Re: iptables kullanmadan internet paylasimi yapmak
Sal, 2005-01-18 tarihinde 15:00 +0200 saatinde, Serdar Aytekin yazdı:
> Merhaba,
>
> > karışık bir debian kullanıyorum testing ağırlıklı,
> > bilgisayarımda iki adet ethernet kartı var biri kablo modeme bağlı
> > diğeri de 3 bilgisayarın bağlı olduğu hub a bağlı bu bilgisayarlara
> > interneti paylaştırıyorum ve file server olarak kullanıyorum. Ayrıca
> > birde dhcp server çalışıyor. normalde bağlantı paylaşımını
> > iptables -t nat -A POSTROUTING -j MASQUERADE
> > komutuyla yapıyordum. Fakat yaşadığım bir kaç sorundan dolayı
> > bilgisayardan iptables ı kaldırmak istiyorum yani firewall kullanmak
> > istemiyorum bütün portlarım açık olacak iptables ve ipmasq paketlerini
> > sildiğim zaman /proc/sys/net/ipv4/ip_forward ve ip_dynaddr değerleri 1
> > olmasına rağmen bilgisayarlar ne internete çıkabiliyorlar ne fileserver
> > a bağlanabiliyorlar ne de dhcp den ip alabiliyorlar. iptables olmadan bu
> > servisleri hatta bütün portları açmanın bir yolu var mı? yada iptables
> > la bütün erişimleri açacak bir kural girebilir miyim ? google da baya
>
> Diger makinelerin nete ulasabilmesi icin illaki masquerade etmeniz
> gerekir. Zaten bu kural sizin portlariniz ile ilgili bir sinirlamada
> yapmaz. Aslinda iptables kurallarinda su su portlari kapat gibi seyler
> dememisseniz zaten bu tur sinirlamalar olmayacaktir.
>
> Mevcut kurallar varsa onlarida asagidaki sekilde flush edebilirsiniz
> (reboot etmeden).
>
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -t nat -F POSTROUTING
>
> Sonra "iptables -t nat -A POSTROUTING -j MASQUERADE" ile yine diger
> bilgisayarlar icin paylasimi aktif etmeyi unutmayin.
>
> Kisaca acilista MASQUERADE satirinin aktif olmasi istediginiz seyin olmasi
> icin yeterli.
>
> > bir arama yaptım fakat bütün portları açacak kuralı bulamadım genelde
> > herkes bütün portları kapamaya çalışıyor :) kısacası bilgisayarımda
> > engellenen hiç bir port ya da makina vs olmayacak. internet te
> > paylaşılacak benim bilgisayarımdaki dosya sunucusuna da ulaşılacak ve
> > dhcp den ip dağıtılabilecek.
> > Bütün portların açık olmasını istiyorum çünkü kardeşimin ve babamın p2p
> > sevdasıyla uğraşmaktan gına geldi öyle güvenliğin hiç önemli olmadığı
> > bir ağ bu sonuçta ayda yılda birisi sisteme girip çökertse bana daha az
> > iş çıkarır.
>
> Ne gibi sorunlar oluyor mesela? Kabloneti linux ile ic aga dagitmak icin
> iki eth karti kullanip Masq. etmekten baska care yok. Bu durumda da
> icerideki bilgisayarlarin portlarina ulasmak isteyen uygulamalar sorun
> olabilir. Ozellikle ses iletisimi ile ilgili uygulamalar problem
> cikarabilir. P2P ile ilgili sorunlara yine iptables ile, uygulamanin
> ihtiyac duydugu portlari ilgili bilgisayara yonlendirerek cozum
> bulabilirsiniz.
>
> Mesela sorun P2P programlarinda Low-Id almak ise, birinci bilgisayar icin
> tcp 1100, udp 1200 (portlari rastgele sectim) nolu portlari disaridan
> icerideki bilgisayarin ipsine yonlendirin. Icerideki bilgisayardaki p2p
> programina da o portlar uzerinden cik deyin.
> Ayni sekilde ikinci bilgisayar icin tcp 1300 udp 1400 gibi portlari
> yonlendirin benzer ayarlari onda da yapin.
>
Bu ayarlari dediğiniz gibi yapıyorum fakat pratikte soyle bir sorun
ortaya çıkıyor mesela bir server 4661 i kullanıyor bir tanes 3354
kullanıyor ve low_id için bunların hepsini teker teker yönlendirmeniz
gerekiyor bu da inanılmaz angarya bir iş çıkarıyor hadi kardeşime hadi
len diyebiliyorum da babama diyemiyorum ne yazık ki :)
bunun dışında kardeşim geliyor abi netten oyun oynayamıyorum. ondan
sonra otur her oyun için bir kural bul bu tarz vs vs sorunlar yerine ay
da yılda bir 14-15 yaşında veletin sisteme girmesiyle uğraşmak çok daha
mantıklı. o yüzden bunu iptal etmeyi düşündüm.
> Tabi sorun farkli ise bilemiyorum.
>
> --
> Saygilarimla,
> Serdar Aytekin
>
>
Reply to: