Re: [FreeBSD] ipfw

[Mesut GÜLNAZ]

254 de yapılacak yönlendirme için sorun olmaz sanırım. paket servera ulaşır 
ve serverın LAN tarafından dışarı çıkar. ama dediğim gibi client ın bu 
yönlendirmeden haberi olmadığı için cevabı 212.2.2.2 den bekliyor olacak. 
mail server tarafında da NAT yapılmadığı için 212.2.2.2 deb beklenen cevap 
10.0.0.2 den gelcek. o nedenle client tarafında istek dışı port bağlantısı 
oluşabilir..

fikriniz nedir?
----- Original Message ----- 
From: "Huzeyfe Onal" <[EMAIL PROTECTED]>
To: <freebsd@lists.enderunix.org>
Sent: Wednesday, November 02, 2005 11:03 AM
Subject: Re: [FreeBSD] ipfw


merhaba,
routing yapildiginda source ve destination degismiyor. Paket
10.0.0.2'ye ulastiginda geri donmesinde source IP icin routing
girilmisse paket sorunsuz geri donmesi lazim.

02.11.2005 tarihinde Mesut GÜLNAZ <[EMAIL PROTECTED]> yazmış:
yalnız şöyle bir durum söz konusu olmaz mı?
10.0.0.24 den 212.2.2.2 ye istek 10.0.0.254 e geliyor
10.0.0.254 paketi 10.0.0.2 ye yönlendiriyor. source değişmedi sadece
destination değişti. destination da firewall ın kendi bacağında olacağı 
için
yine LAN a girdi. LAN da 10.0.0.2 ye erişti. cevap ise istek gelirken
kullanılan source a gidecek. o network de bacaklarından birisi olduğu 
için
yine LAN a gidecek. client a ulaştığı zaman eski windows 98 lerdeki gibi 
bir
sıkıntı meydana gelecek. çünkü client 212.2.2.2 ye istekte bulundu ama 
cevap
10.0.0.2 den geldi. o nedenle çalışmayacaktır. çalışavilmesi için bir 
önceki
mailimde de belittiğim gibi mailserverın çalıştığı server üzereine bir
firewall çalıştırarak eğer hedef 10.0.0.0/24 ise source u 212.2.2.2 
olarak
değiştirmek için NAT kuralı yazılmalı diye düşünmüştüm..

teşekkürler..

----- Original Message -----
From: "Huzeyfe Onal" <[EMAIL PROTECTED]>
To: <freebsd@lists.enderunix.org>
Sent: Wednesday, November 02, 2005 10:22 AM
Subject: Re: [FreeBSD] ipfw


> merhaba,
> routing'de 212.li segment icin 10.0.0.2 ye gondermeniz cevabin
> 10.0.0.2'den  gelecegini soylemez. 10.0.0.2, 212 li makine kendisine
> hangi IP den istek gelirse o IP den cevap dondurmeye calisacaktir.
>
> 02.11.2005 tarihinde Mesut GÜLNAZ <[EMAIL PROTECTED]> yazmış:
>> Mail serverınız hangi IP leri dinliyor onu kontrol ederek
>> başlayabilrseniz!
>> Eğer tüm interface leri dinliyor ise LAN tarafından mailserverınıza
>> erişmeye
>> çalışın. LAN IP lerini yazarak.
>>
>> Eğer LAN IP lerini yazarak erişebiliyorsanız o zaman yapacağınız iş 
>> çok
>> basit.
>>
>> DNS kayıtlarınıza LAN dan gelen mail.server.com için 10.0.0.2 yi reply
>> olarak göndermek.
>>
>> DNS olarak ne kullanıyorsunuz bilmiyorum ama bind da bu oldukça basit.
>> LAN
>> dan gelen sorgular için mail.server.com IP=10.0.0.2 diğerleri için
>> mailserver_real_IP
>>
>> sorununuz sanırım bu şekilde hallolacaktır.
>>
>> iyi çalışmalar.
>>
>> Not: yönlendirme de yapabilirsiniz ama mailserverserver_real_IP den
>> 10.0.0.0/24 (LAN) a gelen paketler istekte bulunan clientlerda sıkıntı
>> yaratacaklardır. çünkü onalr mailserver_real_IP ye istekte 
>> bulunacaklar
>> ama
>> cevap 10.0.0.2 den gelecek. açılmamış bir session ın cevabını alacak. 
>> o
>> nedenle sıkıntı yaratır. ama mailserver_real_IP tarafında firewall 
>> kurup
>> 10.0.0.2 tarafında
>> destination 10.0.0.0/24 ise mailserver_real_IP ile NAT yaparak çık
>> derseniz
>> yine çalışmalı. bu şekilde ise her istekte firewall ordanda mail cevap
>> ise
>> direkt olarak client a ulaşacaktır. bence dns kayıtları ile bunu çok 
>> daha
>> rahat halledebilirsiniz!
>>
>>
>> ----- Original Message -----
>> From: "Ahmet FIRAT" <[EMAIL PROTECTED]>
>> To: <freebsd@lists.enderunix.org>
>> Sent: Tuesday, November 01, 2005 10:28 PM
>> Subject: [FreeBSD] ipfw
>>
>>
>> > Merhabalar
>> >
>> > 2 adet sunucum var birtanesinde squid ve ipfw ile paylasim ve 
>> > guvenlik
>> > saglamakta adsl uzerinden diger sunucum ise postfix kurulu ve
>> > leasedline
>> > hat ile internete bagli kullanicilar internete firewall userinden
>> > cikiyor.
>> > mail serverda 2 ethernet var ve birisinde 10.0.0.2 tanimli digerinde 
>> > de
>> > 212.2.2.2 gibi bir ip tanimli firewall da ise local de 10.0.0.254 ve
>> > diger
>> > bacagi da adsl router da sistemde sorun olmadan calismakta fakat bir
>> > sorunum var
>> >
>> > local userlar da pop3 hesaplarinda mail.domain adi var ve internete
>> > adsl
>> > den cikip leasedline uzerinden gecip maillerini aliyorlar 
>> > dolasiyorlar
>> > biraz :) internet kesildiginde ise tamamen trafik duruyor :( benim
>> > istedigim ise bu 212.2.2.2 li ip li network e localden ulasmalari 
>> > bunu
>> > nasil yaparim direk benim networkum uzerinden email alisverislerini
>> > yapsin
>> > user adsl den cikip tekrar leasedline hattan dolasip gelmesin ? hem
>> > bantgenisligimi kullaniyor hemde adsl de sorun oldumu calismiyor 
>> > yada
>> > nasil bir cozum onerirsiniz ? 2 ayri sunucu kullanmam sart
>> >
>> >
>> > semasal cizersek
>> >
>> > Adsl router-192.168.1.1-------192.168.1.2=BSD=10.0.0.254 ------  
>> > local
>> > network
>> >
>> > leasedline modem= 212.2.2.1-----212.2.2.2 BSD postfix =
>> > 10.0.0.2-------local network
>>
>>
>> ---------------------------------------------------------------------
>> Cikmak icin, e-mail: [EMAIL PROTECTED]
>> Liste arsivi: http://lists.enderunix.org
>> Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
>>
>>
>>
>
>
> --
> Huzeyfe ÖNAL
> ---
> First Turkish Qmail book is out! Go check it.
> Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti.
> http://www.acikakademi.com/catalog/qmail/
>


---------------------------------------------------------------------
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php





--
Huzeyfe ÖNAL
---
First Turkish Qmail book is out! Go check it.
Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti.
http://www.acikakademi.com/catalog/qmail/



---------------------------------------------------------------------
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php