Proxy, Firewall ve kurulumu
NAT Politikaları
| İlk Kaynak | İlk Hedef | İlk Servis | Çevrilen Kaynak | Çevrilen Hedef | Çevrilen Servis | Açıklama |
| Intranet | Herşey | http | Değişmedi | Perde | squid | Bir web vekili (squid) kullanıyoruz. Dolayısıyla iç ağdan web (http) kullanarak dışarı çıkmak isteyen bütün paketleri güvenlik duvarı üzerinde squid portuna gönderiyoruz. Bunu kullanabilmek için güvenlik duvarı üzerinde squid vekil sunucusu çalıştıracağız. |
| Intranet | Herşey | Herşey | Perde | Değişmedi | Değişmedi | Intranet'ten dışarıya çıkmak isteyen herşeyi sanki paket güvenlik duvarından kaynaklanmış gibi yeniden yazıyoruz. |
Genel Politikalar
| Kaynak | Hedef | Servis | İşlem | Açıklama |
| Herkes | Herkes | ip parçacıkları | Paketi yok et(deny) | Bütün olmayan IP paketlerini yok ediyoruz |
| Herkes | Intranet, perde | Faydalı ICMP | Kabul et | Bu icmp servisleri bazı servislerin doğru çalışması için faydalı. |
| Perde | Intranet | Zaman aşımı | Kabul et | Traceroute için bu gerekiyor |
| Intranet | Perde | Herşey | Kabul et. | İçeriden güvenlik duvarına erişim var |
| XIntranet | Perde | ssh, telnet, http | Paketi yok et(deny) | İçeriden gelmeyen ssh, telnet, http isteklerine cevap vermiyoruz. Zaten güvenlik duvarı üzerinde ssh ve telnet çalıştırmıyoruz ve aşağıdaki genel kural bunları da engellerdi. Fakat gene de emin olalım dedik.. |
| perde | Herşey | herşey | Kabul et | Güvenlik duvarı herkese erişebilir |
| Intranet | Herşey | http, https, dns_tcp, dns, ntp, traceroute, bütün icmp, telnet, imap, imaps, pop3, smtp, smtps, ssh, ftp, ftp data | Kabul et | İç ağdan bu servislerle dışarıya erişime izin var |
| Intranet | Herşey | Herşey | Reddet | Yukarıda kabul edilmeyen servisleri iç ağ için hemen reddediyoruz (bekleme olmuyor) |
| Herşey | Herşey | Herşey | Paketi yok et(deny) | Yukarıdaki kuralların dışında kalan bütün durumları reddediyoruz |
Fwbuilder, verilerini bir xml dosyası halinde saklıyor. /usr/local/firewall adında bir dizin oluşturduk, ve burada perde.xml adında bir dosyada tanım dosyamızı tutuyoruz. Bizim kullandığımız tanım dosyasını indirebilir ve bunu değiştirerek kendi kurallarınıza uygun hale getirebilirsiniz. Kural kümemizi oluşturduktan sonra derleme (compile) seçeneği ile kuralları derliyoruz. Derlenen kurallar /usr/local/firewall/Perde.fw adında bir dosyaya konuyor.
NAT ve Filtrelemeyi Devreye Almak
Filtreleme kurallarımız /usr/local/firewall/Perde.fw dosyası altında oluştu. Şimdi bunu devreye almamız gerekli. Redhat'in iptables betiğini bu iş için değiştirerek kullandık. Burada dikkat edilecek nokta, filtreleme işinin modem devreye alınıp pppd çalıştırıldıktan sonra yapılması gerektiği. Dolayısıyla Redhat'in öntanımlı iptables çalıştırma sırası da değişmek zorunda. Bu betiği rc.local'dan çalıştıracağız.
Önce bir hata olmaması için iptables betiğini normal yerinden sildik: rm -f /etc/rc.d/rc3.d/*iptables. Değiştirilmiş iptables betiğini /etc/rc.d/init.d altına kopyaladık. Dosya izinlerinin doğru olduğundan emin olduk: chmod 755 /etc/rc.d/init.d/iptables. /etc/rc.d/rc.local betiğinde, pppd satırından sonra:
/etc/rc.d/init.d/iptables start
Hit: 4438
Yazar: renegadealien