Forum
merhaba senaryom şu şekilde. firewall ın dış bacağı eth0 212.56.25.18
firewall lan bacağı eth1 192.168.1.1
bir tane squid server 192.168.1.2
mail server 192.168.1.3
mail server her şekilde internete çıkabilsin maillerede ulaşabilsin
diğer bütün makineler networkteki squid üzerinden geçerek internete çıksın
nasıl bir iptables tablosu yapmalıyım.
Yardım ederseniz memnun olurum
Öncelikle tüm trafik iptables ve squidin üzerinden geçiceği için clientlerin gateway kısmına 192.168.1.2 yazman gerekecek. ip tableste port açman gerekirse ki gerekli aşağıda yazacağım kuralları yaz.Sonrasında squid üzerinde oluşturduğun kurallar dahilinde internete erişimi denetleyebilirsin.
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT 80 Nolu Portu açar
iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT 21 Nolu Portu açar
iptables -A INPUT -p tcp -s 0/0 --dport 25 -j ACCEPT 25 Nolu portu açar
iptables -A INPUT -p tcp -s 0/0 --dport 110 -j ACCEPT 110 Nolu portu açar
Arkadaşım senin dediğin gibi yaparsam çalışmazki.burda internet firewal üzerinden geçiyor we sadece 80 portu yönlenmesi gerekiyor benim topolojimde squide. bu problem değil ama aslında ama bazı clientlerinde direkt internete çıkmasını istiyorum bu problem oluyor.squid istekte bulunmasını istemiyorum onlar için. işte kural oluşturmak burda zorlanıyor yoksa basit bi şekilde yapğabilirdim. yinede ilgin için teşekkürler
Anlattıkların çok açık olmadığı için cevaplamakta zorlanıyoruz.daha net birşekilde problemi anlatırsan yardımcı oluruz.örneğin firewall derken donanımsal firewall danmı bahsediyorsun yoksa linux üzerindeki firewall danmı bahsediyorsun onu bile anlamadım.Yardım edebilmemiz için biraz daha açıklıyıcı olalım lütfen..
Anlattıkların çok açık olmadığı için cevaplamakta zorlanıyoruz.daha net birşekilde problemi anlatırsan yardımcı oluruz.örneğin firewall derken donanımsal firewall danmı bahsediyorsun yoksa linux üzerindeki firewall danmı bahsediyorsun onu bile anlamadım.Yardım edebilmemiz için biraz daha açıklıyıcı olalım lütfen..
Donanımsal bir firewall değil centos 5 üzerine kurduğum bir netfilter. sadece firewalın iç networkuna clientlerden gelen istekleri squide yönlendirmeyi aşağıdaki iptables komutları ile yapabiliyorum.ve squid kullanıcılar yerine firewallın 80 portundan çıkıyor ve internete erişebiliyor. bunda problem yok. ama işin içine 2. bir makinenin daha direkt internete çıkmasını isteğimde işler karışıyor. işte burada benim sıkıntım.bir türlü iptables komutlarını toparlayamadım.yani şu kullandığım komutta iptables -t nat -A PREROUTING -i eth1 -s ! squid -p tcp --dport 80 -j DNAT --to squid:3128 diyorki squid hariç 80portuna gelen bit kullancı isteklerini squide pasla. ama ben ne istiyorum. squid ve mail server hariç gelen bütün 80 portu hizmetlerini squide postala.
iptables -t nat -A POSTROUTING -o eth1 -s network -d squid -j SNAT --to firewall
iptables -A FORWARD -s network-d .168.1.100 -i eth1 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -s 192.168.1.100 -i eth1 -o eth1 -m state --state ESTABLISHED,RELATED -p tcp --sport 3128 -j ACCEPT