IP Muhasebesi: IPTables ve RRDTool`a

M ak ale
Can Burak Ç İLİNG İR
[email protected] t
B
u yaz ıd a Linux
d ağıtım l
arının son
ve rsiyonl
arınd a
b ul
ab il
e ce ğiniz IPTab l
e s il
e
ağım ız d a d ol
aşan pak e tl
er
h ak k ınd a te m e listatistik se l
b il
gil
e r toparl
ayıp, R R D Toolil
e
grafik h al
ind e nasıl
sunul
ab il
e ce ğini anl
atm aya
çal
ışacağım .Bu siste m in
üz e rine Cron'un ye te ne k l
e rini
de ek l
e yip sonucu b iraz d a ol
sa
h are k e tl
e nd ire ce ğiz .Ge re k
IPTab l
e s'in, ge re k se
R R D Tool
'un b u yaz ıd a
b ah se d il
e nl
e rd e n d ah a ge niş
ol
d uğunu unutm ayın!
Bah se ttiğim 3 araç h ak k ınd a
b iraz b il
gi ve rd ik te n sonra,
b irl
e ştirip vol
tranı ol
uşturm aya
b aşl
ayacağız .Te m e lağ
te rim l
e ri h ak k ınd a fik riniz
yok sa, re fe ransl
ard an ağ
te m e l
l
e ri al
tınd ak i l
ink l
e ri
z iyare te tm e niz i öne ririm .
yük l
e m e aşam asını
h ız l
and ıracak tır.Eğe r
b ul
am az sanız k aynak
pak e tl
e rini çe k e re k
içe ril
e rind e k i "INSTA LL"
d osyasını ok uyarak
k urab il
irsiniz .
IPTables
IPTab l
e s, Linux 2.4 ve 2.6
içe risind e pak e työne tim i
sagl
ayan ne tfil
te r yapısının
k ul
l
anıcı d üz e yind e k i yöne tim
aracıd ır.Basitçe çe k ird e ğin
pak e tfil
tre l
e m e tab l
osuna
k ural
al
l
ar e k l
e yip çık artm aya
yarar.Çoğunl
uğun, IPTab l
e s'ın
sad e ce e nge l
l
e yici ol
d uğu
yönünd e yanl
ış ol
m asa d a
e k sik d üşünce l
e ri var.
Enge l
l
e yici ol
m anın yanı sıra,
pak e til
e tm e , pak e tiçe rik l
e ri il
e
oynam a gib i k l
asik öz e l
l
ik l
e ri
sunm ası il
e b irl
ik te patch -om atic ad ı al
tınd a topl
anm ış
yam al
ar il
e d e il
ginç ye te ne k l
er
k az and ırıl
ab il
m e k te .D ah a
faz l
a b il
giyi re fe ransl
ard a
patch -o-m atic l
ink ind e
b ul
ab il
irsiniz .
O k um aya b aşl
am ad an önce
IPTab l
e s ve R R D Tool
'u k urm ayı
Tablolar
unutm ayın.D e b ian
Kural
l
arı işl
e ye ce k l
e ri
k ul
l
anıcısıysanız te k b ir k om ut
d urum l
ara göre b e l
l
i tab l
ol
arın
il
e k urab il
irsiniz :
içe risind e yaratırız .Varsayıl
an
siste m d e 3 tab l
o vard ır.
apt-get install iptables rrdtool
D ağıtım ınız için önce d e n
d e rl
e nm iş pak e tl
e ri e d inm e niz
00101010 | Ek im 2004
FILTER tab l
osuna siste m
tarafınd an üre til
e n, siste m d e n
ge çe n, ya d a siste m e
ad re sl
e nm iş pak e tl
e ri
yöne te b il
e ce ğim iz k ural
l
arı
ek l
e riz ."--tab l
e " param e tre si il
e
b ir tab l
o be l
irtm e d iğim iz d e
k ural
l
ar b u tab l
oya e k l
e nir.
A çıl
ım ı "Ne tw ork A d re ss
Transl
ation" ol
an NAT
tab l
osuna pak e tl
e rin h e d e f
ve / ve ya k aynak ad re sl
e rini
d e ğiştire ce k k ural
l
ar e k l
e riz .
Bu tab l
oyu k ul
l
anarak port
yönl
e nd irm e , IP M asq ue rad ing
gib i uygul
am al
ar yapab il
iriz .
Yönte m l
e rin açık l
am ası için
Tab l
o 1'e b ak ab il
irsiniz .
M A NGLE tab l
osunu pak e tl
e rin
içe riğini d e ğiştirm e k için
k ul
l
anırız .NAT içe risind e d e
pak e tl
e r d e ğiştiril
iyord u, fak at
yapıl
an d e ğişik l
ik l
e rin
sonrad an ge ri al
ınm ak üz e re
k ayd ı d a tutul
uyord u.M angl
e
d a yaptığım ız d e ğişik l
ik l
e rin
k ayd ı tutul
m az .
D e ğişik l
ik l
e rd e n k asıt, pak e ti
b aşk a araçl
arl
a fark e d e b il
m ek
için işare tl
e m e k , ağ
arab irim ind e n çık ış sırasınd a
önce l
ik ve rm e k gib i
uygul
am al
ard ır.
H e de fler
Kural
l
ar il
e pak e tl
e ri te m e l
ol
arak 4 h e d e fe
yönl
e nd ire b il
iriz .
ACCEPT h e d e fine ak tarıl
an
M ak ale
pak e th e d e fine ul
aşm aya h ak k az and ı d e m e k tir.
H e d e fte n k asıtb ul
unul
an ye re göre m ak inad an
çık ış h ak k ı k az anm a, yönl
e nd irm e h ak k ı
k az anm a gib i d urum l
ar ol
ab il
ir.
D R O P h e d e fine e rişe n b ir pak e tgörm e z d e n
ge l
inir.Ye rine göre siste m d e n çık ışı, siste m e
girişi ya d a yönl
e nm e si e nge l
l
e nir.
R ETUR N h e d e fine il
e til
e n pak e t, b ul
und uğu
z incirin varsayıl
an h e d e fine ak tarıl
acak tır.
Varsayıl
an h e d e fil
e il
gil
i b il
giyi Z incirl
er
b aşl
ığınd a b ul
ab il
irsiniz .Eğe r k i k uralb aşk a b ir
z incirin içe risind e k i b ir z incird e yse pak e tüst
z incire d önd ürül
ür.
R EJECT h e d e fi d e D R O P h e d e fi gib i pak e tin
görm e z d e n ge l
inm e sini sağl
ar.D R O P'tan fark l
ı
ol
arak pak e tin k aynak ad re si b u e nge l
l
em eden
h ab e rd ar e d il
ir.
Z incirler
Z incirl
e r, k ural
l
arın ark a ark aya e k l
e nd iği te m e l
k uralsak l
am a grupl
arıd ır.Pak e tin ne tarafa
il
e til
e ce ği k arar ve ril
d iğind e o z incirin il
k
k ural
ına b ak ıl
acak , e ğe r k ural
a tak ıl
ıyorsa il
gil
i
işl
e m e tab i tutul
acak tır.
H e r z incir, pak e tiçe risind e k i k ural
l
arın h e rh angi
b irine tak ıl
m ad ığınd a işl
e ye ce k varsayıl
an
d avranışa sah iptir.Kural
l
arın h e psind e n k az asız
be l
asız ge çe n pak e t, z incirin varsayıl
an
d avranışına tab i tutul
ur.
INPUT z incirind e n siste m e ad re sl
e nm iş pak e tl
er
ge çm e ye çal
ışır.
O UTPUT z incirind e n siste m tarafınd an üre til
ip
d ışarı çık m ak iste ye n pak e tl
e r ge çe r.
FO RW A R D z ıncırınd e n siste m e uğrayan pak e tl
er
ge çe r.Bu gib i d urum l
ard a siste m ge ne l
l
ik l
e
yönl
e nd irici (route r) k onum und ad ır.
Tablo 1
Portyönlendirm e : Bu yönte m l
e s is te m in x
num aral
ı portuna ge l
e n bağl
antı is te k l
e rinin y
num aral
ı bir porta ul
aşm as ını s ağl
ayabil
iriz . y
num aral
ı portaynı m ak ina üz e rinde ol
acağı
gibi başk a bir m ak inada da ol
abil
ir.
IP Mas q ue rading: Yönte m in te m e lam acı IPv4
adre s al
anının ye te rs iz l
iğine bir çöz üm
üre tm e k tir. Üs tağ tarafından yönl
e ndiriciye
atanm ış ip adre s l
e ri, e ğe r k i o ağda bul
unup
üs tağa çık m as ı ge re k e n m ak ina s ayıs ından az
is e , ağdak i s is te m l
e re üs tağdan fark l
ı ip
adre s l
e ri atanır ve üs tağa gide ce k pak e tl
er
route ra ul
aştığında route ra atanm ış üs tağ
adre s l
e rinde n biri pak e tin k aynağı ol
arak
de ğiştiril
ir. Bu de ğişik l
iği note de n çe k irde k ,
aynı ak ış içe ris inde ge ri ge l
e n pak e tl
e rde işl
emi
te rs ine çe vire re k ik i tarafından da bu
de ğişim de n e tk il
e nm e de n çal
ışm al
arını s ağl
ar.
örne ğe ge l
d i.Tah m in e d e b il
e ce ğiniz üz e re
k om utum uz un ad ı "iptab l
e s".Bu b öl
üm d e
k ural
l
arı önce Türk çe ifad e e d ip ard ınd an b unu
iptab l
e s'a te rcüm e e d e ce ğim .H e r z am an ol
d uğu
gib i "m an iptab l
e s" yaz arak tüm param e tre l
e ri
göz d e n ge çire b il
irsiniz .
Fil
te r tab l
osunun, INPUT z incirinin varsayıl
an
d avranışı D R O P ol
sun:
iptables --table filter -- policy INPUT DROP
19 2.168.0.123 ad re sind e n ge l
e n h e r şe yi k ab ule t:
iptables --table filter --append INPUT --source
192.168.0.123 --jump ACCEPT
3684 num aral
ı portum a ge l
e n h e r şe yi
19 2.168.0.123 ad re sl
i m ak inanın 3451 num aral
ı
portuna il
e t:
Kullanıcı Z incirleri
Kul
l
anıcı z incirl
e ri ge niş öl
çe k l
i ve k arm aşık
k urul
um l
ard a k ural
l
arın b e l
l
i öl
çütl
e rd e
grupl
and ırıl
m asını, d ol
ayısı il
e te k rarı
e nge l
l
e ye n, yöne tim i k ol
ayl
aştıran k ural
grupl
arıd ır.Yaz ım ız ın il
e risind e ve ril
e ri d ah a
rah ate l
d e e tm e k am acı il
e k e nd i z incirl
e rim iz i
tanıtacağız .
Ö rne k Kom utl
ar
Basitçe te orid e n b ah se ttik te n sonra sıra b irk aç
00101010 | Ek im 2004
M ak ale
iptables --table nat --append PREROUTING -protocol tcp --dport 3684 --jump DNAT --to
192.168.0.123:4662
D e ne m e ad ınd a b oş b ir k ul
l
anıcı z inciri yarat:
iptables --table filter --new-chain deneme
Ye ni z incir yarattık tan sonra pak e tl
e ri b aşk a b ir
z incird e n --jum p il
e k e nd i z incirim iz e
ge çire b il
iriz .Ö rne ğini yak ınd a göre ce ğiz .
IP Muh as e be s i
Sıra siste m d e n ge ce n h e r pak e ti te k te k
sayab il
m e m iz için çe şitl
i süz ge çl
e r k urm aya
ge l
d i.Bu süz ge çl
e re tak ıl
an pak e tl
e rin çe şitl
i
öz e l
l
ik l
e rine b ak ıp b ir k e ne ra note d e ce ğiz .
Kol
ayl
ık ol
m ası açısınd an varsayıl
an z incirl
e r il
e
faz l
a h aşır ne şir ol
m ad an k e nd i z incirl
e rim iz i
yaratıp iste d iğim iz "süz ge çl
e ri" o z incirl
e r içine
ek l
e ye l
im .
D e rl
i topl
u b ir b ak ış açıcı e d ine b il
m e k için
k e nd im iz e b ir h e sap d e fte ri açal
ım .IPTab l
e sd a
b u h e sap d e fte ri d e ne n şe yi ancak b ir k ul
l
anıcı
z inciri il
e el
d e e d e b il
iriz .A z once örne k l
e rd e
b ah se ttiğim iz şe k il
d e 2 ye ni z incir yaratal
ım :
iptables --table filter --new-chain net-kullanici
Bu z incird e , Inte rne t'te n k ul
l
anıcıya ge l
en
pak e tl
e rin h e sab ını tutacağız .
iptables --table filter --new-chain kullanici-net
Bu z incird e ise k ul
l
anıcıd an Inte rne t'e gid e n
pak e tl
e rin h e sab ını tutacağız .
İl
gil
i z incirl
e rim iz h az ır ol
d uğuna göre sıra
tutacağım ız ve riyi b e l
irl
e m e ye ge l
d i.Te rcih im
00101010 | Ek im 2004
portnum arası b az ınd a yak al
am ak ."w w w " ve
"ssh " ve risi b e nim için öne m l
i, o yüz d e n b u
ve ril
e rin tak ıl
acağı k ural
l
arı z incirl
e rim iz e
ek l
e ye l
im (R ETUR N h e d e finin ne işe yarad ığını
anım sıyor m usunuz ?):
Ö nce "w w w " için:
iptables --table filter --protocol tcp --append
net- kullanici --source-port www --jump RETURN
iptables --table filter --protocol tcp --append
kullanici-net --destination-port www --jump RETURN
A rd ınd an "ssh " için:
iptables --table filter --protocol tcp --append
net- kullanici --source-port ssh --jump RETURN
iptables --table filter --protocol tcp --append
kullanici-net --destination-port ssh --jump RETURN
Fark ınd aysanız portl
arı num aral
arı il
e
yaz m ad ım .Bu h al
i b ana d ah a insancılge l
iyor.
/ e tc/ se rvice s d osyasına göz atıp w w w ve ssh 'ın
ne ye k arşıl
ık ge l
d iğini göre b il
irsiniz .Kom utl
arı
yaz d ık fak atya il
e rid e d ah a çok portgöz e tl
em ek
istiyorsak ?H e r portiçin ik i satır m ı e k l
e ye ce ğiz ?
Tab i k i h ayır.Bir d öngü b iz im için b u işi
yapacak ! Nasılm ı?Ö nce l
ik l
e şu b ash k od
parçasını çal
ıştırıp d e ne yin (te k satıra yaz ın):
for port in www ssh;do echo $port; done
Ek rand a sıra il
e w w w ve ssh yaz d ığını
göre ce k siniz .H ad i b unu yuk arıd ak i 2 satıra
uygul
ayal
ım .
for port in www ssh; do iptables --table filter -protocol tcp -append net- kullanici --source-port
$port --jump RETURN;iptables --table filter -protocol tcp --append kullanici-net --destinationport $port -jump RETURN; done
M ak ale
A rtık e k l
e m e k iste d iğiniz portl
arı "in" d e n sonra
yaz ab il
irsiniz .
Z incirim iz e k ural
l
arı e k l
e d ik .Pe k i ya z incirim iz e
pak e tge l
e ce k m i?Biz söyl
e m e d e n m aal
e se f
ge l
m e ye ce k :
iptables --table filter --insert INPUT --jump netkullanici
iptables --table filter --insert OUTPUT --jump
kullanici-net
"--inse rt" il
e INPUT ve O UTPUT z incirl
e rinin e n
b aşına pak e tl
e rin b iz im z incirl
e rim iz d e n
ge çm e sini sağl
ayacak e m ri ve rd ik .Eğe r k i
m ak ina yönl
e nd irici k onum und a ise FO RW A R D
z incirine d e aynı şe k il
de ek l
e m e k ge re k e ce k tir.
A rtık IPTab l
e s w w w ve ssh portl
arınd an gid e n
ge l
e n ve rinin k ayd ını tutacak .
IPTab l
e s b u ve ril
e rin k ayd ını tutacak .Pe k i am a
b iz nasılgöre ce ğiz ?Ö nce l
ik l
e az önce
be l
irl
e d iğim iz portl
arı k ul
l
anın.M e se l
a ssh il
e
b ir ye re b ağl
anın, w e b site l
e rind e ge z inin.
A rd ınd an "k ul
l
anici-ne tz inciri h ak k ınd a b il
gi
ve r, b oy b il
gil
e rini d e byte cinsind e n ve r"
anl
am ına ge l
e ce k k om utu çal
ıştırın:
iptables --list kullanici-net --verbose -x
Be nim siste m im d e şuna b e nz e r b ir çık tı e l
de
e d iyorum :
hopkins:~# iptables --list kullanici-net -verbose -x
Chain kullanici-net (1 references)
pkts bytes target prot opt in ou destination
19 3279 RETURN tcp -- any any
anywhere
anywhere tcp dpt:ssh
Görd üğünüz üz e re b u k ural
a topl
am "3279 " byte
b oyund a pak e ttak ıl
m ış.İste rse niz b u çık tıl
arı
il
e rid e k ul
l
anm ak üz e re b ir d osyaya k oyal
ım ve
b und an sonra o d osya üz e rind e çal
ışal
ım :
iptables --list kullanici-net --verbose -x >
kullanici-net
iptables --list net-kullanici --verbose -x > netkullanici
D osyal
arım ız ı ol
usturd uk .Şim d i az önce
b ah se ttiğim iz "3279 " u d ah a sonra k ul
l
anıl
ab il
ir
b ir h al
d e , yani b ir b ash d e ğişk e ni h al
ind e e l
de
e tm e ye çal
ışal
ım (k nSSH "k ul
l
anici-ne tssh "ın
k ısal
tm ası):
knSSH=`grep "dpt:ssh" kullanici-net | awk '{print
$2}'`
"e ch o $k nSSH " yaz d ığınız d a b e k l
e d iğim iz sayıyı
göre ce ğiz .D ağınık ge l
m iş ol
m al
ı.Yaz ının
sonund a b u yaptık l
arım ız ı b ir b e tik h al
ine
ge tirip d ah a rah atk ul
l
anab il
e ce ğiz .
RRDTool
R R D Toolyönl
e nd irici göz l
em l
e m e d e sık ça
k ul
l
anıl
an M R TG ad l
ı uygul
am anın grafik çiz m e
al
tyapısı ol
arak h ayatına b aşl
am ış b ir
uygul
am ad ır.Bu uygul
am a saye sind e
iste d iğim iz h e r ve rinin grafiğini çık artab il
iriz .
Biz IPTab l
e s saye sind e e l
d e e ttiğim iz ve rinin
z am anl
a ne k ad ar d e ğiştiğini göz l
e m e k için b ir
grafik ol
uşturacağız .R R D Tool
un tam ol
arak
nasılçal
ıştığını anl
atm ak ye rine sad e ce
k ul
l
anacağım ız k om utl
arın açık l
am asını
ve re ce ğim .R e fe ransl
ard a b ağl
antısı b ul
unan
"tutorial
"ı ok uyarak d iğe r öz e l
l
ik l
e ri h ak k ınd a
fik ir sah ib i ol
ab il
irsiniz .
R R D Toolk ul
l
anm aya b aşl
am ad an önce te m e l
ol
arak nasılçal
ıştığını b il
m e m iz ge re k l
i.R R D
"R ound R ob in D atab ase "in k ısal
tm ası
ol
d uğund an işin içind e grafik çiz e n b ir
uygul
am anın yanı sıra b ir d e ve ritab anı
uygul
am ası b ul
und uğunu anl
ayab il
iriz .Bu
ve ritab anının b il
inm e si ge re k e n 3 te m e löz e l
l
iği
var:
1.Ek l
e ne ce k h e r ve ri b ir tarih il
e b ağl
antıl
ı ol
m al
ı.
2.Ve ritab anınd ak i ayarl
anm ış ye rl
e r b ittiğind e e n
e sk i ve rinin üz e rine yaz acak tır.Buna e n güz e l
orne k b ir çe m b e r ol
ab il
ir.Bir nok tad an
b aşl
arsınız , çe m b e rd e k i h e r ye r d ol
d uğund a
b aşl
ad ığınız ye re ge l
ir ve il
k yaz d ığınız ve rinin
üz e rine yaz arak d e vam e d e rsiniz .
3.R R D Toolve ritab anl
arı b e l
l
i b ir aral
ık ta ve ri
be k l
e r.Eğe r k i ve ri ge l
m e z ise o sl
otu b il
inm e ye n
ol
arak işare tl
e r.
Bu k ısa girişte n sonra işe il
k ve ritab anım ız ı
yaratarak b aşl
ayal
ım .İl
k ve ritab anım ız d a
siste m e gire n ssh ve w w w pak e tl
e rinin sayısı
tutul
sun:
rrdtool create sshwww.rrd \
DS:ssh:ABSOLUTE:600:U:U \
DS:www:ABSOLUTE:600:U:U \
RRA:LAST:0:1:480
Burad a ne d e nm e k istiyor:
rrd toolcre ate ssh w w w .rrd : ssh w w w .rrd ad ınd a
00101010 | Ek im 2004
M ak ale
b ir d oya yarat
D S:ssh :A BSO LUTE:600:U:U: b u d osyad a 600
saniye d e b ir günce l
l
e ne ce k , ssh ad ınd a b ir al
an
yarat.
D S:w w w :A BSO LUTE:600:U:U: 600 saniye d e b ir
günce l
l
e ne ce k , w w w ad ınd a b ir al
an yarat.
R R A :LA ST:0:1:480: 480 ad e tk ayıttut, k ayıtl
arın
h e r b iri ve ri nok tası ol
arak k ul
l
anıl
ab il
ir.(1
ye rine 2 ol
sa id i m e se l
a 2 ve rid e b ir ortal
am a
al
ınarak ve ri nok tası ol
uşturul
acak tı.) (rrd tool
m an sayfasını ok um anız ı h atırl
atm am a ge re k var
m ı?)
A rtık b ir ve ritab anım ız var.Sıra ge l
d i içine b il
gi
ek l
e m e ye :
rrdtool update sshwww N:$knSSH:$knWWW
Görd üğünüz gib i d e ğişk e nl
e ri ve ritab anınd a
yarattığım ız sıra il
e ve rd im .k nSSH ve k nW W W
d e ğişk e nl
e ri ise yuk arıd a anl
attığım IPTab l
es
ve risinin d e ğişk e ne atanm ası e snasınd a yaratıl
an
d e ğişk e nl
e r.
Ve ritab anım ız d a ol
uştu.Sıra ge l
d i b ir grafik
çiz m e ye :
rrdtool graph sshwww.png \
DEF:s=sshwww.rrd:ssh:LAST \
DEF:w=sshwww.rrd:www:LAST \
AREA:s#FF0000:s \
STACK:w#00FF00:w \
--title="Port kullanimi" > /dev/null
rrd toolgraph ssh w w w .png: ol
uşturul
acak
d osyanın ad ı sssw w w .png
D EF:s=ssh w w w .rrd :ssh :LA ST: ssh w w w .rrd
d osyasınd ak i ssh ve risini s ad ı il
e k ul
l
an
D EF:w =ssh w w w .rrd :w w w :LA ST: ssh w w w .rrd
d osyasınd ak i w w w ve risini w ad ı il
e k ul
l
an.
A R EA :s#FF0000:s: s ve risini al
an ol
arak çiz ,
re ngi k ız m ız ı ol
sun.
tutacak ve ritab anl
arı (ssh w w w .rrd ).Yuk arıd a
b ah se ttiğim iz gib i b unl
arı h az ırl
ad ık tan sonra
h e r şe y b e tik l
e ri ol
uşturm ak için h az ır ol
acak ;
fak atufak b ir d e tayı unutm am ak l
az ım .Bu
k ural
l
ar siste m i ye nid e n açtığım ız d a
k ayb ol
acak l
ar.Ayrıca k ural
l
arl
a oynark e n sil
b aştan yapm anız d a ge re k e ce k .
H e r şe yi sil
ip ye nid e n b aşl
am ak için:
#varsayilan zincirlerin varsayilan hedefini ayarla
iptables --table filter --policy INPUT
ACCEPT
iptables --table filter --policy FORWARD
ACCEPT
iptables --table filter --policy OUTPUT
ACCEPT
iptables --table nat
--policy PREROUTING
ACCEPT
iptables --table nat
--policy OUTPUT
ACCEPT
iptables --table nat
--policy POSTROUTING
ACCEPT
iptables --table mangle --policy PREROUTING
ACCEPT
iptables --table mangle --policy OUTPUT
ACCEPT
iptables --table mangle --policy INPUT
ACCEPT
iptables --table mangle --policy FORWARD
ACCEPT
iptables --table mangle --policy POSTROUTING
ACCEPT
#kullanici zincirlerini sil
iptables -X
#tablolardaki tum kurallari sil
iptables --table filter --flush
iptables --table nat
--flush
iptables --table mangle -flush
A k tifk ural
l
arı k ayd e tm e k için:
iptables-save > /root/kurallarim
K ayd e d il
m iş k ural
l
arı yük l
e m e k için
iptables-restore < /root/kurallarim
Kural
l
arın ayarl
ı ol
d uğunu ve ve ritab anl
arının
h az ır ol
d uk l
arını varsayıp b e tiğim iz in yapm ası
ge re k e n işl
e ri l
iste l
e ye l
im :
--titl
e ="Portk ul
l
anim i" > / d e v/ nul
l
: grafiğin
b aşl
ığını b e l
irl
e , çık tıyı görm e z d e n ge l
(norm al
d e ol
uşturul
an grafiğin b oyutu yaz ar)
1.Ve ril
e ri ok u, d ah a sonra çab uk e l
d e e tm e k için
d osyaya k ayd e t.(Kom uth e r çal
ıştığınd a z ate n
üre tiyor ne d e n k ayd e d e l
im d iye b il
irsiniz .
Pe ntium 166 m ak inam d a 8 tane göz e tl
e m e k ural
ı
ol
an tab l
onun ve ril
e rini e d inm e m 15 saniye
sürüyor.H e r se fe rind e b unu b e k l
em ek
iste m iyorum .)
Be tik ler
2.Ve ril
e ri d e gişk e nl
e re ata.
STACK :w #00FF00:w : w ve risini ye şilol
arak b ir
önce k i ve rinin üz e rine çiz .
İşim iz e yarayacak b e tik l
e ri ol
uşturm ad an önce
el
im iz d e h az ır ol
m ası ge re k e nl
e r var.İste d iğim iz
gib i ayarl
anm ış b ir k uraltab l
osu ve ve ril
e ri
00101010 | Ek im 2004
3.Bu d e ğişk e nl
e rd e k i ve ril
e ri ve ritab anına
k ayd e t.
4.Ve ritab anınd ak i ve ril
e rd e n grafik ol
uştur.
M ak ale
Be tiğim iz şöyl
e ol
ab il
ir:
#!/bin/bash
# Bu betik birazdan görecegimiz cron tarafından
çalıstırılacagı için
# her seyi tam yerleri ile birlikte belirtmemizde
yarar var. Komutların
# tam yerini bulmak için which komutuna
basvurabilirsiniz.
# Örnek: "which grep":
iptables=/sbin/iptables
grep=/bin/grep
awk=/usr/bin/awk
rrdtool=/usr/bin/rrdtool
kullanicinet=/tmp/kullanicinet
netkullanici=/tmp/netkullanici
#Adım 1:
$iptables --list kullanici-net --verbose -x >
$kullanicinet
$iptables --list net-kullanici --verbose -x >
$netkullanici
$iptables -Z
#Adım 2:
knSSH=`$grep "dpt:ssh" $kullanicinet | $awk
'{print $2}'`
nkSSH=`$grep "spt:ssh" $netkullanici | $awk
'{print $2}'`
knWWW=`$grep "dpt:www" $kullanicinet | $awk
'{print $2}'`
nkWWW=`$grep "spt:www" $netkullanici | $awk
'{print $2}'`
#Adım 3:
$rrdtool update sshwww N:$knSSH:$knWWW
#Adım 4:
$rrdtool graph
/web/sunucusunun/sundugu/dizin/sshwww.png \
DEF:s=sshwww.rrd:ssh:LAST \
DEF:w=sshwww.rrd:www:LAST \
AREA:s#FF0000:s \
STACK:w#00FF00:w \
--title="Port kullanimi" > /dev/null
* * * * * k om ut: k om utd ak ik ad a b ir çal
ıştırıl
ır
5 * * * * k om ut: h e r 5 ge çe (saatte b ir)
5 1 * * * k om ut: saat1:05 (günd e b ir)
15 */ 5 * * * k om ut: 5 saatte b ir çe yre k ge çe l
e ri
5,10,12,20 * * * * k om ut: d ak ik a h e r 5, 10,12 ve ya
20 ol
d uğund a
*/ 5 * * * * k om ut: 5 d ak ik ad a b ir
Ek l
e ye ce ğim iz satır şu şe k il
d e ol
acak :
*/5 * * * *
/betigimizin/bulundugu/klasor/BetigimizinAdi.sh
Son ol
arak b u grafiği göste re ce k b ir h tm ld osyası
yaratal
ım :
<html>
<head><title>IP Muhasebesi</title></head>
<body><img src="sshwww.png" /></body>
</html>
Be nd e n b ah se ttik l
e rim iz d e n b iraz d ah a
k apsam l
ı 2 ad e törne k grafik : (2 png d osyası)
Be tiğim iz artık h az ır.Çal
ıştırıl
ab il
ir h al
e
ge tire l
im :
chmod +x BetigimizinAdi.sh
Cron
Bitti m i?Tab i k i h ayır.ve ritab anını yaratırk e n
b oşuna 600 saniye d e m e d ik .Bu b e tiğin 600
saniye d e b ir (10 d ak ik ad a b ir) çal
ıştırıl
m ası
ge re k l
i.Bunun için şu k om utu ve riyoruz :
crontab -e
Cron siste m im iz d e b e l
l
i b ir d üz e nd e k om ut
çal
ıştırm ak için b ul
unan b ir araç.K arşım ız a
d üz e nl
e m e m iz için açıl
an d osyanın form atı çok
k arışık d e ğil
.5 süre b e l
irte ci ve çal
ıştırıl
acak
k om ut.Bir satırı "1 2 3 4 5 k om ut" şe k l
ind e
num aral
arsak :
1: saatin şu d ak ik ası, 2: günün şu saati, 3: ayın şu
günü, 4: yıl
ın şu ayı, 5: h aftanın şu günü
anl
am ına ge l
ir."*" k oyarsak h e r an o d e ğe r
d oğru sayıl
ır, */ n k oyarsak n b irim d e b ir d oğru
ol
ur.Ö rne k :
K aynak lar
RRDTool
h ttp://pe opl
e .e e .e th z .ch /~ oe tik e r/w e btool
s /rrdtool
/
h ttp://pe opl
e .e e .e th z .ch /~ oe tik e r/w e btool
s /rrdtool
/tutorial
/
ne tfil
te r
h ttp://tr.ne tfil
te r.org/docum e ntation/H OW TO/pack e t- fil
te ringH OW TO.h tm l
h ttp://w w w .s h ore w al
l
.ne t/Ne tfil
te rOve rvie w .h tm l
patch -o-m atic
h ttp://tr.ne tfil
te r.org/patch -o- m atic/pom -pe nding.h tm l
h ttp://tr.ne tfil
te r.org/patch -o- m atic/pom -bas e .h tm l
h ttp://tr.ne tfil
te r.org/patch -o- m atic/pom -e xtra.h tm l
NAT
h ttp://tr.ne tfil
te r.org/docum e ntation/H OW TO/NAT- H OW TO.h tm l
Ağ Te m e lleri
h ttp://tr.ne tfil
te r.org/docum e ntation/H OW TO/ne tw ork ing- conce pts H OW TO.h tm l
00101010 | Ek im 2004