RE: [freebsd] IP FILTER PROBLEM

[Abdullah ÖZTÜRK]

Veriginiz bilgiler icin tsk ederim ,

Dediginiz gibi ikinci karti taktim ama asagida ki gibi bir mesaj aldim ve
consolda surekli akip gidiyor

kernel: arp: ip_router is on xl0 but got reply from [MAC] on rl1

Saygilar 
abdullah


    

-----Original Message-----
From: M.Sinan BEYRIBEY [mailto:[EMAIL PROTECTED] 
Sent: 28 October 2004 12:33
To: [EMAIL PROTECTED]
Subject: Re: [freebsd] IP FILTER PROBLEM

Merhaba,

Spoof, ağınıza dahil olmayan kişilerin, dış ağdan (dış ağ dediğimize göre,
en az 2 ağ olması gerek ortada, biri LAN , biri WAN bağlantınız olarak
özetleyelim) iç ağınıza, sanki iç ağdan bir paket geliyormuşcasına paket
göndermesidir.

Internet üzerinde iletişim Non-Routable olmayan IP adresleri ile yapılır. 
Ancak satın aldığımız hizmette, bize verilen IP sayısı genelde çok
kısıtlıdır(8 genelde, belki 16).

Bunun nedeni zamanında IPV4 adreslerin bol keseden dağıtılmış olmasıdır
(diyordu bir kaynak, hatırlamıyorum neresiydi. Mesela bizde 6000 adet var
ama 300 kadarını kullanıyoruz :) ). Bunun sonucunda bizler ne yaparız? NAT.

NAT yapacak olan cihaz, 2 networkun arasına konur, birinden diğerine geçişte
paketler üzerinde gerekli değişiklikleri yapar.

Sizin sisteminizde de bunu görüyoruz. rl0'a bir adet 212.. vs vs IP
adresinizi ve alias olarak da 192.x.x.x iplerinizi atamissiniz. Bunu 2
ethernet karti ile yaparsaniz spoof'dan korunursunuz.

Şöyle bir mantık olabilir tabi,

block in quick on rl0 from 192.168.0.0/16 to 212.x.x.x/32

Ancak siz FIREWALL istiyorsanız, bu FIREWALL LAN ve WAN bağlantınızı
fiziksel olarak ayırmalıdır. Router ve LAN'ın aynı fiziksel ağda bulunması
ağınızdaki makinalara giden paketlerin firewall üzerinden hiç geçmemesini
sağlayabilir.

İsterseniz ikinci bir ethernet kartı takın sisteminize, gerisine daha sonra
yardımcı olalım. Bu şartlar altında sadece bir NAT cihazı yapmış
olacaksınız, firewall degil.

Saygılar.

----- Original Message -----
From: "Abdullah ÖZTÜRK" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Thursday, October 28, 2004 10:53 AM
Subject: RE: [freebsd] IP FILTER PROBLEM




Bu durumda tek kart ile spoof  onlenemez sonucu cikiyor.(router imizda boyle
bir fonksiyon yok ise)


-----Original Message-----
From: M.Sinan BEYRIBEY [mailto:[EMAIL PROTECTED]
Sent: 28 October 2004 10:27
To: [EMAIL PROTECTED]
Subject: Re: [freebsd] IP FILTER PROBLEM

Rica ederim, sevindim düzelmesine.

Sizin bu IP adresini kullanan bir LAN da oldugunuzu dusunursek, Spoof onlemi
bir önceki gatewayde, ya da daha dogrusu nat yapan cihazınızda olmalı.

Eğer siz bu freebsd makinayı

Internet -> router -> freebsd -> lan

seklinde kullanmak istiyorsanız, 2 adet NIC kullanıp router tarafında spoof
onlemelisiniz.

Cisco routerlarda non routable ip ler icin blocklama ozelligi vardi sanirim.

Bir sekilde aktive ediliyordu, bir ccna, ccnp ye sormak faydali olur.

Iyi calismalar.







---------------------------------------------------------------------
Duydunuz mu! Turkiye'nin ilk FreeBSD kitabi cikti.
http://www.acikkod.com/freebsd.php

To unsubscribe, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org ve
http://www.mail-archive.com/[EMAIL PROTECTED]







---------------------------------------------------------------------
Duydunuz mu! Turkiye'nin ilk FreeBSD kitabi cikti.
http://www.acikkod.com/freebsd.php

To unsubscribe, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org ve http://www.mail-archive.com/[EMAIL 
PROTECTED]