Forum

Bazı portları kısıt...
 
Bildirimler
Hepsini Temizle

Bazı portları kısıtlama

11 Yazılar
4 Üyeler
0 Reactions
993 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhabalar


2003 server üzerinde 80 ve 1433 portlarını bazı server'lar için nasıl kapatabilirim üzerinde firewall kurmadan?


örneğin 10.0.0.5 server'inin 80 ve 1433 portundan 10.0.0.10 server'i ile iletişim kurmasını istemiyorum ama networkteki diğer serverlar arasında bu portların açık olmasını istiyorum.

 
Gönderildi : 22/11/2010 17:06

Mehmet
(@mehmetikiz)
Gönderiler: 442
Prominent Member
 

Böyle birşey yok. server ın 80 nolu portu kapalıysa kapalıdır. a server ına karşı kapalı olsun b server ına karşı açık olsun diye birşey olamaz.

 
Gönderildi : 22/11/2010 17:38

Mehmet
(@mehmetikiz)
Gönderiler: 442
Prominent Member
 

tam olarak ne yapmak istediğinizi burada açıklarsanız belki bir çözüm bulunabilir...

 
Gönderildi : 22/11/2010 17:39

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

tam olarak yapmak istediğim iki sql server'in birbirlerine 80 ve 1433 portundan ulaşmamasını sağlamak.


daha önceden vlan oluşturup juniper firewall üzerindende bu portları kısıtlayarak bu işlemi yaptım. ama daha sonradan bu server'ların ikisinide sanal sunucu üzerine aldım o yüzden artık bu şekilde yapamıyorum sanal sunucu uzerinde vlan yapabilme ihtimali belki vardır ama araştırmadım.


öğrenmek istediğim vlan olayına girmeden bu işlemi yapabilmem mümkünmü?

 
Gönderildi : 22/11/2010 17:45

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Merhaba

Hangi firewall yazılımını kullandığınızı bilmiyorum ama kaynak ve hedeg Ip adreslerini belirterek portları kısıtlayabilirsiniz. Aşağıdaki örnek kaynağı 192.168.1.2 olan tüm http isteklerini engeller.

iptables -A INPUT -p tcp -s 192.168.1.2 –dport 80 -j DROP

 

Kolay gele

 
Gönderildi : 22/11/2010 18:01

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhaba Erdal Bey


Firewall olarak juniper kullanıyoruz. vlan olarak server'ları ayırmadan firewall uzerinden bu şekilde port kısıtlaması yapabilirmiyiz?


 

 
Gönderildi : 22/11/2010 18:59

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Merhaba

Geç cevap için kusura bakmayın. VLAN'lerin sorun olacağını zannetmiyorum. Sonuçta sisteminiz subnet ile yapılandırılmış ise bu işlemi yapabilirsiniz.

Kolay gele 

 
Gönderildi : 26/11/2010 11:14

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Merhabalar,

Iki IP de aynı subnetteler, bu nedenle IP geçişleri switch üzerinden olacaktır. Buna istinaden firewall üzerinden kısıtlama yapamazsınız. SQL dediğinize göre Windows işletim sistemi kullanıyorsunuz bu durumda iki seçeneğiniz var.

İki sunucu arasında IPSEC bir tünel kurup bu tünelden haberleştirip diğer IP leri için dışardan gelen her şeyi kesebilirsiniz.

ya da direk olarak windows firewall u kullanarak belirlediğiniz IP ler dışında gelen isteklerini kapatabilirsiniz. 

 
Gönderildi : 26/11/2010 12:24

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Ertan 

 Ben cevabını anlamadım... Aynı subnet olursa neden kısıtlama yapılamıyor? 

 
Gönderildi : 26/11/2010 12:32

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Erdal Hocam,

Öncelikli olarak cihazlar aynı subnette olduğunda routin dogrulaması için herhangi bir cihaza başvurmazlar. Denemek için Layer2 bir switch üzerine iki PC takarak bunlara sabit IP verip deneyebilirsin ( Windows için route print yazarsan kendi IP bloku için kendi IP sine döndüğünü görürsün ). İkinci olarak işlem Layer2 Seviyesinde başlıyacak ve Layer3 çıkacaktır durum bu olunca switchin yaptığı arp broadcasti sayesinde zaten PC diğer PC nin hangi portta takılı olduğunu bilir ve bunun için yine routere gitmez. Diyelim ki Router in iki ayrı interfacesi var ve Switch yapıda çalışıyorlar sen portlar arası kural yazmadığın sürece yine gideceklerdir.

Bu duruma istinaden aynı switch üzerinde portlar arası kural yazılmamış iki cihazın birbirleri ile olan iletişimlerini kesemezsin. Eğer kesebilse idik zaten DDOS atakları bukadar sorun çıkartmaz idi.

Bu durumda cihazın üzerine bulunan local firewall ı kullanman gerek ki senin verdiğin IPTABLES örneğide zaten buna istinaden. Aynısını Windows firewall üzerindede yapabilirsin.

* Eğer bunu direk yapabilse idik zaten VLAN ve NAC cihazlarına ne ihtiyacımız kalıdı ki ?

 
Gönderildi : 26/11/2010 14:21

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Zaten bu kuralı sunucuların üzerinde yazması lazım ama değişik Vlan leri varsa firewall kullanması gerecek.

 
Gönderildi : 26/11/2010 14:59

Paylaş: