Merhabalar, kullandiginiz guvenlik duvari(burada PF oluyor) durum korumali calissada bunu default olarak yapmiyor.. Yani pass in, pass out dediginizde o paketin durumunu tutmuyor. Yazacaginiz kurallara keep state eklerseniz yazdiginiz bir kural icin durum tutturmus olursunuz ki bu da ayni paketin donusu icin ek paket yazilmamasi icindir.
User<---out(Fw) in<-----Internet User--->in (Fw) out----->Internet PF'de kontrolun tamamen sizde olmasi icin yazacaginiz kurallari arabirimlere gore yazarsiniz. Yani bir paket geldiginde once dis bacaktan bir giris yapacak sonra ic bacaktan cikis yapacak. Guvenlik duvari politikaniza gore ic bacaktan cikislara tamamen izin verebilirsiniz boylece ek kurallar yazmamis olursunuz. ek not: disaridan gelen paket dis bacaka "in" kurali ile gelir gozukur, ic bacaktan "out" kurali ile cikar. Disaridan gelen paketin ic bacakta in seklinde gozukmez. On 12/21/06, Varol KÜÇÜKKARALAR <[EMAIL PROTECTED]> wrote:
Selamlar benim bir sorundan çok öğrenmek istediğim bir şey var. firewall'da (pf) "pass in " satırı ile ethernet kartına gelen, "pass out" ile ethernet kartından çıkan paketler için kurallar yazıyoruz. 1. Sorum : "pass in" ile zaten kontrol edilen ve kural oluşturulan yönlendirilen vb. işlemler yapılan paket(ler)in "pass out" ile niçin kontrol etmeye, kural oluşturmaya gerek var. yani pass out 'a gerek varmı.(kusra bakmayın biraz fazla acemice bir soru olabilir) bide 2 ağkartı olan bir makinede dışardan dış ayağa(dis_ayk) web server için bir istek geldi. Dolayısı ile bu glen paketleri kontrol için pass in ile bir kural yazdık. Sonra bir kuralda aynı ayak için (dis_ayk) bir pass out yazmamız gerekiyor mu? gerekiyorsa onuda yazdık. Sonra bu paket iç ayağa(ic_ayk) geldi. İc ayak için tekrar bir "pass in " ve yine ic_ayk'tan çıkış için bir pass out satırı yazmak mı gerekiyor. yani içerideki makinaya ulaşmak için 2 "pass in" 2 "pass out" olmak üzere 4 satır kural tanımlaması yapmak mı gerekiyor. umarım merak ettiğimi anlatabilmişimdir. iyi çalışmalar
-- Huzeyfe ÖNAL EnderUnix Core Team Member [EMAIL PROTECTED] http://www.enderunix.org/huzeyfe +90 555 255 4593 Ag guvenligi listesine uye oldunuz mu? http://www.huzeyfe.net/netsec.html ---