Düzgün çalışıyorsa belirtir misin? Listede başkalarının da işine yarabilir.
2011/4/1 yaşar tunçez <[email protected]>: > Teşekkürler. > > 01 Nisan 2011 13:31 tarihinde emrecan ural <[email protected]> yazdı: >> >> Ekteki dosya gözümden kaçmış. Aşağıdaki scripti kullanabilirsin. Örnek >> olarak bu kodları rc.firewall adlı bir dosyaya yazdıysan; >> chmod +x rc.firewall >> Başlatmak için: ./rc.firewall start >> Durdurmak için: ./rc.firewall stop >> Durumu kontrolü: ./rc.firewall status >> Restart: ./rc.firewall restart >> >> Notlar: >> - Bunu yazdıktan sonra test etmedim, kullanırken dikkat. >> - Bol miktarda log üretecektir, gereksiz olanları normal ACCEPT veya >> DROP ile loglamayabilirsin. >> >> >> #!/bin/sh >> IPTABLES="/sbin/iptables" >> case "$1" in >> stop) >> echo -ne "Shutting down firewall...\n" >> $IPTABLES -F >> $IPTABLES -F -t mangle >> $IPTABLES -F -t nat >> $IPTABLES -X >> $IPTABLES -X -t mangle >> $IPTABLES -X -t nat >> $IPTABLES -P INPUT ACCEPT >> $IPTABLES -P OUTPUT ACCEPT >> $IPTABLES -P FORWARD ACCEPT >> echo -ne "Done!\n\n" >> ;; >> status) >> echo -ne "Firewall Status:\n" >> echo -ne $"Table: filter\n" >> iptables --list -n >> echo -ne $"Table: nat\n" >> iptables -t nat --list -n >> echo -ne $"Table: mangle\n" >> iptables -t mangle --list -n >> ;; >> restart|reload) >> $0 stop >> $0 start >> ;; >> start) >> echo -ne "Starting firewall...\n" >> >> #Paket forwarding icin >> echo 1 > /proc/sys/net/ipv4/ip_forward >> >> $IPTABLES -P INPUT DROP >> $IPTABLES -P OUTPUT DROP >> $IPTABLES -P FORWARD DROP >> >> #Bir kural bir chaine atanirsa paketler loglandiktan sonra kabul >> edilir. >> $IPTABLES -N ACCEPTLOG >> $IPTABLES -A ACCEPTLOG -j LOG --log-prefix '[IPTABLES ACCEPT] : ' >> $IPTABLES -A ACCEPTLOG -j ACCEPT >> >> #Bir kural bir chaine atanirsa paketler loglandiktan sonra reddedilir. >> $IPTABLES -N DROPLOG >> $IPTABLES -A DROPLOG -j LOG --log-prefix '[IPTABLES DROP] : ' >> $IPTABLES -A DROPLOG -j DROP >> >> #Lokal interface trafiğini serbest birakalim (Bunlari loglamaya da >> gerek yok) >> $IPTABLES -A INPUT -i lo -j ACCEPT >> $IPTABLES -A OUTPUT -o lo -j ACCEPT >> >> #INPUT kurallari >> $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPTLOG #Dis >> interface SSH erisimi >> $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPTLOG #Ic >> interface SSH erisimi >> $IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPTLOG >> #Acilan baglantilarin geri donen cevaplari icin >> $IPTABLES -A INPUT -m state --state RELATED -j ACCEPTLOG #Acilan >> baglantilarin geri donen cevaplari icin >> $IPTABLES -A INPUT -j DROPLOG #Geri kalan hersey icin LOG ve DROP >> >> #OUTPUT kurallari (Makinanin kendisinin iceriye ve disariya erisimi >> icin) >> $IPTABLES -A OUTPUT -o eth0 -j ACCEPTLOG >> $IPTABLES -A OUTPUT -o eth1 -j ACCEPTLOG >> >> #FORWARD kurallari >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.10 -o eth0 -d >> 192.168.50.2 -p tcp -m multiport --dport 7001,7002 -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth1 -s 192.168.40.20 -o eth0 -d >> 192.168.50.2 -p tcp -m multiport --dport 7001,7002 -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.10 -j DROPLOG >> $IPTABLES -A FORWARD -i eth1 -s 192.168.40.20 -j DROPLOG >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.0/24 -o eth0 -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth0 -o eth1 -d 192.168.10.0/24 -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth0 -o eth1 -d 192.168.40.20 -j ACCEPTLOG >> >> #Acilan baglantilarin geri donen cevaplari icin >> $IPTABLES -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth0 -m state --state RELATED -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPTLOG >> $IPTABLES -A FORWARD -i eth1 -m state --state RELATED -j ACCEPTLOG >> >> $IPTABLES -A FORWARD -j DROPLOG #Geri kalan hersey icin LOG ve DROP >> echo -ne "Done!\n\n" >> ;; >> *) >> echo -ne "\nUsage: firewall (start|stop|restart|status)\n\n" >> exit 1 >> esac >> exit 0 >> >> >> >> 2011/4/1 yaşar tunçez <[email protected]>: >> > Merhaba, >> > Ekteki şekilde belirtmiştim ama ; >> > linux router üzerindeki interface'ler >> > eth0: 10.10.10.1 ---- > dış network >> > eth1: 192.168.10.2 ---- > iç network >> > 192.168.10.X ---- > bu network dış network'e herhangi bir kurala >> > takılmadan >> > çıkacak, ancak >> > 192.168.10.10 --- > ip ve bunun arkasındaki 192.168.40.20 ip'si sadece >> > dış >> > networkteki 192.168.50.2 ip'li sunucunun 7001 ve 7002 portlarına >> > erişebilecek. Bunu aslında dış network diye tarbir ettiğim yerde bir fw >> > marifetiyle yapmak daha mantıklı ama böyle bir imkan olmadığı için ben >> > burada sadece bu istekleri dış networke aktararak sorunu çözmeyi >> > amaçladım. >> > >> > 01 Nisan 2011 11:48 tarihinde emrecan ural <[email protected]> >> > yazdı: >> >> >> >> Merhaba, >> >> >> >> Gözüktüğü kadarıyla kurallarda bazı karışıklıklar olabilir. Net bir >> >> şekilde durumu anlamak için, Linux sunucu üzerindeki network >> >> interfacelerini ve bunların üzerindeki IP adreslerini belirtir misin? >> >> Ayrıca hangi network hangi interface arkasında onu da belirtmen >> >> gerekiyor. Log için bir logging chaini oluşturup herhangi bir paketi >> >> drop veya accept etmeden önce bu chainden geçirmen lazım. Yukarıdaki >> >> bilgileriverdikten sonra logging ile ilgili de gerekli satırları >> >> yazabilirim. >> >> >> >> 2011/3/31 yaşar tunçez <[email protected]>: >> >> > Merhaba, >> >> > >> >> > router olarak görev yapan bir linux makinede iptables ile >> >> > sınırlamalar >> >> > yapmak istiyorum. Ekteki şekilde görüldüğü gibi 192.168.10.X ağı >> >> > router >> >> > olarak görev yapan linux makine üzerinden 192.168.50.2 ve buradaki >> >> > diğer >> >> > netwoklere erişecek. 192.168.40.20 sunucusu ise örneğin router >> >> > 192.168.10.10 >> >> > üzerinden router'a router'dan da 192.168.50.2 sunucusunun iki farklı >> >> > portuna >> >> > (örneğin tcp 7001 ve 7002 olsun) bağlanacak. 192.168.50.2 ve buradaki >> >> > network(ler)den 192.168.10.X ve 192.168.40.20 ye erişimde herhangi >> >> > bir >> >> > kısıtlama olmayacak. >> >> > >> >> > Bununla ilgili kuralları şu şekilde yazdım. Herhangi bir eksiklik ya >> >> > da >> >> > hata >> >> > var mı acaba? >> >> > >> >> > #!/bin/sh >> >> > iptables -t nat -F >> >> > iptables -t nat -X >> >> > iptables -F >> >> > iptables -X >> >> > iptables -P FORWARD DROP >> >> > iptables -A FORWARD -ieth0 -j ACCEPT >> >> > iptables -A FORWARD -i eth1 -s 192.168.10.10 -p tcp -m multiport >> >> > --dport >> >> > 7001,7002 -o eth0 -j ACCEPT >> >> > iptables -A FORWARD -i eth1 -s 192.168.40.20 -p tcp -m multiport >> >> > --dport >> >> > 7001,7002 -o eth0 -j ACCEPT >> >> > iptables -A FORWARD -i eth1 -s !192.168.10.10 -o eth0 -j ACCEPT >> >> > iptables -P INPUT DROP >> >> > iptables -A INPUT -i lo -j ACCEPT >> >> > iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT >> >> > >> >> > Son olarak kurallara takılan/geçen paketleri nasıl izleyebilirim? >> >> > >> >> > >> >> > _______________________________________________ >> >> > Linux-guvenlik mailing list >> >> > [email protected] >> >> > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >> >> > Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> > >> >> > >> >> _______________________________________________ >> >> Linux-guvenlik mailing list >> >> [email protected] >> >> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >> >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> > >> > >> > _______________________________________________ >> > Linux-guvenlik mailing list >> > [email protected] >> > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >> > Liste kurallari: http://liste.linux.org.tr/kurallar.php >> > >> > >> _______________________________________________ >> Linux-guvenlik mailing list >> [email protected] >> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >> Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
