Kısa ve açıklayıcı bilgilerinizi paylaştığınız için çok teşekkürler Mesut Bey :)
2009/11/2 Mesut Güler <[email protected]> > Oguz yazmış: > > Merhaba, > > > > Sunucumun eth1 bacağını modem, eth0 bacağını ise iç ağa bağladım, > > adsl-start ile internete çıkıyorum(ppp0) yani modem bridge modda, > > kullanıcılarım squid ile internete çıkıyor IP'leri yine aynı server > > üzerinden dağıtıyorum. > > > > Sunucumun dışarıdan gelen isteklere cevap verirken seçici davranmasını > > nasıl sağlayabilirm? iptables'da INPUT tamamen açık(Accept) ve > > dışardan web server'ıma erişilebiliyor. INPUT u tamamen > > kapadığımda(Drop) hiç birşey yapamnıyoruz, lo ve eth0 için INPUT u > > açıp default kuralı Drop konuma getirdiğimde internet trafiği gidiyor. > > Yapmak istediğim internet (http/ftp/...) trafiği açık olacak şekilde > > istediğim gelişlere izin vermek ve istediğim portları istediğim > > IP'lere yönlendirmek(FORWARD). > > > > Fikir verecek olanlara teşekkürler :) > Merhaba, > INPUT zinciri yani linuxa gelen bağlantılar için: > iptables -F INPUT > iptables -A INPUT -m satae --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -i eth0 -j ACCEPT > iptables -P INPUT DROP > yukarıdaki komutlarla yerel networke izin verip geri kalanları bloklayan > bir filtre yapmış olursun. internet arayüzüne (ppp0) gelen ssh/http/ftp > gibi protokollere izin vermek için aşağıdaki komutu kullanabilirsin: > iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 21,22,80 -j ACCEPT > > port yönlendirme işlemi DNAT yani "destination nat" olarak geçer ve nat > tablosundaki PREROUTING zincirinden yapılır. FORWARD zinciri ise filtre > tablosundaki bir zinciridir yani port yönlendirme işlemi için > kullanılamaz. aşağıdaki internet arayüzüne (ppp0) gelen hedef portu 81 > olan tcp paketlerini 192.168.0.8 in tcp 81 portuna yönlendirir: > iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 -j DNAT --to > 192.168.0.8:80 > > umarım örnekler açıklayıcı olmuştur.. > > saygılar > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > http://liste.linux.org.tr/mailman/listinfo/linux-sunucu >
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
