Merhaba,
Spoof, ağınıza dahil olmayan kişilerin, dış ağdan (dış ağ dediğimize göre, en az 2 ağ olması gerek ortada, biri LAN , biri WAN bağlantınız olarak özetleyelim) iç ağınıza, sanki iç ağdan bir paket geliyormuşcasına paket göndermesidir.
Internet üzerinde iletişim Non-Routable olmayan IP adresleri ile yapılır. Ancak satın aldığımız hizmette, bize verilen IP sayısı genelde çok kısıtlıdır(8 genelde, belki 16).
Bunun nedeni zamanında IPV4 adreslerin bol keseden dağıtılmış olmasıdır (diyordu bir kaynak, hatırlamıyorum neresiydi. Mesela bizde 6000 adet var ama 300 kadarını kullanıyoruz :) ). Bunun sonucunda bizler ne yaparız? NAT.
NAT yapacak olan cihaz, 2 networkun arasına konur, birinden diğerine geçişte paketler üzerinde gerekli değişiklikleri yapar.
Sizin sisteminizde de bunu görüyoruz. rl0'a bir adet 212.. vs vs IP adresinizi ve alias olarak da 192.x.x.x iplerinizi atamissiniz. Bunu 2 ethernet karti ile yaparsaniz spoof'dan korunursunuz.
Şöyle bir mantık olabilir tabi,
block in quick on rl0 from 192.168.0.0/16 to 212.x.x.x/32
Ancak siz FIREWALL istiyorsanız, bu FIREWALL LAN ve WAN bağlantınızı fiziksel olarak ayırmalıdır. Router ve LAN'ın aynı fiziksel ağda bulunması ağınızdaki makinalara giden paketlerin firewall üzerinden hiç geçmemesini sağlayabilir.
İsterseniz ikinci bir ethernet kartı takın sisteminize, gerisine daha sonra yardımcı olalım. Bu şartlar altında sadece bir NAT cihazı yapmış olacaksınız, firewall degil.
Saygılar.
----- Original Message ----- From: "Abdullah ÖZTÜRK" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, October 28, 2004 10:53 AM
Subject: RE: [freebsd] IP FILTER PROBLEM
Bu durumda tek kart ile spoof onlenemez sonucu cikiyor.(router imizda boyle bir fonksiyon yok ise)
-----Original Message----- From: M.Sinan BEYRIBEY [mailto:[EMAIL PROTECTED] Sent: 28 October 2004 10:27 To: [EMAIL PROTECTED] Subject: Re: [freebsd] IP FILTER PROBLEM
Rica ederim, sevindim düzelmesine.
Sizin bu IP adresini kullanan bir LAN da oldugunuzu dusunursek, Spoof onlemi bir önceki gatewayde, ya da daha dogrusu nat yapan cihazınızda olmalı.
Eğer siz bu freebsd makinayı
Internet -> router -> freebsd -> lan
seklinde kullanmak istiyorsanız, 2 adet NIC kullanıp router tarafında spoof onlemelisiniz.
Cisco routerlarda non routable ip ler icin blocklama ozelligi vardi sanirim.
Bir sekilde aktive ediliyordu, bir ccna, ccnp ye sormak faydali olur.
Iyi calismalar.
--------------------------------------------------------------------- Duydunuz mu! Turkiye'nin ilk FreeBSD kitabi cikti. http://www.acikkod.com/freebsd.php
To unsubscribe, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org ve http://www.mail-archive.com/[EMAIL PROTECTED]
