Re: squid-ip

[Serdar Aytekin <serdar@debian-tr.net>]

Merhaba,

* Abdullah GÜNEY [Sun, Jul 24, 2005 at 02:44:50PM +0300]
> Merhaba,
> Debian sunucumuz da bazi islemler yapamamiz gerekiyor.
> Bunlar; ip bazinda bellirli url ler disindaki tum internetin
> kisitlanmasi ve kalan iplerin de tum internete cikmasi.
> Bunu acl ile yapabilirmiyim?

Bu islemi squid'de acl kullanarak yapabileceginiz gibi dogrudan 
iptables ile de halledebilirsiniz.

Squid kullanmanizin avantaji olarak Internet erisiminiz proxy
uzerinden yapilacagi icin bu size Internet trafiginizi daha
verimli kullanabilme imkanı sunar. Ayrica dilerseniz (veya boyle
bir seye de ihtiyaciniz varsa) squid ile birlikte squidguard veya 
dansguardian gibi sistemleri de kullanarak kara listelerde yer
alan ip adreslerine erisimleri de engelleyebilirsiniz. Dahası
kelime bazında icerik filtrelemesi yapabilirsiniz vs.

Diger yandan squid ile yapacaginiz kisitlamalar uyanik kullanicilar 
icin asilmasi mumkun olmayan kisitlama yontemleri degil. Bu 
durumlarin iptables ile kontrol altina alinmasi daha uygun.

Mevcut sisteminizin yapisina gore en uygun secimi yapabilirsiniz. 
Sadece iptables ile bu isi halletmek isterseniz buna iliskin bir 
kac ornek vermis olalim:

# a.b.c.d ip adresinin tum Internet erisimine izin verilmesi.

/sbin/iptables -t nat -A POSTROUTING -s a.b.c.d/32 -d 0/0 -j MASQUERADE

# a.b.c. ile baslayan ip blogunun tum Internet erisimine izin verilmesi.

/sbin/iptables -t nat -A POSTROUTING -s a.b.c.0/24 -d 0/0 -j MASQUERADE

# x.y.z.w ip adresinin sadece izinverilensite.com adresine erisimine izin verilmesi.

/sbin/iptables -t NAT -A POSTROUTING -s x.y.z.w/32 -d <izinverilensite.com adresinin ipsi> -j MASQUERADE

Yalniz bu x.y.z.w ip adresinin daha once Internet erisim izni 
tamamen verilmis olan bir ip blogu varsa, o ip blogunun icerisinde 
yer almamasina dikkat edilmeli. Bu durum/durumlar gozetilerek uygun 
iptables tanimlari yapilmali.

-- 
Saygilarimla,
Serdar Aytekin