Forum

ip tablesede yö...
 
Bildirimler
Hepsini Temizle

ip tablesede yönlendirme

12 Yazılar
6 Üyeler
0 Reactions
707 Görüntüleme
(@mehmetali)
Gönderiler: 140
Estimable Member
Konu başlatıcı
 

benim bi sıkıntım var bayadır ugrasıyorum
çözemedim ben özel bi hastanede bilgi islemde calısmaktayım bizim
hastane prg gecenlerde degistirme yaptılar yeni degisme gore yazılım
firmasının pclerine baglanıp ftp üzerinden lisasn kontrolu yapıyor
benim sistemede linux debian firewall var ama her neden bilmiyorum
biseye takılıyor

iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --dport 21 -j ACCEPT

bu
sekilde ftp portunu actım ama genede olmadı sunuda belirteyim unutmadan
ftp ye IIS üzerinden cıkıyor yani bi web config dosyası ile karsı
tarafdaki servera baglanıyor yazılım firması sadece ftp portunun acık
olmaı yeter dedi ama genede bu sorundan kurtulamadm bide prg da
dikkatimi ceken sey

xml dosyası olusturuyor ilk defa calıstırdıgında bunla baglantılı olablirimi 

yardımlarınız icin simdiden tşk.

 

 
Gönderildi : 03/01/2009 21:12

(@birolaydugan)
Gönderiler: 867
Prominent Member
 

sen sadece iceri 21 nolu porta izin veriyorsun peki nere gidicek? asagıdaki kuralı ekleyip denermisin.(192.168.1.100)  FTP server ip si olarak verilmistir.

-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.1.100:21

 
Gönderildi : 03/01/2009 21:22

(@mehmetali)
Gönderiler: 140
Estimable Member
Konu başlatıcı
 

üstad içerdeki herhangi bir pcden cıkmam gerek sadece server yetmiyor anlayacagın calısan tüm pclerden herhangi birinden sadece tek bi makine deigl yani prg ftpye ulasıyor ve ordan bi xml dosyası ve bi txt dosyası getriyor gece 00.00 dan sonra gunde bi defalıgına bunu yapıyor yani gece 00.00 da prg ramı ilk calıstıan makina bu verileri cekmeye calısıyor yazılım firması bana sadece ftp ye erisirsen olur dediler ftp portunu actım diger makinalarından ftp sitelerine ulasıyorum ama prg icin gerekli kodları almıyor tıkanıp kalıyor

 
Gönderildi : 03/01/2009 22:22

(@birolaydugan)
Gönderiler: 867
Prominent Member
 

Tam olarak ihtiyac duydugun ve yapmak istediklerini anlatırmısın.

 
Gönderildi : 04/01/2009 03:10

(@OnurARABACI)
Gönderiler: 389
Reputable Member
 

Yapilmak istenileni tam olarak bende anlamadim ancak 21 nolu port yaninda 20 numarali port'ta ayni sekilde kural setine eklenmeli diye biliyorum.

port 21 : ftp komutlarinin iletisimi

port 20 : ftp veri iletisimi (dosya alma, gonderme vs.)

udp icin ekstra kural acmana gerek yok, tcp uzerinde iletisim saglaniyor.

 
Gönderildi : 04/01/2009 14:23

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhaba ;


İstegi bende tam olarak anlamadım ama eger FTP yapacagınız yerde passsive ftp çalışıyor ise 21 bir e izin verilmesi yetmez...


http://archive.cert.uni-stuttgart.de/suse-security/2003/07/msg00321.html


http://www.kalamazoolinux.org/presentations/20010417/conntrack.html

 
Gönderildi : 04/01/2009 15:12

(@mehmetali)
Gönderiler: 140
Estimable Member
Konu başlatıcı
 

baştan baslayayım o zaman şimdi bizim hastanede kullandıgımız oracle veri tabanlı bi programımız ve server a baglı client larr sitemde birde net kısıtlaması yaptıgım debian firewall var clientler nete sadece ssk ve bazı sitelere izni var gecen ay yapılan bi guncelleme ile programda lisasn kontorlü altında bi takım degisimler yapıldı bu degisimler hastane prg mı tarafından net uzerinden kontrol ediliyor  bana yazılımcılar sadece ftp portunu acmamın yeterli olacagını soylediler yani ftp://xx.com gibi adreslerine ulastıgında clientlerin bi sıkıntı olmayacagını soylediler ben clientlerden bu sekilde onların ftp sitelerine erisim saglayabiliyorum ama prg calıstıgında prg uzerinden bu kontolu yapamadı tıkanıyor acıkcası ve ayrıca ek bisi sey prg bu kontrolu IIS server uzerinden yapıyor sadece bu degil bildiginiz gibi hastanelerin aldıgı takip no sistemi de calısıyor onda herhangi bir sıkıntı yok 21 portunu actım ama 20 portunu acmayı denemedim acıkcası benim dikkatimi ceken sey program calıstıgında yani günlük calısan ilk makina karsı tarafdan bi xml ve txt uzantılı dosya getiriyor acaba bunla ilgili bii sıkıntımı var

 
Gönderildi : 04/01/2009 16:04

(@OnurARABACI)
Gönderiler: 389
Reputable Member
 

Client tarafinda manuel olarak ftp istegi baslattiginizda baglanabildiginize gore 21 nolu portta bir yanlis yok. Ayni sekilde manuel olarak baglandiginizda bir dosyayi indirmeye calistiginizda hata alicakmisiniz kontrol ediniz. Eger hata alirsaniz 20 nolu portu acmaniz cozum icin yeterli olucaktir saniyorum.

 
Gönderildi : 04/01/2009 16:22

(@mehmetali)
Gönderiler: 140
Estimable Member
Konu başlatıcı
 

20 portunu actım ama gene olmadı 🙁

 
Gönderildi : 15/01/2009 14:06

(@OnurARABACI)
Gönderiler: 389
Reputable Member
 

Yukaridada sormustum ama yineleyim.

Herhangi bir client'ta manuel olarak baglandiginizda (internet explorer, ftp client vs.) bir dosyayi indirmeye calistiginizda hata alicakmisiniz kontrol ediniz.

Eger hata aliyor iseniz nerede takildiginizi gormek icin linux firewall uzerinde tcpdump ile paket trafigini incelemenizi oneririm.

Ornegin ftp istegi yapan client ip : 10.0.0.83

Firewall console ekraninda "tcpdump host 10.0.0.83 -nn" komutu ile bu client'in olusturdugu trafigi gorebilirsin. (tcpdump detayli kullanimi ile ilgili bircok makale bulabilirsin google'da)

 
Gönderildi : 15/01/2009 14:30

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Merhabalar,

Yurtdışında olduğmdan sorulara cevap veremedim kusura bakmayın.. 

Şimdi soruna gelelim... Bu ftp programı dışarıdan içerimi bağlanıyor, içeriden dışarı ya mı? Yani istemciler dışardaki ftp ye belirli zamanlarda bağlanıp veri gönderiyor yoksa dışarıdaki ftp mi içeri bağlnıyor.

INPUT ve OUTput bunun için var. Eğer içeriden dışarı bağlantı varsa o zaman OUTPUT  ile ftp bağlantısını açın ve INPUT içerisinde belirli IP üzerinden gelen established ve related bağlantılarına izin verin. 

Eğer dışarıdan gelen varsa o zaman ters mantık .. O zaman belirli IP den gelenlere izin vereceksiniz sonra içeriden related yada establish bağlantılara izin vereceksiniz.. Şunu denermisin..

Sisteminde iki tane network kartı var ve eth0 direkt olarak nete bağlı olsun..

Sisteme root kullanıcısı olarak giriş yap ve

# modprobe ip_conntrack
# modprobe ip_conntrack_ftp

Daha sonra 

//Senin_SUNUCU_IP_ADRESİ adresli sunucu ile yeni, yada hali hazırdaki bağlantılara kaynak portu 1024:65535 arasında olan ve hedef protu 21 olan bağlantıların içeri gelmesine izin veriyoruz.
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d Senin_SUNUCU_IP_ADRESİ --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

//Burada ise kaynak adresi Senin_SUNUCU_IP_ADRESİ olan kaynak portu 21 olan ve hedef portu 1024:65535 olan bağlantısı yapılmış verilerin çıkmasına izin veriyoruz.
#iptables -A OUTPUT -p tcp -s
Senin_SUNUCU_IP_ADRESİ --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

//Burada ise sport ve --dportlara dikkat..
#iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
Senin_SUNUCU_IP_ADRESİ
--dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp -s Senin_SUNUCU_IP_ADRESİ --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

//Son olarak

iptables -A OUTPUT -p tcp -s Senin_SUNUCU_IP_ADRESİ --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d
Senin_SUNUCU_IP_ADRESİ --dport 20 -m state --state ESTABLISHED -j ACCEPT

 Kolay gele

 

 
Gönderildi : 15/01/2009 14:58

(@keremsenler)
Gönderiler: 2
New Member
 

Merhaba;

önceki kurallarda ftp portunu kapatan bir kural varsa siz daha sonra ftp portunu açsanız bile ftp ye erişimi sağlayamazsınız. Iptables zincirlerdeki kuralları hiyerarşiye göre işler. Yani ftp ye erişimi açmanız için önceki ftp ye erişimi kısıtlayan kuralları silebilirsiniz ya da  yukarıdaki belirttiğiniz kuralları üste alabilirsiniz.

 
Gönderildi : 07/04/2009 15:55

Paylaş: