22-05-2013 11:02 tarihinde, Gokan Atmaca yazdı: > iptables ile yonetigim sunucu üzerinden forward olan LAN icin sadece > 80,443 izin gerisi deny diyorum 443 calisiyor ama 80 bir türlü > cıkamiyorum squid var sistemde servis UP durumda. Sonra direk redirect > yapmadanda denedim yine olmadi sebeb ne olabilir. > > Yapılanlar ; > > iptables -X > iptables -F > iptables -nat -F > ### INPUT ### > iptables -P INPUT DROP > iptables -P FORWARD ACCEPT > iptables -P OUTPUT ACCEPT > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT > iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A INPUT -m state --state INVALID -j DROP burdaki son kurala gerek yok aslında, izin vermeniz gerekenlere izin veriyorsunuz, gerisi default policy gereği DROP oluyor zaten.
> ### FORWARD ### > iptables -A FORWARD -p tcp -s 0/0 --sport 1024:65535 --dport 80 -j ACCEPT > iptables -A FORWARD -p tcp -s 0/0 --sport 1024:65535 --dport 443 -j ACCEPT > iptables -A FORWARD -p tcp -s 0/0 --sport 1024:65535 --dport 1863 -j ACCEPT > iptables -A FORWARD -p tcp -s 0/0 --dport 1024:65535 --sport 80 -j ACCEPT > iptables -A FORWARD -p tcp -s 0/0 --dport 1024:65535 --sport 443 -j ACCEPT > iptables -A FORWARD -p tcp -s 0/0 --dport 1024:65535 --sport 1863 -j ACCEPT > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -m state --state INVALID -j DROP > ### Default Policy DROP yapıp gerekenlere izin vermek daha mantıklı bence. ayrıca interface belirtmek daha iyi olur. örneğin: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -m multiport -p tcp --dport 80,443,1863 -j ACCEPT > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Yine burda da interface belirtin. iptables -t nat A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE gibi > iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 bu kural http paketlerini squide yolluyor, squidsiz çıkış için sadece bu kuralı devre dışı bırakmanız yeterli. yine interface belirtmenizde fayda var. > _______________________________________________ > saygılar _______________________________________________ Linux E-Posta Listesi [email protected] Liste kurallari: http://liste.linux.org.tr/kurallar.php Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux
