Forum
Selam Arkadaşlar;
OS : Centos 5.2
iptables : 1.4.2
eth0: 10.1.1.251/16
eth1: 172.16.0.254/16
Not: Sadece güvenlik duvarı olarak. Domain ortamı mevcut. Tum servisler iç networkde. üzerine birde Dansguardian kurulacak ( ÇAlışamlar devam ediyor 🙂 ).
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Komutları ile NAt yaparak internete cıkmayı başardım..
iptablesi yapılandırırken amacım tüm trafiği kapatmak ve sadece izin verilem işlemleri yaptırmak.. bu anlamda
iptables -P FORWARD DROP diyerek iç networkdeki internet bağlantılarını kapattım..
Soru : Putty ile yönetim sağlamak istiyorum. Yukarıdaki Rule ek olarak
Putty Kullanacak Makine IP : 10.1.1.251
iptables -P INPUT DROP
iptables -P OUTPUT DROP diyerek Her şeyi kapadım..
İzlenen Yol 1:
Putty kullanacak olan makinenin ıp ye yetki verirsen olur diye düşündüm.. ve aşağıdakiler yapdım..
iptables -A INPUT -s 10.1.1.251 -j ACCEPT
iptables -A OUTPUT -s 10.1.1.251 -j ACCEPT
Sonuc: Olmadı.
İzlenen yol 2:
Putty kullanacak olan makinenin ıpye yetki vermek yeteli değildir diye düşündüm ve 22 portunu açtım..
iptables -A INPUT -i eth0 -p tcp -m tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
Komutlarını Kullandım..
Sonuc: Olmadı
Bu noktada ne yapmam gerekmektedir..
önce izin ver sonra drop kuralını çalıştırıp denediniz mi ?
her yasaklama için drop kullanmam gerekecek o zaman.. Aklımdaki ile uyuşmuyor..
Firewall arkasına bir adet pc koydum IP: 172.16.0.100/16 bun dışarıdan VNC ile bağlanmak istiyorum.. Dış ıp 212.12.212.12 diyelim..
5900 portunu Client pc ye yonlendirip erişim sağlamak istiyorum..
Not: ilk mesajdaki network yapılandırması vardır..
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5900 -j DNAT --to-destination 172.16.0.100:5900
Denedim olmadı.. Nasıl yapabilirim.?
Merhaba;
yanlış anlamayın ama isterseniz endian kullanabilirsiniz endianda arkada linux üzerinde iptables kullanır sadece görselligi var...
kolay gelsin.
Not : ara yüzden sıkılınca gene arka plana geçip aynı komutları kullanabilirsiniz.
netustad yazilimini kullanabilirsiniz enderunix takımı iptables için bir arayüz yazdı bu da hata yapma olasılığızı duşurur bir deneyin isterseniz.
İnceleyiniz.. İyi çalışmalar.
Alternatif çözümleriniz için tşk ederim. epey uğraşıyorum boyle ama en iyi öğrenmek bu yoldan geçiyor... sistemimde webmin kurulu. ip tablesdan yazdığım komutları arayuzdende takip ediyorum.. bu arada VNC ile Clientte bağlanmayı başardım.. sorunsuz çalışıyor.. nasıl çözdüğüme dair bilgiyi vereceğim. sonraki sorularımda yardımcı olmanız dileğim ile ..
iyi hafta sonları
Arkadaşlar;
Normal
0
21
false
false
false
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";
mso-ansi-language:#0400;
mso-fareast-language:#0400;
mso-bidi-language:#0400;}
iptables -A PREROUTING -t nat -p tcp -d 10.1.1.254/16
--dport 5900 -j DNAT --to 172.16.0.100:5900
Komutu ile Vnc sorununu halletmiştir..
Şimdi başka bir işlem üstünde çalışıyorum.. Ip cameradan verilen görüntüyü alamıyorum. Standartda Linux onunde olan bilgisayar görüntü alıyor.. Jawa ile ilgili programlar kurulu.. bilgisayar Linux onune alındığında görüntü geliyor arkasına geçtiğinde ise "The requested URL was not found on this server " diyor..
Bu konudaki çözüm fikirleriniz nelerdir.?
Biraz daha uğraşınca buldum.. kendi soruma kendim cevap vermek gibi oluyor ama benım geçtiğim yolldan geçen arkadaş olursa çözümleri paylaşmak amacı ile yazıyorum..
iptables -A FORWARD -j ACCEPT -s Domain/IPadresi ile sorunuda çözüyoruz..
Ufak bir nok.. sayın erdal yazıcıoğlunun iptables makeleri gerçekden mukemmel bir kaynak.. iptablesde bir şeyler yaptıkca ne kadar faydalı bilgiler olduğunu anlıyorum.. tekrar teşekkürler hocam..