Bu yazının ilk 2 bölümünü IpTables ile Firewall Oluşturmak – 1 ve IpTables ile Firewall Oluşturmak – 2 başlıkları altında okuyabilirsiniz.
Kural eklemek
Örnekteki kural, adı zararlıya çıkmış bir spammer’a ait olduğu için belli bir IP ölçeğine yönelik trafiği engellemektedir ve biz spammer’ların güzel sistemlerine pislik kusmalarını istemeyiz.
# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP
Yukarıdaki söz dizimini nasıl izlediğine bir bakalım. (çeşitli switch’lerin ve komutların tanımlanması için man iptables’a bakınız.) Şimdi varsayalım ki kullanıcılarınız spammer’lara karşı intikam dolu ve kinci hale geliyorlar, ki bu anlaşılabilir bir durumdur, ancak mutlak misilleme taktiğine her zaman müsaade edilmeyebilir, en azından bizim network’ümüzde böyle.Aşağıdaki biraz farklı söz dizimi ile, spammer’ın IP’sine yönlenmiş tüm çıkan paketleri de bloke edebiliriz:
# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP
-A switch’ine dikkat edin. Bunu var olan zincirlere kural katmak için kullanın.
Kuralları Silmek
Spammer’lar güvenilmezdir, uzmanlığı sürekli IP’leri ve DNS’leri değiştirerek whack-a-mole (bir mol gibi davranmak) oyununu oynarlar. Nefret edilesi spammer’ımızın yeni bir IP ölçeğine taşındığını varsayalım, bu durumda eski IP adresi, bit’leri network’ünüzü doldurmaya değer azizelere tekrar tahsis edilir. Kuralı basitçe –D switch’i ile silin:
# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP
Özelleştirilmemiş Hal
Her bir olasılık için ayrı ayrı kural koymak bir hayli zaman tüketmek için iyi bir yoldur. Bunu tercih etmeyenler için temel ilke şudur: “Hepsini geri çevir, sadece gerektiğinde müsaade et”. Şimdi her bir zincir için özelleştirilmemiş kuralları koyalım:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
-P switch’i zincirin izleyeceği poltikayı belirler. Sadece üç gömme zincirin izleyebileceği poltikalar olabilir Bu politikalar çıkış trafiğini dizginsiz bırakır ama giren trafiği değil. En azından azizelerden şu komutu duymak isteriz:
# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT
Daha fazla örnek ve script sunacak olan Bölüm 4’e kadar bizi izlemeye devam edin.
Bu yazının 4. bölümünü IpTables ile Firewall Oluşturmak – 4 başlığı altında okuyabilirsiniz.