19 Ekim 2009 17:09 tarihinde Mehmet Türkoğlu <[email protected]> yazdı: > > ben biraz acemiyım de :) bunu nasıl yapacağımı da anlatır mısınız :) > > > >> # Generated by iptables-save v1.3.5 on Sun Oct 18 16:41:30 2009 > >> *filter > >> :INPUT ACCEPT [3617334:2713761623] > >> :FORWARD ACCEPT [1586055:993261070] > >> :OUTPUT ACCEPT [4258544:2867688733] > >> COMMIT > >> # Completed on Sun Oct 18 16:41:30 2009
Burayı şöyle yapıp bir dener misiniz?: *filter :INPUT ACCEPT [3617334:2713761623] :FORWARD DROP [1586055:993261070] :OUTPUT ACCEPT [4258544:2867688733] -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 53 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 443 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 110 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.147.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT Bu bir nebze işinizi görür fakat daha etkili bir çözüm için ince ayara ihtiyaç var. Gerçi ne yaparsanız yapın sonunda kullanıcılar bir yerlerden buldukları *ultrasurf* ile 443'den tünelleme ile çıkabilirler. Tünellemenin, 443'ün, proxy'nin ne olduğunu bilmezler ama bir çift tıklama ile sistem yöneticisini alt ettiklerini zannederler. Tavsiyem, güvenliği çok boyutlu ele almanız. Teknik olarak yapılacakların yanında kullanıcılara verebilecekleri zararlarlar anlatılmalı. Hatta anonim proxylerden görebilecekleri zararlar daha çok anlatılmalı. Gerekir ise idari yaptırımlara gidilebileceği kullanıcılara iletilmeli. iptables'dan önce kullanıcılar kendilerini DROP'lamalı. Kolay gelsin, Aytekin Aygün _______________________________________________ Linux E-Posta Listesi [email protected] Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux
