Selamlar,
ipl modulunu her acilista tekrar tekrar yuklememek ve her acilista
kurallari elle yuklememek icin
/etc/rc.conf
dosyasin
ipfilter_enable="YES"
satirini eklemeniz yeterli. Ayni sekilde nat icin ise,
ipnat_enable="YES"
satirini eklemeniz gerekiyor. RC betikleri, ipl modulunu otomatik olarak
acilista yukleyecektir.
# ipfw add
komutunu kullararak eklediginiz kurallar run-time da gecerlidir. Yani
sadece kural olarak bellekte tutulur ve herhangi bir
dosyaya kaydedilmez. Bu yuzden eklemek istediginiz kurallari,
bahsettiginiz ipfw.rules dosyaniza da eklemeniz gerekiyor ki
bir sonraki acilista tekrar kural calissin.
IPF ile nat yapmak icin ornek olarak,
Ic network: 192.168.1.0/24 agi olsun.
Internet tarafindaki IP niz: x.y.z.t ve internete bagli ethernet
arayunuzunu fxp0 olsun.
map fxp0 from 192.168.1.0/24 to any -> x.y.z.t/32
seklinde uygun kurali yazdiktan sonra /etc/ipnat.rules dosyasina kaydedin.
daha sonra
# ipnat -FC -f /etc/ipnat.rules
komutunuzu verdiginizde, NAT calismaya baslayacaktir.
Burada dikkat edilmesi gereken, kurali yazdiginin ethernet arayuzunun,
internete cikis bacagi olmasidir.
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
satirlarini, /etc/rc.conf dosyaniza eklerseniz, ipnat.rules dosyasina
yazdigini kurallar her acilista otomatik olarak
yuklenecek ve calistirilacaktir.
block in quick from any to 81.25.34.4 <http://81.25.34.4>
kurali ile bu hedef adresi bu IP olan tum paketleri durdurabilirsiniz
(ipf.rules dosyasina yazmalisiniz).
Yonlendirme icin ise paketlerin geldigi bacak fxp0, dis IP niz x.y.z.t olsun
rdr fxp0 x.y.z.t port 3389 -> 10.0.0.30 port 3389 tcp
kurali ile disaridan sizin IP nize gelen tcp 3389 isteklerini, ic
aginizdaki 10.0.0.30 IP li sunucuya yonlendirebilirsiniz.
IPF ve ipnat kurallarinin nasil olusturuldugunuz, ipf.conf ve ipnat.conf
un man sayfalarinda detayli olarak bulabilirsiniz.
Ek olarak, ipfw ile ipf birbirinden tamamen farkli guvenluk duvari
cozumudur.
ipfw'i cok fazla kullanmadigim icin kural yazilislarini cok detayli
bilmiyor.
IPFW kullanmak istiyorsaniz, daha once EnderUNIX ekimizden Ozkan KIRIK
in yaptigi netustad
yazilimini kullanmanizi tavsiye ederim. Web arayuzunden, tamamen gorsel
bir sekilde guvenlik duvarinizi
yapilandirabilir, adres donusumu (nat) ve yon degistirme (rdr)
islemlerini kolayca yapabilirsiniz.
http://www.enderunix.org/netustad/ adresinden netUstad yazilimina
ulasabilirsiniz.
Iyi calismalar dilerim.
N. Ersen SISECI
http://www.enderunix.org
Sinan yazmış:
Ersen bey öncelikle yardımınız için cidden çok teşekkür ederim
size beni ne kadar aydınlattı tahmin edemezsiniz, kafama takilan bir
iki soru oldu hocam bunlardan bitanesi, "[EMAIL PROTECTED] /]# kldload
ipl" bu ipl modulunu her seferinde yüklememek için ne yapmak
gerekiyor kernel conf un içersine birşeyler ilave edip derlemek mi
gerekiyor ikinci sorum hocam , ben ipfw kullanıyorum ve
/etc/ipfw.rules die bir dosya oluşturdum aşağıdada gördüğünüz üzere
oluşturduğum bu dosyaya kayıt etmiyor girdiğim bu access listi bunu
nasil yaparim birde hocam ipfw ile nat nasil yaparim ipnat ı
kullanmadan örnek bir komut verebilirmisiniz mesela 3389 porttan gelen
istekleri 10.0.0.30 <http://10.0.0.30> ip sine nasil yönlendiririm,
son sorum da şu hocam örnek "81.25.34.4 <http://81.25.34.4>" die bir
ip adresi var bu ipye ne içerden erişimi ne bu ip den dişardan erişimi
kompile nasil engellerim yani bu ip yi ipfw ile nasil blocke ederim
bunla ilgili de örnek bir komut gösterirseniz çok sevinirim, şimdiden
çok teşekkür ederim hocam...
matrix# ipfw add allow tcp from 10.0.0.0/24 <http://10.0.0.0/24> to
any 80 keep-state
00100 allow tcp from 10.0.0.0/24 <http://10.0.0.0/24> to any dst-port
80 keep-state
matrix# ipfw list
00100 allow tcp from 10.0.0.0/24 <http://10.0.0.0/24> to any dst-port
80 keep-state
65535 allow ip from any to any
matrix# cat /etc/ipfw.rules
matrix#
---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/catalog/freebsd
