Bu yazının ilk 3 bölümünü IpTables ile Firewall Oluşturmak – 1 – IpTables ile Firewall Oluşturmak – 2 ve IpTables ile Firewall Oluşturmak – 3 başlıkları altında okuyabilirsiniz.
SYN’lerimizden Yararlanalım
Tüm port’ları kapatamayız; çünkü o zaman tamamen Internet’ten kopmuş oluruz. Açık kalmak üzere belli başlı bazı port’lar da belirleyemeyiz çünkü zararlı programların hangi port’tan geleceğini önceden bilemeyiz. Ayrıca sadece belirli prot’lar üzerinden yönlendirilmiş bir trafikle, zararlı bit’lerin oraya dadanmalarını önleyemeyiz. O zaman, iyilerin network’ten içeriye girmesine izin verip kötüleri de network’e sokmayan etkili bir kural koymak için tam olarak ne yapabiliriz?
Yeni başlayanlara izinsiz erişimi engellemek için syn flamasını (flag) önerebiliriz. iptables faydalı yükü değil ama yalnızca başlıkları yoklamakla birlikte, yine de başlıklara dayanarak başlıklar üzerinde pek çok kullanışlı paket çözümlemesi yapmaktadır. Örneğin web’de gezinirken yaptığınız bir istem, sizin kişisel bilgisayarınızdan, başka bir yerlerdeki herhangi bir web sunucusuna gitmektedir. Daha sonra da Web sunucusu yanıt gönderir ve sisteminizde uygun bulduğu ilk kısa ömürlü (geçici) port’u yakalayarak paketleri geri yollar. O sunucunun size yanıt yollamak dışında, trafiği size yönlendirmek için hiçbir gerekçesi yoktur. Sizin sisteminizin başlatmamış olduğu ama size gelen tüm TCP bağlantılarını bloke eden bir kural koyarak bundan yararlanabiliriz.
# iptables -t filter -A INPUT -i eth0 -p tcp –syn -j DROP
-i burada network arayüzünün yerine geçiyor, -p hangi protokol olduğu ve –syn de syn flamasının kurulu olduğu TCP paketlerinin yerine geçiyor. Bu aynı zamanda TCP/IP’yi anlamanın önemini de gösteriyor. SYN bir TCP bağlantısı başlatmak için kullanılır. Eğer hattın sizden yana ucunda hiçbir sunucu kullanmıyorsanız, karşınızdaki hiçbir tarafında size SYN paketi yollaması için bir neden yoktur.
Bu noktada, “Bunlar daha KOLAY olamaz mıydı?” diye hayıflananlar olabilir. Evet Firewall kurmanın daha kolay yolları var. Kural grupları oluşturmaya yarayan hem çok iyi donanım aletleri hem de yazılım ürünleri var (bakınız Kaynakça) ama sevgili Çekirge, Ustan gibi sen de biliyorsun ki kolay yol her zaman en iyi yol değildir. Ve eğer benim gibi eski bir fosil bile bu işi çözebiliyorsa herkes becerebilir demektir.
Durum Belirtici Paket Araştırması
Deminki örnek her bir pakete, bağlamına göre değil tek tek bakar ve başlıktan edindiği bilgiye dayanarak hareket eder. Eğer herkes dürüst ve iyiliksever olsaydı sorun olmazdı. (Gerçi, herkes dürüst ve iyiliksever olsa firewall’lara da ihtiyaç olmazdı, öyle değil mi?) iptables, başlık flamalarına (SYN, ACK, FIN, RST ve bunlar gibi flamalara) göre kaynak ve erek IP adreslerini, kaynak ve erek port’ları, gelen paketlerin süregelme adedini ve durumu araştırır. Bir diğer deyişle, iptables tüm bağlantı oturumlarını izler ve verilmiş bağlama göre süzme işlevi görür.
Bu yazının devamını IpTables ile Firewall Oluşturmak – 5 başlığı altında okuyabilirsiniz.
Kaynak : 