Iptables Örnekleri
Iptables kullanımı hakkında güzel örneklerin olduğu bir site
27,042 Okunma Henüz yorum yapılmamış 06/06/2011 11:56:23 24/10/2014 11:57:25
IP Tables bir takım kurallar(rules) ve eylemlere(actions) göre davranır. Kurallar hangi paketler (ör. belli bir ağdan gelen paketler) için hangi eylemlerin (ör. paketlerin düşürülmesi) gerçekleştirileceğini belirlerler. Netfilter her paket için bütün kuralları sırasıyla işletecektir. Eşleşen bir kural bulduğunda bu kural için tanımlanan eylemi işletir.
ile kılavuzu okuyabilirsiniz.
Tablolar
iptabes ismi iptables'ın tablolar üzerinde çalıştığı gerçeğinden gelmektedir. Tabloların her biri belli bir paket davranışı üzerinde özelleştirilmiştir. Aşağıdakiler Linux 2.6.8 çekirdeği üzerinde varolan tablolardır(değişik çekirdek sürümlerinde değişik tablolar olabilir):
Tablo | Anlamı |
---|---|
raw |
Paketlerin düşük seviye ayrıştırılması. |
nat |
Paket başlığında değişiklikler (where NAT takes place). |
mangle |
Özelleştirilmiş paket ayrıştırması. |
filter |
Paket filtreleme. |
Paketle ne yapmak istediğinize bağlı olarak uygun bir tablo bulunmaktadır.
Zincirler (Chains)
Ip Tables'ta, her tabloya yapışık ve herbiri farklı trafik tipiyle ilişkili birçok zincir vardır:
Zincir | Anlamı |
---|---|
PREROUTING |
Yönlendirmeden(routing) devreye girmeden makineye gelen trafik. |
INPUT |
Makinenin kendisine gelen trafik. |
FORWARD |
Makine üzerinden geçen trafik (başka makinede üretilen, hedefi başka makine olan). |
OUTPUT |
Yerel olarak yaratılmış trafik (hedef yerel ya da dış bir makine olabilir). |
POSTROUTING |
Dışarı giden trafik. |
Ayrıca kendi zincirlerinizi oluşturmak da mümkün.
Veri Akışı
Linux çekirdeğinde her tablo/zincirde veri akışı aşağıdaki grafikte gösterilmiştir. Her kutuda zincir ve o zincir için geçerli tablolar gösterilmiştir. Trafik her zincir için geçerli her tablodan sırasıyla geçmektedir. Örneğin, PREROUTING zincirinde raw, mangle ve nat tabloları var. Trafik akışı sırasıyla bu tabloların üçünden de geçer.
Incoming Traffic | | V +----------+ |PREROUTING| +----------+ | raw | <--------------+ | mangle | | | nat | | +----------+ | | | | | Routing | +- Decision -+ | | | | | | | V V | Local Remote | Destination Destination | | | | | | | V V | +--------+ +---------+ | | INPUT | | FORWARD | | +--------+ +---------+ | | mangle | | mangle | | | filter | | filter | | +--------+ +---------+ | | | | | | | V | | Local | | Machine | | | | | | | | V | | Routing | | Decision | | | | | | | | V | | +--------+ | | | OUTPUT | | | +--------+ | | | raw | | | | mangle | | | | nat | | | | filter | | | +--------+ | | | | | | +-------------+ | | | POSTROUTING | Local +----> +-------------+ --> Traffic | mangle | | nat | +-------------+ | | V Outgoing Traffic
Örnek olarak makinede üretilen ve yine makineye dönen bir trafik şu şekilde bir yol izler:
Kurallar (Rules)
Belli zincir/tablolar için hangi paketlere hangi eylemlerin uygulanacağını belirlemek için kurallar tanımlamak yeterlidir. Bütün kurallar bütün zincirlere uygulanmaz.
Zincir yönetiminde kullanılan bazı seçenekler ve parametreler
Zincir yönetiminde kullanılan seçenekler:
Zincirlere kural tanımlamak için:
Zincirdeki kuralların yönetiminde kullanılan parametrelerden bazıları:
Basit Komutlar
komutu iptables'taki kurallarınızı listeler. Eğer henüz herhangi bir kural tanımlamadıysanız şu şekilde bir çıktıyla karşılaşıcaksınız:
Kurulu Oturumlara İzin Vermek:
Halihazırda kurulu oturumların trafiğine izin vermek için:
Belli Bir Porttan Gelen Trafiğe İzin Vermek
Öntanımlı SSH portundan (22) gelen trafiğe izin vermek için, iptables'a bu porttan gelen bütün TCP trafiğine izin vermesini söyleyebilirsiniz:
Komutu incelersek:
Bu eklemelerden sonra kuralları tekrar kontrol edersek:
Şimdi gelen bütün web trafiğine izin verelim:
Kurallarımızı tekrar kontrol edelim:
Özel olarak ssh ve web trafiğine izin verdik ama herhangi bir engelleme yapmadığımız için bütün trafik devam edecektir.
Trafiği Engelleme
Bir paketi kabul etmek için bir kural tanımladığımızda, diğer kurallar onu etkilemez. Ssh ve web trafiğine izin veren kurallarımız önce geldiği sürece bütün trafiği engellesek de bu portlardan gelen trafik devam edecektir. Önemli olan bu kuralı sona eklemektir:
Özel olarak herhangi bir arayüz(interface) belirtmediğimiz için, ssh ve web haricinde bütün portlardaki ve arayüzlerdeki trafik engellenir.
iptables Düzenleme
Son tanımladığımız kuralla loopback arayüzü de engellenmiş oldu. Engelleme kuralını özel olarak -i eth0 ile sadece eth0 için tanımlayabilirdik. Bunun yanında loopback için de bir kural ekleyebiliriz. Kuralımızı eklediğimizde en sona geleceği ve onun öncesinde bütün trafiği engellediğimiz için bir işe yaramayacaktır. Bu yüzden bu kuralı dah önceye eklemeliyiz:
Bu açıdan bakınca ilk ve son satır neredeyse aynı. Daha detaylı bakmak için:
Kaynaklar
Iptables kullanımı hakkında güzel örneklerin olduğu bir site
27,042 Okunma Henüz yorum yapılmamış 06/06/2011 11:56:23 24/10/2014 11:57:25
Özellikle bir yerel ağı internet için filitrelemek istiyorsanız Ipcop aradığınız çözümlerden biri olabilir.
24,548 Okunma 1 Yorum 27/04/2011 11:07:41
Internete bağlanan her sistem potansiyel saldiri tehlikelerine gebedir.Bir saldirgan direkt olarak veya kendini gizleyerek sisteme sızmak isteyebilir.Güncel Linux çekirdeklerinde kullanılan firewall'larin son gözdesi iptables, paket filtrelemesi yaparak erişim yetkisini belli bir seviyede tutar.Bilinmelidir ki sistem kurulmaya başladigi andan itibaren, yönetim politikasinin belirlenmeye başlamasi ve firewall'un bu politika üzerine inşası şarttır.Netfilter ( iptables ) kurulmadan önce, kullanıcının gereksiz servisleri çalıştırmaması ve gerekli olanlarda daha seçici davranması gerekir.
21,831 Okunma Henüz yorum yapılmamış 06/06/2011 09:32:30
Açık Kaynak Kodlu Firewall Projesi 3.0 Kurulum Bilgileri
21,520 Okunma Henüz yorum yapılmamış 13/10/2011 22:23:16 24/10/2014 11:50:48
Dosya, Kelime, Site, Url, İp bazlı erişim ve yasaklama işlemleri
21,093 Okunma Henüz yorum yapılmamış 13/08/2012 11:51:41 20/01/2014 14:37:04
Transparent modda 443 portunu squid acl leri ile engelleyemezsiniz. Iptables kullanarak kısıtlma yapabilirsiniz. Bu işi iptables ile yapabilirsiniz.
19,714 Okunma Henüz yorum yapılmamış 18/05/2011 11:57:30 24/10/2014 11:51:18
18,501 Okunma Henüz yorum yapılmamış 31/05/2011 11:56:10
smootwall ile ağ üzerinde kullanılan Remote access, File transfer, Email and News, Instant Messaging, Multimedia, Gaming, Web gibi protokollerden dilediğinizi yasaklayabilirsiniz.
18,262 Okunma Henüz yorum yapılmamış 10/08/2012 12:10:56 24/10/2014 12:06:40
SmoothWall Express Menüleri ve Kullanımı
18,106 Okunma Henüz yorum yapılmamış 13/10/2011 13:04:34 24/01/2014 13:06:24
IPCop tan daha iyi verim alabilmek için addon server kurup diğer addonları (eklentileri) kurmanız gerekiyor.
18,000 Okunma Henüz yorum yapılmamış 02/05/2011 11:44:35
Genel olarak transparent proxy kullanılsada, transparent olmayan proxy daha gelişmiş içerik filitrelemesi yapmaktadır. Aynı zamanda UltraSurf gibi HTTPS üzerinden webe çıkan uygulamalarda engellenmektedir.
17,743 Okunma Henüz yorum yapılmamış 17/10/2011 12:51:44 24/10/2014 11:52:42
İçerisinde Clamav ve Fprot virüs tarayıcıları olan ve spam maillere kadar filitreleyen bir ipcop eklentisi
17,405 Okunma Henüz yorum yapılmamış 31/05/2011 14:39:30
Açık Kaynak Kodlu Firewall Projesi SmoothWall Express 3.1 Kurulum Bilgileri
17,379 Okunma Henüz yorum yapılmamış 13/01/2014 11:29:29 20/01/2014 11:32:27
SmoothWall ve IpCop için kurul aynı sadece kaynak dosyalar farklıdır...
17,108 Okunma Henüz yorum yapılmamış 31/05/2011 15:44:45
Smootwall ve URLFilter eklentisi ile filitrelediğiniz sistemde bazı bilgisayarların filitreleme dışında kalmasını isterseniz aşağıdakileri yapmalısınız.
15,185 Okunma Henüz yorum yapılmamış 04/04/2013 17:31:54 04/04/2013 17:32:13
Ultrasurf, Hotspotshild gibi https üzerinden veri çekebilen ve böylelikle web filitrelerini aşan yazılımlara karşı smoothwall ile başa çıkmanız mümkün.
15,168 Okunma Henüz yorum yapılmamış 04/04/2013 12:52:14 24/10/2014 11:54:49
iptables için 20 başlanğıç örneği
14,261 Okunma Henüz yorum yapılmamış 20/02/2014 12:56:30 05/09/2018 00:31:21
Toplam internet hızınızı var olan bilgisayarlarınıza adil olarak paylaştırmak için smoowwall Download throttling ayarlarını kullanabilirsiniz.
13,566 Okunma Henüz yorum yapılmamış 24/01/2014 11:23:13 11/04/2014 11:25:07
iptables ile youtube.com, facebook.com gibi bazı özel adresleri nasıl engelleyebilirsiniz?
13,441 Okunma Henüz yorum yapılmamış 20/02/2014 13:11:40 24/10/2014 11:48:37
smoothwall web filitre Sunucunuz varsa web kullanıcılarınıza kullanıcı adı ve şifre karşılığı web hizmeti verebilirsiniz.
13,382 Okunma Henüz yorum yapılmamış 24/01/2014 15:41:11 24/01/2014 15:42:57
Çeşitli smoothwall sorunları için çözümler
12,490 Okunma Henüz yorum yapılmamış 11/02/2014 14:54:15 02/12/2015 14:54:34
Httpsli URLleri engelemek için bu sitelerin ipsini yasaklamak yeterli.
2,698 Okunma Henüz yorum yapılmamış 05/03/2020 13:50:44 05/03/2020 13:51:17
Sistem güvenliği ve kullanıcıların kontrol altında tutulması için piyasada bir çokfirewall ve benzeri gerek donanımsal gerekse yazılımsal olarak bir çok ürün bulunmaktadır. Pfsense ?de BSD tabanlıyazılımsal bir firewalldır. Ürününmsn yada program yasklama,web içerik filtreleme,kullanıcı kısıtlama ve vpn gibi çok kullanışlı özellikleri bulunmaktadır.
2,455 Okunma Henüz yorum yapılmamış 05/02/2020 11:17:43 06/02/2020 14:37:06
Makalemizin bu kısmında sizlere web filtreleme, kullanıcı bazlı kısıtlama yapabileceğimiz squid ve squidguard paketlerinin kurulumu ve yapılandırması hakkında bilgi vereceğim. Makale serimizin önceki bölümlerinde Pfsense hakkında yeteri kadar açıklama ve ön bilgi verdiğim için lafı fazla uzatmadan konun anlatımına geçmek istiyorum.
2,401 Okunma Henüz yorum yapılmamış 07/01/2020 10:56:37 07/01/2020 10:57:07
2,382 Okunma Henüz yorum yapılmamış 07/01/2020 10:54:45
Pfsense konulu makalemizin serimizin bu bölümünde 5651 yasalı kanun gereği kullanıcılarımız internet log ?larının kayıt altına alınması konusunu inceleyeceğiz.
2,305 Okunma Henüz yorum yapılmamış 07/01/2020 10:53:20