Linux uzerinde IPCHAINS Firewall
Kurulumu ve Konfigurasyonu.
| Giris | 9 $ubat 2001 |
Bu sayede İnternetten gelen ve internete giden paketleri mutlaka firewall kurulu bilgisayardan geçmek zorundadır. Bu sayede gelen ve giden paketleri kontrol edebilir. İstedigine izin verip , istediginizi engelleyebilirsiniz. Bu kısıtlama paket filtreleme yöntemi ile yapılır
| Genel Notlar |
Aksi belirtilmedigi takdirde bu kabil dokumanlarin haklari kendilerini yazan yazarlarda saklidir. Bu dokuman da, parca parca ya da tamamen herhangi bir sekilde, yazarinin izni dahilinde dagitilabilir.
Yazar, bu dokumani okuyanlarin ugrayacaklari herhangi bir zarardan oturu sorumluluk kabul etmez. Use at your own risk!
Bu makalede, yeni kullanicilara ipchains paketinin tanitimi, ve guzel firewall dizayni hakkinda bir kac bilgi verebilmek amaciyla yazilmistir. Kullanicinin temel network kavramlari, temel isletim sistemi kavramlari, paket filtreleme, tcp/ip hakkinda genel bilgisi oldugu kabul edilmektedir. Vasatin uzeri seviyede Linux bilgisi gerekmektiedir!!!.
Egerki, BSD uzerinde bir firewall uygulamasi ( ipfilter'la ) Murat hoca'nin OpenBSD / FreeBSD + IpFilter dokumanini okuyabilirsiniz. Adresi:
http://www.enderunix.org/docs/ipfilter.html
Burada, temel ( www/smtp/ssh/pop/imap gibi ) birkac servisin firewall kontrolu altinda alinmasi, ve organizasyonun internet cikisinin firewall'imizdan yapilmasi icin gerekli konfigurasyonu, ipfilter'i genel olarak anlatarak yapacagiz.
--Ismail Yenigul
ismail@enderunix.org
9 $ubat, 2001
- Kaynak(source) IP adresi
- Hedef (Destination) IP adresi
- TCP/IP Kaynak Portu
- TCP/IP Hedef Portu
- ICMP Mesaj Türü
- Protokol Türü
İki türlü Firewall dizayn vardı
1- Kapatınlan trafik
dışındaki tüm trafige izin vermek.
2- İzin verilen trafik dışındaki tüm trafiği
engellemek
1. Burada güvenlik açığı olabilecek uygulamaları tek tek kapatmak zorundasınız ve diğerlerine izin vermelisiniz. Bu durumda bazı gözden kaçırdığınız durumlar olabilir. Bu yüzden güvenlik açısından çok iyi bir yöntem değildir. Biz burada 2. yöntemi uygulayacağız.
2. Durum en iyi firewall dizayndır. Burada nelere izin verilip verilmedigi bellidir. ve dahiliniz dışında hehangi bir pakete izin verilmez.
Linux 2.1.102 kernel dan önce ipfwadm isimli firewall vardı. Linux kernel liniz 2.0 ise ipchains kullanmak için yama(patch) yapmanız gerekiyor. Ama tavsiyem, şu an en son kararlı kernel 2.2.17 yi ftp://ftp.kernel.org adresinden indirip derlemeniz olacak . Burada baştan Kernel derleme anlatılmayacaktır. sadece kernel a ipchains destegi(Yoksa !) nasıl verileceği anlatılacaktır.Eğer 2.1.102 kernel dan yukarısını kullanıyorsanız. ve /proc/net/ip_fwchains dosyası var ise ipchains kurulu demektir.Kernel derlemenize gerek yoktur. Eğer Kernel de ipchains destegi yoksa ve ipchains yüklü değilse http://netfilter.filewatcher.org/ipchains adresinden ipchains indirip kurun ve kernelinize
Network firewalls (CONFIG_FIREFALL) [N] Y
IP:Firewalling (CONFIG_IP_FIREWALL) [N] Y
IP:TCP syncookie support (CONFIG_SYN_COOKIES) [N] Y
IP:Masquerading (CONFIG_IP_MASQUERADE) [N] Y
IP:ICMP Masquerading (CONFIG_IP_MASQUERADE_ICMP) [N] Y
yukarıdaki destekleri vererek kernel i tekrar derleyiniz. kernel
derlemek için
/usr/src/linux dizin altında sıra ile
# make dep && make clean && make bzImage &&
make modules && make modules_install
komutunu veriniz ve
#cp /usr/src/linux/arch/i386/boot/bzImage /boot komutu ile
kopyalayın ve
/etc/lilo.conf dosyasına
image=/boot/bzImage
label=linux
root=/dev/xxx
read-only
xxx Linux un bulunduğu root dizini ifade etmektedir.
yazdıktan sonra
# lilo komutunu verdikten sonra linux reboot edin.
Kullandığınız ipchains versiyonunu ögrenmek için
# ipchains
--version komutu
verildiginde
ipchains 1.3.9 17-Mar-1999
Ipchains te paketler için ön tanımlı olarak 3 grup vardır.
input: (Giriş) Makinanızanın arayüzüne gelen paketller.
output: (Çıkış) Makinanızın ara yüzünden çıkan paketler.
forward: (Yönlendirme) Makinanızın bir arayüzünden gelip , diğer arayüzüne geçen paketler (MASQUARING gibi)
bunların dışında kullanıcıların kendilerine grup tanımlayabilirler. Kendi grubunuzu tanımlamak için
# ipchains -N grubadı komutu ile belirtilen grub adında bir grub oluşur.
Ipchains le kullanılan parametler şu şekildedir.
-A : (Append) Yeni bir kural ekleme
-D : (Delete) Tanımlanmış bir kuralı silme
-R : (Replace) Bır kuralı değiştirmek için
kullanılır.
-I :(Insert) Araya kural eklemk için
kullanılır
-F :(Flush) Bir kurallar tablosunun
tamamen silinmesini sağlar(tablonun içeriği sıfırlanır).
-X : içeriği sıfır olan kural grublarını (input , output,
forward, kullanıcının tanımladıkları)siler.
-N : (New) Yeni bir kural grubu oluşturur.
-L : (List) Tanımlı kural grublarındaki kuralları
listeler
-P : (Policy) ipchains in ön tanımlı kural grublarının
kurallarını ayarlar.
-i
interface(arayüz) :Hangi arayüzün
kullanılacağını belirtir.
-s kaynak
(source) :Paketin geldiği kaynağın IP
adresi veya ağ grubunu belirtilir.
-d hedef
(destination) :Paketin gideceği adres veya adres
grubu
-p
protokol(protocol) :Paketin kullandığı protokol adını
belirtir(tcp udp icmp gibi).
-j
(jump)
:Paket ile ilgili hangi kararın verileceğini belirtir.
-l
log(kayıt)
:Paket ile ilgili bilgilerin log dosyasına yazılmasını sağlar
-v
(verbose)
:Paket ile ilgili detaylı bilgi verir.
!
:Bu parametre kuralın değilinıi (tersini) belirtilir.
Firewall makinamızda Paket için aşagıdaki Karar mekanizmaları(Policy) işler.
ACCEPT:
Paketin kabul edildiğini belirtir.
DENY : Paketin
kabul edilmediğini belirtir. Paket blok edilir ve paketi gönderen tarafa
hiç bir şey gönderilmez.
REJECT: Paket reddedilir ve
paketi gönderen tarafa paketin reddedildiğine dair bilgi gönderilir.
MASQ : Paketin
maskelendigini belirtir. (MASQUARING de kullanılır)
REDIRECT: Bir porta (gelen , giden, yönlendirilen) paketin
başka bir yerel porta yönlendirilmesi
işini
yapar.(Genelde
Web
isteklerini yerel makinadaki proxy portuna yönlendirmek için kullanılır.),
Portlarla ilğili olarakta.
1:1000 ifadesi 1 ile 1000 arasındaki portları tanımlayabilirsiniz.
1500: ifadesi ise 1500 ile 65535 (En sonuncu port) demektir.
Yukarıdaki tüm ifadeleri örneklerle açıklayalım.
# ipchains -A input -i eth0 -p tcp -s 193.12.3.100 -d 212.65.128.100 80 -j ACCEPT
Bu komut eth0 arayüzüne(-i eth0), 193.12.3.100 IP adresinden (-s 193.12.3.100) gelen (-A input) , tcp (-p tcp) protokolunu kullanan ve 212.65.128.100 IP li (-d 212.65.128.100 )bilgisayarın 80 portuna gelen paketleri kabul et(-j ACCEPT) manasına gelmektedir.
# ipchains -A output -s 212.65.128.100 25 -d 0/0 -p tcp
-i eth0 -j ACCEPT
Bu komut ise eth0 arayüzünü kullanan 212.65.128.100 IP li makinanın 25 portundan
gelen ve herhangi bir yere (0/0) giden tcp protokolu kullananan paketlerin
çıkışına (-A output) izin ver (-j ACCEPT) demektir.
#ipchains -A forward -s 0/0 -i eth1 -d 200.1.2.3 -p
icmp -j ACCEPT
Bu ifade ise herhangi bir yerden eth1 arayüzüne gelen ve 200.1.2.3 IP li
makinaya giden tüm icmp protokolu paketlerini kabul et demektir.
#ipchains -D forward -s 0/0 -i eth1 -d 200.1.2.3 -p icmp -j ACCEPT
İfadesi ile bir üstte oluşturduğumuz kuralı kurallar tablosundan sil demektir.
# ipchains -P input DENY
# ipchains -P output DENY
# ipchains -P forward DENY
Bu komutlar ile ön tanımlı üç kural grubu için gelen paketleri yasakla (DENY) demektir. Bu durumda hiç bir paket giriş çıkışı olmaz
# ipchains -A forward -i eth0 -p tcp -s
192.168.1.0/24 -d 0/0 -j MASQ
Bu komut ile yerel ağdan gelen ve dışarı giden ( nereye
olursa olsun internet veya diğer ağa ) tüm paketlere MASQUARING uygula
demektir.
#ipchains -F
Bu komut ile daha önce belirlenen tüm grublara ait kurallar
silinir
#ipchains -F input
ile sadece input grubuna ait komutlar silinir.
#ipchains -L
ifadesi ile tüm grublarda tanımlanan kurallar listelenir.
Bu dökümanda Aşağıdaki gibi bir sisteme sahip bir firmamız olduğu varsayılacak ve buna göre firewall dizayn yapılacaktır.
INTERNET
|
|
ppp0 veya eth2
------------------
|160.75.5.5 | Sunucu Network
| | eth0
| |----------------------------------------------
| LINUX |
| IPCHAINS | 212.2.2.1 | | |
| FIREWALL | | | |
|192.168.1.1 | | | |
----------------- - -------- ------- -------
| eth1 | WWW | |SMTP | |DNS |
|192.168.1.1 -------- ------- -------
| 212.2.2.2 212.2.2.3 212.2.2.4
YEREL AĞ
Yukarıdaki şemayı açıklamadan önce Linux de arayüz(interface) isimlerinden kısaca
bahsedeyim.
Linuxte birinci ethernet kartının ismi eth0 dır
ikinci ethernet kartınn ismi eth1 dir
üçüncü ethernet kartının ismi eth2 dir. ve bu şekilde devam eder,ve
hangi
ethernet kartının hangi isimde olacağı size kalmış.
Kısacası ,3 ethernet kartı varsa istediğinizi eth0 eth1 veya
eth2 olarak belirleyebilirsiniz.
Birinci Modem bağlantısının ismi ise ppp0
Linuxun kendisinden oluşan ve yine kendisine giden paketler lo0 (loopback)
arayüzünü kullanır. Bu sayede paket dışarı çıkmadan kendisine iletilir.
Şeklimizi açıklamaya başlayalım:
Şekilde 3 tane arayüze(interface)sahip bir Linux (Ipchains Kurulu) bilgisayar gözükmektedir.
Linux umuz eth0 (Birinci ethernet kartı) isimli arayüz ile firmamızın Sunucularının olduğu ağa bağlanmştır. Sunucların olduğu ağda Firmamıza ait WWW(Web sunucusu IP: 212.2.2.2 ), SMTP(Mail ve POP3 sunucusu IP:212.2.2.3) , DNS(dns sunucusu IP: 212.2.2.4) bulunmaktadır. ve eth1 arayüzü ile Şirkette çalışanların bilgisayarlarının olduğu Yerel Ağa bağlı. Son olarakta ppp0 (Modem) arayüzü ile internet çıkışımızı sağlanmaktadır. Çoğu firmanın Kiralık Hat kulandığı göze alınarak Modem bağlantısının Kiralık hat ile yapıldığı ve sabit bir IP(160.75.5.5) ye sahip olduğu kabul edilmiştir. (Not: hangi servisin hangi numaraya sahip olduğunu /etc/services dosyasından öğrenebilirsiniz.)
Dikkat ederseniz Yerel ağ 192.168.1 ile başlayan kayıtsız (unregistered) IP lere sahip bir özel(private) ağdır. Bu tür IP lere sahip bilgisayarların internete bağlanması ve için Linuxumuzda MASQUARING (Maskeleme) yapılması lazımdır. MASQUARING de yerel ağdan çıkan paketler sanki Firewall makinasından çıkıyormuş gibi gösterilir. ve paketinize gelen cevap ilk önce Linux firewall makinamıza gelir ve sizin bilgisara ulaştırılır. Bir örnekle açıklayalım . Diyelim ki siz 192.168.1.49 IP li yerel ağdaki bilgisarayızın web tarayıcısından http://skywalker.mis.boun.edu.tr web sayfasına bağlanmak istediniz.
1-Bu paket sizin bilgisayarınızın 1500 portundan http://skywalker.mis.boun.edu.tr sunucusunun 80(HTTP) portuna gitmek için oluşturulur ve Gateway e iletilir.
2-Gateway olan Linux umuze gelen paket MASQUERADING sayesinde biraz değiştirilir . Aynı paket Linux umuzun kendi yerel 65155 portundan geliyormuş gibi tekrar oluşturulur ve http://skywalker.mis.boun.edu.tr sunucusunun 80 portuna gönderilir.
3- http://skywalker.mis.boun.edu.tr sunucusuna gelen paketimiz bu sunucu tarafından Linux (firewall.pcworld.com.tr diyelim)umuzun 65155 portundan gelmiş gibi gözükür ve gelen pakete cevabı Linux makinamıza gönderir.
4-Linux u muze gelen bu paketi ,Linux 192.168.1.49 bilgisayarına gönderilmesi gerektiğini anlar(Linux kimlerin hangi paketi gönderdiğini hatırlamaktadır ve internet ten paket gelince paket kim göndermisse cevabı ona iletir. ) ve paketi tekrar oluşturarak 192.168.1.49 bilgisayarına iletir.
Anlaşılacağı üzre MASQUERADING
olmasa idi gerçek IP ye sahip olmayan bilgisayarların internet e bağlanması
mümkün değildi.
IPchains komutlarını vermeden önce bir firewall yaptırımlarını belirleyerek nelere izin verilip nelere izin verilmeyeceğini belirleyelim.
1- Yerel Ağdan Internete:
- İnternete sınırsız erişime izin verilecek.
2- Yerel Ağdan Sunucu Bölgesine (Server zone):
- WWW sunucusunda çalışan HTTP(80 .port) ve
HTTPS (443. port) TELNET(23) FTP (20 , 21) servislerine erişimi
- SMTP sunucusunda çalışan SMTP(25), POP3 (110) , TELNET(23),
FTP(20 ,21) servislerine erişim.
- DNS sunucunda çalışan DOMAIN(53), TELNET (23),
FTP(20 ,21) servislerine erişim hakkı verilecektir.
3-Internet ten Yerel Ağ erişim.
- Sadece Yerel Ağın internet e gönderdiği paketlere gelen cevap paketler kabul
edilecektir.
4-Internet ten Sunucu Bölgesine, Sunucudan İnternete:
- WWW sunucusudaki HTTP(80) ve HTTPS(433)
servislere giriş ve çılış erişimi
- SMTP sunucusundaki SMTP(25) servisine giriş ve çıkış
erişimi
- DNS Sunucusundaki DOMAIN(53) servisine giriş çıkışa izin
verilecektir.
5-Sunucu Bölgesinen Yerel Ağa
- Sadece Yerel Ağın sunucu bölgesine gönderdiği paketlere
gelen cevap paketler kabul edilecektir.
Evet bu şekilde bir firewall uygulaması yapılacaktır.
(Evet biliyorum biraz karışık galiba :)) ) şimdi Firewall kurmaya
başlayabiliriz..
İlk olarak linux e forward ozelliği verilmesi
lazım bunun için
Eğer Redhat 6.1 Kullanıyorsanız
/etc/syconfig/network dosyasındaki
FORWARD_IPV4="false"
FORWARD_IPV4="yes"
yapın ve
#/etc/rc.d/init.d/network restart komutu ile
değişiklikleri aktif yapınız.
Redhat 6.2 kullanıyorsanız
/etc/syscl.conf
net.ipv4.ip_forward = 1
ekleyin ve
#/etc/rc.d/init.d/network restart komutu ile
değişiklikleri aktif yapınız.
ya da, RedHat 7.0 kullaniyorsaniz:
#sysctl -w net.ipv4.ip_forward = 1
Diğer Linux çeşitlerinde
# echo 1 > /proc/sys/net/ipv4/ip_forward
komutu verin bu komutun açılışta aktif olması için
Mandrake ve Slackware de /etc/rc.d/rc.local dosyasının içine
yazınız.
Buradan sonraki tüm yazınlanları bir dosyaya
yazalım çünkü Linux reboot edildiğinde tüm firewall kuralları silinecektir. Bu
yüzden reboot edildikten sonra kurallarımızı dosyadan tekrar çalıştırabiliriz.
# ile başlayan ifadeler sadece açıklamadır , firewallın
kurallarını değiştirmez.
#------------------------------------------------- FIREWALL
dosyasi------------------------
#--------------------- Buradan itibaren dosyaya yazin...............
#Değişkenlerimizi tanımlayım.
www=212.2.2.2 # web sunucusu IP
smtp=212.2.2.3 # mail sunucusu IP
dns=212.2.2.4 # dns sunucusu IP
localnet=192.168.1.0/24 #Tüm Yerel Ağ
fwhost=192.168.1.1/32 # firewall makinasının kendisi
EXTERNAL_INT=ppp0 # internete bağlantı arayüzü
SERVER_INT =eth0 # firewall makinasınındaki sunucuların olduğu
tarafın arayüzü
LOCAL_INT=eth1 # firewall makinasınındaki yerel ağ bağlantı arayüz ü
LOOPBACK=127.0.0.1 # linuxun kendisinin loopback adresi
# önce ,daha önceki tüm kuralları silelim
ipchains -F
ipchains -X
# tüm işlemleri yasaklayalım
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
# firewall sunucusun kendisinden gelip kendisinden paketlere izin
vereelim
ipchains -A input -i lo0 -j ACCEPT
ipchains -A output -i lo0 -j ACCEPT
# internet te bağlı arayüzden sanki bizim loopback ip sinden gelmiş gibi görünen paketleri engelleyelim ve -l parametresi ile böyle bir paket geldiginde log dosyasına yazmasına belirtelim.
ipchains -A input -i $EXTERNAL_INT -s $LOOPBACK -j DENY -l
ipchains -A output -i $EXTERNAL_INT -s $LOOPBACK -j DENY -l
# Yerel ağın internet bağlantısı için MASQUARING i aktif
edelim
# MASQUARING RULES
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
# simdi web sunucusuna gelen ve sunucudan gelen pakerler
için kuralllar (rules) yazalım.
# WEB SUNUCUSU
#Internetten(ppp0) Web sunucununa(eth0) HTTPD (80) erişimi
# internet ten sunucu ya gelen paketleri kabul edelim
ipchains -A input -i $EXTERNAL_INT -p tcp -d $www 80 -j ACCEPT
# internet arayüzünden(ppp0 ) gelen paketin ,sunucular
tarafına giden arayüzüne (eth1) yönlendirilmesi ( forward) kabul ediliyor
ipchains -A forward -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
# yuakarıda firewallın sunucu arayüzüne gelen paket ,artık
sunucu arayüzünden çıkıp web sunucusuna gidecektir. Bu durumda bu paket firewall un
internet arayüzü için (ppp0) bir input ,Sunucu arayüzü için (eth0) bir output
kuralıdır(Çükü paket eth0 dan ÇIKIYOR bu yüzden output dur.).
ipchains -A output -i $SERVER_INT -p tcp -d $www 80 -j ACCEPT
#Şimdide Web sunucusuna yukarıdaki gibi gelen paket lerin çıkışına izin verelim.
#Web sunucusundan (eth0) Internete (ppp0) HTTPD (80) Cevabı
(Reply)
# firewall un sunucu arayüzüne web sunucusu tarafından gelen paketi kabul et.
ipchains -A input -i $SERVER_INT -p tcp -s $www 80 ! -y -j ACCEPT
# paketin internet arayüzüne yönlendirilmesini kabul
et.!
ipchains -A forward -i $EXTERNAL_INT -p tcp -s $www 80 ! -y -j ACCEPT
# paketin internet arayüzünden çıkıp ,internet gitmesine
izin ver.
ipchains -A output -i $EXTERNAL_INT -p tcp -s $www 80 ! -y -j ACCEPT
# Durup dururken hiç bir web sunucusu kendisine paket gelmeden
hiç bir yere cevap vermez. Önce bir istek gelmesi lazım ve sunucunun da bu isteğe
cevap vermesi ## lazım , Sadece iki yönlü paket geçisine izin vermek için ! -y
parametresi verilir. Bu parametre sadece TCP paketleri için geçerlidir.
# Yukarıdaki aynı mantık HTPPSD (SSL ) içinde
geçerlidir.
#Internetten(ppp0) Web sunucununa(eth0) HTTPSD (443) erişimi
ipchains -A input -i $EXTERNAL_INT -p tcp -d $www 443 -j
ACCEPT
ipchains -A forward -i $SERVER_INT -p tcp -d $www 443 -j ACCEPT
ipchains -A output -i $SERVER_INT -p tcp -d $www 443 -j ACCEPT
#Web sunucusundan (eth0) Internete (ppp0) HTTPSD (443) Cevabı (Reply)
ipchains -A input -i $SERVER_INT -p tcp -s $www 443 ! -y
-j ACCEPT
ipchains -A forward -i $EXTERNAL_INT -p tcp -s $www 443 ! -y -j ACCEPT
ipchains -A output -i $EXTERNAL_INT -p tcp -s $www 443 ! -y -j ACCEPT
#SMTP SUNUCU
# yine aynı kurallar MAIL sunucusu içinde geçerlidir.
burada -y parametresi söz konusu değil Çünkü mail sunucusunun kendisi dışarıdan
istek gelmeden paket gönderir. (Eh yoksa mailler nasıl gider :) )
#Internetten(eth2) SMTP sunucununa(eth0) SMTP (25) erişimi
ipchains -A input -i $EXTERNAL_INT -p tcp -d $smtp 25 -j ACCEPT
ipchains -A forward -i $SERVER_INT -p tcp -d $smtp 25 -j ACCEPT
ipchains -A output -i $SERVER_INT-p tcp -d $smtp 25 -j ACCEPT
#SMTP sunucusundan (eth0) Internete (eth2) SMTP (25) Cevabı (Reply)
ipchains -A input -i $SERVER_INT -p tcp -s $smtp
25 -j ACCEPT
ipchains -A forward -i $EXTERNAL_INT -p tcp -s $smtp 25 -j ACCEPT
ipchains -A output -i $EXTERNAL_INT -p tcp -s $smtp 25 -j
ACCEPT
# sunucu kısmında en son olarak dns sunucusunu alalım.
Yukarıdakilerden pek farkı ama domain(dns) UDP paketini kullanır.
# DNS SUNUCUSU
#Internetten(ppp0) DNS sunucununa(eth0) DOMAIN (53) erişimi UDP
ipchains -A input -i $EXTERNAL_INT -p udp -d $dns 53 -j
ACCEPT
ipchains -A forward -i $SERVER_INT -p udp -d $dns 53 -j ACCEPT
ipchains -A output -i $SERVER_INT -p udp -d $dns 53 -j ACCEPT
#DNS sunucusundan (eth0) Internete (ppp0) DOMAIN (53) Cevabı (Reply) TCP UDP
ipchains -A input -i $SERVER_INT -p udp -s $dns 53 -j
ACCEPT
ipchains -A forward -i $EXTERNAL_INT -p udp -s $dns 53 -j ACCEPT
ipchains -A output -i $EXTERNAL_INT -p udp -s $snd 53 -j ACCEPT
$ICMP PAKETLERİNE İZİN VERELİM
# ICMP paketlerinin girişine izin veriyoruz
ipchains -A input -i $EXTERNAL_INT -p icmp -j ACCEPT
ipchains -A forward -i $SERVER_INT -p icmp --j ACCEPT
ipchains -A output -i $SERVER_INT -p icmp -j ACCEPT
# icmp Paketlerinin çıkışına izin veriyoruz
ipchains -A input -i $SERVER_INT -p icmp -j ACCEPT
ipchains -A forward -i $EXTERNAL_INT -p icmp -j ACCEPT
ipchains -A output -i $EXTERNAL_INT -p icmp -j ACCEPT
# traceroute genellikle Kaynak(source) olarak
32769:65535 hedef (destination) olarak 33434:33523
#portlarını kullanır.
-
# traceroute genellikle Kaynak(source) olarak 32769:65535 hedef (destination)
olarak 33434:33523
#portlarını kullanır.
# Dışarıya Traceroute izin verelim.
ipchains -A input -i $SERVER_INT -p udp -s 0/0 32769:65535 -d any
33434:33523 -j ACCEPT
ipchains -A forward -i $EXTERNAL_INT -p udp -s 0/0 32769:65535 -d any
33434:33523 -j ACCEPT
ipchains -A output -i $EXTERNAL_INT -p udp -s 0/0 32769:65535 -d any
33434:33523 -j ACCEPT
#Şimdi de yerel ağı internete çıkaralım
# Local (eth1) to INTERNET (eth2 )
# Yerel ağdan gelen tüm tcp paketlerini kabul et.
ipchains -A input -i $LOCAL_INT -s $localnet -j
ACCEPT
# ve firewallun 61000 ile 65096 arasındaki tüm portlardan
çıkan paketleri kabul et.!
ipchains -A output -i $EXTERNAL_INT -s $fwhost 61000:65096 -j ACCEPT
# Evet bu portlarda neyin nesi diyenler olabilir :) .
Açıklayayım MASQUARING yapılan tüm paketler (yani yerel ağdan gelen paketler).
internet te çıkmadan önce firewall sunucusunda yukarıdaki port
aralığında herhangi bir porttan tekrar oluşturulur. ve bu portlar aralığından giden
paketler yine bu port aralığından firewalla gelir.
# INTERNET ( eth2) to Local (eth1)
# İnternetten Firewallın MASQ arin port
aralığına gelen paketleri kabul et.
ipchains -A input -i $EXTERNAL_INT -d $fwhost 61000:65096 -j ACCEPT
# ve Firewallın internet arayüzünden gelip yerel ağ
arayüzüden çıkan paketleri kabul et.
ipchains -A output -i $LOCAL_INT -d $localnet ! -y -j ACCEPT
# YEREL AĞDAN SUNUCU BÖLGESİNE GEÇİŞ.
## WWW sunucusuna firewall ın MASQUARING portlarından gelen
paketlerin,
# sunucu bölgesine geçmesi için firewallın sunucu arayüzünden
çıkmasını kabul et.
# httpd izni
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $www 80 -j
ACCEPT
# https izni
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $www 443
-j ACCEPT
# telnet izni
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $www 23
-j ACCEPT
# ftp izinleri
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $www 21
-j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $www 20
-j ACCEPT
# Yerel ağın Mail sunucusuna erişim izinleri (mail , pop3
telnet ftp)
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 25 -j
ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 110
-j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp
23 -j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 21
-j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 20
-j ACCEPT
# yerel ağdan dns sunucusuna erişim (domain , telnet, ftp izinleri)
ipchains -A output -i $SERVER_INT -s $fwhost
61000:65096 -d $dns 53 -j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp
23 -j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 21
-j ACCEPT
ipchains -A output -i $SERVER_INT -s $fwhost 61000:65096 -d $smtp 20
-j ACCEPT
--------------- DOSYAMIZ BURADA SONA ERDİ------------------------------------------------
evet bunları firewall.sh dosyasına yazdığımız kabul edelim.
ve bu kuralları istediğimiz zaman çalıştırıp durdurmak için bir script (betik)
yazalım.
Aşagıdaki ifadeleri bir dosyaya yazalım (firewall )olsun
----------------DOSYA BAŞLANGIÇ--------------
#!/bin/sh
# Firewall istendiğii zaman çalıştıran ve durduran scriptdir.
#
case "$1" in
start)
echo "Firewall Aktif Hale
Getiriliyor..."
/etc/rc.d/firewall.sh
;;
stop)
echo "Firewall durduruluyor..."
/sbin/ipchains -F
/sbin/ipchains -X
/sbin/ipchains -P forward ACCEPT
/sbin/ipchains -P output ACCEPT
;;
* )
echo "Kullanim : $firewall
{start|stop}"
exit 1
;;
esac
exit 0
--------DOSYA BİTİŞ--------------------------------
bu komutların açılışta aktif olması için
ilk önce
# chmod 700 firewall firewall.sh
komutu ile yukarıdaki dosyaları çalıştırılabilir hale getirelim ve daha sonra
/etc/rc.d/rc.local dosyasının sonuna
/etc/rc.d/firewall start
ifadesini yazalım.
Artık Firewallımız hazırdır. Kolay gelsın.!
Eğer bu komutları yazmak bayagı zor geliyor ise sizin için firewall kuralları üreten bazı yardımcı programlar var
- İsmi:PHP Chains 2.0
Adresi : http://www.tuial.com/projects.php3:
Özelliği :PHP de yazılmış , web üzerinden kullanabiliyorsunuz.
- İsmi: PHP Firewall Generator
Adresi : http://phpfwgen.sourceforge.net
Özelliği :PHP de yazılmış , web üzerinden kullanabiliyorsunuz.
- İsmi:PMFirewall
Adresi: http://www.pmfirewall.com/PMFirewall/
Özelliği: Ipchains ve MASQUAREDING Kuralları yazma.
- Securing And Optimazing Redhat Linux v 1.3 (PDF olarak indirelebiliyor.) http://www.openna.com/books/book.htm
- IPchains HOWTO: http://netfilter.filewatcher.org/ipchains
- Building Internet Firewall (http://www.oreilly.com)
- Ipchains Türkçe Çeviri Dökümanı http://www.linux.org.tr/documents/kullanici_belgeleri/ipchains/
- man ipchains ;)
(c) 2001 Enderunix Software Development Team