Merhaba, Her şey yolunda görünüyor.
Çok fazla log üretiyor. Log'ları kapatacağım. $IPTABLES -A DROPLOG -j LOG --log-prefix '[IPTABLES DROP] : ' $IPTABLES -A ACCEPTLOG -j LOG --log-prefix '[IPTABLES ACCEPT] : ' satırlarını komment'lemem yeterli olacak mı? Teşekkürler. 01 Nisan 2011 16:49 tarihinde emrecan ural <[email protected]> yazdı: > Düzgün çalışıyorsa belirtir misin? Listede başkalarının da işine yarabilir. > > > 2011/4/1 yaşar tunçez <[email protected]>: > > Teşekkürler. > > > > 01 Nisan 2011 13:31 tarihinde emrecan ural <[email protected]> > yazdı: > >> > >> Ekteki dosya gözümden kaçmış. Aşağıdaki scripti kullanabilirsin. Örnek > >> olarak bu kodları rc.firewall adlı bir dosyaya yazdıysan; > >> chmod +x rc.firewall > >> Başlatmak için: ./rc.firewall start > >> Durdurmak için: ./rc.firewall stop > >> Durumu kontrolü: ./rc.firewall status > >> Restart: ./rc.firewall restart > >> > >> Notlar: > >> - Bunu yazdıktan sonra test etmedim, kullanırken dikkat. > >> - Bol miktarda log üretecektir, gereksiz olanları normal ACCEPT veya > >> DROP ile loglamayabilirsin. > >> > >> > >> #!/bin/sh > >> IPTABLES="/sbin/iptables" > >> case "$1" in > >> stop) > >> echo -ne "Shutting down firewall...\n" > >> $IPTABLES -F > >> $IPTABLES -F -t mangle > >> $IPTABLES -F -t nat > >> $IPTABLES -X > >> $IPTABLES -X -t mangle > >> $IPTABLES -X -t nat > >> $IPTABLES -P INPUT ACCEPT > >> $IPTABLES -P OUTPUT ACCEPT > >> $IPTABLES -P FORWARD ACCEPT > >> echo -ne "Done!\n\n" > >> ;; > >> status) > >> echo -ne "Firewall Status:\n" > >> echo -ne $"Table: filter\n" > >> iptables --list -n > >> echo -ne $"Table: nat\n" > >> iptables -t nat --list -n > >> echo -ne $"Table: mangle\n" > >> iptables -t mangle --list -n > >> ;; > >> restart|reload) > >> $0 stop > >> $0 start > >> ;; > >> start) > >> echo -ne "Starting firewall...\n" > >> > >> #Paket forwarding icin > >> echo 1 > /proc/sys/net/ipv4/ip_forward > >> > >> $IPTABLES -P INPUT DROP > >> $IPTABLES -P OUTPUT DROP > >> $IPTABLES -P FORWARD DROP > >> > >> #Bir kural bir chaine atanirsa paketler loglandiktan sonra kabul > >> edilir. > >> $IPTABLES -N ACCEPTLOG > >> $IPTABLES -A ACCEPTLOG -j LOG --log-prefix '[IPTABLES ACCEPT] : ' > >> $IPTABLES -A ACCEPTLOG -j ACCEPT > >> > >> #Bir kural bir chaine atanirsa paketler loglandiktan sonra > reddedilir. > >> $IPTABLES -N DROPLOG > >> $IPTABLES -A DROPLOG -j LOG --log-prefix '[IPTABLES DROP] : ' > >> $IPTABLES -A DROPLOG -j DROP > >> > >> #Lokal interface trafiğini serbest birakalim (Bunlari loglamaya da > >> gerek yok) > >> $IPTABLES -A INPUT -i lo -j ACCEPT > >> $IPTABLES -A OUTPUT -o lo -j ACCEPT > >> > >> #INPUT kurallari > >> $IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPTLOG #Dis > >> interface SSH erisimi > >> $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPTLOG #Ic > >> interface SSH erisimi > >> $IPTABLES -A INPUT -m state --state ESTABLISHED -j ACCEPTLOG > >> #Acilan baglantilarin geri donen cevaplari icin > >> $IPTABLES -A INPUT -m state --state RELATED -j ACCEPTLOG #Acilan > >> baglantilarin geri donen cevaplari icin > >> $IPTABLES -A INPUT -j DROPLOG #Geri kalan hersey icin LOG ve DROP > >> > >> #OUTPUT kurallari (Makinanin kendisinin iceriye ve disariya erisimi > >> icin) > >> $IPTABLES -A OUTPUT -o eth0 -j ACCEPTLOG > >> $IPTABLES -A OUTPUT -o eth1 -j ACCEPTLOG > >> > >> #FORWARD kurallari > >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.10 -o eth0 -d > >> 192.168.50.2 -p tcp -m multiport --dport 7001,7002 -j ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth1 -s 192.168.40.20 -o eth0 -d > >> 192.168.50.2 -p tcp -m multiport --dport 7001,7002 -j ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.10 -j DROPLOG > >> $IPTABLES -A FORWARD -i eth1 -s 192.168.40.20 -j DROPLOG > >> $IPTABLES -A FORWARD -i eth1 -s 192.168.10.0/24 -o eth0 -j ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth0 -o eth1 -d 192.168.10.0/24 -j ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth0 -o eth1 -d 192.168.40.20 -j ACCEPTLOG > >> > >> #Acilan baglantilarin geri donen cevaplari icin > >> $IPTABLES -A FORWARD -i eth0 -m state --state ESTABLISHED -j > ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth0 -m state --state RELATED -j ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth1 -m state --state ESTABLISHED -j > ACCEPTLOG > >> $IPTABLES -A FORWARD -i eth1 -m state --state RELATED -j ACCEPTLOG > >> > >> $IPTABLES -A FORWARD -j DROPLOG #Geri kalan hersey icin LOG ve DROP > >> echo -ne "Done!\n\n" > >> ;; > >> *) > >> echo -ne "\nUsage: firewall (start|stop|restart|status)\n\n" > >> exit 1 > >> esac > >> exit 0 > >> > >> > >> > >> 2011/4/1 yaşar tunçez <[email protected]>: > >> > Merhaba, > >> > Ekteki şekilde belirtmiştim ama ; > >> > linux router üzerindeki interface'ler > >> > eth0: 10.10.10.1 ---- > dış network > >> > eth1: 192.168.10.2 ---- > iç network > >> > 192.168.10.X ---- > bu network dış network'e herhangi bir kurala > >> > takılmadan > >> > çıkacak, ancak > >> > 192.168.10.10 --- > ip ve bunun arkasındaki 192.168.40.20 ip'si sadece > >> > dış > >> > networkteki 192.168.50.2 ip'li sunucunun 7001 ve 7002 portlarına > >> > erişebilecek. Bunu aslında dış network diye tarbir ettiğim yerde bir > fw > >> > marifetiyle yapmak daha mantıklı ama böyle bir imkan olmadığı için ben > >> > burada sadece bu istekleri dış networke aktararak sorunu çözmeyi > >> > amaçladım. > >> > > >> > 01 Nisan 2011 11:48 tarihinde emrecan ural <[email protected]> > >> > yazdı: > >> >> > >> >> Merhaba, > >> >> > >> >> Gözüktüğü kadarıyla kurallarda bazı karışıklıklar olabilir. Net bir > >> >> şekilde durumu anlamak için, Linux sunucu üzerindeki network > >> >> interfacelerini ve bunların üzerindeki IP adreslerini belirtir misin? > >> >> Ayrıca hangi network hangi interface arkasında onu da belirtmen > >> >> gerekiyor. Log için bir logging chaini oluşturup herhangi bir paketi > >> >> drop veya accept etmeden önce bu chainden geçirmen lazım. Yukarıdaki > >> >> bilgileriverdikten sonra logging ile ilgili de gerekli satırları > >> >> yazabilirim. > >> >> > >> >> 2011/3/31 yaşar tunçez <[email protected]>: > >> >> > Merhaba, > >> >> > > >> >> > router olarak görev yapan bir linux makinede iptables ile > >> >> > sınırlamalar > >> >> > yapmak istiyorum. Ekteki şekilde görüldüğü gibi 192.168.10.X ağı > >> >> > router > >> >> > olarak görev yapan linux makine üzerinden 192.168.50.2 ve buradaki > >> >> > diğer > >> >> > netwoklere erişecek. 192.168.40.20 sunucusu ise örneğin router > >> >> > 192.168.10.10 > >> >> > üzerinden router'a router'dan da 192.168.50.2 sunucusunun iki > farklı > >> >> > portuna > >> >> > (örneğin tcp 7001 ve 7002 olsun) bağlanacak. 192.168.50.2 ve > buradaki > >> >> > network(ler)den 192.168.10.X ve 192.168.40.20 ye erişimde herhangi > >> >> > bir > >> >> > kısıtlama olmayacak. > >> >> > > >> >> > Bununla ilgili kuralları şu şekilde yazdım. Herhangi bir eksiklik > ya > >> >> > da > >> >> > hata > >> >> > var mı acaba? > >> >> > > >> >> > #!/bin/sh > >> >> > iptables -t nat -F > >> >> > iptables -t nat -X > >> >> > iptables -F > >> >> > iptables -X > >> >> > iptables -P FORWARD DROP > >> >> > iptables -A FORWARD -ieth0 -j ACCEPT > >> >> > iptables -A FORWARD -i eth1 -s 192.168.10.10 -p tcp -m multiport > >> >> > --dport > >> >> > 7001,7002 -o eth0 -j ACCEPT > >> >> > iptables -A FORWARD -i eth1 -s 192.168.40.20 -p tcp -m multiport > >> >> > --dport > >> >> > 7001,7002 -o eth0 -j ACCEPT > >> >> > iptables -A FORWARD -i eth1 -s !192.168.10.10 -o eth0 -j ACCEPT > >> >> > iptables -P INPUT DROP > >> >> > iptables -A INPUT -i lo -j ACCEPT > >> >> > iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT > >> >> > > >> >> > Son olarak kurallara takılan/geçen paketleri nasıl izleyebilirim? > >> >> > > >> >> > > >> >> > _______________________________________________ > >> >> > Linux-guvenlik mailing list > >> >> > [email protected] > >> >> > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > >> >> > Liste kurallari: http://liste.linux.org.tr/kurallar.php > >> >> > > >> >> > > >> >> _______________________________________________ > >> >> Linux-guvenlik mailing list > >> >> [email protected] > >> >> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > >> >> Liste kurallari: http://liste.linux.org.tr/kurallar.php > >> > > >> > > >> > _______________________________________________ > >> > Linux-guvenlik mailing list > >> > [email protected] > >> > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > >> > Liste kurallari: http://liste.linux.org.tr/kurallar.php > >> > > >> > > >> _______________________________________________ > >> Linux-guvenlik mailing list > >> [email protected] > >> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > >> Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > > > _______________________________________________ > > Linux-guvenlik mailing list > > [email protected] > > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > > _______________________________________________ > Linux-guvenlik mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik > Liste kurallari: http://liste.linux.org.tr/kurallar.php >
_______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
