Selamlar, Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz ancak iptables ile böyle birşey mümkün mü bilmiyorum.
Ozgur 5 Ağustos 2013 11:08 tarihinde Ozgur <[email protected]> yazdı: > Selamlar, > > elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının > kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. > > Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a > tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip > ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi > MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri > işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri > eğer MAC üzerinden veriyorsanız güvenebilirsiniz. > > Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak > ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini > DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin > veriyorum oluyor bitiyor. > > Gerisi ve tüm traffic block zaten :) > > Saygılar > > Ozgur > > > > 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün <[email protected]>yazdı: > >> >> >> >> 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA < >> [email protected]> yazdı: >> >> 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: >>> > Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL >>> > sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. >>> > >>> > >>> Selamlar, >>> Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya >>> diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani "şu IP'ler >>> değilse yasakla" şeklinde yazsak... >>> >>> Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir >>> ki?... >>> >>> Merhaba, >> Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından >> olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. >> Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre >> ihtiyaçlarınız doğrultusunda bitmeyebilirde. >> >> Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) >> sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya >> başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu >> yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini >> tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki >> gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine >> facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp >> baktığımda kime ne yetki vermişim hemen görebileyim. >> >> Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri >> olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup >> clientlere proxy girmek ve kullanıcıları user/password mantığında internete >> eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. >> >> Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. >> Takıldığınız yerde yardımcı olmaya çalışırız. >> >> >> -- >> Saygılar, >> Aytekin Aygün >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> [email protected] >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > > -- > Ozgur > -- Ozgur
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
