ÇözümPark Bilişim Portalı Onursal Üyelerinden Mesut ALADAĞ Microsoft tarafından 2008 yılı içerisindeki paylaşımlarından dolayı Most Valuable Professional ( MVP ) sertifikası ile ödüllendirmiştir.Bu mutlu haberi sizler ile paylaşmaktan mutluluk duyuyorum . Hayırlı olsun Mesut hocam .Aramıza hoşgeldin .
Daha önceki bölümlerde hem Server 2003 hem de güvenlik tarafında bir çok makale yazmıştım.Bu bölümde ise Server 2003 ve güvenlik başlıklarını birleştirip ortaya yeni bir makale çıkaracağız.Server 2003 üzerine kurduğumuz DHCP Server rolünün sadece bizim belirlediğimiz MAC adreslerine IP adresi vermesini sağlıyacağız.Bu şekilde şirketimize gelen misafirlerin kafasına göre Ip adresini almasını engelliyeceğiz.
Hepimizin bildiği ve dikkat etmiş olduğu gibi güvenlik hayatımızın en önemli parçasıdır.Özellikle şirket networklerimizin güvenliğinden sorumlu olan kişiler olarak bizler,mutlaka ihtiyaçlarımızı belirlememiz gerekmektedir.Ayrıca bu kullanılacak olan ihtiyaçlarında ne şekilde güvenliğini sağlayacağımızın prosedürlerini de hazırlamalıyız.Bu bölümde her şirketin sıkıntı çektiği konulardan biri olan DHCP’nin otomatik olarak her network kablosunu takan bilgisayara IP adresi vermesini engelliyeceğiz.Tabi ki sizlerin kullanmış olduğu diğer çözümler hakkında da yorumlar yapacağım.Bildiğimiz gibi DHCP Server rolü free olarak 2003 ve 2008 Server işletim sistemlerine kurup kullandığımız ve otomatik Ip adresi yapılandırmasının dağıtılmasını sağlayan roldür.Büyük veya küçük bir çok firma tarafından tercih edilmektedir.Gerçekten bir çok avantajı mevcut olan bu rol sayesinde merkezi bir yerden Ip,DNS,WINS gibi yapılandırmaları yapabilmekteyiz.Ayrıca DHCP,IP çakışmasını önler,zaman kazandırır ve Hatalı konfigürasyonu yapılmasını da engellemektedir.
DHCP Server rolünün bir handikap’ını hepimiz biliyoruz.DHCP Ip adresi dağıtırken client makinasının Domain’de olup olmadığına bakmaz.Bundan dolayı boşta yer alan her network kablosunu takan DHCP’den Ip adresi alabilmektedir.Mutlaka hepimizin şirketlerine denetim,ziyaret,vss için bir çok insan gelmektedir.Ve bu tür kullanıcılar mobil çalışırlar.Peki bilginiz dahilinde olanlar neyse ya başka birisi DHCP’nin dağıtmış olduğu bütün konfigürasyonu herhangi bir Authantication olmadan alıcak olursa?İşte sıkıntı burada başlıyor.Laptop’a kabloyu taktı ve Ip,DNS,WINS,Gateway gibi bilgileri DHCP verdi.Eğer birde DNS’de Secure Dynamic Update kullanmıyorsanız Local DNS üzerindede bu şahıs host(A) kaydıda oluşturulmuş demektir…:)Benim ve bir çoğumuzun bildiği çok güzel programcıklar aracılığıyla artık networkünüzdeki kaynaklara erişim sağlanabilir.
Bir çoğumuzun bu tür durumlara karşı mutlaka belli başlı çözümleri mevcuttur. Örneğin,dışarıdan gelecek olan misafirler için ayrı Ip subnet’i oluşturmak.Veya ayrı bir WLAN tanımlamak.Veya bir Wireless çözümü ile bu tür şahısların fiziksel networkden uzak tutulması sağlanabilir.Ancak bu tür maliyetlere gerek yok.Sağolsun DHCP MCP takımı böyle bir sıkıntıyı görüp bizim için çok güzel DLL ve Scriptler hazırlamış.Bizzat uygulayan biri olarak çatır çatır çalışıyor.Peki o zaman lafı daha fazla uzatmadan yapacağımız işlemi biraz açıklayalım.Default olarak Server 2003 ve 2008 DHCP MAC filtering’i desteklememektedir.Yani siz MAC ID’si şu olan şahıs Ip adresi alabilsin diyemiyorsunuz. Kullanacağımız bir kaç dosya aracılığıyla DHCP’de MAC Filtering özelliğini aktifleştirip sadece bizim izin verdiğimiz MAC ID’lerin Ip adresi alabilmesini veya alamamasını sağlıyacağız.İlk olarak bir hazırlık aşamamız mevcut.Daha sonrasında beraber konfigürasyonu yapacağız.Yapacağımız işlemler genel başlık altında aşağıdaki gibidir.
● DLL Kurulumu(CalloutMacFilter)
● Gerekli olan Register Keylerinin oluşturulması(CalloutMacFilterReg)
● İzin vereceğimiz veya Yasaklıyacağımız MAC Adreslerini belirlenmesi
● Son olarak DHCP Server’ı bir kereliğine Restart ediceğiz.
Server 2003 DHCP MAC Filtering Uygulaması
1)Arkadaşlar ilk olarak yapımızı tanıtmamız gerekirse denemeleri yapmış olduğum Server 2003 makinesinde AD-DNS-DHCP rolleri yüklüdür.Bende denemeleri Server 2003 üzerinde yapıyorum.Aynı şekilde Server 2008 tarafında da çalışmaktadır.DHCP Serverımız 192.168.1.15-25 arasındaki blogları dağıtmaktadır.Yani kullandığım IP bloğu 192.168.1.x\24’dir.
2)Microsoft DHCP Team tarafından oluşturulan CalloutMacFilter.MSİ dosyasını kurarak gerekli DLL’lere sahip oluyoruz.Ancak dikkat edilmesi gereken bir nokta var.Bu MSI dosyasını dhcp server kurulu olan makinede System32 altına atıp orada kuruyoruz.
Aşağıdaki linki kullanarak gerekli dosyayı download edebilirsiniz.
3)Hepimizin kurabileceği tarzda basit bir uygulama.Eminim herkes kurabilir…:)
4)Evet kurulum bitti. Söylediğim gayet kısa. Bu işlemden sonra System32 altına 2 adet dosya gelmesi gerekiyor. Biri MacFilterCallout.dll,diğeri ise step by step doküman olan SetupDHCPMacFilter.rtf.Yaptığımız işlemlere bu dosyadan da ulaşabilirsiniz.
5)Sıra geldi Register keylerini oluşturmaya. İster manuel elle oluşturabilir,isterseniz yine aşağıdaki linkden hazır Callout_DHCP.reg dosyasını indirerek sadece bir çift tıklamayla gerekli keylerin oluşmasını sağlayabilirsiniz.
6)Çift tıklayarak keyleri yüklüyoruz.
7)Toplamda oluşması gereken keyleri isterseniz hazırda gelen register dosyasını editleyere görebilirsiniz. Eğer keyleri Manuel oluşturacaksanız aşağıdaki tablo daha çok yardımcı olacaktır.
|
Key Name |
Key Type |
Description |
|
CalloutDlls |
REG_MULTI_SZ |
The location of the MacFilterCallout.dll |
|
CalloutEnabled |
DWORD |
0 = Disable MacFilterCallout |
|
CalloutErrorLogFile |
REG_MULTI_SZ |
Log path. If this registry key is not specified, callout dll will output errors %WINDIR%\System32\Log.txt |
|
CalloutInfoLogFile |
REG_MULTI_SZ |
Info log path. If this key is not present, no information messages will be logged. |
|
CalloutMACAddressListFile |
REG_MULTI_SZ |
This is the name and location of the MAC filtering list you’re going to be creating next. |
8)Keyleri kontrol edelim bakalım.
9)Evet keyleri gördükten sonra DHCP Server servisini bir stop-start yapıyoruz.
10)Gerekli DLL’lerin yüklendiğine dair loglarıda kontrol edebilirsiniz.(Event ID:1033)
11)Register keyleride yüklendikten sonra System32’nin altında MacFilterCallout.dll, MacFilterCallout.log, MacFilterCalloutinfo.log dosyalarını görmemiz gerekmektedir.Ek olarak MACList.txt ismini vererek kendimiz bir tane Notepad dosyası oluşturuyoruz.İzin vereceğimiz veya bloklayacağımız MAC adreslerini bu dosyaya yazacağız.
12)MACList.txt dosyasını açıp aynen aşağıdaki yazım formatında olduğu gibi DHCP’den Ip adresi almasına izin vereceğimiz bir MAC adresi(Client01) giriyoruz.Sizlerinde tahmin edebileceği gibi eğer ALLOW yerine DENY yazarsanız,girmiş olduğumuz MAC adreslerine Ip adresi verilmeyeceği anlamına gelir.Bu dosyaya her girdiğimiz MAC adresinden sonra DHCP Servisini restart etmemiz gerekmektedir.Son bir hatırlatma olarak mutlaka MAC adreslerini küçük harfle yazmanız gerekmektedir.Büyük harf kullanırsanız çalışmayacaktır.
13)Evet geldik test aşamasına arkadaşlar test ortamımızda client01 ve client02 isimlerine sahip 2 tane Xp makinesi bulunmaktadır. Her ikiside workgroup’da çalışıyor.Senaryomuz gereği Client01 makinesine MAC adresine izin verip DHCP’den Ip adresi almasını sağlayacağız.Client02 ise DHCP’den Ip adresi alamayacak.Bu 2 makinenin konfigürasyonu aynen aşağıdaki gibidir.Yukarıdaki Maclist.txt dosyasına ben Client01’in MAC adresini girdim.
14)Bütün işlemlerden sonra artık kontrol yapabiliriz. Aynen aşağıda görüldüğü üzere Client01 makinemiz Ip adresi almaktadır.
15)Peki Client02 makinesi Ip adresi almaya çalıştığı zaman durum ne olacak derseniz. Aynen aşağıdaki gibi bir mesaj alacaktır.
16)Ve tabii ki son olarak System32 altındaki MACFilterCalloutInfo.log dosyasına bakarak kimlerin,daha doğrusu hangi MAC’lerin Ip adresi alabildiği görebiliriz.Aynı zamanda hangi MAC’lerin bloklandığını görebilmek içinde bu log dosyasını kullanabiliriz.
Evet arkadaşlar bir makalenin daha sonuna geldik.Bu bölümde olmazsa olmazlarımızdan olan güvenlik için bir başka çözüme baktık.Özellikle DHCP kullanan şirketler için maliyetsiz ve bedava olarak kullanabilecek olan bu seçenek ile DHCP’nin kimlere Ip adresi verebileceğini belirleyebilmekteyiz.Bir başka makalede görüşmek üzere,
Hoşçakalın
Kaynak:
Vermiş olduğum kurumsal eğitimlerde öğrencilerimin %90’ından mutlaka bu sorun ile alakalı bir şeyler söylüyorlar. Bu makale hepimizin işini görecektir.
Serhad MAKBULOĞLU
Hayatımıza katılan yeni nesil iletişim teknoloji 3G’yi barındıran Iphone ile Exchange Server 2007’Nin ActiveSync, Push e-mail özelliklerini nasıl kullanabileceğimizi anlatacağım.
Exchange Server 2007 ActiveSync desteği ile push email,takvim ve adres defteri özellikleri sunan iPhone 3G,günümüzün en ideal cep bilgisayarı olarak nitelendirebileceğimiz cihazlardandır.iPhone, 3G ve Wi-Fi bağlantıları sayesinde her türlü içeriğe sahip HTML e-mailleri,GPS desteği sayesinde istediğiniz haritaları ve bir mobil cihazda bulabileceğiniz en gelişmiş özellikleri bize sunmaktadır.
ActiveSync Nedir?
Microsoft tarafından geliştirilmiş bir senkronizasyon servisidir.Microsoft Exchange Server üzerinden Email,Contacts ve Calendar senkronizasyonu sağlar.Genellikle mobil cihazlar ile Exchange server arasında çalışmak üzere tasarlanmıştır.Push email yöntemi ile emaillerinizden anında haberdar olabilir yani istediğiniz yerden maillerinizi okuyabilirsiniz.Biz bu makalede iPhone 3G ve Exchange server 2007 ile arasındaki bağlantıyı nasıl yapabileceğimizi inceliyeceğiz.İlk olarak bir kaç anahtar bilgi vermek gerekirse.Kullanmış olduğunuz Iphone versiyonunu 2.0′a upgrade edip,iTunes 7.7 Yüklemelisiniz.Ayrıca sistemde IMAP protokolü kapalı olmalıdır.Ve İphone tarafında Exchange için push e-mail desteğini açmamız gerekmektedir.İlerleyen bölümlerde bu özelliğin nasıl aktif edileceğini anlatacağım.
İPhone3G ve EXCHANGE SERVER 2007 E-MAIL AYARLARI
1) Öncelikle iPhone 3G ayarlarının yapılandırılmasıyla işleme başlıyoruz.Cihazınızın Menüsünden Settings kısmına giriniz.Karşınıza gelen ekranda Mail contacts,calendars bölümünü şeçip ardından Add Account diyoruz.
2) Karşımıza gelen ekranda Microsoft Exchange’ı şeçiyoruz.Sonrasında ise örnek bir kullanıcı profili tanımlıyoruz.Senaryom gereği cozumpark@cozumpark.com mail adresini cihaza tanımlıyorum.E-mail Adresi,Username ve Password bilgisini belirtmemiz gerekmektedir.Eğer isterseniz zorunluluk olmamakla birlikte Domain Name ve Description’da yazabilirsiniz.
3)Gerekli bilgileri girdikten sonra SSL sertifıkasını Accept diyerek kabul ediyoruz.
4)Son olarak erişmek istediğiniz servisleri ON olarak şeçiyorsunuz.Burada tavsiyem contacts şeçerken önce yedek alın yoksa bu işlemden sonra siliniyor.Synch diyerek sekronizasyonu başlatabilirsiniz.
5)Iphone tarafında yapmamız gereken ayarlar bukadardı.Şimdi gelelim DNS ve Exchange Server 2007’deki ayarlarımızı yapmaya.DNS’de Exchange Server 2007 makinasını temsil edicek bir Host (A) kaydının bulunması gerekmektedir.Kısa bir şekilde bu işlemi tariff edeyim.Forward Lookup Zone altında etki alanımıza ait olan xx.com.tr üzerine sağ tıklayıp New Host (A)’u seçiyoruz.Kaydın ismini Autodiscover olarak belirleyip Ip adresi kısmına Exchange Server 2007 servisinin kurulu oluduğu serverın IP bilgisini giriyoruz.DNS tarafında yapılması gereken tek ayar budur.
6)Exchange Server 2007 konsolundaki ayarlarımıza gelelim.Exchange Server 2007 konsolunu açıyoruz.Server Configuration altındaki Client Access’e geliyoruz.Karşımıza gelen ekranda Exchange ActiveSync sekmesine geçiyoruz.
7)Listedeki varsayılan web site’a sağ tıklayıp özelliklerine giriyoruz.Internal URL(https://cozumpark.local) kısmına şekilde görüldüğü gibi yazıyoruz default olarakta geliyor.External URL(https://cozumpark.com) kısmına ISP tarafından çözümlenen isim bilgisini giriyoruz.
9)Daha sonra Authentication sekmesindeki ayarları aynen aşağıdaki gibi yapıyoruz. İsterseniz Basic Authentication’ı seçebilirsiniz ancak Clear Text çalıştığından dolayı tavsiye edilmez.Ayrıca,Server Configuration altındaki Client Access’e geldiğimiz zaman karşımıza gelen ekrandaki “Exchange ActiveSync” tabında SSL Enabled :True olmalıdır.
10)Sonrasında,Organization Configuration-Client Access gelerek Exchange ActiveSync Mailbox Policies oluşturabilirsiniz.Biz burada güvenlik için şifre gerekliliğini ayarlıyacağız.Bunun için Default yazılı olan kuralın özelliklerine geliyoruz.
11)Sonrasında açılan pencereden Password sekmesine geçiyoruz.Require Password seçeneğini aktif hale getiriyoruz..Bu bölümde kendi güvenlik politikalarınıza göre ayarlarınızı güncelliyebilirsiniz.Ben Minumum 6 karakterli Complex bir şifre seçeneklerini işaretliyorum.
12)Bu pencerede Sync Settings tabını kullanarak da senkronizasyon ayarlarını yapabilmekteyiz.
12)Device sekmesinden ise istediğiniz bağlantı türlerine izin verebilirsiniz.Allow Bluetooth,Allow İnfrared,Wi-Fi desteği gibi.
13)Geldik kullanıcının mobil ayarlarını yapmaya.Exchange ActiveSync için kullanıcıya izin veriyoruz.Çözümpark isimli kullanıcının özelliklerini giriyoruz.
14)Test olarak kullandığımız user hesabında tanımlı olan Mobil cihazları görmek için sağ klik Manage Mobile Device seçeneğini kullanabiliriz.
14)Hepimizin bildiği gibi Exchange Server 2007’de bağlantı default SSL olarak geliyor.IIS üzerindeki SSL ayarlarımız aynen aşağıdaki gibidir.Senaryomuz gereği SSL’li bir bağlantı gerçekleştiriyoruz.
15)Evet en sonunda benim en sevdiğim bir bölüme geldik.Sıra geldi test aşamasına.Artık Iphone üzerindeki mail trafiğini test edebiliriz.Yapıcağımız ayarlar bukadardı.Bundan sonrası sizin internete nasıl çıktığınız ile alakalı.Eğer bir modem üzerinden internete çıkıyorsanız.80 ve 443 numaralı portlara izin vermelisiniz.Eğer yapınızda Isa veya başka bir marka firewall kullanıyorsanız Exchange Server 2007’yi dışarıya Active Sync seçerek Publish etmeniz gerekmektedir.Artık test için örnek bir deneme maili gönderip,Iphone üzerinden maili alabiliriz.
17)Gönderdiğimiz maili Iphone 3G cihazımız üzerinde okuyabiliriz.
18)Evet İnboxımızda 1 adet mail….:)
Evet arkadaşlar bir makalenin daha sonuna geldik.Bu makalede günümüzde en çok merak edilen sorulardan birinin cevabını vermiş olup Iphone 3G kullanarak Exchange Server 2007 ortamındaki maillerimizi nasıl alabileceğimizi anlattım.Bir başka makalede görüşmek üzere,
Hoşçakalın…
Serhad MAKBULOĞLU
IPTables konusunda yeterince bilgi verdiğimi umuyorum. Artık iptables yapılandırması sırasına kullanacağımız Red Hat yâda Fedora işletim sistemlerinde, iptables işlemlerinin nasıl çalıştığına göz atalım.
Red Hat ve Fedora işletim sistemleri üzerinde iptables paketi aksini belirtmediğiniz sürece kurulu gelir. Eğer iptables’ı sistemin açılışı sırasında otomatik olarak başlatmaya ayarladı iseniz o zaman her başlangıç esansında sistem /etc/sysconfig/iptables dosyasını okuyarak, gerekli kuralların çalışmasını sağlar.
/etc/sysconfig/iptables dosyası otomatik olarak system-config-securitylevel programı tarafından oluşturulur. Her defasından system-config-securitylevel kullanılarak yapılan değişiklikler /etc/sysconfig/iptables dosyasına kayıt edilir.
Red hat yada Fedora işletim sistemleri üzerinde iptables kurallarını direkt olarak /etc/sysconfig/iptables dosyasına yazabilirsiniz. Ancak bu pek önerilen bir durum değildir. Iptables kurallarını en güzel yazmanın yolu, bir script dosyası hazırlayarak, bu script dosyası aracılığı ile iptables kurallarını oluşturmanızdır. Yazdığınız script’i çalıştırmadan önce iptables servisini durdurmanız gerekmektedir. Bu işlemleri nasıl yapacağımızı makalenin ilerleyen bölümlerinde göstereceğim.
Sisteminizde çalışan kuralları görmek için service iptables status komutu kullanılır. Yaratmış olduğumuz iptables kurallarını kayıt etmek için ise service iptables save komutu kullanılır. Bu komut çalıştırıldığında iptables kuralları otomatik olarak /etc/sysconfig/iptables dosyasına yazılır.
Kurallarımız kayıt etmemizin diğer bir yolu da iptables-save komutunu kullanmaktır. iptables-save komutu –c anahtarını kullanarak otomatik olarak /etc/sysconfig/iptables dosyasına kuralları kayıt eder. Eğer ikinci bir yedek istersek dosyanın adını değiştirerek, ayrı bir dosyaya da yedek alabiliriz.
#iptables-save –c > /etc/sysconfig/iptables
Kayıt edilen kuralların geri yüklenmesi iptables-restore komutu ile yapılır.
#iptables-restore < /etc/sysconfig/iptables
Iptables konusunda bir hayli bilgi yüklemesi yaptık. Artık örnek bir yapılandırma yapabiliriz. Örnek yapılandırmamızı BÖLÜM 6 da anlatmaya çalışacağım. Örneğimizde adet iptables güvenlik duvarı, Web sunucumuz ve iç ağımızdan oluşan bir yapı olacak. Eğer buraya kadar sabırlı bu makaleyi okuduysanız o zaman BÖLÜM 6 daki örneğimizi kolayca gerçek hayatta uygulayabilirsiniz.
Artık internet bağlı bir sistemde gerçek bir IPTABLES örneği verebiliriz. Aşağıda vereceğimiz örnek IPTABLES kullanarak yerel ağımızı ve Web sunucumuzu dışarıdan gelecek saldırılar karşınsında önleme görevi üstlenecek. Direkt olarak komut satırı yerine, bir script yazarak IPTABLES kurallarımızı oluşturacağız.
Yapımızdan biraz bahsedecek olursak, Güvenlik duvarı görevini üstlenmiş bir adet sunucumuz var. Bu sunucumuz üzerinde iki adet ağ kartı bulunmakta, eth0 ve eth1 . eth1 üzerinden yerel ağımıza bağlanıyoruz, eth0 ise internet çıkışımız. İç ağımız 192.168.0.0 ağı ve domain adımız zanzare.com (İtalyanca da sivrisinek anlamına geliyor). İki adet internet adresimiz var, 10.0.0.1 ve 10.0.0.2( Sadece örnek için bunları kullanıyorum. Siz Internet sağlayıcınız tarafından size verilen IP’leri kullanmanız gerek). Güvenlik sunucumuz ağımız için geçerli ağ geçidi olarak çalışmakta. Web sunucumuzun eth0 üzerindeki IP adresi 10.0.0.2.
Güvenlik sunucumuzun yapacaklarını sıralarsak;
Dış ağ adresli tüm isteklerin, iç ağa geçmesini engelle
Dış ağdan gelen ve iç ağ adresi olan tüm istekleri engelle ancak iç ağ adresleri eth1 üzerinden gelen isteklere izin ver
Localhost adresli tüm dış ağ isteklerini hem eth0 hem de eth1 üzerinde engelle
Güvenlik duvarı arkasındaki kullanıcıların mesajlarına izin ver(localhost ağ birimi üzerinde)
Web sunucusu ile haberleşmeye izin ver.
İç ağdan web sunucusu ile hali hazırda yapılmış bağlantılara izin ver.
Web sunucusundan direkt olarak iç ağa bağlantı yapılmasını engellle
Dışarıdan yapılmış ESTABLISHED yada RELATED bağlantılara izin ver.
Güvenlik duvarı ile dış dünyanın ICMP paketleri dışındaki ESTABLISHED ve RELATED bağlantılarına izin ver.
Dışarıdan yapılacak yeni bağlantıları engelle
İç ağdan güvenlik duvarına yâda güvenlik duvarından iç ağa bağlantılara izin ver.
Ip maskeleme yaparak iç ağın internete çıkmasına izin ver.
ICMP Ping ve Destination Unreachable paketlerine izin ver. Diğerlerini iptal et.
Güvenlik duvarlarını yapılandırmadan önce hangi işlemleri yapacağımızı bir liste halinde yazarsak, kuralların oluşturulması esnasında işimiz oldukça kolaylaştıracaktır.
Güvenlik duvarı olarak yapılandıracağınız sisteme root kullanıcısı olarak giriş yapın ve zanzare.sh adında bir dosya yaratın. Bu dosya içersine aşağıdaki kuralı ister yazarak isterseniz kopyala-yapıştır işlemi ile yazabilirsiniz.
# Ic network adresi eth1 üzerinde 192.168.0.0
# web sunucusu adresi 10.0.0.2
# IP forwarding kapat
echo 0 > /proc/sys/net/ipv4/ip_forward
# Tum kurallari temizle
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
# Geçerli kuralları oluştur
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# İç ağda diş ağ adresli tüm paketleri engelle
iptables -A INPUT -j LOG -i eth1 ! -s 192.168.0.0/24
iptables -A INPUT -j DROP -i eth1 ! -s 192.168.0.0/24
iptables -A FORWARD -j DROP -i eth1 ! -s 192.168.0.0/24
#eth1 haricinde dis agdan gelen ic ag adresli paketleri engelle
iptables -A INPUT -j DROP ! -i eth1 -s 192.168.0.0/24
iptables -A FORWARD -j DROP ! -i eth1 -s 192.168.0.0/24
#lo arayüzü haricindeki tüm ağ birimlerinde localhost adresli tüm paketleri engelle
iptables -A INPUT -j DROP -i ! lo -s 127.0.0.0/255.0.0.0
iptables -A FORWARD -j DROP -i ! lo -s 127.0.0.0/255.0.0.0
#İç ağdan gelen kullanıcılara izin ver
iptables -A INPUT -j ACCEPT -i lo
#Web sunucusu ile bağlantı kurulmasına izin ver
iptables -A INPUT -j ACCEPT -p tcp -i eth0 –dport www -s 10.0.0.2
#Web sunucu ile iç ağdan ESATBLISH durumundaki bağlantılara izin ver
iptables -A INPUT -m state –state ESTABLISHED, RELATED -i eth0 -p tcp –sport www -s 10.0.0.2 -d 192.168.0.0/24 -j ACCEPT
#Web sunucusundan iç ağa yeni bağlantıları engelle
iptables -A OUTPUT -m state –state NEW -o eth0 -p tcp –sport www -d 192.168.0.0/24 -j DROP
#RELATED ve ESTABLISHED diş bağlantılara izin ver
#Dış bağlantıların ICMP paketleri hariç firewall ile bağlantı kurmasına izin ver
iptables -A INPUT -m state –state ESTABLISHED, RELATED -i eth0 -p ! icmp -j ACCEPT
#Dışarıdan yeni bağlantı yapılmasına izin verme
iptables -A INPUT -m state –state NEW -i eth0 -j DROP
iptables -A FORWARD -m state –state NEW -i eth0 -j DROP
#iç ağdan güvenlik duvarına yâda güvenlik duvarından iç ağa bağlantılara izin ver
iptables -A INPUT -j ACCEPT -p all -i eth1 -s 192.168.0.0/24
#IP maskeleme ile ic makinelerin internete çıkmasına sağla
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#ICMP Ping ve Destination Unreachable mesajlarına izin ver
#Diger ICMP paketlerini INPUT ve DROP kurallar ile engelle
iptables -A INPUT -j ACCEPT -p icmp -i eth0 –icmp-type echo-reply -d 10.0.0.1
iptables -A INPUT -j ACCEPT -p icmp -i eth0 –icmp-type echo-request -d 10.0.0.1
iptables -A INPUT -j ACCEPT -p icmp -i eth0 –icmp-type destination-unreachable -d 10.0.0.1
#IP Forwarding opsiyonunu aç
echo 1 > /proc/sys/net/ipv4/ip_forward
Eğer ne yaptığımızı grafik olarak göstermeye çalışırsak;
Eğer komut satırına iptables –L –n komutunu girerseniz aşağıdaki çıktıyı almanız gerekir.
[root@server ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
LOG all — !192.168.0.0/24 0.0.0.0/0 LOG flags 0 level 4
ACCEPT all – 192.168.2.0/24 0.0.0.0/0
DROP all — !192.168.0.0/24 0.0.0.0/0
DROP all – 192.168.0.0/24 0.0.0.0/0
DROP all – 127.0.0.0/8 0.0.0.0/0
