Merhabalar, ben size iki cikisli bir Firewall'da FTP-proxy ornegi vereyim siz onu 6 farkli ip adresi icin uygulayin.
VLAN_1 _Cikis_IP1 ||Firewall-1 || ------Internet VLAN_2 _ Cikis_IP2 Mesela VLAN1 den gelen paketler Cikis_2 den gitsinler , VLAN_1 den gelenler Cikis_1den. Cikis_1 ayni zamanda sistemin default_Gw'i olsun. Bu durumda VLAN1 ve VLAN2 icin iki ayri ftp-proxy calistiracagiz. VLAN1 icin ftp-proxy -a Cikis_IP2 -b 127.0.0.1 -p 8021 VLAN2 icin ftp-proxy -a Cikis_IP1 -b 127.0.0.1 -p 8022 sonra pf.confu su sekilde duzenlemeniz gerekecek. ... nat-anchor "ftp-proxy/*" rdr-anchor "ftp-proxy/*" rdr pass on $int_if proto tcp from VLAN1 to port ftp -> 127.0.0.1 port 8021 rdr pass on $int_if proto tcp from VLAN2 to port ftp -> 127.0.0.1 port 8022 .... anchor "ftp-proxy/*" pass out on $ext_if1 route-to{($ext_if2 GW2)} from VLAN1 to any Bu kural eger cikislar farkli arabirimlerdense gerekir. Ayni arabirim uzerinden yapiyorsaniz gerekmemesi lazim. 6 farkli ip adresinden cikis yapiyorsaniz 6 farkli ftp-proxy calistirmaniz lazim.Yukaridakine benzer sekilde. Sonraki Firewall'da tek bir cikis adresi varsa sadece ftp-proxy'i calistirmis olmaniz yeterli olur. Bu arada amaciniz sadece networkleri birbirinden ayirmak ve gostermemek ise bunun icin iki farkli Firewall yerine tek bir Firewall'a yeteri kadar interface takarak yapmayi denediniz mi? Ihtiyaciniza cevap vermedi de mi boyle karisik bir yapi tercih ettiniz merak ettim:). Kisaca: ftp-proxy default cikis ip adresinden o interface ait ip adresi ile cikmaya calisir. Sizin isteginiz ise farkli cikis ipleri kullanmak. Bunun icin ftp-proxy -a cikis1 -b 127.0.0.1 -p 8021 ftp-proxy -a cikis2 -b 127.0.0.1 -p 8022 ftp-proxy -a cikis3 -b 127.0.0.1 -p 8023 ftp-proxy -a cikis4 -b 127.0.0.1 -p 8024 ftp-proxy -a cikis5 -b 127.0.0.1 -p 8025 ftp-proxy -a cikis6 -b 127.0.0.1 -p 8026 sonrada rdr kurallarinda ilgili vlanden gelen tcp 21 paketlerini sirasi ile 8021, 8022 portlarina yonlendirmek. Eger bu 6 farkli ip adresi bir interface uzerinden cikis yapiyorsa baska bir isleme gerek kalmadan calismasi lazim. Huzeyfe ONAL huze...@lifeoverip.net http://www.lifeoverip.net Ag guvenligi listesine uye oldunuz mu? http://netsec.lifeoverip.net --- 2009/1/15 Ismail OZATAY <ism...@ismailozatay.net>: > Huzeyfe hocam ; > > Ekteki resimde topolojiyi çizdim ve orada belirttiğim açıklamaları aşağıda > detaylandırıyorum ; > > Açıklama - 1 : A, B, C, D, E ve F birbirinden bağımsız networklerdir. > Herbiri ayrı birer vlan olarak ayarlandı ve switch de belirlenen bir trunk > portundan firewall a aktarılıyor. > Açıklama - 2 : Trunk portundan gelen A, B, C, D, E ve F networklerini > External Node 'a doğru farklı iplerle Nat yapar. > Açıklama - 3 : DMZ için real bir subnet kullanılmıştır ( X . X . X . X /27 > ). External Node dış bacakta farklı bir subnet kullanmaktadır ( Y . Y . Y . > Y /28 ). > Açıklama - 4 : External node DMZ networkünü dışarıya NAT yapmaz, real > subneti yönlendirir. > Açıklama - 5 & Açıklama - 6 : External Node firewall , Internal Node 'dan > gelen ipleri tekrar dış bacaktaki Y . Y . Y . Y /28 subnetinden iplerle > farklı farklı Nat yapar ( ileriye dönük bazı işlemlerin takibi için farklı > iplerle natlanıyorlar). Altq ile bant genişliği kuralları burada yazılır. > Açıklama - 7 : Amaç iç subnetlerin tespitini önlemek. Ben bu subnetleri > External Node a doğru ayrı ayrı farklı iplerle bu sebepten natlıyorum. Çünkü > ben Internal networkün dışını servis sağlayıcı gibi düşünüyorum :) > > Hocam yapı böyle olunca ftp-proxy kullanımı bana sıkıntı oldu. DMZ tarafında > sıkıntı yok ama iç netwoktekiler için ciddi sıkıntı doğurmaya başladı. Bu > topolojide kusursuz ve güvenli bir ftp kullanımı için ne önerirsiniz ? > > İyi çalışmalar. > > ismail > > > > FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6 > --------------------------------------------------------------------- > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine > bakiniz. > > Cikmak icin, e-mail: freebsd-unsubscr...@lists.enderunix.org > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > >