Re: Iptables kullanımı ile ilgili
>>>>> "OE" == Ozan Enginoglu <ozanenginoglu@gmail.com> writes:
[...]
OE> #iptables -A INPUT -p ICMP -j DROP Ping'leri Yasaklıyoruz
Bunu yapmayin. ICMP pingden ibaret degil. Malesef bu cehalet cok
yaygin. Pingden hoslanmiyorsaniz soyle yapin:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
bkz:
http://www.iana.org/assignments/icmp-parameters
OE> giremiyorum... Problemin kaynağı da 2. satırdaki #iptables -A
OE> INPUT -p tcp -j DROP kısmı olduğu gözüküyor. Onu sildiğim
OE> zaman sorun ortadan kalkıyor ama o zaman da bütün girişleri
OE> kapatmamış oluyorum.
O tablo bir sunucu icin hazirlanmis ve baglantilarin sadece belirli
servislere yapilacagi disari hicbir baglanti yapilmayacagi farzedilmis.
O makineden disari TCP baglantisi yapilamaz eger acilan protlardan
yapilmadiysa. Mesela ident, veya TCP kullarak DNS sorgulmasi
yapilamaz. UDP'ye de hic ellenmemis. Baslangic icin belki cok fena bir
ornek degil, ama pek guvenmeyin bence.
Bir TCP baglatisi <sizin_ip, sizin_port> <dis_ip, dis_port> arasindaki
paket trafigi olabiliyorsa calisir. Yukarki kurallara gore sizin port
80. 21, 25, 110 degilse bu trafik olamayacak. Sizden disariya olan
baglantilar 'ephemeral' (gecici?) port denen ve degisebilen portlardan
yapilir (sistemden sisteme degisiyor bu ama IANA 49152-65535 diyor).
Siz bu portlari kapatmis oldugunuz icin disariya baglanti kuramiyorsunuz.
Bu tarz bir filtre kuracaksaniz o kuralin yerine mesela sunu
deneyebilirsiniz:
iptables -A INPUT -p tcp --syn -j DROP
(iceri dogru acilmak istenen tcp baglantilarini engeller).
_Sadece_ ornek olarak yaziyorum bunu, eger ciddi bir sekilde filtreleme
yapacaksaniz cok daha komplike kurallar koymaniz gerekecektir. Ben kendi
makinemde isi tavsiye edilecek duzgunlukte yapmadigima inaniyorum onun
icin tam bir liste vermiyorum.
kolay gelsin,
BM
Reply to: