[Linux] Re: iptables mysql portuna belirli bir adresten izin vermek

Tue, 22 Dec 2015 14:31:24 -0800 

Merhaba Yaşar,
Burada dikkat etmen konu, iptables'ın işleyiş mantığı; Iptables kuralları sırayla uygular. Burada mysql'e belli ağdan gelen isteklere izin veren kuraldan önceki satırda herşeyi RED et demişsin. tabii iptables de mysql portuna 192.168.0.0/24 ağından gelenlere izin veren kuralları es geçiyor. 

Yani sıralama şekilde olursa çalışması gerekir:
..

-A INPUT -s 192.168.0.0/24 <http://192.168.0.0/24> -p tcp -m tcp --dport 
3306 -m state --state NEW,ESTABLISHED -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited


Ayrıca şahsi fikrim, REJECT yerine DROP kullanmak daha iyidir. istemci 
tarafına seni ret ediyorum diye cevap göndermeye çok da gerek yok. Yerel 
ağdan geliyorsa olabilir ama genel anlamda DROP daha mantıklı geliyor bana.


saygılar


22-12-2015 23:36 tarihinde yaşar tunçez yazdı:

Merhaba,


mysql portuna uzak erişim için belirli bir network ve belirli bir 
ip'den izin vermek istiyorum:


iptables kuralları şu şekilde oluşturdum:

cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Fri Dec 18 10:45:10 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4430:8511050]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A INPUT -s 192.168.0.0/24 <http://192.168.0.0/24> -p tcp -m tcp 
--dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 85.75.15.1 -p tcp -m tcp --dport 3306 -m state --state 
NEW,ESTABLISHED -j ACCEPT

-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri Dec 18 10:45:10 2015


Ancak bu şekilde iptables servisini başlattığımda 85.75.15.1 ip'sinden 
bağlantı sağlayamıyorum. Neyi yanlış yazıyorum acaba?



_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux



_______________________________________________
Linux E-Posta Listesi
[email protected]
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux






















					Cevap