Re: [FreeBSD] PF Load balance
Merhabalar, -443/https trafiginiz Squid uzerinden mi gidiyor? -Squid uzerinden gidiyorsa load balancign yaptiriyor musunuz? Eger Squid uzerinden gitmiyorsa PF'e asagidaki gibi bir kural yazmaniz yeterli olacaktir. Iki cikis arabiriminiz var ve siz HTTPS baglantilarinin ext_if0-ext_gw0 dan cikmasini istiyorsunuz. pass in quick log (all) on $int_if route-to($ext_if0 $ext_gw0) proto tcp from $ic_ag to any port 443 Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/11/28 Mehmet Zahid Öğrenç [EMAIL PROTECTED]: Merhabalar, Varolan yapımda 2 adet adsl hat mevcut. Bu adsl leri PF kullanarak ikiside aktif şekilde kullanabilmekteyim. Sorun banka sitelerine girmeye çalışırken başlıyor. Squid de ne gibi bir ayar yapmam gerekli ki banka sitelerine yada https kullacağı zaman tek bir adsl üzerinden çıkış yapsın. Tcp_outgoing komutunu kullanıyorum fakat sorun hala devam ediyor. Kolay gelsin, Mehmet
Re: Re[3]: [FreeBSD] DNS Server
Anladigim kadari ile sizin istediginiz bir nevi honeypot. Dns sorgularini ve cevaplarini yakalayarak NXDOMAIN(domain not exist ) flagli cevaplar icerisinde degisiklik yaparak istediginiz yere yonlendirecek. Boyle bir honeypot yazilimi var mi bilmiyorum , bir de ozel degilse neden boyle bir yapiya ihtiyac duydugunuzu merak ettim. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/10/8 Ahmet FIRAT [EMAIL PROTECTED]: ben onu yoksa diye soylemistim zaten ama var sa yine o domainin ip isini verecek istedigim tek sey A kaydi olmayan yada hic olmayan domainleri belli bir ip ye yonlendirmek - Original Message - From: Mesut GÜLNAZ [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Wednesday, October 08, 2008 12:01 PM Subject: RE: Re[3]: [FreeBSD] DNS Server Peki ya gggooogggllleee.com adında bir domain varsa.o zaman ne olacak? -Original Message- From: Ahmet FIRAT [mailto:[EMAIL PROTECTED] Sent: Wednesday, October 08, 2008 11:52 AM To: freebsd@lists.enderunix.org Subject: Re: Re[3]: [FreeBSD] DNS Server Merhaba Sanirim tekrar bi yanlis anlama var bahsi gecen DNS server CACHE hizmeti veren bir dns domain kaydi olmayacak olay su ben dns e google.com kaydini sorguladim ve bana dedi ki 62.2.2.2 bu gercek ip si google in fakat kullanici gggooogggllleee.com diye bir seyi yanlislikla sordu dns bakti domain kaydi yok ve benim onceden girdigim dns kaydindaki ip yi yazmasini istiyorum yani 1.1.1.1 e gidecek sizin dediginiz seklini ben kullaniyorum bir nevi park sayfasi icin fakat bu anlattigimi yapan bir dns server istiyorum Saygilarimizla... - Original Message - From: Cafer Şimşek [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Sent: Sunday, October 05, 2008 10:56 PM Subject: Re[3]: [FreeBSD] DNS Server Tekrar Merhaba, Bu gün aynı olayı Bind ile de denedim (Debian üzerinde BIND 9.3.4-P1.1 sürümü), gayet başarılı bir şekilde çalıştı. org isminde bir zone ekledim ve *.org için 10.0.0.1 şeklide A kaydı ekledim, sonra bir de cafer.org isminde domain ekledim ona da gerçek IP adresini verdim. Sorgu sonuçları aşağıda. [EMAIL PROTECTED]:/etc/bind$ host -ta cafer.org 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: cafer.org has address 65.19.178.8 [EMAIL PROTECTED]:/etc/bind$ host -ta cafer11.org 127.0.0.1 Using domain server: Name: 127.0.0.1 Address: 127.0.0.1#53 Aliases: cafer11.org has address 10.0.0.1 [EMAIL PROTECTED]:/etc/bind$ Saygılar, Sevgiler. Sunday, October 5, 2008 Tarihinde Cafer Şimşek demiş ki: Tekrar Merhaba, İlk yaptığım zaman ben de öyle düşünmüştüm, ancak djbdns ile gayet sorunsuz bir şekilde bu yöntemle çalıştığını gördüm. Bind ile deniyorsanız onda durum nedir tam bilmiyorum. Saygılar. Sunday, October 5, 2008 Tarihinde Ahmet FIRAT demiş ki: Merhabalar Dediginiz yapildigi taktirde eger bu zone dns de var ise ve com diye de bir zone actigimiz icin direk kendi icindeki zone dosyasindan iletmekte ve ip kontrolu yapilmamakta. Saygilarimizla... - Original Message - From: Cafer Şimşek [EMAIL PROTECTED] To: Ahmet FIRAT [EMAIL PROTECTED] Cc: freebsd@lists.enderunix.org Sent: Saturday, October 04, 2008 9:02 PM Subject: Re: [FreeBSD] DNS Server Merhaba Ahmet Bey, Zamanında böyle bir şeyi yapmıştım. Yalnız biraz uğraşmanız gerekiyor. Yapılması gereken işlemler şunlar (ben djbdns kullanmıştım bunun için ama muhtemelen bind için de aynı ayarları uygulayabilirsiniz): * TLD'ler ve gTLD'ler için (.com, .net, .org, .tr vs...) birer zone tanımlayın. Kullanacağınız tüm tld ve gtld'ler için zone olmak zorunda. Ve bu zone'ların ismi .com domainler için com, .net domainler için net şeklinde olmalı. * Zone'ların altına wildcard a kaydı girin. djbdns için mesela: +*.com:10.0.0.1:800 gibi. Sanırım wildcard desteği bind'da da var. Bu işlemleri tamamlandığınızda istediğinize ulaşacaksınız ve herhangi bir com uzantılı bir domaini sorguladığınızda eğer bir kayıt yoksa bu wildcard'a takılacak ve 10.0.0.1 ip adresini çözümleyecek. Saygılar, İyi Çalışmalar. PS: Bundan güzel bir ipucu olur aslında. :) Saturday, October 4, 2008 Tarihinde Ahmet FIRAT demiş ki: Merhaba Arkadaslar, Bir dns server a ihtiyacim var bu dns serveri kendi sistemlerimizde domain kontrolu icin kullanmak istiyoruz fakat soyle bir yapi olmasi gerekiyor bilen yada nasil yapacagim konusunda fikri olan var mi ? google.com u dns serverina sorgulayacagiz ve bize ornegin 1.1.1.1 ip sini verecek ve client a ip cozumlemesini yapip dns olarak isini bitirecek fakat ben aaagole.com diye bir domain sorguladim fakat bir sonuc donmedi boyle bir domain yok boyle bir domain geldiginde benim istedigim bir ip ye yonlendirecek ornegin 9.9.9.9 gibi bu yapiyi kurabilecegim bir dns server var mi yada bu konuda yardimci olabilrimisiniz ? Saygilarimizla... FreeBSD 6 kitabi:
Re: [FreeBSD] Squid SSL destegi
Merhabalar, listede daha once benzeri -ayni-konuyu tartistik. Arsivleri kurcalarsaniz detay aciklama bulabilirsiniz. Kisa cevap: Squid native olarak https isteklerini transparent olarak desteklemez. Bunun icin biraz takla attirmak gerekiyor.(sslbump'i inceleyin) Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/10/2 Ali KAPUCU [EMAIL PROTECTED]: Merhabalar freebsd transparent Proxy olarak problemsiz çalışıyor. Ancak netwok'un ssl paketlerinide nat yaparak Proxy yönlendirdiğimde Access.log da 1222969888.864 9 192.168.0.8 TCP_DENIED/400 1539 NONE error:unsupported-request-method - NONE/- text/html 1222969890.412 5 192.168.0.5 TCP_DENIED/400 1539 NONE error:unsupported-request-method - NONE/- text/html diye hata alıyorum Squid.conf dosyasında ssl ve safe portslar şöyle acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 1 3128 1025-65535 acl sslports port 443 563 1 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin \? cache deny dynamic http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access allow safeports http_access allow CONNECT sslports sizce problemi nasıl giderebilirm
Re: [FreeBSD] Natd ve kernel panic problemi
Merhabalar, eger sorunun natd'den kaynaklandigindan eminseniz bence daha stabil bir surum/sistem ya da guvenlik duvari yazilimi kullanin(Packet Filter gibi). Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/26 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Arkadaşlar, bu konuda bilgisi olan yok mu? Natd kernel panic moda sokuyor ve freebsd ne kayıt alabiliyor ne de restart oluyor. Yardımcı olabilecek olan varsa halen çözüm bulamadığımı hatırlatayım dedim :) İyi çalışmalar. Murat Sürücü -Original Message- From: MURAT SÜRÜCÜ [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 7:12 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] Natd ve kernel panic problemi FreeBSD'de panic moda resetlenmesi için kerneli aşağıdaki gibi derlemek gerekiyormuş sanırım. -- makeoptions DEBUG=-g options KDB_UNATTENDED -- Yalnız bende işe yaramadı. Kernel panic moduna soktuğumda aşağıdaki gibi bir ekran çıkıp kalıyor, ne bu ekrandaki hataları bir dosyaya kaydedebildim, ne de hata olduğunda resetleyebildim sistemi :( -- #sysctl -w debug.kdb.panic=1 panic: kdb_sysctl_panic cpuid = 9 Uptime: 11m50s Physical Memory: 16370 MB Dumping 629 MB: Error dumping block 0x0 ** DUMP FAILED (ERROR 5) ** aac0: shutting down controller...FAILED. Automatic reboot in 15 seconds - press a key on the console to abort Rebooting... cpu_reset: Stopping other CPUs -- aac0 sanıyorum scsi kartı. Henüz bir çözüm bulamadım, fikri olan varsa her türlü fikre açığım. Teşekkürler. -Original Message- From: MURAT SÜRÜCÜ [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 5:37 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] Natd ve kernel panic problemi FreeBSD'de sanıyorum yok öyle bir şey, İçinde panic geçen sadece şu değişkenler var. # sysctl -d -a | grep panic kern.sync_on_panic: Do a sync before rebooting from a panic debug.ddb.textdump.do_panic: Dump kernel panic message in textdump debug.trace_on_panic: Print stack trace on kernel panic debug.debugger_on_panic: Run debugger on kernel panic debug.kdb.panic: set to panic the kernel machdep.enable_panic_key: Enable panic via keypress specified in kbdmap(5) machdep.panic_on_nmi: Panic on NMI Acaba başka bir yolunu bilen var mı? Bir de kernelde aşağıdaki seçenekleri ekleyip yeniden derledim. makeoptions DEBUG=-g options KDB options DDB options INVARIANTS options INVARIANT_SUPPORT options WITNESS Sizce çok performans kaybı yaşarmıyım, çünkü performans kaybı yaşayacağıma dair warning verdi açılışta. Kernelin Panic moduna neden düştüğünü anlamak için bunlarıda kernel'e eklemek gerektiğini anladım okuduklarımdan. Doğru mudur yaptığım şey? Ayrıca /etc/rc.conf içine de dumpdev=/dev/aacd1s1b satırını ve /etc/syslog.conf içine de *.err;kern.debug /var/log/hatalar.log Satırını ekledim. En azından panic modunda olduğunda ekrandakileri hatalar.log dosyasına alıyorum böylelikle değil mi? Teşekkürler :)) -Original Message- From: Huzeyfe ONAL(Gmail) [mailto:[EMAIL PROTECTED] Sent: Thursday, August 07, 2008 3:50 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] Natd ve kernel panic problemi Merhabalar, OpenBSD'de #sysctl -w ddb.panic=0 komutu ile panic sonrasi otomatik reboot yaptirilabilyor. FreeBSD icin de sanirim benzer bir secenek vardi. Tabi bunun calismasi icin kernel'da bazi seceneklerin aktif edilmesi gerekebilir. http://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug-options. html Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/7 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Merhabalar, Ara sıra Natd yüzünden kernel panic hatası alıyorum. Makinede freebsd7.0 stable amd64 var. IPFW ile port açıp kapatma ve nat işlemleri yapılıyor makinenin üzerinde. Önceleri sık sık verirdi kernel panic, Özkan Bey'in tavsiyesi ile natd üzerine düşen yükü azaltmıştım. 2 haftadır vermiyordu kernel panic. Bu gece yine kernel panic hatası verip çakılmış sistem. Donanım hatası değil de fazla yüklenildiğinde sorun çıkarıyor sanırım natd. Tüm donanım testlerini yapmama rağmen bir sorun bulamadım çünkü. Saldırı altında iken sanıyorum sorun çıkıyor. Natd problemini aşmanın veya kernel panic olduğunda tüm ağın trafiğinin kesilmemesi için sistemi resetlemenin bir yolu var mıdır? Herkese teşekkürler. Murat Sürücü FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi: http
Re: [FreeBSD] squid ve https
Merhabalar, bu kullanmaya calistiginiz ozellik SSL bir web sitesini Squid ile karsilamak icin kullaniliyor. ornek; Internet kullanicilari---SSL---Squid(ssl karsilar)-CLEAR_TEXT---gercek websitesi Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/18 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Arkadaşlar squid üzerinde https transparent deniyorum ama bir türlü çalıştıramadım. OpenBSD üzerinde aşağıdaki versiyonla derledim; # squid -v Squid Cache: Version 2.6.STABLE18 configure options: '--datadir=/usr/local/share/squid' '--enable-auth=basic digest' '--enable-arp-acl' '--enable-basic-auth-helpers=NCSA YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user unix_group' '--enable-removal-policies=lru heap' '--enable-ssl' '--enable-storeio=aufs ufs diskd null' '--with-pthreads' '--localstatedir=/var/squid' '--enable-follow-x-forwarded-for' '--prefix=/usr/local' '--sysconfdir=/etc' '--mandir=/usr/local/man' '--infodir=/usr/local/info' 'CC=cc' 'CFLAGS=-O2 -pipe' Key leri şu şekilde oluşturdum; openssl genrsa -des3 -out privkey.pem 2048 openssl req -new -x509 -nodes -key privkey.pem -out cacert.pem -days 3650 Squid için önce şunu denedim ama hiç bir bağlantı sağlayamadım ; https_port 3129 transparent cert=/etc/squid/cacert.pem key=/etc/squid/privkey.pem Sonra şunu denedim ve aşağıdaki hatayı aldım; https_port 443 cert=/etc/squid/cacert.pem key=/etc/squid/privkey.pem TCP_DENIED/400 2646 GET error:invalid-request - NONE/- text/html Squid ile https transparent kullananların önerilerini bekliyorum. İyi çalışmalar ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Natd ve kernel panic problemi
Merhabalar, OpenBSD'de #sysctl -w ddb.panic=0 komutu ile panic sonrasi otomatik reboot yaptirilabilyor. FreeBSD icin de sanirim benzer bir secenek vardi. Tabi bunun calismasi icin kernel'da bazi seceneklerin aktif edilmesi gerekebilir. http://www.freebsd.org/doc/en/books/developers-handbook/kerneldebug-options.html Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/7 MURAT SÜRÜCÜ [EMAIL PROTECTED]: Merhabalar, Ara sıra Natd yüzünden kernel panic hatası alıyorum. Makinede freebsd7.0 stable amd64 var. IPFW ile port açıp kapatma ve nat işlemleri yapılıyor makinenin üzerinde. Önceleri sık sık verirdi kernel panic, Özkan Bey'in tavsiyesi ile natd üzerine düşen yükü azaltmıştım. 2 haftadır vermiyordu kernel panic. Bu gece yine kernel panic hatası verip çakılmış sistem. Donanım hatası değil de fazla yüklenildiğinde sorun çıkarıyor sanırım natd. Tüm donanım testlerini yapmama rağmen bir sorun bulamadım çünkü. Saldırı altında iken sanıyorum sorun çıkıyor. Natd problemini aşmanın veya kernel panic olduğunda tüm ağın trafiğinin kesilmemesi için sistemi resetlemenin bir yolu var mıdır? Herkese teşekkürler. Murat Sürücü FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, Freebsd de calismayip OpenBSD de calisan pf kurallarini gonderebilir misiniz. Baska bir problem olabilir zira Freesd 7 de route-to calisiyor. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/5 Ismail OZATAY [EMAIL PROTECTED]: Merhaba ; Dün pf içinde route-to kullanımıyla ilgili bir soru sormuştum. Sorum FreeBSD 7.0 üzerinde bu fonksiyonu kullanamamakla ilgiliydi. Ben bugün freebsd 7.0 da yazdığım pf.conf dosyama hiç dokunmadan 2. bir pc ye openbsd kurdum ve pf.conf u oraya taşıdım. Hiçbir değişiklik yapmadım ve route-to fonksiyonu ile policy routing sorunsuz çalışıyor. Config dosyamda sorun olmadığını teyit ettiğime göre sorun nerde olabilir ? İyi çalışmalar FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] ssh-fingerprint
Selamlar, her iki tarafin keyleri varsa cozebilirsin. ssh_decoder adli bir uygulama vardi , kullanmadim ama guvenlik listelerinden birinde calistigini okumustum. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Cihangir Besiktas [EMAIL PROTECTED]: Bir ssh sunucusunun fingerprint i ile o sunucuya giden ve gelen encrypt edilmiş verileri decrypt edebilirmiyim? Evet ise nasıl bir çözüm önerirsiniz? Cihangir Besiktas Enderunix Akademi|Student Participant in Google Summer of Code 2008 www.enderunix.org|http://code.google.com/soc/2008/ FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
Re: [FreeBSD] Pf route-to hakk
Merhabalar, route-to kurallarinizin calismasi icin ilgili ip adreslerini dogru arabirimden nat yapmis olmaniz gerekir. nat on $LL from $DMZ_NET to any - $LL gibi bir kural eksik. Huzeyfe ONAL [EMAIL PROTECTED] http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2008/8/4 Ismail OZATAY [EMAIL PROTECTED]: Arkadaslar merhaba ; Geçenlerde grupta pf ile policy routing yapmayla ilgili bişeyler okudum. Sonra kendim denemeye karar verdim ama bir terslik var. 2 internet erişimim var DSL ve LL. Freebsd sunucumun default gw ADSL modem. İç network ve/veya dmz deki sunuclarımı dışa LL üzerinden çıkarmak için aşaıdaki configleri yaptım ; LL=sk0 LL_GW=212.212.212.212 LL_IP=212.212.212.213 nat on $DSL from $INT_NET to any - $DSL pass out on $LL inet proto tcp from $LL to any keep state pass out on $LL inet proto udp from $LL to any keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port http flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port https flags S/SA keep state pass in log on $dmz route-to($LL $LL_GW) inet proto tcp from 212.212.213.1/32 to any port domain flags S/SA keep state Elinizde varsa örnek bir config yollarmısnız? Kolay gelsin ismail FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
