Telnet, uzak baglanti yapmamizi saglayan bir protokoldur. Bundan yaklasik 10 yil once henuz ssh kavrami ile tanismamis oldugumuzdan linux sunucularimiza telnet vasitasiyla baglanirdik.  Telnet kullandigimiz donemlerde hackinge daha fazla maruz kaldirdik cunku telnet, verileri text formatinda yani sifrelemeden gonderir. Bulundugunuz agi dinleyen biri bu verilere cok rahat ulasabilir ve herhangi baska bir seyede ihtiyac duymaz. Daha sonralari ssh ile tanistik, artik serverlarimiza telnet serveri neredeyse hic kurmaz olmustuk. Ama telnet ile bagimiz hic bir zaman kopmadi ve hala gunde bir kac kullandigimi net bir sekilde dile getirebilirim. Bugun size telneti hangi amaclarla kullanabilecegimize dair bir kac ornek sunarak bilgi aktarmaya calisacagim.

Telnet son zamanlarda en cok kullandigim trooble shooting araclarindan biridir. (ping, traceroute vb.) Cogu isletim sisteminde gomulu gelmesi (windows X vb.) gelmeyenlerde ise cok basit kurulumu sayesinde cok kullanilan bir arac olmaya devam ediyor.

Telneti kisaca bir sunucunun herhangi bir servisinin calisip calismadigini, belirli bir portun aktif olup olmadigini algilamak icin kullanabilirsiniz. Isi biraz daha oteye goturelim, mail clientinizla (outlook vb.) mail alip vermede sorun yasiyorsunuz. Ornegin size gonderilen maillari goremiyorsunuz hemen bir iki adimla sorunun clienta olup olmadigini anlayalim.

telnet mail.dinopsys.net 110
+OK Hello there. <2584.1230034220@localhost.localdomain>
user fikri@dinopsys.net
+OK Password required.
pass xxxx
+OK logged in.
LIST
.

Evet posta kutumuz gercekten bos.  Clientimizda sorun olmadigina artik eminiz.

Hemen baska bir ornege gecelim. Mesela Dinopsys.Net makinasinin ssh portunu kontrol edelim.

C:\Documents and Settings\Fikri>telnet www.dinopsys.net 22
Connecting To www.dinopsys.net...Could not open connection to the host, on port
22: Connect failed
 
C:\Documents and Settings\Fikri>

Gordugunuz uzere port kapali. Tabi bu servisin calismadigi anlamida gelmez.

Mail clientimiz icin yaptigimiz ornegi birde browserimiz (ie, firefox vb.) gibi icin uygulayalim. Ornegim tum israrlarimiza ragmen www.microsoft.com’ u acamiyoruz. Acaba sorun microsoft’ tami yoksa hatlarda mi? Belki sorun browserimizdadir. Hemen test edelim.

telnet www.microsoft.com 80

Eger karsi tarafin web serverina sorunsuz ulasabiliyorsaniz siyah bos bir ekran karsiniza gelecektir. Burada CTRL+ü harfine basarak telnet komut satina dusun ve asagidaki komutu yazin.

Welcome to Microsoft Telnet Client
 
Escape Character is 'CTRL+ü'
 
 
Microsoft Telnet> set localecho
Local echo on
Microsoft Telnet>

localecho yu aktif duruma getirdik cunku ne yazdigimizi gormek istiyoruz. Bir cogumuzun en sIk yaptigi hata budur – yaziyorum ama yazmiyor
Simdi Telnet komut satirindayken bir kez entera basalim ve siyah ekrana geri donelim, sirayla asagidaki komutlari yazalim;

GET / HTTP/1.1
Host: www.microsoft.com

Adresten sonra iki kez entera basin…
Ve sayfa headerlari karsinizda… Demekki sorun browserimizdaymis..

Ornekler cogaltilabilir. Sizinde deneyimlerinizi bekliyoruz.

Öncelikle ADSL nedir onunla başlayalım. Bu makalede nerden alırsınız ne işe yarar kaç para ödersiniz gibi bilgilere yer vermiyorum. Zaten bunları herhangi bir yerden edinebilirsiniz veya Türk Telekom sitesinde bu bilgiler var. Ben biraz daha teknik verilere girmek istiyorum ilgilenen arkadaşlar için.

• ADSL HAKKINDA GENEL BİLGİ

ADSL (Asimetrik Sayısal Abone Hattı) demektir, tam açılımı. DSL (Sayısal abone hattı) nın bir türevidir. Bakır kablo üzerinden modem vasıtası ile daha fazla veri aktarı sağlamak amacı ile geliştirilmiş bir teknolojidir. Bu sistem çalışırken insan kulağının duyabileceğinden daha yüksek frekanslarada veri ilietimi yaptığı için abone aynı anda modemin çalışması ve telefonun hala devrede olmasını sağlar. Fakat bakır kabloda olan kirlikil (noice) ve kaybın sonucunda bu hizmetin bir mesafe sınırı vardır. Bu sınır genelde 5km den daha azdır. Mesafe sınıra yaklaşıldıkca elde edilebilecek olan hız ve kalite kablonun kalitesine, bağlantıların kalitesine ve hattaki kirliliğe paralel olarak farklılık gösterecektir. Sanırım bu kadar ön bilgi yeter.

• ADSL NEDİR

DSL teknolojisi geliştirilerek, zamanla artan hız ihtiyacını var olan altyapı göz önüne alınarak tek yönlü veri indirim hızı arttırılmış bir teknolojidir. Asimetrik olması normalde kullanıcılar veri alma (download) ihtiyaçları veri gönderme (upload) ihtiyacından fazla olduğu göz önüne alınarak geliştirilmiştir.
Teknik açıdan ise, bu sistem daha çok bir bir crosstalk (türkçesini bilmiyorum) bir devreden DSLAM (birçok devrenin bir sonlandığı çoklu modem) sonlanır. Veri gönderim signalin yerel döngünün (local loops) en zayıf ve olduğu kısımdır. Veri alımı sırasında signal en güçlü oldğu zamandır. Bu paralel olarak da sen seviyesi bununla birlikte yükselir ve alçalır. Bu sebeple, DSLAM müşteri tarafındaki modeme göre daha yüksek veri trasfer hızına sahiptir. Bu tekloloji müşteriler indirme hızını gönderme hızından daha fazla istedikleri sürece bu prensip geçerli olacaktır. 4/1 kuralı düşük hızlarda geçerli değildir. Bu oran ISP (internet servis sağlayıcı) ya gere değişebilir. Asağıda değişik protokollerin hangi hızlara ulaşabileceklerini (en iyi durumlarda) listeleyeceğim.

• ADSL NASIL ÇALIŞIR

ADSL hattı 2 frekansa bölerek kullanır. Bunlar veri gönderme ve alma frekanslarıdır. Veri göndermeke kısmı kullanıcının modemi ile telefon santrali arasında veri göndermek için, veri alma kısmı da telefon santralinden veri almak için kullanılır. Standar olarak (Annex A) 25.875 kHz den 138 kHz arasında veri gönderimi, 138 kHz den 1104 kHz arasında da veri alımı için kullanır. Her iki aralık da kendi içinde küçük frekans kanallarına bölünür 4.3125 kHz lik.

• MODULASYON

ADSL in iki alk farklı koldan gelmektedir. (VDSL e benzeyen.) işimleri CAP (Carrierless Amplitute Phase Modulation) ve DTM (Orhogonal frequency-division multiplexing). Bunlar ADSL in geliştirilmesinde de facto statdar olarak kullnaıldı 1996 yılında. ADSL in gelişmesinin %90 ı bu yılda gerçekleştirildi. (10 yıllık tekloloji anlayacağnız. ) DTM ilk ITU-T ADSL standardı olarak seçildi, G.992.1 ve G.992.2 (G.dtm ve G.lite olarak da bilinir.) bu sebepten bütün ADSL modemleri DTM modulasyon şemasını baz alınarak yapılmıştır.

• ADSL STANDARTLARI

Standard adı                     Bilinen Adı            İndirme hızı   Gönderme hızı
ANSI T1.413-1998 Issue 2   ADSL                    8 Mbit/s           1.0 Mbit/s
ITU G.992.1                        ADSL (G.DMT)       8 Mbit/s           1.0 Mbit/s
ITU G.992.2                        ADSL Lite (G.Lite)  1.5 Mbit/s         0.5 Mbit/s
ITU G.992.3/4                     ADSL2                  12 Mbit/s         1.0 Mbit/s
ITU G.992.3/4 Annex J         ADSL2                  12 Mbit/s         3.5 Mbit/s
ITU G.992.3/4 Annex L[1]    RE-ADSL2             5 Mbit/s           0.8 Mbit/s
ITU G.992.5                        ADSL2+                24 Mbit/s         1.0 Mbit/s
ITU G.992.5 Annex L[1]       RE-ADSL2+           24 Mbit/s         1.0 Mbit/s
ITU G.992.5 Annex M           ADSL2+                24 Mbit/s         3.5 Mbit/s

Annex J ve M frekans aralığını 276 kHz ye yükseltmişlerdir. (138 kHz standart Annex A). Ek olarak, bütün “bütün sayısal döngü” (all-digital-loop) çeşitleri ADSL2 ve ADSL2+ (Annex I ve J) eksta 256 kbit/s veri gönderme hızı ilave edebilirler. Normal telefon ile kullanıldıklarında.

ADSL erişim hizmetleri 1.1 MHz bandını, ADSL2+ ise 2.2 MHz bandını kullanır.

Veri alma ve gönderme hızları (yukarıdaki tabloda) teorik olarak en yüksek hızı belirtir. ADSL modemler şu anda değişik firmaların kendilerine özgü bazı değişiklikler yaparak daha yüksek hızlara ulaşmasını sağlayabilirler fakan bunlar standart değildir. Ve bunun için her iki uçta da aynı tip modem olamsı gerekir. Mesela Ericsson un statdart olmayan 2 Mbit/s hızının üzerinde veri göndermeyi destekleyen ADSL2 ve ADSL2+ cihazları mevcuttur.

Not: Kurulum için spliter dene cihaza gerek olduğunu söylememe gerek yoktur sanırım. Bir ek daha. Aynı hatta paralel 5 telefon var ise veri kaybınız gözle görülür düzeyde düşmesi oldukça yoksek bir orandır.

Ek 1: Bu günlerde takip edebildiğim kadarı ile Türk Telekom kullanıcılara yüksek veri iletişimi verebilmek için (şu anda maksimim 2 Mbit/s verebiliyor) yeni çalışmalar yürütüyor. Bunlar söyle sıralanabilir. Santralden evinize kadar gelen bakır kablonun uzunluğu kanalladan geçerek dolanarak en dazla 5 Km oduğunu biliyoruz. Ki bu mesafede alabildiğiniz en yüksek hız teorik olarak 1 Mbit/s olacaktır. Bu limiti aşmak için. Telekomun telefon kutuları vardır. Orada ana kabloya etraftaki evlerden gelen küçük kablolar kroslanır. Oradan da ana kablo ile santrala iletirli. İşte telekom bu ana kabloların yerine optik kablo döseyerek hem bu mesafeyi çok daha arttırmak 15-20 Km gibi, hem de kullanıcıya 24 Mbit/s ye varan hızlar (teorik olarak) sunmayı planlıyor. Buradan da anlaşılacağı gibi. Amerika da olan eve kadar optik hayalleri biraz daha ertelenmiş oluyor.

Ek 2: bu makalemde biraz ayrıntıya girdim genel olarak. İlerki makallerde konunun daha içine gimeyi planlıyorum tabi talep gelirse. : )

Saygılarımla

Sertel Şekerci

Az cok frame relaye giris yaptik, terimleri az cok ogrendik. Simdi daha fazla oteye gitmeden biraz daha guncel konulara, isyerimizde isimizi yarayacak konulara sarkalim. Mesela Turk Telekom’ un F/R santralleri ile baslayalim… Bildiginiz uzere Telekomda iki adet Frame Relay Santrali mevcut…

Bunlardan birini Tellabs kurmus; DXX, bir digerini ise Siemens kurmus; Newbridge… Dxx 64/128 hizlarinda Tellabs STU160 kullanir. NewBridge ise ayni hizlarda (64/128) NB 2703 kullanir. Bundan daha yuksek hizlarda dxx Tellabs ctu-s falan kullanir. Simdi bu kadar bilgi yeterli gibi.

Evet, birinci yazıma GÖSTERMEMİŞ olduğunuz ilgiye inat ikinci makalemide yayınlamaktan çekinmiyorum. Gerci bin tane gereksiz insan okuyacagina 10 tane ilgilenen insanin okumasi daha zevkli oluyor. Zira daha dun gece bir arkadasim part 2 yi ne zaman yayinlayacaksin dedi.

Simdi hemen yeni bir terim daha öğrenelim sonrasında o eşşiz çizimlerimden birini daha yapayım.

EIR: Excess Information Rate : F/R sebekesinin durumuna bagli olarak gecirilebilecek trafik miktarini gosterir.

Bizim bir onceki partide ogrendigimiz birde CIR vardi. Simdi size essiz bir cizim yapiyorum ve ikisinin ne oldugunu arasindaki farki sak diye anliyoruz.

Yukaridaki sekildede goruldugu uzre;

CIR dedigimiz deger servisi aldigimiz isp den (ornegin TT) aldigimiz garanti edilmis rakamdir. Bu yuzden EIR a oranla pahalidir. Hemen bakalim;

http://turktelekom.com.tr/webtech/default.asp?sayfa_id=345 Telekomun p2p f/r tarifesi.

Simdi hemen bir senaryo yazalim. Bir subemiz var ve subemize tt uzerinden f/r ile bagliyiz. Ve subemiz ile ayni tt santralindeyiz.
Ihtiyacimiz olan minumum hat 512 Kbps. Zaman zaman 768 Kbps lere ciktigi oluyor hattimizin. Patronlarimizda bu is icin cok fazla yatirim yapmak istemiyorlar. Boyle bir durumda en mantikli is 512 CIR 512 EIR almak ve 1 Mbps likte port almaktir.

512 CIR icin bugunun parasiyla 103,80 YTL oderiz. 512 EIR icin ise 51,46 YTL oderiz. Port ucretimiz ise; 112,68 YTL dir. (Fiyatlar bugun itibariyle TT toptan fiyat listesinden alinmistir)

Simdi peyki 512 CIR 512 EIR ikiside 512 fiyatlar fifty/fifty nedir kerameti?

CIR da TT bize 512 verecegini soyluyor ve bu rakami garanti ediyor. Yani bugunun genclerinin dilinde olan bir havuz yok. Tamamen bize ozel. 512 EIR da ise tt nin o anki port durumuna gore 512 nin tamaminida kullanabilirsiniz, 0 bps inide! Yani tam bir karambol ortamidir. Ancak yinede bunlari zannediyorum hesapliyarak yaptiklari icin hicbir zaman 0 i gormuyorsunuz.

Umarim EIR/CIR farkini anlatabilmisimdir.

Bu gecelik bu kadar sirada PART 3 var…

Frame Relay Kavramlari ve Konfigurasyonlari hakkinda bahsettigim yazi dizisine basliyoruz. Bu yazi dizisine baslamadan once tarafimdan yazilan OSI PART 1, 2 ve Sn. idogan tarafindan yazilan OSI Part 3 ve 4 isimli makaleleri okumus olmaniz size buyuk faydalar saglayacaktir.

Frame Relay Data-Link protokolu olarak ele alinir. Zaten hatirlarsaniz Layer 2 datalarina Frame dendigini OSI makalelerimizde gormustuk. Buradanda Frame Relay in OSI Layer – 2 ile ilgili oldugunu anlayabiliriz.

Frame Relay aglari, noktadan noktaya WAN baglantilarina gore daha fazla ozellik ve fayda saglarlar. Tabi bu fazla ozellik ve faydalarin birde negatif yani vardir ki oda cok daha fazla detayli olmalaridir. Ornek olarak F/R aglari coklu erisimi destekleyen aglardir; yani baglanti uzerinde ikiden fazla cihaz olabilir.

Şimdi yavas yavas konuya giriyoruz, madem oncelikle bu konuda ilk defa karsilacagimiz bir kac terimden baslayalim.

LMI = Local Management Interface – Yerel Yonetim Arabirimi: Baglantiyi yonetmek icin DTE ile DCE arasinda kullanilan protokol.

VC = Virtual Circuit – Sanal Devre: Frame’ lerin DTE’ ler arasinda dolastigi yolu temsil eden mantiksal bir kavramdir.

PVC = Permanent Virtual Circuit – Sürekli Sanal Devre: Onceden tanimlanmis bir VC.
SVC = Switched Virtual Circuit – Anahtarlamali Sanal Devre: Gerektikce dinamik olarak kurulan VC.
DTE = Data Terminal Equipment – Veri Terminal Araci : F/R hizmetini satin alan taraftaki cihazdir

DCE = Data Communications Equipment – Veri Haberleşme Aracı: DTE nin karsisinda Telekom tarafindaki cihazdir. F/R switchleri DCE cihazlardir..

Access Link = Erişim Hatti: DTE ile DCE arasindaki tahsis edilmis hat.

Access Rate = Erişim Oranı: AR: Erisim hattindaki clock ayarları.

CIR = Committed information rate: Garanti edilen hat miktari

Burst Rate = Taşma Orani: Belli bir VC icin, DTE, CIR dan daha hizli bir veri gonderebilir ve ISP de veri iletiminin yapilmasini onaylayabilir. Iste bu fazlalik miktara Burst Rate denir.

DLCI = Data Link Connection Identifier: Frame Relay adresleri diyelim simdilik buna..

FECN = Forward Explicit Congestion Notification = İleri yönde tikanma bildirimi: Frame ile ayni dogrultudaki hat uzerinde tikanma yasanmakta oldugunu, frame i alan herkese bildirmek icin, F/R headerinda kullanilan bir bit.

BECN = Backward explicit congestion notification = Geri Yönde Tikanma… : Frame e zit yonde tikanma oldugunu bildiren header unsuru diyelim..

Tamam simdilik bu kadari yeterli ilerleyen bolumlerde yeni terimlerimiz olacak ama ilk etapta bu bize yeter gibi..

Simdi izin verirseniz MS Paint programimi acip siz degerli okuyucularim icin ornek bir f/r networku cizecegim. Sekillerin sekilsizligi! icin simdiden ozur dilerim

(Resim: HG1)
Tamam cok kotu olmadi simdi bu sekilimsi seye isim verelim => HG1 olsun ismi (Hilkat Garibesi den cagrisimla)

Resim:HG-1 de bir f/r aginin en temel bilesenlerini cizmeye calistim. Simdi bunlari birazcik mantiksal olarak aciklayalim.

Simdi R1 benim Acibadem deki subem olsun R2 de ben olayim (Merkez Esentepe).

Access link sube ile aramdaki tahsis edilmis hattir. LMI lar ise her iki yonde surekli kosturup duran F/R trafik polisleri diyebiliriz. LMI lar karsilikli routerlarin yasayip yasamadiklarini, hattaki problemleri bildirime olanak saglarlar. DTE ler ise her iki uctaki sonlandiricilardir. Sube ve ben DTE cihazlarina sahibiz. Cunku bizler birer terminaliz. DCE adini verdigimiz cihazlar isp tarafindaki cihazlardir. Burda ornek olarak Telekomu alacagim reklam olmasin birde.. DCE cihazlari Telekom tarafindaki cihazlardir kendileri f/r switch tir.

Simdilik yoruldum birazda isle ugrasalim. Yarin sabahtan Part 2 ye baslyacagim siz simdilik bununla idare edin..

Gerçekten başlangıç seviyesi için uygun ve anlaşılması kolay bir makale. Kesinlikle paylaşmak istedim.Kaynagını hatırlıyamıyorum özür dilerim.

Yukarıda geçen yazıyı Enver Altın tarafından 14 Kasım 2004 tarihinde http://enveraltin.com/blog/iptables.html adresinde yayınlanmıştır. Hiç olmazsa yazının sonuna kaynak belirtilmesi gerekmez miydi?

Yazının  sonuna degil ama başına yazmıştık   enveraltina  bi  kez daha teşekkürler.

Netfilter nedir?

Netfilter, en basit ifade biçimi ile 2.3 ve daha yeni Linux çekirdeği sürümleri içerisinde bulunan yetenekli ve yüksek performanslı NAT, filtering ve packet mangling sistemi olarak biliniyor.

Peki, IPTables nedir?

iptables, çekirdek içerisinde yer alan Netfilter sistemini userspace içerisinden denetlemek amacıyla kullandığımız araç ve yazılımın adı.

Bu ikisi sürekli birlikte anılıyor, farkları nedir?

Netfilter, Linux çekirdeği içerisinde sürekli olarak çalışır ve Linux sistem çağrıları (syscall) yoluyla yönetilir. IPTables ise, çekirdek içerisinde çalışan netfilter yapısını yönetmek amacıyla kullandığımız araç. Her ikisi de Netfilter projesi kapsamında, aynı kişiler ve gruplar tarafından geliştiriliyor. Buna karşın netfilter kodu resmi Linux çekirdeği ile birlikte gelirken, iptables adındaki araç ayrı bir yazılım ve kullanılan dağıtım tarafından sağlanıyor.

Temel kavramlar: IP paketinin yapısı

IP paketlerini mektup zarflarına kadar basitleştirecek olursak, temel anlamda bir IP paketi:

Şekil 1: Basit bir IP paketi

bu kadar basit algılanabilir (tabii gerçekte böyle değil, IP paketleri çok daha fazla bilgi içeriyor fakat şimdilik bu bölümlerle ilgilenmeyeceğiz). Bir IP paketini şimdilik yalnızca nereden geldiğini, nereye gitmek üzere gönderildiğini ve veriyi içeren bir mantıksal bir birim olarak düşünelim.

Nelerden bahsedeceğiz?

Bu belge içerisinde, yalnızca Netfilter’ın çok sık kullanılan NAT ve Filtering özelliklerinden bahsedeceğim; packet mangling ve bandwidth shaping gibi daha ileri düzey konulara şimdilik girmeyeceğim.

Ayrıca kullanıcı tanımlı kural zincirlerinin yönetimi, REJECT ve LOG target konularından ve paketlerin bağlantı durumlarına göre incelenmeleri gibi konulardan da detaylı olarak bahsetmeyeceğim.

Bu konulardan bahsetmeme nedenim, belgeyi olabildiğince basit ve giriş düzeyinde tutmak. Bahsetmediğim konular gelişkin bir güvenlik duvarı yapılandırması için değerli ve gerekli konular. Bu konularda vakit bulduğumda ayrıca geniş bir belge hazırlayacağım.

Netfilter nasıl çalışıyor?

Şekil 2: Netfilter, tablolar ve zincirler

Yalnızca NAT ve IP Filtering konularından bahsedecek olmanın verdiği rahatlıkla yukarıdaki şekli çizdim.

Netfilter temel anlamda iki farklı türden ve mantıksal olarak birbirine benzerlik gösteren işlemler gerçekleştiriyor. Bunlar:

• NAT (Network Address Translation): IP paketlerinin kaynak veya hedef adreslerinin (IP adresi ve port numarası gibi bilgilerin) routing (ip paketinin bir arayüzden bir diğerine aktarılması işlemi) öncesinde veya sonrasında, çeşitli biçimlerde değiştirilmesi işlemine verilen genel ad. NAT işlemi, routing’den önce (PREROUTING) yapılırsa routing sürecinin davranışını etkiler. Routing’den sonra (POSTROUTING) yapılırsa, tahmin edebileceğiniz gibi, routing sürecinin davranışı bu durumdan etkilenmez.
• Filtering: IP paketlerinin kaynak ve hedef adreslerinin tanımlanan çeşitli kriterlere göre geçişine/kabulüne izin verilmesi veya verilmemesi ile ilgili tüm işlemler filtreleme kapsamda anılır.

Haydi NAT yapalım

Bence ideal bir dünyada NAT olmamalıydı. Eğer herkese yetecek kadar çok IP adresimiz olsaydı ve her IP adresi için ek bedel ödemek gibi anlamsız koşullar olmasaydı, NAT gibi bir işleme gerek kalmazdı Her neyse, NAT var ve bunu kullanıyoruz. Bununla yaşamamız gerek.

NAT gibi süreçler, bir tek IP adresine sahip olduğunuz fakat bu IP adresini çeşitli hizmetler için ortak kullanmanız gerektiği durumlarda, belirli sınırlar çerçevesinde faydalı oluyor. En popüler senaryolardan bir tanesini açıklamak gerekirse, dial-up bir modem ile edindiğiniz bir IP adresiniz var ve aynı zamanda bu bilgisayara bağlı bir ethernet üzerinden yerel ağınızdaki diğer bilgisayarlarla iletişim kurabiliyorsunuz. Yerel ağınıza bakan ağ arayüzünün 192.168.1.1 olduğunu, modem bağlantınızdan edindiğiniz IP adresinin de 123.123.123.123 olduğunu varsayalım. IP dolaştırma (routing) etkin olsun (nasıl etkinleştirileceğinden bahsedeceğim).

Yalnızca IP dolaştırma yapılanmasının etkin olduğu durumda yerel ağdan (örneğin IP adresi 192.168.1.5 olan “Ahmet”‘in bilgisayarından) gelen bir IP paketi; kaynak adresinde 192.168.1.5 bilgisi yer alacak biçimde Internet erişimimiz bulunan IP adresi üzerinden, değiştirilmeksizin iletilecek. Eğer bağlı bulunduğumuz ISP, IP dolaştırma sırasında özel bazı adresleri de yönlendirecek kadar dikkatsiz ise Ahmet’in Internet üzerinde bağlanmaya çalıştığı sunucuya kaynak adresi 192.168.1.5 olan bir IP paketi ulaşacak Ve karşıdaki sunucu da bu bağlantı isteğine vereceği tüm yanıtları 192.168.1.5 adresine göndermeye çalışacak, fakat başarısız olacak çünkü bildiğiniz gibi 192.168.0.0/24 gibi ayrılmış IP blokları Internet üzerinde kullanılmaz.

Bu durumda, Ahmet’in bağlandığı sunucunun yanıtları Ahmet’e gönderebilmesini sağlamak üzere, Ahmet’den gelen ve Internet yönüne doğru gidecek olan paketlerin hedef adreslerini, Internet’e bağlı bulunan sistemimizin Internet üzerindeki gerçek IP adresi ile değiştirmeliyiz ki Ahmet’in isteğine yanıt olarak gönderilecek IP paketleri Internet’e bağlı bulunan sistemimize kadar ulaşabilsin. Ayrıca, bu işlemi yapan sistemimiz hangi IP paketlerini nereden geldikleri ve nereye gittikleri gibi asıl bilgiler ile birlikte nasıl değiştirdiğini hatırlamalı ki yanıt niteliğinde gelen paketleri yerel ağımızdaki asıl hedeflerine (yani örneğimizde Ahmet’in bilgisayarına) tekrar, Internet üzerinden geliyormuş gibi gönderebilsin (stateful NAT). Bu işlem, basit bir NAT uygulamasıdır ve iptables kullanılarak tek satırlık ve birçok kişinin ne olup bittiğini anlamaksızın ezberlediği bir komut ile kolaylıkla gerçekleştirilebilir.

İlk bakışta görülebileceği gibi, NAT iki durumda yani iki farklı biçimde yapılabilir:

• SNAT (Source NAT): IP paketlerinin kaynak (source) adreslerinin değiştirilmesidir. Yukarıdaki örnek basit bir SNAT uygulamasıydı. SNAT daima POSTROUTING (yani routing işleminden sonra) yapılır.
• DNAT (Destination NAT): IP paketlerinin hedef (destination) adreslerinin değiştirilmesidir. DNAT daima PREROUTING (yani routing işleminden önce) yapılır.

Netfilter, daima stateful NAT yapar. Yani NAT yapılan her paketi ve TCP için paketlerin ilgili olduğu bağlantı oturumlarının durumlarını hatırlar.

Ayrıca, MASQUERADE adıyla bilinen özel bir SNAT türü var. Masquerading, sabit bir IP adresine veya sabit/güvenilir bir bağlantıya sahip olmayan sistemlerde kullanılması için tasarlanmış bir NAT türü. SNAT yerine MASQUERADE kullanıldığında, paketin hedef adresine, paketin sistemden ayrılacağı ağ arayüzünün IP adresi otomatik olarak yazılır (SNAT kullanıldığında paketin kaynak adresine yazılacak IP adresini belirtmek durumundasınız). Tek dezavantajı, SNAT’a kıyasla çok küçük performans kayıplarına neden olması. Ayrıca doğru kullanılmadığında ve küçük birkaç husus gözden kaçırıldığında MASQUERADE ile sisteminize küçük güvenlik açıkları oluşturmanız işten bile değil.

Şimdi örneğimizi tamamlayalım ve neler olup bittiğini açıklayalım:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

iptables aracını kullanarak çekirdek içerisindeki Netfilter modüllerinin yapılandırmasına bir kural ekleyerek değiştirmiş olduk ve belirttiğimiz kural, 192.168.1.0/24 ağından gelen ve ppp0 arayüzü yönüne gidecek olan (routing’den sonra NAT yaptığımız için bu bilgiye sahibiz) tüm IP paketlerinin kaynak adreslerine gönderilmeden önce otomatik olarak ppp0 arayüzünün IP adresinin yazılmasını sağladı. Bu sayede hedef sunucudan dönen yanıt paketleri bize ulaşacak ve Netfilter yanıt niteliğindeki paketleri tersi yönde otomatik olarak DNAT yapacak ve routing işleminden önce bu paketlerin hedef adreslerini değiştirerek yerel ağımızdaki kullanıcılara ulaşmasını sağlayacak (bu işlem için ayrıca bir kural eklememize gerek yok).

Aynı senaryoya bir özellik daha ekleyelim; Internet’e modem ile bağlı olan sistemimiz, Internet yönünden kendisine ulaşan HTTP (TCP port 80) isteklerini Ahmet’in 192.168.1.5 adresindeki bilgisayarına iletsin. Kuralımız:

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport http -j DNAT --to 192.168.1.5

Bu parametreler ne anlama geliyor? Nasıl kullanılıyor?

Netfilter, IP paketleri üzerinde yapılacak çeşitli işlem türlerini ve aşamalarını tablolar içerisinde gruplar. Bu belgede yalnızca nat ve filter tablolarından bahsedeceğiz. Bu tablolar içerisinde kural zincirleri bulunur (kural zincirleri sistem tarafından veya kullanıcılar tarafından gereksinimlere göre tanımlanır). Ayrıca her tablo, öntanımlı adı değiştirilemeyen ve silinemeyen belirli sayıda kural zinciri içerir, bunlar:

• nat tablosu:
  • PREROUTING (DNAT için kullanılır).
  • POSTROUTING (SNAT için kullanılır).
  • OUTPUT (sistemin kendisi tarafından üretilen paketlere nat uygulanması için kullanılır).
• filter tablosu (“iptables -t” ile ayrıca belirtilmezse öntanımlı tablodur)
  • INPUT (sistemin kendisine ulaşması için gönderilen paketlerin filtrelenmesi için kullanılır)
  • OUTPUT (sistemin kendisi tarafından üretilen paketlerin filtrelenmesi için kullanılır)
  • FORWARD (routing işlemi sırasında paketlerin filtrelenmesi için kullanılır)

Sık kullanılan parametrelerden bazıları:

Paket seçimi için kullanılan parametreler:

Ayrıca bu parametrelerin tümünde, belirtilecek değerden önce kullanılabilecek ünlem işareti (!), olumsuzluk belirtmek anlamında kullanılır. Örneğin, –dport ! 80 biçimindeki bir tanımın bulunduğu kural, hedef port adresi 80 olmayan tüm paketlere uygulanacaktır.

Çeşitli ifadelere göre seçilen paketlere nasıl bir işlem uygulanacağı -j parametresi ile belirtilir ve bahsi geçen kuralın bulunduğu tabloya göre değişiklik gösterir:

NAT tablosu için:

Filter tablosu için:

Filtreleyelim!

Kısa bir senaryo, sistemimize SSH (tcp port 22) ile gelebilecek tüm bağlantıları kapatmak istiyoruz:

iptables -t filter -A INPUT -p tcp --dport ssh -j DROP

komutunu verdiğimizde, sistemimize herhangi bir ağ üzerinden SSH ile erişmek mümkün olmayacak, çünkü Netfilter paketlerin işletim sisteminin IP yığıtı içerisinde değerlendirmeye alınmasını engelleyecek ve gözardı edecektir.

Yeri gelmişken, daha önce bahsettiğim bir ipucunu kullanmak istiyorum. Son örneğimizde -t filter ile filter tablosunu ayrıca belirtmiştik, fakat -t parametresi belirtilmediğinde öntanımlı olarak zaten filter tablosu kullanılır, dolayısıyla bu ifade çok da gerekli değil.

Örneğimizi biraz geliştirelim; 192.168.1.5 dışında hiçbir yerden ssh kabul etmeyelim:

iptables -A INPUT -s ! 192.168.1.5 -p tcp --dport ssh -j DROP

Bir başka örnek, yerel ağdan gelmeyen tüm SSH isteklerini boşverelim:

iptables -A INPUT -i ! eth0 -p tcp --dport ssh -j DROP

Sanırım artık FORWARD zinciri ile de oynayabiliriz, yerel ağdan internet yönüne giden tüm SMTP iletişimini boşverelim örneğin (IP Forwarding’in açık olduğunu varsayıyorum):

iptables -A FORWARD -i eth0 -p tcp --dport smtp -j DROP

IP Forwarding nedir, nasıl çalıştırılır?

IP Forwarding, daha önce de belirttiğim gibi IP paketlerinin bir ağ arayüzünden bir diğerine aktarılması; yani IP paketlerinin bir fiziksel ağdan bir diğerine aktarılması işlemidir. Linux çekirdeği, bu işlemi gerçekleştirmek için gerekli tüm yapıyı barındırır ve aktif hale getirmek kolaydır:

echo 1 > /proc/sys/net/ipv4/ip_forward

IP Forwarding işleminin düzgün çalışabilmesi için, en az bir ağ arayüzüne (Linux çekirdeği sanal arayüzler arasında da IP Forwarding yapabilir) ve en az iki IP subnet’in routing tablosunda tanımlı olmasına gereksinim duyulur:

server:~# route -n

Kernel IP routing table 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0 

192.168.199.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1 

0.0.0.0         192.168.199.3   0.0.0.0         UG    0      0        0 eth1

Örnekteki routing tablosuna göre, 192.168.1.0/24 ve 192.168.199.0/24 ağları arasında IP Forwarding işlemi gerçekleştirilebilir. Ayrıca bir default gateway (0.0.0.0: bilinmeyen ağlara 192.168.199.3 yoluyla eth1 üzerinden ulaşılacağı anlamına gelir) tanımlı olduğundan, diğer tüm ağlara erişim buradan sağlanır. IP paketlerinin hangi ağlara yönlendirileceği, routing tablosu içerisindeki kayıtlara göre belirlenir.

Öntanımlı zincir kuralları

IPTables, tüm zincirler için öntanımlı bir davranış kuralı tanımlanmasına izin verir. Eğer bir IP paketi, ilgili zincir içerisindeki kurallardan herhangi biri tarafından ACCEPT yada DROP/REJECT biçiminde işaretlenmemişse, zincirin öntanımlı kuralı tarafından yakalanır.

Örneğin, filter tablosundaki FORWARD zincirinin öntanımlı kuralını DROP olarak değiştirecek olursak:

iptables -P FORWARD DROP

IP forwarding/routing sırasında, FORWARD zinciri içerisindeki kurallardan herhangi biri tarafından ACCEPT edilmeyen paketler, gözardı edilir. Özetle öntanımlı olarak tüm paketlerin forward edilmesini kapatmış oluruz, daha sonra FORWARD zincirine ekleyeceğimiz kurallarla da istisnalar tanımlayabiliriz:

iptables -P FORWARD DROP

iptables -A FORWARD -s 192.168.1.0/24 -o ppp0 -p tcp --dport ssh -j ACCEPT

Bu tanım sayesinde 192.168.1.0/24 ağı, ppp0 (Internet) yönüne yalnızca SSH protokolünü kullanarak erişebilir. Tabii NAT yapmazsak erişemeyecekler

Öneriler

Bu bölüme, iptables’i öğrenmeye başladığım günden bu yana edindiğim naçizane tecrübelerimi ve önerilerimi eklemek istedim.

• Birşeyler yapmaya başlamadan önce, tüm ağınızın bir detaylı ve bir de basit haritasını çıkarın. Ağ bileşenlerini birbirine bağladığınız çizgilerin her iki ucunda birer ok olduğunu, verinin ve bağlantıların iki yönü olabileceğini unutmayın.
• Önce herşeyi kapatın (öntanımlı zincir kurallarını kullanarak), daha sonra yalnızca ihtiyaç duyduğunuz portlara izin verin.
• Zincirlere eklediğiniz kuralların mümkün olduğunca detaylı olmasına dikkat edin. Kaynak ve hedef adres/ağ, port, ağ arayüzü gibi çeşitli parametreleri birlikte kullanarak paket seçimini olabildiğince kesin biçimde belirtin.
• Güvenliğin firewall’dan ibaret olmadığını aklınızda tutun. Kontrolünüzdeki Internet bağlantısı üzerinden yerel ağınıza erişimi engelleyebilirsiniz, ama kullanıcılarınızın kendi bilgisayarlarına modem bağlayıp Internet’e kendileri bağlanabileceklerini de hatırlayın. Güvenlik duvarınıza delik açmak veya arkasından dolaşmak için onlarca yol bulunduğunu bilin.

Kapsamlı bir firewall yapılandırması örneği

Önce örnek ağımızın neye benzediğine bir bakalım:

Şekil 3: Örnek ağ şeması

ve gereksinimlerimizi belirleyelim:

• Yerel ağımızdaki (LAN: 192.168.1.0/24) kullanıcıların 192.168.1.1 adresindeki güvenlik duvarı üzerinden yalnızca HTTP (port 80) ile web sayfalarına ulaşabilmelerini istiyoruz.
• Yerel ağımızdaki kullanıcıların DMZ (de-militarized zone, silahsızlandırılmış bölge: 10.0.0.0/8) içerisindeki dosya ve e-posta sunucularına yalnızca belirli portlardan ulaşabilmelerini istiyoruz.
• Internet üzerindeki kullanıcıların, DMZ içerisindeki e-posta sunucusuna POP3 ve SMTP portları ile, ayrıca webmail için HTTP ile erişebilmelerini istiyoruz.
• DMZ içerisindeki e-posta sunucusunun yalnızca SMTP portu ile Internet üzerindeki herhangi bir sunucuya ulaşabilmesini istiyoruz.
• DMZ içerisindeki sunucuların LAN erişimi olmamasını istiyoruz.
• Gayet tabii, Internet üzerinden LAN erişimi mümkün olmasın ve belirttiğimiz istisna dışında Internet üzerinden DMZ erişimi de mümkün olmasın istiyoruz.

Aşağıdaki shell script, gereksinimlerimizi karşılıyor olmalı:

1. satır, bu dosyanın bir shell script olduğunu belirtmek için kullanılıyor. 3. ve 4. satırlar, NAT tablosu içerisindeki tüm kuralları ve kullanıcı tanımlı zincirleri silecek. 6. ve 7. satırlar bu işi Filter tablosu için yapacak. 10. satır, LAN -> Internet yönünde gidecek olan paketlere SNAT uygulayarak yerel ağdaki kullanıcıların Internet’e bağlanmasını sağlayacak. 11. satır, DMZ -> Internet yönünde erişimi SNAT ile sağlayacak. 12. satır, Internet üzerinden TCP port 25 (smtp), 80 (http) veya 110 (pop3) ile gelen kullanıcıların DMZ içerisindeki e-posta sunucusuna yönlendirilmelerini sağlayacak. 15. satır, filter tablosundaki FORWARD zincirinin öntanımlı kuralını DROP olarak değiştirecek, böylece öntanımlı olarak tüm routing işlemlerini kapatmış olacağız. Diğer satırlarda tanımlanan istisnalarla gerektiği kadarını açacağız. Diğer satırlar sanırım yerince açıklama içeriyor.

HOP by HOP Communication ve MAC Adresin önemi;

Network iletisimi söz konusu oldunda 3 türlü adresten bahsede biliriz. Bunlar, MAC adresleri, IP adresleri ve port adresleridir. (TCP/IP protocol Suit kullanildigini kabul ederek yaziyorum.) Öncelikle bu adresleri siralayalim ve neden Hop by Hop iletisim kurulur buna bakalim,

MAC adresi fiziksel bir adrestir. Ethernet kartinin üzerindeki bir ROM da 48 bit uzunlugunda ifade edilmis sabit bir adrestir. Bu adresin ilk 24 bit i ethernet üreticilerine verilmis bir ID dir. Son 24 bit i ise her bir üreticinin üretmis oldugu her bir ethernet aygitina tek tek sirayla vermis oldugu birer ID dir. Yani ilk kisim Organization Unique Identifier (OUI) son kisim ise, Vender code olarak adlandirilir. Burada amaclanan sey yeryuzundeki her bir ethernet in farkli bir MAC adresine sahip olmasini saglamaktir. Her ne kadar isletim sistemi uzerinde bir takip manipilasyonlar ile eszamanli kullanilmakta olan MAC adresi bilgisi degistirmek mumkun olsada, MAC adresleri essiz, yani UNIQ tirler. Yani hedefin gercekten amaclanan hedef oldugundan emin olmamizi saglayan yegane adrestirler. Bunun disinda MAC adreslerinin bilgisayarlara verilisi ile ilgili bir kural yoktur. Bir MAC adresi dunyanin herhangi bir yerinde herhangi bir network te ola bilir, herhangi bir kurala bagli kalmaz.
IP adresi ise, tamamiyle mantiksal bir adrestir. Hangi bilgisayara atanacagi konusunda bir kural yoktur. Ancak hangi network icerisinde yer aliyor ise, o network e ait bir adres almasi konusunda bi kural vardir. Bu kuralin sinirlamalari sayesinde mantiksal oldugu soylenir. 32 bir uzunlugundadir ve ilk bitten itiaren belirli bir sayidaki bitler Network bit leri, geri kalanlar ise host bit leri olarak adlandirilir. Ancak ilk bit ten itibaren kac bitin network bit i oldugunu ogrenmek icin mutlaka IP adresinin maskesi bilgisine ihtiyacimiz vardir. Bu konuya daha sonra IP v4 un matematiginden bahsettigimizde deginecegiz.

Port adresleri ise, uygulamalara verilen adreslerdir. Yani bilgisayarlarin adresleri degillerdir. Yedinci katman ile ilgili konularda ve kismen dorduncu katman ile ilgili konularda deginilecektir.

Simdi fiziksel ve mantiksal adresleme kavramlarini biraz daha acmamiz gerekiyor:

Ornegin ben su anda (atiyorum) istanbul gayrettepe telekom mudurlugu, 3. kat 5 numarali odada mesai yapan Ismail DOGAN olayim. Bana Hindistan dan bir mektup gelmesi icap etsin. Gunumuz usulunce, hindistandaki kisi, adresimi ve ad soyad bilgimi zarfa yazacak ve postaya verecektir. Posta gorevlisi ise bu bilgileri kullanarak zarfi bana ulastirmak isteyecektir.

Eger zarf userinde sadece ad soyad bilgisi yer alsaydi ve gercektende yeryuzunde baska bir kisini Ismail DOGAN adinda olmasaydi, yani benim ad soyad bilgim, tam olarak essiz olsa idi bile, posta gorevlisi beni bula bilirmiydi. Sanirim isi oldukca zor olacaktir. Zira benim nerede oldugum konusunda kendisine hic bir isaret vermiyor ad soyad bilgim. Peki tersini dusunelim bir de; Acik adresi zarfin ustunde yer alsaydi ama ad soyad bilgim yer almasaydi. O zaman postaci adresimni kolay bulacakti. Zira turkiye ifadesini gordugunda dunyadaki diger tum ulkeleri eleyecek ve zarfi turkiyeye yonlendirecekti. Sonra istanbul adini gorup diger 80 ili eleyecekti. (ilsayimiz 81 de kaldi ise,:)) Daha sonra gayrettepeyi gorup adreste, bu kocaman sehirde yolunu bir anda tesbit edebilecektir. Oldukca guzel bir kurala baglanmis, akilli bir adres. Her sey cok guzel ve yolumuzu bulduk. Ancak o anda acaba adreste yazan 3. kat 5 numarali odada kim vadi? Ben mi yoksa bir baskasi mi? Gonderen kisi hic bir zaman iletinin kime teslim edilecegini bilemez bana teslim edileceginden emin olamazdi. Iste bu adreste hedef bolgeye ulastirma konusunda cok iyi ise yarayan ama gercek muhatabi tesbit etme konusunda yetersiz kalam bir adresti.

O zaman her iki adresi birlikte kullanmak gerekecektir. Yani acik adres ile 5 numarali odaya kadar gelip, ad soyad bilgisi ile de bana teslim edilecektir. Iste bu ornekte de oldugu gibi, IP adresleri mantiksal adreslerdir. Hedef bolgeyi yani hedef network u bulmak konusunda oldukca islevseldirler. Ancak hedef bolgeye girildikten sonra, MAC adresi kullanilarak nihai hedef bilgisayar tesbit edilmelidir. Fiziksel adres hedef host ‘un (bilgisayarin) gercekten iletisim kurmak istedigimiz host olup olmadigi konusunda bize gercek guven adres olmasi sebebi ile cok onemli bir adrestir.

Ancak ne varki, MAC adresleri bir network ten bir baska network e gecemezler. Bunun icin veriler adreslenirken IP adresi anlaminda kaynaktan en nihai uca kadar adreslenirken, MAC adreslemesi anlaminda, sadece bir sonraki hop a kadar adreslenir. Bir sonraki HOP ise, bulundugumuz networkten ayrilmak icin kullandigimiz, network umuzun en uc noktasidir. Yani network u terketmek icin kullandigimiz KAPI mizdir. Yani GateWay dir. O gateway olan cihazda bir sonraki gateway e yani bir sonraki hop a MAC adresi anlaminda veriyi adresleyip gonderecek ve verimiz Hop by Hop iletilmis olacaktir. Ancak unutulmamalidir ki IP adresi Hop tan Hop a degisiklik gostermez kaynaktan hedefe kadar hep ayni kalir (NAT, PAT benzeri bir islem uygulanmiyor ise- bu konular cok daha sonra anlatilacaktir.) .

Ilk iki bolumde OSI referans sistemi hakkinda bir giris yapilmis ve OSI katmanlarindan bahsedilmisti. Simdi bunlari toparlaya bilmek ve aklimizda tamamlayabilmek adina, DATA ENCAPSULATION, yani veri enkapsulasyonu olarak bilinen kavrami anlatmanin yeridir die dusunuyorum.

Data Encapsulation: bir verinin bir bilgisayardan cikip diger bilgisayara seyahat edebilmesi icin kaynak (seyahatin basladigi bilgisayar) bilgisayarda nasil “bit” lere donusturuldugunu anlatan kavramdir.
Kaynak bilgisayarda veri, enkapsulasyona hazirlik asamasinda, 7., 6. ve 5. katmanlarin ortak bir calismasi sonucu alfa-numerik karakterlere donusturulur. Ham veri haline getirilen bilgiler transport layer olan 4. katmana aktarilir. Bu katmanda adina segment denilen yonetile bilir ve numaralandirilabilir veri guruplarina bolunur ki bu 4. katmanin birimlerinin adidir. Segmentlerde verinin hangi port numarali uygulamadan ciktigi ve hedef bilgisayarda hangi port numarali uygulamaya gidecegini ifade eden, source port ve destination port number lar yazilir. Transport Layer da kullanilan protokolun UDP ya da TCP olmasina bagli olarak bu asamada yapilan islemler her ne kadar degisiklik gostersede bu asamada bu detaya girmeden devam edelim. Daha sonra detaylarina deginelim.

Daha sonra segmentlere parcalanmis olan veri, 3. katman olan Network Layer’a aktarilir. Network Layer da veri adina Packet denilen 3. katmanin birimlerine parcalanir. Network layer da Verinin hangi mantiksan adresten ciktigini ifade eden source IP ve hangi mantiksal adrese gidecegini ifade eden destination IP adres alanlari yazilir. Bu adresleme sayesinde aralarinda ne kadar uzaklik olursa olsun ve kac ayri network asilacak olursa olsun verinin bastan basa seyahat etmesi saglanmis olur.

Bir sonraki asamada, packet ler 2. katman olan Data-Link layer a aktarilarak adina Frame denilen birimlere bolunurler. Frame lerde verinin hangi fiziksel adresten (Source MAC- Media Access Control) ciktigi ve hangi fiziksel adrese gidecegi (Destination MAC) bilgileri eklenir. Eger kaynak ve hedef MAC adresleri ayni network icerisinde bulunuyorlar ise, Destination MAC, hedef bilgisayarin MAC adresidir. Ancak kaynak ve hedef bilgisayarlar fakli networklerde bulunuyorlar ise, Destination MAC direk hedef bilgisayarin MAC adresi degil, ilk HOP (*) olan Kaynak bilgisayarin GateWay inin MAC adresi olacaktir. Bu katman mantiksal bir takim islemlerin tamamlandigi ve bilginin fiziksel elektrik sinyallerine donusturulmeden onceki son asamasi olmasi sebebi ile en oneli asamasidir.

Frame lere bolunmus olan veri, Physical Layer olan birinci katmana aktarildiginda artik fiziksel elektrik sinyallerine donusturulmeye hazirdir. Kullanilan LAN teknolojisinin kullandigi Encoding toplusu uyarinca, fiziksel elektrik sinyallerine donusturulur. Bu sinyaller 1 ve 0 lari isaret etmektedirler. Bu sinyaller media ortaminda ilerleyerek hedefe dogru giderler.

Verinin 7. katmandan 1. katmana kadar bu cozumleme islemine ise DATA ENCAPSULATION denir.

Seyahatinin tamamlamis olan elektrik sinyalleri hedef bilgisayara vardiginde bit ler yani 1 ve 0 lar okunarak frameler olusturulur. Burada MAC bilgileri okunarak muhatap bilgisayarin okuma islemi yapan bilgisayar olup olmadigi tespit edilir. Verinin muhabtabi, okuma islemini gerceklestiren bilgisayar degil ise cope atilir, MAC bilgisi verinin muhatabina vardigini dogruluyor ise, 3. katmana iletilir. Aynen data encapsulation da oldugu gibi islem tersine yurutulerek 4. katmana gelir. 4. katmanda sira numaralarina bakilarak veriler siraya konur ve 5., 6., 7. katmanlara iletilir. Sonucta kaynak bilgisayardan yola cikan veri hedefte olusturulmus olur. Bu data encapsulation isleminin tersi bir islemdir ve DATA DECAPSULATION olarak adlandirilir.

Bir veri kaynaktan hedefe varilcaya kadar bazi yonlendiricilerden (Router) ve anahtarlayicilardan (Switch) gece bilir. Veri bir router dan geciyor ise, 3. katmana kadar dekapsule edilerek, hedef ve kaynagin, mac ve ip bilgileri okunur. Gerekli islemler ve karar verme mekanizmalari calistirildiktan sonra tekrar enkapsule edilerek seyahate devam ettirilir. Ya da veri bir switch e uyradi ise bukezde 2. katmana kadar dekapsule edilerek gerekli karar mekanizmalari calistirilir ve tekrar enkapsule edilerek luzumlu porttan hedefine gonderilir.

Yani kisacasi veri, kaynakta, hedefte ve yolu uzerindeki 1. katman cihazlari disindaki cihazlarda encapsulation/decapsulation islemlerine uyrarlar. Bu anlamda networking in en onemli kavramlarindan birisi de data-encapsulation dir.

Bu bolumde genel hatlari ile data encapsulation kavramindan bahsetmeye calistim. Diye bilirim ki diger bolulerin cok buyuk bir kismi bu kavramin detaylarindan ibaret olacaktir.

(*) NOT: Veri sehayati boyunca bir cok 3. katman cihazindan gecebilir. MAC bilgileri 3. katman cihazlarinin aralarinda kadal bolgelerde hapistir ve bu bolgelerden asamazlar. Bu sebeple MAC adresi anlaminda her 3 ve ustu katman cihazlari veriyi bir sonraki 3 ve ustu katman cihazina adresler. Bu cihazlarin her birine bir HOP denir. Ve MAC bilgisi analminda veri, Hop by Hop ilerlemis olur. Ayni zamanda veri seyahatine hangi alternatif yoldan devam ettirilecegine de her HOP ta tekrar karar verilir. Bu konu HOP by HOP communication basligi ile, bir ornek ile tekrar anlatilacaktir.

Gecen hafta basladigimiz OSI yazimiza devam ediyoruz. Eger OSI – PART I yazimi okumadiysaniz lutfen oncelikle o yaziyi okuyun. Kendisini Networking kategorisi altinda bulabilirsiniz. Zira gayet anlasilir bir uslup ile anlattigim halde eger makaleye bu yazidan baslarsaniz korkarim pek bir sey anlamayacaksiniz.

Gecen hafta en son layerlari tanimladik ve layerlari ikiye bolduk. Bunlardan 1,2,3 ve 4. layerlarin bizi ilgilendirdigini belirttik. Simdi kisaca bu layerlara deginecegiz.  Tekrar belirtmek istiyorum AG konusunda uzmanlasmak isteyen  arkadaslar, ozellikle CCNA ve belki CCNP olmak isteyen vatandaslar bu konu kesinlikle sinav sorusudur!

Genel bilgi acisindan biz networkculeri aslinda pekte ilgilendirmeyen upper layerlara goz usten bir bakalim…

Layer 7 – Application Layer: Kullanicinin calistirdigi ve haberlesme yetenegi olan tum programlar bu katmanda tanimlidir. Ornekler: Telnet, Http, Ftp, www vb.

Layer 6 – Presentation Layer: Temel amaci bilginin iletiminde kullanilacak bicimin duzenlenmesini saglamaktir. ASCII metni EBCDIC metni, BCD ve JPEG gibi veri formatlarini tanimlamaktir. Dosya sIkIstirma islevide bu katmanda gerceklesir. Ayrica onemli ozelliklerinden biride kripto olayininda bu katmansa gerceklesmesidir. Ornekler: JPEG, ASCII vb.

Layer 5 – Session Layer: Oturum katmaninin temel fonksiyonu; oturum olarak adlandirilan iki ucbirim arasindaki konusmanin; nasil baslayacagini, nasil bitecegini ve kontrol edilecegini tanimlamaktir.Bu birden cok iki yonlu mesajin kontrol ve idaresinide kapsar. Ornekler; RPC, SQL…

Simdi bu bolumden sonra bizi aslen ilgilendiren katmanlara geciyoruz. 

Layer 4 – Transport Layer; Hata giderme imkani sunan ya da sunmayan protokollerin secimine olanak tanir. Sirayi bozan bir paket alindiginda paketin yeniden istenmesi yine bu katmanda yapilir. Bu katmanin ornekleri; TCP, UDP, SPX dir.

Upper Layerlardan farkli olarak bu katmandan itibaren her katmanin bilgi bloklari vardir ve hepsi farkli isimlendirilir. 4. Katmanin bilgi bloklarina SEGMENT denir.

Layer 3 – Network Layer; Bu katman paketlerin uctan uca gonderimini tanimlar. Bunu yapabilmek icin uc noktalarin belirlenmesinde kullanilmak uzere mantiksal adresleme yapar. Yonlendirmenin nasil yapilacagini, paketin gonderilecegi yollarin nasil ogrenildigi yine bu katmanda saglanir. Ip, Ipx bu katmanin ornekleridir.

Bu katmanin bilgi bloklarina PACKET ismi verilir.

Layer 2 – Data Link Layer: Data-Link Layer bir baglanti uzerindeki iletimin nasil yapilacagini tanimlar.Bu protokoller ortamla dogrudan iliskilidir. …… Ornekler; F/R, HDLC, ATM …

Bu katmanin bloklarina FRAME adi verilir.

Layer 1 – Physical Layer : Iletim ortaminin fiziksel karakteristikleri ile ilgilidir. Konnektorler, pinler, elektrik akimlari vb.. hersey fiziksel katmanin parcalaridir. Ornekleri; FDDI, Ethernet, RJ-45 vb.

Bu katmanin bilgi bloklari bit lerdir.

OSI ye PART III de derinlemesine dalacagiz. Artik tahmin ediyorum ki gerekli alt yapi bu iki makaleyi okuyan herkeste olustu.

Bir sonraki makalede; ornekler yapacagiz, Connection oriented ve connectionless protoklleri bakacagiz, Data-link layer fonksiyonlari ve en tatli yeri olan Network layer osi fonksiyonlarina bakacagiz.

Dip Not: Site cok yeni olmasina ragmen yazilarimin birkac sitede yayinlandigini gordum. Yazilarimi yayinlamakta ozgursunuz ancak emege saygi olarak kaynagini belirtmenizi rica ediyorum.

Bu yazi Fikri DAL tarafindan hazirlanmistir.
Metnin orjinali ve en guncel hali http://www.dinopsys.net/ adresinde yer almaktadir.

ADSL ne anlama geliyor?

Asymmetric Digital Subscriber Line / Asimetrik sayısal abone hattı.

ADSL ile DSL arasındaki fark nedir?

ADSL bir çeşit DSL’dir. Veri alım kapasitesi gönderim kapasitesinden farklı olduğu için asimetrik olarak adlandırılmıştır. DSL’in HDSL, SDSL gibi başka çeşitleri vardır.
ADSL nedir, nasıl çalışır?

ADSL telefon telleri üzerinden yüksek hızda veri aktarımı yapmak için geliştirilmiş bir bağlantı teknolojisidir.ADSL normal 56k modemlerden farklı olarak çok daha geniş bir frekans aralığını kullanarak normal modeme göre çok daha yüksek hızlara ulaşabilir.
ADSL’i kullandığım sırada telefonla da görüşebilir miyim ?

Evet. ADSL telefon hattının kullandığı frekans aralığının dışında çalıştığı için, aynı anda hem ADSL’i hem de telefonu kullanabilirsiniz. Siz İnternet’te gezerken birisi sizi telefonlar ararsa, telefonunun meşgul gözükmez, telefon çalar, açıp konuşabilirsiniz.
ADSL aldığımda telefon görüşmelerim bedavaya mı gelecek?

Hayır. Telefon görüşmeleriniz için aynen eskisi gibi ücret ödeyeceksiniz. Ayrıca ADSL bağlantısı için aylık sabit bir ücret ödeyeceksiniz. Ancak eskiden normal modemle bağlandığınız için gelen ücret ortadan kalkmış olacak.

ADSL ile neler yapılabilir?

56k modeminizle yaptığınız her şeyin yanı sıra, çok daha hızlı sörf deneyimi, on-line oyunları çok daha düşük gecikmeyle oynayabilme, dosya indirirken maillerini okuyabilir, bir yandan da web’te gezebilirsiniz ve hala 56k modem bağlantısına göre daha hızlı sonuç alırsınız.

İnternet üzerinden video seyredebilir, on-line tv ve radyoları dinleyebilirsiniz.

Machintosh/Linux kullanıcıları ADSL kullanabilirler mi?

Evet. Ethernet bağlantılı bir modem almaları daha uygun olur.

Türk Telekom’un sınırlı indirmeli ADSL bağlantı seçeneği hakkında ne düşünüyorsunuz?

Bu tamamen sizin İnternet’i nasıl kullandığınızla ilgili bir durum. En düşük bağlantı seçeneği için konuşursak, 256Kbps hız için sınırsız bağlantıda 49 YTL öderken, sınırlı bağlantıda bu 29 YTL’ye düşüyor. Aylık 20 YTL’lik fark önemli.

Eğer akşamdan akşama maillerini okuyan, birkaç web sitesinde gezen bol bol chat yapan birisiyseniz, bu seçenek sizin için uygun. Kaldı ki, 3 GB indirme sınırını aşsanız bile bağlantınız kesilmiyor, sadece indirdiğiniz MB başına 1 YKR ödüyorsunuz.

Ancak E-mule, Kazaa gibi indirme programlarını kullanan ve “akşam makinayı download’a bıraktım, 20 saattir açık abi” gibi cümleler kuran bir tipseniz, 3 GB sınırı kesinlikle yeterli olmayacaktır.

Aşağıda değişik İnternet kullanımlarının ortalama ne kadar veri aktarımı ile yapıldığını bulabilirsiniz. Buradan hesaplamanızı yapıp ona göre karar verin.

Web’de dolaşma = 10MB/saat
Ortalama bir müzik vidyo klibini indirseniz = 13MB.
Counterstrike benzeri bir on-line oyunu oynama = 10-12MB/saat
Radyo dinlemek = 18MB/saat.
İnternet üzerinden video seyretmek =150MB/saat.
Ortalama boyutta 300 e-posta = 2 MB (Postalara eklenen dosyalar boyutu arttırabilir.)