Iptables. Deniz Özibrişim. Eylül, 2012

Benzer belgeler
-D delete : Zinciri silmek için kullanılan komut; Silme işlemi için ya zincir numarası belirtilir ya da kuralın kendisi.

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

IpTables ve IpChains Ile Firewall. Mert ALTA

Linux Iptables - Netfilter Kurulumu

Netfilter + IPTables Güvenlik Duvarı. Sunan: Serdar KÖYLÜ

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

LİNUX İŞLETİM SİSTEMİNİN KÖPRÜ MODUNDA ÇALIŞTIRILMASI VE GÜVENLİK DUVARI İŞLEMLERİ

Kampüs Ağlarında Köprü-Güvenlik Duvarı (Bridge Firewall) ve Transparent Proxy

PALO ALTO FIREWALL NAT

C0R3 Bilişim Güvenliği Grubu

Kurumsal Güvenlik ve Web Filtreleme

Kurumsal Güvenlik ve Web Filtreleme

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

Web Servis-Web Sitesi Bağlantısı

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

NETFİLTER VE LİNUX TABANLI BİR FİREBOX TASARIMI

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Apache üzerinden Red Hat 5 yüklenmesi

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ

Açık Kaynak Güvenlik Duvarı Sistemi

Açık Kod Dünyasında Ağ ve Sistem Güvenliği Afşin Taşkıran

FTP ve Güvenlik Duvarları

Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Zilabs VoIP uygulaması için ADSL Ayarları

INHAND ROUTER LAR İÇİN PORT YÖNLENDİRME KILAVUZU

ZyXEL Prestige Trendchip Serisi Modeller de QoS Yönetimi

SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak

NAT(Ağ Adresi Çeviricisi)

Güvenlik Mühendisliği

Xpeech VoIP Gateway Konfigurasyon Ayarları

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

P-661HNU F1 ve P-660HNU F1 QoS Yönetimi

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

İnternet ortamından iç ağa nasıl port yönlendirmesi yapılır (Virtual Host nasıl oluşturulur)

IPv6 Geçiş Yöntemleri Analizi

Açık Kod Dünyasında Ağ ve Sistem Güvenliği. EnderUnix Çekirdek Takımı Üyesi afsin ~ enderunix.org

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

IPCop ile Ağ Güvenliği ve Yönlendirme. Kerem Can Karakaş.

General myzyxel.com myzyxel.com Servis Yönetim Servis Name Content Filter Name Password myzyxel.com Submit Redirected URL

Bilgisayar Programcılığı

Cyberoam Firewall Kullanıcı ve Grup Oluşturma

IPv6 ve Güvenlik Duvarı

Çalıştay DDoS Saldırıları Nasıl Gerçekleştirilir? Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

DM-501 Tak-Çalıştır GPRS-UART Köprüsü

Coslat Monitor (Raporcu)

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

Öğrencinin 09/05/2006

5.Port Yönlendirme ve Firewall

Şekil 9.1 IP paket yapısı

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Syn Flood DDoS Saldırıları

Hping ile IP, ICMP ve UDP Paketleri Oluşturma

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

OSI REFERANS MODELI-II

IPV6'DA MULTICAST KRİTİĞİ


netustad - Kullanıcı El Kitabı

EMG Ethernet Modbus Gateway Kullanım Kılavuzu

LINUX AĞ YÖNETİM ARAÇLARI

ERİŞİM ENGELLEME DOS VE DDOS:

Bu kılavuzda DS Manager ile, NP311 Serial to Ethernet dönüştürücünün kurulum ve konfigürasyonuna ilişkin pratik bilgiler bulunmaktadır.

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

Örnek bir kullanım ve bilgisayar ağlarını oluşturan bileşenlerin özeti

Ağ Topolojisi ve Ağ Yazılımları

BIL411 - BİLGİSAYAR AĞLARI LABORATUVARI

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Knockd ile portlarinizi güvenli acin

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 8. Ağ Adresi Dönüştürme (NAT-Network Address Translation)

Hping kullanarak TCP/IP Paketleriyle Oynama Hping-I

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2

Netscreen Firewall DDoS Ayarları Netscreen Firewall DDoS dan Korunma Özellikleri

BLGM 344 DENEY 3 * AĞ PROGRAMLAMAYA GİRİŞ

ACR-Net 100 Kullanım Kılavuzu

Đstanbul Teknik Üniversitesi Bilgi Đşlem Daire Başkanlığı. 9 Kasim 2007 INET-TR Ankara

BOT - Başlangıç. Başlangıç Konfigrasyonu

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü. Bilgisayar Ağları Dersi Lab. 2. İçerik. IP ICMP MAC Tracert

Karel Mobil. Kullanım Kılavuzu KULLANIM KILAVUZU

Alt Ağ Maskesi (Subnet Mask)

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Yeni Nesil Ağ Güvenliği

Ssl Vpn konfigurasyonunda öncelikle Sslvpn yapmasına izin vereceğimiz kullanıcıları oluşturuyoruz.

Bölüm 28 ve 29 : İstemci Sunucu Etkileşimi ve Soket API sine Giriş. Internet Protokolleri ve Ağ Uygulamaları. Internet Protokolleri Üzerinden İletişim

Ağ Protokolleri. Aysel Aksu. Nisan, 2016

Güvenlik Sistemlerini Atlatma ve Alınacak Dersler. Huzeyfe ÖNAL

D-Link DSL 500G için ayarları

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

BLGM 343 DENEY 8 * TCP İLE VERİ İLETİŞİMİ

ZyXEL Açilan ekranda ethernet baglantimizi bulalim ve yine sag tus-özellikler

Bildiğimiz gibi commanda ekranın çok çeşitli sorgulamalar yapılabilir.bunlara örnek olarak

Internetin Yapı Taşları

Transkript:

Iptables Deniz Özibrişim Eylül, 2012

Bu yazı içerik filtreleme (Dansguardian) hakkında olacaktı; fakat bu yolda ilerlerken kullanacağımız iptables ı anlatmadan geçmenin doğru olmayacağını düşündüm. Evet belki sadece birkaç yönlendirme komutu işimizi görecekti, ama açıkçası içime sinmedi. Bu yüzden ağırdan alıp kullanacaklarımıza (iptables, squid, dansguardian, webmin v.b) tek tek göz attıktan sonra, sonunda sadece bir dansguardian anlatımına nazaran konuya çok daha fazla hakim olacağımızı düşünüyorum. Iptables çok kuvvetlidir, detaylı anlatımı tabii ki bu yazıya sığmayacaktır, fakat buradan yola çıkarak ilerideki kullanım tecrübelerinizle emin olun birçok ücretli ürünün yaptığından daha fazlasını yapabileceğini göreceksiniz. Iptables Nedir? Linux, daha doğrusu *NIX ve *BSD sistemler üzerinde çalışan, zamanında görevini ipchain den devralmış (hatırlayanlar vardır), üzerinden geçen trafiği verilen kurallara göre yorumlayan açık kaynak güvenlik/ateş duvarı (Firewall) yazılımıdır. Linux çekirdeği ile gelen (2.3 ve daha yeni) Netfilter ı yönetmemizi sağlar. Bu konuyu okumaya karar vermiş, içerik filtreleme, ya da vekil sunucu kullanmayı düşünen kişiler zaten güvenlik duvarının aşağı yukarı ne olduğunu bildikleri için lafı uzatmadan anlatıma geçiyorum. Iptables, sizin verdiğiniz kurallar zincirine göre hareket eder, gelen veya giden ya da yönlendirilen bütün paketler bu kurallara uyar. Kurallar zincirlerini siz oluşturabildiğiniz gibi aşağıda standart gelen zincirler mevcuttur. INPUT : Gelen paketler için kurallar zinciri. OUTPUT : Giden paketler için kurallar zinciri. FORWARD : Yönlendirilen paketler için kurallar zinciri. NAT tarafı için, PREROUTING : Gelen paketlerin değiştirilmesi/yönlendirilmesi için. POSTROUTING : Giden paketlerin değiştirilmesi/yönlendirilmesi için. NAT kuralları da önemlidir, zira ağ geçidi olarak kullanmayı düşündüğünüz Linux bilgisayarınız ile NAT kullanmak zorundasınız. Hatta olaya şu açıdan bakabilirsiniz; bugün evimizde kullandığımız neredeyse bütün ADSL modemler NAT yapıyor. Bu kurallar zincirini yönetmek için belirli parametreler vardır ki kural ekleme, çıkarma vb. durumları belirtir, -A (append) : Belirtilen zincire kural ekler. -D (delete) : Belirtilen kural zincirinden belirtilen numaradaki kuralı siler. -E (rename) : Belirtilen zinciri yeniden adlandırır. -L (list) : Kuralları gösterir, listeler. Zincir belirtilirse, sadece o zincirin kurallarını listeler. -l (insert) : Belirtilen zincirde, belirtilen kural sıralamasında araya bir kural eklemek için kullanılır. (Daha önceden girdiğimiz bir kuralın, söz konusu paket için farklı kural uygulamaması adına, kuralı araya girebilmemiz için gerekebilir.) -R (replace) : Zincirde belirtilen numarada ki alana başka kural koyar. -P (policy) : Herhangi bir kurala uymayan paketlerin başına ne geleceğini belirtir. :) 1

-N (new) : Yeni bir zincir oluşturur. -X (delete) : Oluşturduğumuz kural zincirini siler. -F (flush) : Zincirdeki kuralların tümünü siler. Yukarıda verdiğimiz kurallar zincirleri ile paketler değerlendirilecek, değerlendirme sonunda bir de pakete uygulanması için verdiğimiz son karar olması lazım ki şöyle: ACCEPT : Paketlerin geçişine izin verilir. DROP : Paketlerin geçişine izin verilmez. [Paket düşürülür, hedefe hiç ulaşmamış gibi. Mantıklı gözükse de bazı güvenlik açıklarını doğurabilir. Özellikle DDOS (Önceki sayılarda kısaca bahsetmiştik.) için korunmayan bir yapıda, yönlendirici arkasında paketleri DROP lamak router ın yönlendirici tablosunu aşırı yüklemeden cevap veremez hâle getirebilir.] REJECT : Paketlerin erişimi reddedilir ve gönderen bilgilendirilir. (DROP yerine REJECT kullanımını öneririm.) Paketin neden geri çevrildiğine ilişkin bilgi eklenebilir. RETURN : Zincirin sonuna gönderilir. QUEUE : Paketler kullanıcı alanına gönderilir. Seçenekler Açıklama -s (source) Kaynak adresini belirtir. sport (source port) Kaynak portu belirtir. -d (destination) Hedef adresidir. dport (destination port) Hedef portudur. -p Protokolü belirtir, TCP ya da UDP gibi. ALL hepsi için kullanılır. -i (interface) Ara birim belirtir, eth0 gibi. -o Çıkan veya yönlendirilen kural zincirinde kullanılır. (-o eth1 gibi) 2

Seçenekler Açıklama -t Tabloyu belirtir, nat tablosu için -t nat şeklinde kullanılır. -m Kullanılacak modülü belirtir, -m limit gibi. -j Belirtilen kural zincirine uygulanacak seçim, -j ACCEPT gibi..! Yazılan kuralı tersine çevirir. (Neredeyse bütün seçenekler ile kullanılabilir.) tcp-flags TCP flag leri. (ACK, FIN, RST, URG, SYN, PS veya ALL.) syn SYN paketlerini kontrol etmek için kullanılır. state State (durum) modülü içindir. ESTABLISHED ve RELATED gibi. (Bağlı olan bağlantıların kayıtlarını tutar vb.) limit Saniye saniye eşleşme hızını kontrol etmek için kullanılır. mac-source Belirtilen mac adresi için işlem yapılır. NAT (Network Address Translation) Seçenekleri : NAT yapacaklar için, yönlendirici vb. durumlarda kullanacaklar için, DNAT PREROUTING : (Destination NAT) Hedef NAT, Size gelen isteği yerel ağınızdaki bir bilgisayara yönlendirmek için kullanılır. Gelen paketin başlığına (Header) hedef adresi değiştirip yazar. Örnek olarak, içeride web sunucusu olarak hizmet veren bir sunucu varsa, 80 portuna gelen istekleri içerideki web sunucunuza yönlendirebilirsiniz. Uzak masaüstü vb. birçok durum için geçerli. 3

SNAT - POSTROUTING : (Source NAT) Kaynak NAT, DNAT ın tersine, paket başlığındaki kaynak adresi değiştirip yazar. MASQUERADE : Bir SNAT türü, pakete maskeleme yapar, paketin kaynak adresi ve kaynak portu, sunucu adresiyle ve boş bir portla eşleşerek hedefe gider. Örnek olarak, ağdaki bütün istemciler aynı IP adresinden dışarı çıkar. REDIRECT : (Yeniden yönlendirme) Gelen paketi direkt olarak başka bir portla ilişkilendirir/yönlendirir. Yukarıda bahsi geçen durum ( state), derin bir mevzu olmamakla birlikte, biraz açmamız kullanım açısından iyi olacaktır. State kullanabileceğimiz durumlar aşağıdaki gibidir: NEW : SYN isteği doğrultusunda NEW state alırız, yeni bir bağlantı vardır, birkaç şekilde kullanılır ama örnek verme açısından; sisteme girişte yeni bir bağlantı açılır NEW, gelen paket içerisinde SYN açık ACK boşsa, bu tür paketleri düşürmek saldırı durumunda avantaj olacaktır. Zira normalde header içi bu şekilde boş olmaz. ESTABLISHED : Açık olan bağlantılara ait paketler. Paketler karşılıklı gidip gelip, bilgisayarlar arası sohbet başladığı zaman, bağlantı NEW durumundan ESTABLISHED durumuna geçer. RELATED : An itibarıyla sistemde ESTABLISHED bağlantı varsa, aynı yerden aynı konu ile ilgili benzer istek geldiği zaman, durumu fark edip hımm bunlar aynı konu üzerinde konuşuyor diyerek bu bağlantıyı RELATED olarak işaretler. RELATED bağlantı gördüğümüzde böyle bir durum olduğunu anlarız. INVALID : Diğer durumlara state uymayan durumlardır. Genelde bu paketler düşürülür. (Hata mesajı döndüren paketler vb.) Bir sonraki yazıda, burada gördüğümüz teorik durumu pratiğe dökerek değişik senaryolar yaratıp, örnek oluşturup, üzerinde kendinize göre değişiklik yapacağınız ve geliştirebileceğiniz iptables firewall uygulamaları yer alacaktır. Görüşmek üzere 4

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim