Merhaba ; https bilmem ama http için yapılabilir. Iptables'ın string modulu var. http://wiztelsys.com/Article_iptables_bob2.html buradaki örnekleri bir inceleyin.
5 Ağustos 2013 15:00 tarihinde Ozgur <okara...@member.fsf.org> yazdı: > Selamlar, > > Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek > mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece > rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz > ancak iptables ile böyle birşey mümkün mü bilmiyorum. > > Ozgur > > > > 5 Ağustos 2013 11:08 tarihinde Ozgur <okara...@member.fsf.org> yazdı: > > Selamlar, >> >> elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının >> kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. >> >> Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a >> tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip >> ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi >> MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri >> işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri >> eğer MAC üzerinden veriyorsanız güvenebilirsiniz. >> >> Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar >> veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC >> adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin >> veriyorum oluyor bitiyor. >> >> Gerisi ve tüm traffic block zaten :) >> >> Saygılar >> >> Ozgur >> >> >> >> 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün <aytekinay...@gmail.com>yazdı: >> >>> >>> >>> >>> 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA < >>> mucip.ilb...@gmail.com> yazdı: >>> >>> 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: >>>> > Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL >>>> > sertifika yöntemini kullanacaksiniz yada clientlara proxy >>>> gireceksiniz. >>>> > >>>> > >>>> Selamlar, >>>> Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya >>>> diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani "şu IP'ler >>>> değilse yasakla" şeklinde yazsak... >>>> >>>> Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir >>>> ki?... >>>> >>>> Merhaba, >>> Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından >>> olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. >>> Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre >>> ihtiyaçlarınız doğrultusunda bitmeyebilirde. >>> >>> Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) >>> sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya >>> başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu >>> yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini >>> tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki >>> gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine >>> facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp >>> baktığımda kime ne yetki vermişim hemen görebileyim. >>> >>> Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış >>> biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı >>> kurup clientlere proxy girmek ve kullanıcıları user/password mantığında >>> internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. >>> >>> Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. >>> Takıldığınız yerde yardımcı olmaya çalışırız. >>> >>> >>> -- >>> Saygılar, >>> Aytekin Aygün >>> >>> _______________________________________________ >>> Linux-sunucu E-Posta Listesi >>> Linux-sunucu@liste.linux.org.tr >>> >>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >>> okuyabilirsiniz; >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>> >>> >> >> >> -- >> Ozgur >> > > > > -- > Ozgur > > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu