From: ILKER FICICILAR (ilkerf at isbank dot net dot tr)
Date: Thu 01 May 2003 - 20:46:38 EEST
Merhablar,
On Mon, 28 Apr 2003 23:03:50 -0700 (PDT)
nurullah sarkbulbulu <nurullah_sarkbulbulu at yahoo dot com> wrote:
...
> Kablo modemle internete ba_l_ ana makinam_z var. Di_er
> Pc'ler bu bilgisayar vas_tas_yla internete __k__
> yap_yorlar. Yanl_z bu pc'ler den baz_lar_n_n _rne_in
> 192.168.0.2 ve 192.168.0.3 ip'li pc'ler interneti
> s_n_rs_z bir _ekilde kullanmas_n_ istiyorum. Di_er
> pc'ler ise yanl_zca belirli sitelere girebilsin
> istiyorum.
>
Bu belirli siteler ne kadar belirli? Cok sayida ise bunu iptables ile
yapmak uygun olmaz.
> IPTABLES ile bunu nas_l yapabilirim.
izinli IP'leri bir dosyaya doldurmakla baslayabiliriz. Hatta aglariyla
beraber. Mesela bu kullanicilar, dns sunuculara (212.156.4.1,
212.156.4.4, 212.156.4.20), www.linux.org.tr'ye(139.179.30.240),
pamukbanka(193.108.213.8, 212.252.113.80), Garantiye(194.29.211.10,
194.29.215.153) ve bütün ODTÜ kampüs agIna(144.122.0.0/16)
girebilsinler. serbestipler.txt dosyamiz:
212.156.4.1
212.156.4.4
212.156.4.20
139.179.30.240
193.108.213.8
212.252.113.80
194.29.211.10
194.29.215.153
144.122.0.0/16
simdi bunu iptables'in FORWARD zincirine ekleyelim:
#!/bin/sh
# önce eski girdileri temizleyip varsayilan davranisi belirleyelim:
iptables -F FORWARD
iptables -P FORWARD ACCEPT
# hangi ethernet kartindan internete cikiliyor?
DEV=eth1
# serbestipler.txt dosyamiz /usr/local/share altinda olsun örnegin:
cat /usr/local/share/serbestipler.txt | while read ipler
do
iptables -A FORWARD -o $DEV -s 192.168.0.2 -d $ipler -j ACCEPT
iptables -A FORWARD -o $DEV -s 192.168.0.3 -d $ipler -j ACCEPT
done
# simdi de halihazirdaki baglantilari korumaya alalim:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# ve ilgili makinalardan gelen diger istekleri iptal edelim.
iptables -A FORWARD -o $DEV -s 192.168.0.2 -j DROP
iptables -A FORWARD -o $DEV -s 192.168.0.3 -j DROP
# hepsi bu kadar.
# istemcilere daha nazik olmak isterseniz, basibos baglanti birakmamak
# için DROP yerine REJECT de yazilabilir.
Bu yukaridakileri kesip bir script haline getirip çalistirabilirsiniz.
Bir makinada denemedim ama görebildigim kadariyla hata yok, calismasi
lazim. Varsa da listeden hemen bir düzeltme gelir sanIyorum.
Bu arada bu örnekte ODTÜ aGIndan 65bin makinaya serbest gecis
verdik. Bu iki makinadaki arkadaslar elbet bir sekilde ODTÜ'den bir
proxy bulup diger yerlere çikabilirler de. Ag adreslemesi belirtirken
buna dikkat etmekte yarar var. Mesela 212.156.4.0/24 derseniz, TTNET
proxy'lerine de gecis vermis oluyorsunuz farketmeden.
> Not: SQUID kullanam_yorum __nk_ web tabanl_ _zel bir
> program kullan_yoruz. SQUID olursa bu program
> _al__m_yor.
>
Squid'in "cache_peer" ve "cache_peer_domain" gibi directive'leri var.
Bunlarla baska proxy'leri kullanabiliyorsunuz. Bir inceleyin isterseniz.
Hoscakalin.
-- ... ilker FIÇICILAR ilkerf at geocities dot com ... ftp://ekitap.2y.net/ . Elektronik Kitaplar ... http://ekitap.2y.net/ftp.php . E-Kitap Dizini ... http://ilkerf.tripod.com/teknik/ . Linux & Bilgi ... http://ekitap.kolayweb.com/ . Palm icin E-kitap ... http://mezopotamya.tripod.com/ . Arkeoloji ... http://nukleer.findhere.org/ . Nukleer Enerji ... http://ilkerf.tripod.com/cbm.html . C64/C128 ------------------------------------------------------------------ Virus taramasi Vexira AV programi kullanilarak Is Net tarafindan yapilmistir. This e-mail is checked by Is Net against all known types of viruses using Vexira AV. Is Net'in en ucuz saatlik kullanim paketi Teneffus.Net'i ve en ucuz sinirsiz erisim paketi Taksitli Ekonet'i duymus muydunuz? http://www.isnet.net.tr/teneffusnet/ http://www.isnet.net.tr/taksitliekonet/