan destek almaniza gerek yok. iptables in time modulu ile gelismis zaman ozelliklerini kullanarak asagidaki ornekteki gibi kural yazabilirsiniz. Patch-O-Matic (POM) ile de iptables da daha bircok ozellige kavusabilirsiniz. iptables -A FORWARD -p tcp -m multiport \ --dport ssh -o eth1 -i eth0 \ -m time --timestart 08:30 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -j ACCEPT pf de de yapabilirim.Ancak ben bunun Pf de extra birseylere gerek kalmadan yapilip yapilamadigini ogrenmek istiyorum. Bildigim kadariyla pf'de su anda dogrudan bir zaman destegi yok. Ancak cron a bagli kalinarak pf in anchor destegi ile belirli zamanlarda belirli kurallarin aktif kalmasi saglanabiliyor. Tesekkur ederim iyi calismalar -- Afşin Taşkıran EnderUnix Core Team Member www.enderunix.org/afsin EnderUnix Guvenlik Portali EnderUnix Guvenlik E- Posta Listesi www.enderunix.org/security lists.enderunix.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] pf firewall
selam arkdaslar freebsd 6.2 ustune pf ve squid kurulu. Trace cekildiginde firewall'in gorunmemesi icin ne yapmaliyim. 192.168.2.0/24 -- BSD -- 192.168.1.0 -- ADSL Modem -- INT 2.22 --| |-- 1.2 1.1 --| Not: scrub in on $int_if min-ttl 2seklinde denedigimde asagidaki gibi bir cikti aliyorum 1 2 ms 1 ms 1 ms 192.168.1.1 2 4 ms 1 ms 1 ms 192.168.1.1 356 ms59 ms14 ms dsl.static8 normal cikti 11 ms1 ms 1 ms 192.168.2.22 2 4 ms 1 ms 1 ms 192.168.1.1 317 ms12 ms11 ms dsl.static81 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] pf firewall
Merhabalar, ic arabirime gelen paketlerin min. ttl degerini iki yaptiginiz icin firewall gozukmuyor(ilk arabirime ttl degeri 1 olarak gelen paketin ttl degeri 2 yapilarak bir sonraki duraga gonderiliyor) olsa da ic agdaki ip-arp ikilisini bilen bir kullanici bu ciktiya bakarak aradaki firewall'u cok rahatlikla kesfedebilir. Tam bir gorunmezlik isterseniz FreeBSD makineyi bridge modda calistirmayi deneyebilirsiniz. Arda bozkurt wrote: selam arkdaslar freebsd 6.2 ustune pf ve squid kurulu. Trace cekildiginde firewall'in gorunmemesi icin ne yapmaliyim. 192.168.2.0/24 -- BSD -- 192.168.1.0 -- ADSL Modem -- INT 2.22 --| |-- 1.2 1.1 --| Not: scrub in on $int_if min-ttl 2seklinde denedigimde asagidaki gibi bir cikti aliyorum 1 2 ms 1 ms 1 ms 192.168.1.1 2 4 ms 1 ms 1 ms 192.168.1.1 356 ms59 ms14 ms dsl.static8 normal cikti 11 ms1 ms 1 ms 192.168.2.22 2 4 ms 1 ms 1 ms 192.168.1.1 317 ms12 ms11 ms dsl.static81 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] pf ip forwarding
Merhabalar, pass in on $int_if route-to { $ext_ifx 1.1.1.1 } from 1.1.1.25 to any gibi bir tanim kullanabilirsiniz. Arda bozkurt wrote: herkese selamlar, ipfw kullaniyorum ve PF testi icin bir makina kurdum. ipfw'de add fwd 1.1.1.1 ip from 1.1.1.25/32 to any gibi bir satirla source adresine gore farkli iplere route edebiliyorum. acaba ayni seyi PF ilede yapabilirmiyim. Iyi calismalar Arda signature.asc Description: OpenPGP digital signature
[FreeBSD] Yanıt: Re: [FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, Huzeyfe Bey. Bu yontemle soylediginiz sekilde calistiramadim serveri. Kullanici ipsini degistirdigi zaman yine baglanabiliyor. Atladigim bir nokta mi var acaba? Saygilarimla.. --- Huzeyfe ONAL [EMAIL PROTECTED] wrote: Merhabalar, PF bridge modda calisiyorsa brconfig ve tagleri kullanarak MAC adresine gore filtreleme yapabilirsiniz. Ama bu yontemi atlatmak MAC adresini degistirmek kadar kolaydir. Bunun yerine http://blog.huzeyfe.net/index.php?op=ViewArticlearticleId=258blogId=1 adresinde bahsettigim yontemi denemek daha saglikli ve kesin cozum. Kisaca yapilan gatewayde kullanicilarin IP-MAC'lerini statik ve sabit olarak tanimlayip IP adresine gore kural yazmak. IP adresini ya da MAC adresini degistiren kullanicinin gateway ile baglantisi kesileceginden internete cikamayacaktir. Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
[FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] PF ile MAC Adresine Gore Filtreleme
Merhabalar, PF bridge modda calisiyorsa brconfig ve tagleri kullanarak MAC adresine gore filtreleme yapabilirsiniz. Ama bu yontemi atlatmak MAC adresini degistirmek kadar kolaydir. Bunun yerine http://blog.huzeyfe.net/index.php?op=ViewArticlearticleId=258blogId=1 adresinde bahsettigim yontemi denemek daha saglikli ve kesin cozum. Kisaca yapilan gatewayde kullanicilarin IP-MAC'lerini statik ve sabit olarak tanimlayip IP adresine gore kural yazmak. IP adresini ya da MAC adresini degistiren kullanicinin gateway ile baglantisi kesileceginden internete cikamayacaktir. Merhabalar, PF kullanarak paketi geldigi MAC adresine gore nasil bloklayabiliriz? Saygilarimla.. ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net
[FreeBSD] pf webcam
Network u sinirli nat yapmistim(belli portlarda cikislara izin vermistim) ama simdi msn webcam i de acmam gerekiyor portu nedir ? veya bu porta guvenli portlar listesine eklemem yeterli olur mu acaba... - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] pf webcam
port 1713 imis bilgilerinize safe port listesine ekleyince baglanti oldu Hamza ASLAN wrote: Network u sinirli nat yapmistim(belli portlarda cikislara izin vermistim) ama simdi msn webcam i de acmam gerekiyor portu nedir ? veya bu porta guvenli portlar listesine eklemem yeterli olur mu acaba... - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] pf ftp problemi
XP Sp2 de sorun çıkıyordu firewall aktifse düzeldimi o? Bir ara o olmayınca pftpx kullandım sorunsuz çalışmıştı. Saygılar. From: Huzeyfe Onal [mailto:[EMAIL PROTECTED] Sent: Thursday, May 10, 2007 1:02 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] pf ftp problemi Merhabalar, http://csirt.ulakbim.gov.tr/dokumanlar/openbsd_pf_guvenlik_duvari.pdf adresindeki belgenin Packet Filter ve FTP kismini incelerseniz hem FTP ile ilgili problemin ne oldugunu hem de cozumunu net bir sekilde anlayabilirsiniz. On 5/10/07, Hamza ASLAN [EMAIL PROTECTED] wrote: Hamza ASLAN wrote: pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
[FreeBSD] pf ftp problemi
Hamza ASLAN wrote: pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf ftp problemi
Hamza ASLAN wrote: Hamza ASLAN wrote: Merhaba; pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d Ic aginizdaki kullanicilarin disariya ftp yapabilmelerini saglamak icin 21 portuna izin vermek yeterli degildir. pf.conf unuzun NAT kismina ; nat-anchor ftp-proxy/* rdr-anchor ftp-proxy/* rdr on $int_if proto tcp from any to any port 21 - 127.0.0.1 port 8021 eklemelisiniz. Kurallar (rules) kismina da ; anchor ftp-proxy/* baglantisini eklemeniz gerekir. ftp-proxy programinin da root kullanicisi ile calistirilmis olmasi gerekir. Eger aktif FTP ye de izin vermek isterseniz ftp-proxy i -r parametresi ile calistirabilirsiniz. ftp-proxy yazilimin acilista calismasini isterseniz /etc/rc.conf.local dosyasina ftpproxy_flags= satirini eklemelisiniz. PF uzerinde FTP kullanimi icin OpenBSD FAQ yu bakabilirsiniz. http://www.openbsd.org/faq/pf/ftp.html -- Afsin Taskiran |Ford Otosan EnderUnix Core Team Member |Security Engineer www.enderunix.org/afsin/blog|www.ford.com.tr International BSD Conferance in Turkey www.bsdcontr.org - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
[FreeBSD] Yanıt: [FreeBSD] pf ftp problemi
Merhaba, http://ipucu.enderunix.org/view.php?id=601lang=tr isinizi gorecektir. Saygilarimla.. --- Hamza ASLAN [EMAIL PROTECTED] wrote: Hamza ASLAN wrote: pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd ___ Yahoo! kullaniyor musunuz? http://tr.mail.yahoo.com Istenmeyen postadan biktiniz mi? Istenmeyen postadan en iyi korunma Yahoo! Posta'da - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf ftp problemi
Merhabalar, http://csirt.ulakbim.gov.tr/dokumanlar/openbsd_pf_guvenlik_duvari.pdfadresindeki belgenin Packet Filter ve FTP kismini incelerseniz hem FTP ile ilgili problemin ne oldugunu hem de cozumunu net bir sekilde anlayabilirsiniz. On 5/10/07, Hamza ASLAN [EMAIL PROTECTED] wrote: Hamza ASLAN wrote: pf' den ftp portu 21 i disariya baglanti acmama ragmen disariya baglanamiyor safe= { pop3, smtp, domain, http, https, 3389, ftp, 443, 1863, 995 } nat on $ext_if from $internal_net to any port $safe - a.b.c.d - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
[FreeBSD] pf outgoing load balance ve squid
Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . Ahmet ORHAN Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED]
Re: [FreeBSD] pf outgoing load balance ve squid
Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . *Ahmet ORHAN* Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] pf outgoing load balance ve squid
Huzeyfe Hocam Merhaba, Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi uygulamalara tahsis etmek. Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının bu hattan çıkması için ne yapmam gerekir? squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli olur mu? Yoksa pf de bir kural gerekir mi? Şimdiden çok teşekkür ederim.. - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Wednesday, May 02, 2007 2:56 PM Subject: Re: [FreeBSD] pf outgoing load balance ve squid Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . Ahmet ORHAN Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
Re: [FreeBSD] pf outgoing load balance ve squid
Merhaba, Squid kurulu makinenin default gateway'ine DSL modemin iç IP sini yazarsanız daha basit olur. Devrim Çarşamba 02 May 2007 16:09 tarihinde, Ahmet ORHAN şunları yazmıştı: Huzeyfe Hocam Merhaba, Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi uygulamalara tahsis etmek. Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının bu hattan çıkması için ne yapmam gerekir? squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli olur mu? Yoksa pf de bir kural gerekir mi? Şimdiden çok teşekkür ederim.. - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Wednesday, May 02, 2007 2:56 PM Subject: Re: [FreeBSD] pf outgoing load balance ve squid Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . Ahmet ORHAN Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net --- - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf outgoing load balance ve squid
Devrim bey merhaba, Dsl modemin iç bacağını yazamıyorum.. aynı makinede mail web dns.. serverlar da mevcut ve bu servisler için gshdsl hattın ip sini kullanıyorum.(dns ler o ip de kayıtlı). İstediğim kısaca, iki hattı tek makineye bağlamak. Gshdsl hattı server uygulamarı için kullanmak.. Dsl modemin hattını da squid isteklerini yönlendirmek için.. squid.conf da tcp_outgoing_address tanımlamalarını yapıyorum ama aşağıdaki hatayı alıyorum commBind: Cannot bind socket FD 33 to 192.168.0.1:0: (49) Can't assign requested address dsl modemin iç bacağı 192.168.0.1 acl normal_service_net src 192.168.0.28/32 tcp_outgoing_address 192.168.0.1 normal_service_net tcp_outgoing_address 192.168.0.1 Teşekkürler.. - Original Message - From: Devrim Sipahi [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Wednesday, May 02, 2007 5:02 PM Subject: Re: [FreeBSD] pf outgoing load balance ve squid Merhaba, Squid kurulu makinenin default gateway'ine DSL modemin iç IP sini yazarsanız daha basit olur. Devrim Çarşamba 02 May 2007 16:09 tarihinde, Ahmet ORHAN şunları yazmıştı: Huzeyfe Hocam Merhaba, Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi uygulamalara tahsis etmek. Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının bu hattan çıkması için ne yapmam gerekir? squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli olur mu? Yoksa pf de bir kural gerekir mi? Şimdiden çok teşekkür ederim.. - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Wednesday, May 02, 2007 2:56 PM Subject: Re: [FreeBSD] pf outgoing load balance ve squid Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . Ahmet ORHAN Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net --- - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd __ NOD32 2233 (20070501) Bilgi __ Bu mesaj NOD32 antivirüs sistemi tarafından kontrol edilmiştir. http://www.eset.com - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
Re: [FreeBSD] pf outgoing load balance ve squid
merhabalar, squid'de tcp_outgoing_address ile belirlediginiz IP adresini kullanmasini saglarsiniz, sonrada PF ile o ipden gelip any'nin 80 portuna gidenleri belirli bir hatta yonlendirirsiniz. uc hattinizin oldugunu varsayiyorum. 1 - int_if 2 - dsl_if -5.5.5.2 olsun, default gw 5.5.5.1 diyelim. 3- gdsl_if dsl_gw 5.5.5.1 squid icin; tcp_outgoing_address 5.5.5.2 pf icin. ... pass out on $dsl_if route-to ($dsl_if $dsl_gw ) from $dsl_if to any keep state pass out on $gdsl_if route-to ($dsl_if $dsl_gw) from $dsl_if to any ... ayarlamalarini yaparsaniz squid'i dsl hattindan cikarmis olursunuz. *pf kurallarini isteginize gore esnetebilirsiniz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Huzeyfe Hocam Merhaba, Aslında düşündüğüm şey tam olarak, kullanıcıların nete çıkışlarını yani squidi ayrı bi hattan çıkarmak(dsl) diğer hattı(gshdsl) da mail server gibi uygulamalara tahsis etmek. Üçüncü bir ethernet takıp bunu dsl modeme bağladığımda, squid kullanıcılarının bu hattan çıkması için ne yapmam gerekir? squid de tcp_outgoing_address kısmına dsl modemin ip sini tanımlamam yeterli olur mu? Yoksa pf de bir kural gerekir mi? Şimdiden çok teşekkür ederim.. - Original Message - *From:* Huzeyfe Onal [EMAIL PROTECTED] *To:* freebsd@lists.enderunix.org *Sent:* Wednesday, May 02, 2007 2:56 PM *Subject:* Re: [FreeBSD] pf outgoing load balance ve squid Merhabalar, asagidaki PF kurali fw/squid makineden cikip herhangi bir adresin www portuna giderken load balance yapmanizi saglar. pass out quick on $ext_if route-to{($ext_if0 $ext_gw0), ($ext_if1 $ext_gw1)} round-robin sticky-address proto tcp to any port 80 keep state bu kurala ek olarak default gw'e gelen fakat diger hattan gitmesi gereken paketler icin de bir route-to yazilmali. ya da squid'de tcp_outgoing_address kullanarak ic agdaki kullanicilarin cikislerini iki hatta dagitirsiniz sonra PF ile source based routing yaparsiniz. benim tavsiyem Squid'i tek hattan cikarmaniz , ek hatti da diger protokoller ile kullanmaniz. Zira bazi sitelerde (ozellikle banka vs gibi) load balance yaptiginizda problem yasayabiliyorsunuz. On 5/2/07, Ahmet ORHAN [EMAIL PROTECTED] wrote: Merhaba, Başlıktan da anlaşılacağı gibi.. 2 tane internet çıkışım var.. biri dsl biri GSHDSL .. ve yerel ağdaki pclerin çıkışlarını iki hatta dağıtmak istiyorum..(ya da default gateway den değilde sadece dsl modeme bakan arabirimden çıkışlarını sağlamak) Freebsd pf ile outgoing load balancing yapılabiliyor ancak benim yerel ağdaki tüm bilgisayarlarım squid üzerinden nete çıkacak... Bu durumda aynı makinede çalışan squid için pf load balancing yapar mı acaba? Yoksa default gateway den mi çıkış yapar. Squid ile birlikte Outgoing load balancing yapmak için ne önerirsiniz.. Teşekkürler.. . *Ahmet ORHAN* Altınbaşak Tekstil A.Ş. 0258 269 10 69 [EMAIL PROTECTED] -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net --- -- Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://netsec.huzeyfe.net ---
[FreeBSD] PF pass in ve pass out
Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) pass in satırı ile ethernet kartına gelen, pass out ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : pass in ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in pass out ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir pass in ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 pass in 2 pass out olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar
Re: [FreeBSD] PF pass in ve pass out
Merhabalar, kullandiginiz guvenlik duvari(burada PF oluyor) durum korumali calissada bunu default olarak yapmiyor.. Yani pass in, pass out dediginizde o paketin durumunu tutmuyor. Yazacaginiz kurallara keep state eklerseniz yazdiginiz bir kural icin durum tutturmus olursunuz ki bu da ayni paketin donusu icin ek paket yazilmamasi icindir. User---out(Fw) in-Internet User---in (Fw) out-Internet PF'de kontrolun tamamen sizde olmasi icin yazacaginiz kurallari arabirimlere gore yazarsiniz. Yani bir paket geldiginde once dis bacaktan bir giris yapacak sonra ic bacaktan cikis yapacak. Guvenlik duvari politikaniza gore ic bacaktan cikislara tamamen izin verebilirsiniz boylece ek kurallar yazmamis olursunuz. ek not: disaridan gelen paket dis bacaka in kurali ile gelir gozukur, ic bacaktan out kurali ile cikar. Disaridan gelen paketin ic bacakta in seklinde gozukmez. On 12/21/06, Varol KÜÇÜKKARALAR [EMAIL PROTECTED] wrote: Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) pass in satırı ile ethernet kartına gelen, pass out ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : pass in ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in pass out ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir pass in ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 pass in 2 pass out olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---
[FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Merhaba, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. Fakat, inceledigim belgelerden tam olarak anlayamadigim noktalari listeye danismak istedim. Amacimiz, 4 bacakli bir yonlendirici sunucu (FreeBSD) kurmak. Bir bacagi ic aga bakacak, ikinci bacak sirketin diger birimlerine erisen Cisco yonlendiriciye baglanacak. Diger iki bacak da internet cikislari icin kullanilacak. Internet icin kullanilacak bacaklardan biri genel isteklere hizmet verecek, digeri de (esas hedefimiz) ozel hizmet (VPN, Skype, gmail, yahoo-mail, hotmail vs.) cikislarini tasiyacak. Burada tam olarak anlayamadigim, kurulacak servisler icindeki rol paylasimi oldu. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? Iyi Calismalar Volkan Evrin - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
merhabalar, Sunucularimiz internet cikislarini yeniden duzenlemek icin FreeBSD uzerinde PF+Squid+DansGuardian kurulumu yapmak istiyoruz. iyi bir tercih olmus. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, -- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html --- - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] FreeBSD + PF + 2'li internet cikisi + loglar?
Huzeyfe Onal wrote: PF ile mi yonlendirilir, yoksa Squid ile mi? Ya da yonlendirilebilir mi? Dogrudan arabirim yonlendirmesi olacagi icin gercekleyen bir ornek bulamadim. * Skype, gmail, hotmail, yahoo-mail gibi servislerin talebi geldiginde Gelen trafigin yahoo/hotmail vs ye gittigini nasil belirleyeceginize bagli olarak degisir. port ya da IP tabanli bir yonlendirmeyi PF ile rahatlikla yapabilirsiniz. Aslinda bunu nasil belirleyecegimi tam cozemedim. PF ustunde inceledigim tum belgeler genel olarak IP'ler ve portlar uzerinden yonlendirmeleri ve kural kumelerini tanimlamaya donuktu. Yani bir kullanici kullandigi internet gezginine gmail.google.com ya da mail.yahoo.com vs. yazdigi zaman onu ikinci arabirime yonlendirmenin yolunu bulamadim. Bunun gibi web uzerinden hizmet veren adreslerin de sabit bir IP'leri var midir, belki onu arastirabilirim. Skype'ta da benzer bir sekilde, kisitlamaya donuk bazi denemeler gordum, Skype bos gordugu tum portlardan sirayla tarama yaptigindan tam sonuc bulunamadigini okudum, ama yonlendirmeye donuk ornekler bulamadim. tesekkurler, volkan evrin * Ozel hizmetleri ayri arabirime yonlendiremez isem, AltQ ile onceliklendirebilir miyim? hem yonlendirebilirsiniz hem de altq ile onceliklendirebilirsiniz. * PF+Squid+DG calisan bir sistemde her basamakta loglama ve istatistik beklenecektir haliyle. SARG, RRDTool, Calamaris gibi araclarin hepsi beraber kullanilabilir mi, yoksa sadece birini secmek zorunda mi kalacagiz? icerik filtreleme icin sarg yeter, Pf loglarini analiz icin de /rrdtools++ , hatchet gibi bir arac kullanabilirsiniz. On 12/4/06, Volkan Evrin [EMAIL PROTECTED] wrote: Merhaba, - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
Merhaba,#1.Adsl Uzerinden Gelisler kismindaki pass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote: merhaba, kural tablomu soylediginiz yola gore yeniden duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya yazdim saygilar. Macros###lan_net = { 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 = 192.168.100.213ext_gw2 = 192.168.110.25 ###Tanımlar##table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigortatable banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 }set loginterface $ext_ifscrub in all ###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ###Firewall Kuralları##block in allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state ###1.Adsl Uzerinden Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ###2.Adsl Uzerinden Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state ###Localden Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082 flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flags S/SApass out quick log on $int_if proto tcp from any to any port { 22, 25, 80, 110 } flags S/SA - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 6:42 PM Subject: Re: [FreeBSD] freebsd pf merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim; pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass
Re: [FreeBSD] freebsd pf
Huzeyfe mrb, yapmis oldugunuz yardimlardan dolayi tesekkur ederim.vermis oldugunuz bilgiler sayesinde suan firewall calisiyor.cok tesekkur ederim. Saygilar Veysi Gumus - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Saturday, November 04, 2006 11:00 AM Subject: Re: [FreeBSD] freebsd pf Merhaba,#1.Adsl Uzerinden Gelisler kismindaki pass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statekuralina tcp protokolunu de eklerseniz 1.baglantiya SSH yapabilirsiniz.pass out quick on $ext_if proto { tcp, udp, icmp } from $ext_if to any keep stateolmali kural..Ic agdan gelisler icin herhangibir kural yok. Asagidaki kurali eklersenz problem kalmayacaktir.pass in quick log on $int_if proto tcp from $lan_net to any port { 22, 25, 80, 110 } flags S/SA keep stateEk not: Kurallarinizdaki #Localden Firewall Gelisler kismi islevsiz gozukuyor. On 11/4/06, Veysi Gümüs [EMAIL PROTECTED] wrote: merhaba, kural tablomu soylediginiz yola gore yeniden duzenledim.disaridan 2.adsl uzerinden firewall makinaya 25,80,110 portlar acmistim problem olmadan ulasabiliyorum.fakat 1. adsl uzerinden ssh port acik olmasina ragmen ulasamiyorum.2.bir sorun ise kural taplosunu yukledigimde local makinelerden firewall makinesine ulasamiyorum 22 25 110 80 portlari kural tablosunda acmis durumdayim vermis oldugum rahatsizlik tan dolayida ozur dilerim.kural tablosunu en son halini tekrar asagiya yazdim saygilar. Macros###lan_net = "{ 10.0.0.0/24, 10.0.2.0/24 , 10.0.3.0/24, 10.0.4.0/24 }"int_if = "bge0"ext_if = "vr0"ext_if2 = "vr1"ext_gw1 = "192.168.100.213"ext_gw2 = " 192.168.110.25" ###Tanımlar##table msn persist file "/usr/local/etc/fw/msn"table kamera persist file "/usr/local/etc/fw/kamera"table ftp persist file "/usr/local/etc/fw/ftp"table sigorta persist file "/usr/local/etc/fw/sigorta"table banka persist file "/usr/local/etc/fw/banka" Set Optimizations###set limit { frags 3, states 25000 }set loginterface $ext_ifscrub in all ###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ###Firewall Kuralları##block in allblock out allpass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state ###1.Adsl Uzerinden Gelisler##pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out quick on $ext_if proto { udp, icmp } from $ext_if to any keep statepass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any keep state ###2.Adsl Uzerinden Gelisler##pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state ###Localden Firewall Gelisler##pass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082 flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173 flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flags S/SApass out quick log on $int_if proto tcp from any to any port { 22, 25, 80, 110 } flags S/SA - Original Message - From: Huzeyfe Onal To: freebsd@lists
[FreeBSD] freebsd pf
Huzeyfe bey mrb, söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server a ulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum. saygilar veysi gumus ### # Macros ### lan_net = 10.0.0.0/24 lan2_net = 10.0.2.0/24 lan3_net = 10.0.3.0/24 lan4_net = 10.0.4.0/24 int_if = bge0 ext_if = vr0 ext_if2 = vr1 ext_gw1 = 192.168.100.213 ext_gw2 = 192.168.110.25 ## #Tanımlar ## table msn persist file /usr/local/etc/fw/msn table kamera persist file /usr/local/etc/fw/kamera table ftp persist file /usr/local/etc/fw/ftp table sigorta persist file /usr/local/etc/fw/sigorta table banka persist file /usr/local/etc/fw/banka ### # Set Optimizations ### set limit { frags 3, states 25000 } set loginterface $ext_if scrub in all ## #Nat Kuralları ## nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if from $lan2_net to any - ($ext_if) nat on $ext_if from $lan3_net to any - ($ext_if) nat on $ext_if from $lan4_net to any - ($ext_if) nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if2 from $lan2_net to any - ($ext_if2) nat on $ext_if2 from $lan3_net to any - ($ext_if2) nat on $ext_if2 from $lan4_net to any - ($ext_if2) rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080 ## #Firewall Kuralları ## block in all block out all pass in quick on lo0 all pass out quick on lo0 all pass in quick on $int_if all pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \ { ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \ proto { udp, icmp } from $lan_net to any keep state pass out quick on $int_if proto { udp, icmp } from any to any keep state pass out quick on $ext_if proto { udp, icmp } from any to any keep state pass out quick on $ext_if2 proto { udp, icmp } from any to any keep state pass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SA pass out quick log on $int_if proto tcp from kamera to any port = 18082 flags S/SA pass out quick log on $int_if proto tcp from sigorta to any port = 12173 flags S/SA pass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SA pass out quick log on $int_if proto tcp from ftp to any port = 21 flags S/SA pass out quick log on $int_if proto tcp from any to any port {22,25,80,110} flags S/SA pass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SA pass out quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SA pass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SA pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] freebsd pf
merhaba,sunucular icin yonlendirme(rdr) kuraliniz yok. smtp, pop, www servisler firewall uzerinde mi calisiyor? Yok firewall uzerinde calismiyorsa bu sunucular icin RDR kurallari yazmalisiniz.ek olarak yazdiginiz pass inquick on $int_if all kurali ondan sonra $int_if 'e gelecek tum kurallarin islevsiz kalmasini sagliyor. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Huzeyfe bey mrb,söylediginiz sekilde kurallari duzenledim fakat bu sefer makineye ping cekebiliyorum ama 22 25 110 80 portlari acmama ragmen server aulasamiyorum uygalamis oldugum kurallari tekrar asagiya yaziyorum.saygilarveysi gumus### # Macros###lan_net = 10.0.0.0/24lan2_net = 10.0.2.0/24lan3_net = 10.0.3.0/24lan4_net = 10.0.4.0/24int_if = bge0ext_if = vr0ext_if2 = vr1ext_gw1 = 192.168.100.213ext_gw2 = 192.168.110.25###Tanımlar## table msn persist file /usr/local/etc/fw/msntable kamera persist file /usr/local/etc/fw/kameratable ftp persist file /usr/local/etc/fw/ftptable sigorta persist file /usr/local/etc/fw/sigorta table banka persist file /usr/local/etc/fw/banka Set Optimizations###set limit { frags 3, states 25000 } set loginterface $ext_ifscrub in all###Nat Kuralları##nat on $ext_if from $lan_net to any - ($ext_if) nat on $ext_if from $lan2_net to any - ($ext_if)nat on $ext_if from $lan3_net to any - ($ext_if)nat on $ext_if from $lan4_net to any - ($ext_if)nat on $ext_if2 from $lan_net to any - ($ext_if2) nat on $ext_if2 from $lan2_net to any - ($ext_if2)nat on $ext_if2 from $lan3_net to any - ($ext_if2)nat on $ext_if2 from $lan4_net to any - ($ext_if2)rdr on $int_if proto tcp from any to any port 80 - 10.0.0.2 port 8080###Firewall Kuralları##block in allblock out allpass inquick on lo0 all pass out quick on lo0 allpass inquick on $int_if allpass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto tcp from $lan_net to any flags S/SA modulate state pass in on $int_if route-to \{ ($ext_if $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \proto { udp, icmp } from $lan_net to any keep statepass out quick on $int_if proto { udp, icmp } from any to any keep state pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass out quick log on $int_if proto tcp from msn to any port = 1863 flags S/SApass out quick log on $int_if proto tcp from kamera to any port = 18082flags S/SApass out quick log on $int_if proto tcp from sigorta to any port = 12173flags S/SApass out quick log on $int_if proto tcp from banka to any port = 443 flags S/SApass out quick log on $int_if proto tcp from ftp to any port = 21 flagsS/SApass out quick log on $int_if proto tcp from any to any port{22,25,80,110} flags S/SApass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED] http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar- Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member [EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe+90 505 5260064---
Re: [FreeBSD] freebsd pf
merhabalar,yazdiklarim sadece sizin yazdiklariniza cevap niteliginde oldugu icin konu tam anlasilmamis olabilir.Kisaca kural tablonuza baktigimizda ;disaridan ext_if2'e gelen smtp isteklerini kabul ediyorsunuz, buna cevap donecek paketler ici kural tablosuna bakalim; pass out quick on $ext_if proto { udp, icmp } from any to any keep statepass out quick on $ext_if2 proto { udp, icmp } from any to any keep statepass in quick log on $ext_if2 proto tcp from any to any port {25,80,110} flags S/SApass out quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SApass in quick log on $ext_if proto tcp from any to any port = 22 flags S/SApass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to any pass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to anyen ustteki kurada quick kelimesi kullandginiz icin alttaki out kurallarina bakilmiyor ve paketler diger arabirimden cikmaya calisiyor. Bunu netlestirmek icin tcpdump -i ext_if2(arabirim adi neyse) -tttnn tcp port 25 komutunu calistirirsiniz ve disaridan bir yerden baglanti kurmaya calisirsiniz gelen paketleri burada goruyor olmalisiniz. ayni komutu diger arabirim icin calistirirsaniz paketlerin o arabirimden cikmaya calistiklarini da goreblirsiniz. asagida yazdigim kurallar sadece 2. hattan gelen baglantilarin ayni hattan donmesi icin. Buna gore diger kurallar yazarsinizpass in quick log on $ext_if2 proto tcp from any to any port {25,80,110}flags S/SA pass out quick on $ext_if2 proto { udp, icmp } from $ext_if2 to any keep statepass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any keep state On 11/3/06, Veysi Gümüs [EMAIL PROTECTED] wrote: Huzeyfe bey mrb, öncelikle yardimlariniz için tesekur ederim. freebsd ve pf'ye yeni başladigim için anlatmaya çalistiginiz olayı biraz daha detaylı anlatmanız mümkünmü ? kural dosyasinda bahsetmis oldugumuz kurallar yazili oldugu halde calismiyor pass out on $ext_if route-to ($ext_if2 $ext_gw2)from $ext_if2 to anypass out on $ext_if2 route-to ($ext_if $ext_gw1) from $ext_if to any saygilar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, November 03, 2006 2:54 PM Subject: Re: [FreeBSD] freebsd pf Merhabalar,bahsettigim kural ic agdaki IP adresleri icin gecerli idi...Disaridan erisilememe problemi paketlerin diger hattan donmeye calismasindan kaynaklaniyor olabilir.Mesela disaridan ext2_if'ye gelen smtp paketleri geriye donerken default GWden gitmeye calisiyor, eger default GW ext2_if degilse calismamasi normal. Calismasi icin ext1_if'den gitmeye calisan cevaplari ext2_if'e yonlendirilmesi lazim. pass out quick on $ext_ifroute-to ($ext_if2 $ext_gw2)from $ext_if2 port 25 to any keep stateek olarak bu kural ailesi istediginiz isleri yapmak icin yeterli degil. Bastan olusturup adim adim yazmaniz daha iyi olur. On 11/3/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: evet smtp,pop,web,proxy firewall makine üzerinde çalışmakta ondan dolayırdr kuralı eklemedim söylediğiniz gibipass inquick on $int_if all kurallını iptal edip tekrar denedim fakatyinede ulaşamadım.saygılar-Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED] http://www.enderunix.org/huzeyfe+90 505 5260064--- -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe +90 505 5260064---
[FreeBSD] pf
Arkadalar mrb, paket filter yazlmyla örnek msnde [EMAIL PROTECTED] msn kullansn [EMAIL PROTECTED] bu kullanc kullanmasn gibi tanmlar yapabiliyormuyuz. Veysi
Re: [FreeBSD] pf
Selam, Hayir, maalesef standart packet filter yazilimlari ile Layer I, II, ve III (TCP/IP Layering) filtering yapilabilmektedir. Istediginizi, content filtering destegi olan firewall'lar ile yapabilirsiniz. On Thu, Oct 19, 2006 at 02:09:55PM +0300, Veysi G?m?s wrote: Arkadaslar mrb, paket filter yazilimiyla örnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi -- Murat http://www.enderunix.org/murat/ - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] pf
Merhaba, Authpf özelliğini kullanarak istenen kişilerin msn kullanmasına izin verbilirsiniz. devrim Perşembe 19 Ekim 2006 14:09 tarihinde, Veysi Gümüs şunları yazmıştı: Arkadaslar mrb, paket filter yazilimiyla örnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] pf
Merhaba,MSN'i IP ya da port bazli engelleyemedigimizi dusunursek authpf kullanarak kullanici bazli MSN kisitlama yapamayiz.ek olarak sizin istediginiz islem icerik filtrelemelerini de asan bir konu, zira kullanacaginiz sistemin gelen/giden msn paketinin icerigine bakarak MSN IDsini hesaplamasi lazim.. Bunu da anca Snort vs gibi bir sistemle basarabilirsiniz. On 10/19/06, Devrim Sipahi [EMAIL PROTECTED] wrote: Merhaba,Authpf özelliğini kullanarak istenen kişilerin msn kullanmasına izin verbilirsiniz.devrimPerşembe 19 Ekim 2006 14:09 tarihinde, Veysi Gümüs şunları yazmıştı: Arkadaslar mrb, paket filter yazilimiylaörnek msnde [EMAIL PROTECTED] msn kullansin [EMAIL PROTECTED] bu kullanici kullanmasin gibi tanimlar yapabiliyormuyuz. Veysi-Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNALEnderUnix Core Team Member[EMAIL PROTECTED]http://www.enderunix.org/huzeyfe +90 505 5260064---