Forumlar > Pardus > Pardus İleri (iptables yardım)
Yeni Başlık Yeni Anket Haber Ekle
arpia kullanıcısının resmi

arpia

Kayıt: 31/03/2011

iptables yardım

PostPer, 31/03/2011 - 3:55ös tarihinde arpia gönderdi

Merhaba herkese.
iptables ile kural yazıyorum fakat doğruluğundan emin değilim.

Sunucuya bütün iplerden gelen istekleri bloklayıp sadece istediğim iplere izin vermek istiyorum. Fakat kurallar ve kural sırası doğru mu emin olamıyorum.

Önce mi DROP etmek lazım kurala göre yoksa en son mu?

Benim yaptığım,

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 88.247.vs.vs -j ACCEPT
iptables -A INPUT -j DROP

Bu kural sırası doğrumudur yada kuralda saçma bir durum varmıdır.

İlk önce drop layıp sonra izin verirsem giremiyorum içeriye.. Fakat bir kaç yerde önce bloklandığını gördüm .. Fakat ben kural sırasını bu şekilde yaptığım zaman izin verdiğim ipden girebiliyorum.

-i lo ya izin verme sebebim local'de giden paketlerde sorun oluyor bunu yazmadığım zaman.
Birşeyleri yanlış mı yapıyorum?

Teşekkür ederim...

‹ Localhost'uma irc server Linux takılı harddiski görmüyor ›
Top
  • 385 okunma
arpia kullanıcısının resmi

arpia

Kayıt: 31/03/2011

Re: iptables yardım

Postarpia tarafından Per, 31/03/2011 - 4:09ös tarihinde gönderildi.

Aynı kuralları iki ayrı sunucuya girdim tabi kurallar da ki ipler biraz farklı ama kural aynı.

Bi sunucu izin verdiğim ipler dışında ki iplerden ping isteğine bile cevap vermiyor, icmp kapatmadım ama iptables -A INPUT -j DROP diyerek bütün istekler kapanmış olması lazım .. yani izin verdiğim dışında ki iplerden pinge cevap vermemesi normal geliyor.

Fakat aynı kurallar başka sunucu da var, o izin vermediğim bir ipnin pingine cevap veriyor.

Anlamadım

Top
baDibere kullanıcısının resmi

baDibere

Kayıt: 14/10/2007

Re: iptables yardım

PostbaDibere tarafından Per, 31/03/2011 - 5:28ös tarihinde gönderildi.

iptables konusunda pek bilgim yok. Sıralamanın bir etkisi var mıdır bilmiyorum.

Eğer sıralamanın etkisi varsa, önce tüm gelenleri engelleyip, sonra izin verilenleri belirtmek daha mantıklı olacaktır bence.

Top
arpia kullanıcısının resmi

arpia

Kayıt: 31/03/2011

Re: iptables yardım

Postarpia tarafından Cum, 01/04/2011 - 12:33ös tarihinde gönderildi.

Teşekkür ederim. Başka fikri olan var mı arkadaslar iptables kullanan

Top
PHoeniX kullanıcısının resmi

PHoeniX

Kayıt: 09/12/2010

Re: iptables yardım

PostPHoeniX tarafından Ça, 18/05/2011 - 12:17ös tarihinde gönderildi.

arpia wrote:
Önce mi DROP etmek lazım kurala göre yoksa en son mu?

acceptları gir sonra dropları girmeye başla. En son da tüm -i (interface) dropla...

iptables -A INPUT -i lo -j ACCEPT
lo yani localhost a izin vermek zorundasın. ki GNU/Linux localhost ile haberleşerek sunucu istemci mimarisinde çalışır.

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
eğer interface vermezsen tüm arayüzleri giriş verilecektir. eth wlan lo vs

iptables -A INPUT -s 88.247.vs.vs -j ACCEPT
iptables -A INPUT -j DROP

Kural sıranda her hangi bir terslik yok

Yalnız dikkat etmen gereken konu bazı portlar içeriye highport dediğim portlar ile iletişim kurmak ister eğer sen bu şekilde içeriye gelicek olan highport (1024 ile 65535 arası) portalrı da kapatmış oluyor

Sonuç olarak eğer OUTPUT yani dışarıyya tüm çıkışları ACCEPT etsen bile internete çıkamazsın... Bunun için yani INPUT a tüm 1024 - 65535 arasını açmalısın yada her bir kaynak port örneğin 80 içeriye hedef portlarını 1024 - 65535 arasını açman gerekir. yada hiç kasma high portları INPUT a aç...

iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT

Kaynak olarak http://enveraltin.com/blog/iptables.html da adresten faydalanabilirsin

Top