dediğiniz gibi şimdi nete çıkış aldım proxy uzerinden clientler cıkıs yapabiliyor
OpenBsd sistem üzerinde calısıyorum
clientlerda ag gecidi olarak firewall ipsini verip blocklamaları yapmayı düşünüyorum,fakat firewall makine uzerinde gateway tanımlamadım, dediğiniz gibi internet ile ilgili kısıtlamaları proxy uzerinden yapıyorum, firewall makineyi gw olarak kullanmam doğru olur mu ? kapalı bir sistemde proxy kullanmadan kullanıcıların nete cıkmasını istemiyorum ,ve bazı ip adreslerine 256 k gibi sınırlama koymak istiyorum , kullanıcıların bazıları localde olmayan mail sunucuyu kullanıyorlar...
biraz karışık oldu benimde kafam karıştı :))
tesekkurler
saygılar
Ozgur EKE
rdr on xl0 inet proto tcp from any to any port smtp -> x.x.x.x port smtp
rdr on xl0 inet proto tcp from any to any port 110 -> x.x.x.x port 110
block in all
block out all
pass in on xl0 from 10.64.11.0/24 to any
pass out on xl0 from any to 10.64.11.0/24
pass in quick on xl0 proto tcp from any to any port ssh keep state
pass in quick on lo0 all
pass out quick on lo0 all
pass in on xl0 proto tcp from any to any port 8080 keep state
pass out log(all) on fxp0 proto {tcp udp icmp } from (fxp0) to any keep state
Merhaba,
Kurallarinizi gonderebilir misiniz?(Kullandiginiz ozel IPler varsa degistirebilirsiniz). Bir de isletim sistemi nedir? Free, Open ?
Makinenin full cikisi icin ;
Pass out log(all) on fxp0 proto {tcp udp icmp } from (fxp0) to any keep state
Demeniz yeterli. Sonrasinda daha sıkı kurallar yazarsiniz. Mail sunucunuz ic agda bir makine ise kullanicilarinizi mail sunucuya erisimi icin Firewall tarafinda yapmaniz gereken birsey yok zira mail sunucuya giden paketler Firewall'a ugramiyor. Sadece internete erismesi gereken kullanicilar icin Proxy'den erisim tamamlamaniz yeterli.
From: Ozgur EKE [mailto:[EMAIL PROTECTED]]
Sent: Saturday, April 08, 2006 1:15 PM
To: freebsd@lists.enderunix.org
Subject: Re: [FreeBSD] pf yardım
Huzeyfe Bey;
pf aktif ettiğimde firewall internetle olan baglantısı kesiliyor simdi farkettim :( (kapalı sistem)
openbsd uzerinde pf aktif etmeden internet, squid calısıyor clientlerdan proxy yazıp cıkabiliyorlar , firewall uzerindeki dns sunucuyuda iptal ettim.. pf aktif ettiğimde squid erisilebiliyor timeout veriyordu nete cıkıs olmadığından muhtemelen , mail sunucu ic networkte ve farklı bir makine, pf -sa yazdığımda mail server için bağlantı gerceklesmemiş görünüyor,
ilk pf deneyimim ve nete cikamıyorum, nasıl bir kural yazmak gerekir?
tesekkurler
09.04.2006 tarihinde Huzeyfe ONAL < [EMAIL PROTECTED]> yazmış:
Merhabalar,
Oncelikle kontrol etmemiz gerekenler;
Firewall makinesi internete cikabiliyor mu?
Ping www.google.com sonucu.
Firewall makinesi DNS sunucu ya da dns Proxy gorevini yapiyor mu?
#dig www.enderunix.org @10.64.11.34 dogru sonuc gonderiyor mu?
Squid'i calistirdigimda hata veriyor mu?
#squid –X ile calistirip hatalari vs gorebilirsiniz.
Buraya kadar problemimiz yoksa Firewall kismina gecebiliriz.
Kullanicilarin Squid kullanabilmesi icin gerekli Firewall kurali tanimlanmis mi?
Pass …. From 10.64.11.34/24 port 8080 gibi…
Firewall'da iki bacak var ve mail sunucu ic agda herhangi bir makine mi?
From: Ozgur EKE [mailto: [EMAIL PROTECTED]]
Sent: Saturday, April 08, 2006 9:28 AMSubject: Re: [FreeBSD] pf yardım
Şimdi şöyle birşeyler deniyorum
geçişlerle ilgili olarak
clientler proxy olarak firewall uzerindeki proxy kullanacaklar , fakat clientlarda proxy yazıldığında çıkış yapamıyor ve squid time out veriyor (dns dönmüyor olabilir mi ?)
ayrıca clientlerdan maillerede ulasamıyorum :)
Saygılar
Ozgur EKE
-------------------------------------------------------------
rdr on xl0 inet proto tcp from any to any port smtp -> 10.64.11.50 port smtp
rdr on xl0 inet proto tcp from any to xl0 port 110 -> 10.64.11.50 port 110
block in all
block out all
pass in on xl0 from 10.64.11.0/24 to any
pass out on xl0 from any to 10.64.11.0/24
pass in quick on xl0 proto tcp from any to any port ssh keep state
pass in quick on lo0 all
pass out quick on lo0 all
pass in on xl0 proto tcp from any to any port 8080 keep state
--------------------
08.04.2006 tarihinde Abdullah OZTURK < [EMAIL PROTECTED] > yazmış:
Ozgur bey,
Ekteki ornek konf isinizi gorecektir.bir incelerseniz…
Selamlar
abdullah
From: Ozgur EKE [mailto: [EMAIL PROTECTED]]
Sent: Saturday, April 08, 2006 12:53 AM
To: freebsd@lists.enderunix.org
Subject: [FreeBSD] pf yardım
Merhabalar;
networkde firewall ile ilgili bazı değişiklikler yapmak istiyorum ve pf'de bunu nasıl yapacağımı bilmiyorum
dökümanları inceledim ve denemeleri yaptım fakat asagidaki yapıyı birturlu olusturamıyorum.
mantığını kavrayamadım , pf. içn example larıda denedim fakat basarılı olamadım :( calısmadı
internet ====> (fxp0) firewall (xl0)=========> client|
|----> Mail Server 10.64.11.155
Proxy
Nameserver
fxp0 10.64.11.36
xl0 10.64.11.34
Ns : 53
Proxy : 8080
Ic ağdaki ip bloğu 10.64.0.0
Firewall uzerinde squid ,bind kurulu ve çalışır durumdalar, .. iç ağda interneti firewall uzerindeki proxyden dağıtmak istiyorum(transparent olmayacak) , nameserverda aynı sekilde firewall uzerinden cıkılacak, networkte 250 client mevcut ve clientlerin bazıları sadece internet'e çıkış yapacaklar bazıları ise sadece internete cıkmadan mail servera ulasıp maillerini okuyacaklar.. bunun icin pf de nasıl bir kurallar dizini olusturmalıyım örneğin 10.64.11.23 nolu ipden sadece mailler okunacak gibi..
Tesekkurler
Saygılarımla
Ozgur EKE
---------------------------------------------------------------------
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://lists.enderunix.org
Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
--
**********************
If ain't broke , dont fix it
**********************
Saygılarımla
Ozgur EKE
--
**********************
If ain't broke , dont fix it
**********************
Saygılarımla
Ozgur EKE
