[Çözüldü] iptables - 2 ethernet kartı + firewall + squid

Başlatan sdincsoy, 03 Mart 2009 - 20:25:53

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

sdincsoy

selam.
yapmak istedigim;
ubuntu server 8.10 kurup 2 ethernet kartı ile firewall + squid + tum internet trafigi log lamak.
terminallere ubuntu server in ip sini gateway olarak yazıp transparent proxy kullandırıp sadece 80,25,443,110,53 portlarını açmak istiyorum.

herseyi yaptim ancak port kisitlama olayini beceremedim.
terminaller internete çıkıyor. ama tüm port lar açık. sadece istediğim portları iptables kullanarak nasıl açarım ?

Aşağıda konfigurasyonumu belirteyim ki çabuk yardım alayım :)

/etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback
# internet network
auto eth0
iface eth0 inet static
        address 10.0.0.101
        netmask 255.255.255.0
        network 10.0.0.0
        broadcast 10.0.0.255
        gateway 10.0.0.100


# local network
auto eth1
iface eth1 inet static
        address 192.168.100.224
        netmask 255.255.255.0
        network 192.168.100.0
        broadcast 192.168.100.255
##################################

iptables rules lari bir dosya ya kaydettim ve rc.local e ekleyip açılışta çalışmasını sağladım.

# Generated by iptables-save v1.4.0 on Tue Mar  3 15:16:04 2009
*nat
:PREROUTING ACCEPT [32:4069]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [5:271]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.100.224:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Mar  3 15:16:04 2009
# Generated by iptables-save v1.4.0 on Tue Mar  3 15:16:04 2009
*filter
:INPUT ACCEPT [320:44307]
:FORWARD ACCEPT [167:83805]
:OUTPUT ACCEPT [79:17552]
-A INPUT -j LOG
-A FORWARD -j LOG
-A OUTPUT -j LOG

COMMIT
###################################

çok iptables dökümhan okudum ama, linux un yabancısıyım. ne de olsa ilk server denemem.
yardımlarınızı bekliyorum.
şimdiden cevap veren arkadaşlara teşekkürü borç bilirim.




ihtiyar said

iptables hakkında forumda birkaç konu da konuşmalar olmuştu, baktınız mı?

sdincsoy

evet. çok kaynak okudum.
ama neyi nereye yazacağımı bilmiyorum.

okuduklarımı yaptım ama port kısıtlamasını yapamadım bir türlü.

bytan

İstediğin türde bağlantıları hazırlamana sana yardım edecek bir yazı belgeler.org içinde mevcutmuş:

http://www.belgeler.org/howto/iptables-usage.html
Umut en büyük kötülüktür; işkenceyi uzatır. - F.N.


Bir şey ne ise odur, bu kadar. Öyleyse, iki şey arasında bağdaşıklık varsa, bu aralarında iletişim kuruyorlar demek değildir.
"... kavrayışını bilgi ile derinleştir ..."
PF @ ST

sdincsoy

o sayfaya da baktım maalesef çözemedim işi. yaptım ama olmadı :S
bu şekilde elinde bir sistem kullanan varsa iptables ile ilgili satırları gönderirse çok sevinirim.

sdincsoy

biraz uğraşdan sonra sonunda yapabildim.
Buyrun size de faydası olur belki;

bu iptables yapısı ile güvenlik de saglanmış oluyor. aynı zamanda transparent proxy...

# Generated by iptables-save v1.4.0 on Mon Mar  9 11:49:24 2009
*nat
:PREROUTING ACCEPT [965:83027]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [135:8181]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.224:3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Mar  9 11:49:24 2009
# Generated by iptables-save v1.4.0 on Mon Mar  9 11:49:24 2009
*filter
:INPUT DROP [875:78511]
:FORWARD DROP [35:5991]
:OUTPUT ACCEPT [5787:3140730]
-A INPUT -i lo -j ACCEPT
-A INPUT -j LOG
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -j LOG
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -s 192.168.100.0/24 -p tcp -m tcp --dport 6667 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG
COMMIT
# Completed on Mon Mar  9 11:49:24 2009

heartsmagic

Faydası elbette olur. Bu güzel bilgi için teşekkür ederiz.
Başlığı etiketleyip, kapatalım.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.