Oguz yazmış: > Merhaba, > > Sunucumun eth1 bacağını modem, eth0 bacağını ise iç ağa bağladım, > adsl-start ile internete çıkıyorum(ppp0) yani modem bridge modda, > kullanıcılarım squid ile internete çıkıyor IP'leri yine aynı server > üzerinden dağıtıyorum. > > Sunucumun dışarıdan gelen isteklere cevap verirken seçici davranmasını > nasıl sağlayabilirm? iptables'da INPUT tamamen açık(Accept) ve > dışardan web server'ıma erişilebiliyor. INPUT u tamamen > kapadığımda(Drop) hiç birşey yapamnıyoruz, lo ve eth0 için INPUT u > açıp default kuralı Drop konuma getirdiğimde internet trafiği gidiyor. > Yapmak istediğim internet (http/ftp/...) trafiği açık olacak şekilde > istediğim gelişlere izin vermek ve istediğim portları istediğim > IP'lere yönlendirmek(FORWARD). > > Fikir verecek olanlara teşekkürler :) Merhaba, INPUT zinciri yani linuxa gelen bağlantılar için: iptables -F INPUT iptables -A INPUT -m satae --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT iptables -P INPUT DROP yukarıdaki komutlarla yerel networke izin verip geri kalanları bloklayan bir filtre yapmış olursun. internet arayüzüne (ppp0) gelen ssh/http/ftp gibi protokollere izin vermek için aşağıdaki komutu kullanabilirsin: iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 21,22,80 -j ACCEPT
port yönlendirme işlemi DNAT yani "destination nat" olarak geçer ve nat tablosundaki PREROUTING zincirinden yapılır. FORWARD zinciri ise filtre tablosundaki bir zinciridir yani port yönlendirme işlemi için kullanılamaz. aşağıdaki internet arayüzüne (ppp0) gelen hedef portu 81 olan tcp paketlerini 192.168.0.8 in tcp 81 portuna yönlendirir: iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to 192.168.0.8:80 umarım örnekler açıklayıcı olmuştur.. saygılar _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
