Sal, 2005-01-18 tarihinde 15:00 +0200 saatinde, Serdar Aytekin yazdı: > Merhaba, > > > karışık bir debian kullanıyorum testing ağırlıklı, > > bilgisayarımda iki adet ethernet kartı var biri kablo modeme bağlı > > diğeri de 3 bilgisayarın bağlı olduğu hub a bağlı bu bilgisayarlara > > interneti paylaştırıyorum ve file server olarak kullanıyorum. Ayrıca > > birde dhcp server çalışıyor. normalde bağlantı paylaşımını > > iptables -t nat -A POSTROUTING -j MASQUERADE > > komutuyla yapıyordum. Fakat yaşadığım bir kaç sorundan dolayı > > bilgisayardan iptables ı kaldırmak istiyorum yani firewall kullanmak > > istemiyorum bütün portlarım açık olacak iptables ve ipmasq paketlerini > > sildiğim zaman /proc/sys/net/ipv4/ip_forward ve ip_dynaddr değerleri 1 > > olmasına rağmen bilgisayarlar ne internete çıkabiliyorlar ne fileserver > > a bağlanabiliyorlar ne de dhcp den ip alabiliyorlar. iptables olmadan bu > > servisleri hatta bütün portları açmanın bir yolu var mı? yada iptables > > la bütün erişimleri açacak bir kural girebilir miyim ? google da baya > > Diger makinelerin nete ulasabilmesi icin illaki masquerade etmeniz > gerekir. Zaten bu kural sizin portlariniz ile ilgili bir sinirlamada > yapmaz. Aslinda iptables kurallarinda su su portlari kapat gibi seyler > dememisseniz zaten bu tur sinirlamalar olmayacaktir. > > Mevcut kurallar varsa onlarida asagidaki sekilde flush edebilirsiniz > (reboot etmeden). > > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -t nat -F POSTROUTING > > Sonra "iptables -t nat -A POSTROUTING -j MASQUERADE" ile yine diger > bilgisayarlar icin paylasimi aktif etmeyi unutmayin. > > Kisaca acilista MASQUERADE satirinin aktif olmasi istediginiz seyin olmasi > icin yeterli. > > > bir arama yaptım fakat bütün portları açacak kuralı bulamadım genelde > > herkes bütün portları kapamaya çalışıyor :) kısacası bilgisayarımda > > engellenen hiç bir port ya da makina vs olmayacak. internet te > > paylaşılacak benim bilgisayarımdaki dosya sunucusuna da ulaşılacak ve > > dhcp den ip dağıtılabilecek. > > Bütün portların açık olmasını istiyorum çünkü kardeşimin ve babamın p2p > > sevdasıyla uğraşmaktan gına geldi öyle güvenliğin hiç önemli olmadığı > > bir ağ bu sonuçta ayda yılda birisi sisteme girip çökertse bana daha az > > iş çıkarır. > > Ne gibi sorunlar oluyor mesela? Kabloneti linux ile ic aga dagitmak icin > iki eth karti kullanip Masq. etmekten baska care yok. Bu durumda da > icerideki bilgisayarlarin portlarina ulasmak isteyen uygulamalar sorun > olabilir. Ozellikle ses iletisimi ile ilgili uygulamalar problem > cikarabilir. P2P ile ilgili sorunlara yine iptables ile, uygulamanin > ihtiyac duydugu portlari ilgili bilgisayara yonlendirerek cozum > bulabilirsiniz. > > Mesela sorun P2P programlarinda Low-Id almak ise, birinci bilgisayar icin > tcp 1100, udp 1200 (portlari rastgele sectim) nolu portlari disaridan > icerideki bilgisayarin ipsine yonlendirin. Icerideki bilgisayardaki p2p > programina da o portlar uzerinden cik deyin.
> Ayni sekilde ikinci bilgisayar icin tcp 1300 udp 1400 gibi portlari > yonlendirin benzer ayarlari onda da yapin. > Bu ayarlari dediğiniz gibi yapıyorum fakat pratikte soyle bir sorun ortaya çıkıyor mesela bir server 4661 i kullanıyor bir tanes 3354 kullanıyor ve low_id için bunların hepsini teker teker yönlendirmeniz gerekiyor bu da inanılmaz angarya bir iş çıkarıyor hadi kardeşime hadi len diyebiliyorum da babama diyemiyorum ne yazık ki :) bunun dışında kardeşim geliyor abi netten oyun oynayamıyorum. ondan sonra otur her oyun için bir kural bul bu tarz vs vs sorunlar yerine ay da yılda bir 14-15 yaşında veletin sisteme girmesiyle uğraşmak çok daha mantıklı. o yüzden bunu iptal etmeyi düşündüm. > Tabi sorun farkli ise bilemiyorum. > > -- > Saygilarimla, > Serdar Aytekin > >
