ToS ( Type of Service ) IP datagram başlığı üzerinde yer alan servis türü alanıdır.

Yazının devamına buradan ulaşabilirsiniz. ]]> http://kaan.ozdincer.com/gunce/internet/type-of-service/feed 0 http://kaan.ozdincer.com/gunce/ipv6/shorewall-in-ipv6-destekler-hale-getirilmesi-nasil http://kaan.ozdincer.com/gunce/ipv6/shorewall-in-ipv6-destekler-hale-getirilmesi-nasil#comments Tue, 07 Jul 2009 10:40:29 +0000 kozdincer http://kaan.ozdincer.com/?p=19

ÖNKOŞULLAR:
Shorewall ‘u IPv6 ile kullanmak için, güvenlik duvarınız şu önkoşullara sahip olmalıdır;
1- Kernel 2.6.25 veya sonrası.
2- Iptables 1.4.0 veya sonrası (1.4.1.1 tavsiye edilir.)
3- Perl 5.10 ve Perl Socket6 kütüphanesine sahip olmalısınız. İsterseniz IPv6 ayar dosyalarınıza DNS isimlerini ekleyebilirsiniz.

PAKETLER:
Shorewall IPv6 destegi iki yeni paket sunar;
1- Shorewall6 (/sbin/shorewall6).
Bu paket Shorewall (/sbin/shorewall) in IPv6 destekleyen eşdeğer halidir.
2- Shorewall6 Lite.
Bu paket Shorewall Lite in IPv6 destekleyen eşdeğer halidir. Paket kendi ayarlarını /etc/shorewall6-lite içinde tutar.

IPv4/IPv6 ETKİLEŞİMİ:
IPv4 yada IPv6 nın IP bağlantısı birbirinden farklıdır. IPv4 bağlantısı, Shorewall (Shorewall-lite) tarafından kontrol edilirken, IPv6 bağlantısı Shorewall6 (Shorewall6-lite) tarafından kontrol edilir. Firewall u tek adres ailesinden başlatmak yada durdurmak, diger adres ailelerini etkilemez.
Sonuç olarak, Shorewall6 ve Shorewall arasındaki ufacık bir etkileşim olacak.

DISABLE_IPV6:

Shorewall6 nın Shorewall i etkileyen ayarı /etc/shorewall/shorewall.conf içindeki DISABLE_IPV6 satırıdır. Shorewall6 yı ayarlayacağınız zaman satırı, DISABLE_IPV6=No yapıp, Shorewall veya Shorewall-lite ı yeniden başlatmanız yeterli olacaktır.

TC_ENABLED:
Ayarlarınızdaki trafic şeklini ayarlıyacak bir diğer kısım ise; tcdevices ve tcclasses dosyasıdır.(Shorewall ve Shorewall6 daki aynı şeydir) Yapmamız gereken;

TC_ENABLED=Interval (Shorewall veya Shorewall6 da) VE
TC_ENABLED=No (diger üründe)
CLEAR_TC=No bir öncekini yaptıgınız üründe.
Not: TC_ENABLED=Interval olan ürün önemsenmeyecektir.
IPv4 paket belirteci /etc/shorewall/tcrules de kontrol edilir.
IPv6 paket belirteci /etc/shorewall6/tcrules de kontrol edilir.

KEEP_RT_TABLES:

Multi-ISP kullanıcıların yapmak zorunda oldukları bir işlem daha vardır. Provider dosyasını bir giriş yaptığı zaman, Shorewall, başlarken, yeniden başlarken /etc/iproute2/rt_tables dosyasını değiştirir, kapatırken ise yeniden yükler.

KEEP_RT_TABLES=Yes (shorewall.conf) satırı, rt_tables ın Shorewall tarafından değişmesini engeller.
Shorewall6 da benzer bir yol izler.

Multi-ISP kullanıcılarını tavsiye olarak;
-Aynı sağlayıcılar için, aynı ismi seçin.
-KEEP_RT_TABLES satırını;
shorewall.conf için ‘No’
shorewall6.conf için ‘Yes’ yapın.
Bu ayar rt_tables dosyasının içeriğini kontrol etmenizi sağlayacaktır.

6TO4:

IPv6 baglantınız için 6to4 tunnel kullanıyorsanız, /etc/shorewall/tunnels deki girdilere ihtiyacınız olacaktır.

<code>

#TYPE    ZONE    GATEWAY        GATEWAY
#                               ZONE
6to4     net
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

</code>

SHOREWALL6 VE SHOREWALL ARASINDAKİ FARKLAR:

Shorewall6 nın ayarları bir kaç istisna hariç Shorewall ayarları ile benzerlik göstermektedir:

No NAT:
NAT ın hiçbir durumu desteklenmez. Bir çok insan bunun dev bir adım olduğunu düşünür.

DEAFULT ZONE TYPE:

Shorewall6 da bu deger < ipv6 > dır. Bu degeri /etc/shorewall/zones da belirmelisiniz. Eger yanlıs bir ayar yaparsanız, anlık bir hata ile karşılaşırsınız.
ARAYUZ AYARLARI:

Tüm arayüz ayarlarınızı /etc/shorewall/interfaces da yapabilirisinz:

blacklist:
Shorewall ile aynı.
bridge:
Shorewall ile aynı.
dhcp:
Server daki arayüz, IPv6 DHCP veya firewall ın host ladığı bir IPv6 DHCP server ı tarafından atanır.
maclist:
Shorewall ile aynı.
nosmurfs:

Kaynak paketlerin IP adreslerinin kontrolü ve gelen paketlerin adresleri:
- Bir IPv6 multicast adresi.
- Herhangi bir global unicast adresleri için subnet-router anycast adresleri arayüze atanması.
- Herhangi bir global unicast adresleri için ir RFC 2526 anycast adresinin arayüze atanması.

optional:
Shorewall ile aynı.
routeback:
Shorewall ile aynı.
sourceroute[={0|1}] :
Shorewall ile aynı.
tcpflags
Shorewall ile aynı.
mss=mss
Shorewall ile aynı.
forward[={0|1}] :
Sistem davranışındaki ihtiyaçlarına göre, shorewall6.conf dosyasındaki IP_FORWARDING satırını değiştirebilirsiniz.
- 1 değeri için, router olarak davranır.
- 2 değeri için, host olarak davranır.

HOST AYARLARI:

blacklist:
Shorewall ile aynı.
maclist:
Shorewall ile aynı.
routeback:
Shorewall ile aynı.
tcpflags:
Shorewall ile aynı.

ADRESLER BELİRLERME:

Herhangi bir yerdeki adresler veya adres listeleri (”:”) kolonunu izliyorsa, okunabilirliği arttırmak için adresler veya liste, köşeli parantezler(”<”and”>”) arasına yazılabilir.

Örnek (/etc/shorewall6/rules):

<code>

#ACTION        SOURCE              DEST                        PROTO          DEST
#                                                                             PORT(S)
ACCEPT         net                 $FW:<2002:ce7c:92b4::3>     tcp            22

</code>

Bir kolon, arayüzden önce geldiği zaman köşeli paranteze ihtiyaç duyulur.

Örnek (/etc/shorewall6/rules):

<code>

#ACTION        SOURCE                            DEST          PROTO          DEST
#                                                                             PORT(S)
ACCEPT         net:wlan0:<2002:ce7c:92b4::3>     tcp                         22

</code>

STOPPED STATE:

Shorewall6 veya Shorewall6 Lite stopped state te ise, aşağıdaki tarfiğe izin verilir.
- Multicast tanımlamalı IP adresi ile trafik. (ff00::/8)
- Yerel kaynak bağı adresi ile trafik. (ff800::/8)
- Yerel tanımlamalı bağ adresi ile trafik.

MULTI-ISP:

Linux IPv6 yığınının, yönlendirme balansı desteği yoktur. Dolayısıyla Shorewall6 olarak, ne shorewall6-providers taki denge seceneği, ne de shorewall6.conf daki USE_DEFAULT=Yes secenegi desteklenmektedir.
/sbin/shorewall6 VE /sbin/shorewall6-lite KOMUTLARI:
/sbin/shorewall daki benzer komut desteği /sbin/shorewall6 da yoktur.
- hits
- ipcalc
- iprange
Ayrıca Shorewall6 tabanlı Shorewall-perl den beri dynamic-zones desteklenmemektedir. Bundan dolayı add ve delete komutları, shorewall6 ve shorewall6-lite ta desteklenmemektedir.

MAKROLAR:

Uygulama makroları için Shorewall-common da Shorewall6 paket desteği vardır. Öntanımlı ayarlar /usr/share/shorewall/ da CONFIG_PATH tir.
IPV6 DESTEĞİ KURULUMU:

Şu paketlere ihtiyacınız olacak;
- Shorewall-common 4.2.4 yada üstü.
- Shorewall-perl 4.2.4 yada üstü.
- Shorewall6 4.2.4 yada üstü.
Merkezi IPv6 firewall yönetimine izin vermek için, uzak firewall unuza Shorewall6-lite 4.3.4 kurabilirsiniz. ]]> http://kaan.ozdincer.com/gunce/ipv6/shorewall-in-ipv6-destekler-hale-getirilmesi-nasil/feed 0