Alper YALÇINER

iptables terimleri :

iptables ile ilgili yazılı dökümanları daha iyi anlamak için ipfilter’ile kullanılan terimlere  daha yakından bakmamız yerinde olur.

Drop/Deny :

Bir paket için Drop veya Deny terimi kullanıldığında söz konusu paket basitçe yok olur. istemciye herhangi bir cevap gönderilmez. paket firewall da sonlanmış olur.

Reject :

Reject Deny/Drop ile aynı şekilde davranır, farkı istemciye paketin göz ardı edildiği veya düşürüldüğüne dair  bir cevap döner. Nomal şartlarda paketin neden geri çevirildiğine dair bilgi ekleyebilsekte. iptables default olarak bunu desteklemez. otamatik olarak üretilen cevap geri gönderilir.

Not : Drop kullanımı geriye bir paket göndermediği için çok daha avantajlı gibi görünsede özellikle host’un DDOS için koruması olmadığı durumlarda bir çok zarar meydana getirebilir. örneğin router arkasında paketleri droplamak routing table’in overload olarak cevap veremez hale düşmesine kısacası aldığımız tedbirin kendimize zarar vermesine sebebiyet verebilir. Alınan her tedbirin yeni bir potansiyel tehdit sahası oluşturduğunu göz ardı etmeyiniz.Drop kesinlikle bir çare olsaydı ipfilter ekibi reject gibi bir terim eklemeye gerek duymazlardı !

State :

Statefull firewall’ing için kullanılır. bir önceki yazımda statfull firewall’ları görmüştük. state ilgili bağlantıların kayıtlarını tutar..

Chain :

Chain ingilizcem manasında olduğu gibi tamamen zincir mantığı ile çalışır. bir zincir içerisindeki kurallar sırasıyla ilgili paket üzerinde uygulanır. Zincirler iyi bir firewall yapılandırmasında belirli amaçlar için düzenlenirler. örneğin : Belirli bir host veya ip grubu hakkında kurallar düzenlemek veya belirli bir uygulama hakkında kurallar düzenlemek için. Zincirlerin çalışma şeklini sanırım aşağıdaki resimden daha net anlayabilirsiniz.

Table :

Tablolar belirli amaçlara göre üretilmiştir. Netfilter 4 adet default table içerir raw, nat mangle ve filter.  bu tabloların ayrıntılarına daha sonra değineceğim. bir tablo içerisinde bir yada daha fazla chain içerebilir.

Match :

Paket header’ina bakılarak söz konusu paketin belirli şartlara uyup uymadığını anlamak için kullanılır. örneğin filter içerisinde -source match kullanılarak paketin belirli bir ip den gelip gelmediğine bakılabilir.

Target :

Bir iptables kuralında söz konusu paket için belirli Match şartları uyuyorsa ( belirli bir ip den gelen gibi ) o paket ile ne yapacağımızı belirtebilmemiz için kullanılır. örneğin başka bir chain e yönlendirmek veya nat yapmak gibi.

Rule :

Rule yani kural, bir Match veya target için eklediğiniz her bir kurala denilsede iptables tek bir kural içerisinde bir çok match ve target tanımlamayı mümkün kılar. kısaca iptables içerisinde tanımladığımız her bir kural demek daha uygun olur sanırım.

Ruleset :

Bir table’in içerdiği tüm kuralların oluşturduğu gruba denir.

Jump :

Jump (sıçramak) mana olarak ve yaptığı iş olarak target ile aynısını yapsada sadece chain ler için geçerlidir. yukardaki resimdeki gibi bir yapı oluşturmak istediğimizde farklı bir chain’i göstermek için jump kullanılabilir. jump başka bir hedef ip göstermk için kullanılamaz.

Accept :

Paketi kabul etmek için kullanılır. kısaca Drop/Deny yada reject etmeyip bir paketin kabulü için kullanılır.

Policy :

Politika kural. Firewall larda default policiy şayet bir paket hiç bir kurala uymuyorsa ne yapacağını belirtmek için kullanılır. örneğin Default policy drop olan bir firewall da hiç bir kurala match olmayan bir paket göz ardı edilecektir.

Connection tracking :

Baplantı izleme, statefull firewall larda kullanılır. iptables ile beraber kullanıldığında çok daha fazla cpu ve ram kullanacağını göz ardı etmemek gerekir. yaklaşık olarak şu şekilde bilgi içerir.

tcp      6 299 ESTABLISHED src=10.70.20.3 dst=86.65.39.15 sport=43426 dport=6667 packets=8 bytes=566 src=86.65.39.15 dst=10.70.20.3 sport=6667 dport=43426 packets=5 bytes=2834 [ASSURED] mark=0 secmark=0 use=1

Connection tracking’in ram ve cpu maliyetlerini göz ardı etmeyiniz. 128 mb ram ayırarak 8192 adet aktif ipv4 bağlantı izleyebileceğinizi belirtmek sanırım iyi bir referans olur.

De-Militarized Zone (DMZ) nedir ?

DMZ’ler genellikle internetten ( yada farklı network kaynaklarından ) ulaşılan server’lerimizi korumak ve aynı zamanda local networklerimizde oluşabilecek virus veya spam gibi tehditlerden söz konusu server’leri korumak için oluşturulan networklerdir. internetten bulduğum aşağıdaki resim sanırım sözden daha güzel açıklıyor.