Güvenlik

Juniper SRX (JunOS) Üzerinde dışarıdan İçeriye port yönlendirme

Güncelleme: 15 Ağustos 2019

Resimlerdeki komutların okunamaması nedeni ile yazarımız komutları text olarak makalenin sonuna eklemiştir.

İnternet ile yerel ağlarımızın arasına konumlandırdığımız firewall cihazlarımız üzerinden bazen dışarıdan iç networkümüzde sunduğumuz bir servise ulaşma ihtiyacı duyarız. Bu işlemin güvenli yolu vpn kullanımı olsa da web ftp smtp gibi servisler için vpn kullanamadığımız durumlarda olmaktadır. Bu tip durumlar için bu örnekte uzak masaüstü portunu baz alarak Juniper SRX (JunOS) cihazımız üzerinde dışarıdan içeriye port yönlendirme konfigurasyonunu komut satırı arayüzü aracılığı ile yapacağız.

Dış ip adresimiz ve port : 10.10.10.1:3389

Dış ip adresimizden farklı bir porttan içerideki 3389 portumuza erişim sağlayabiliriz. Burada varsayılan 3389  portu örnek aldık aksi durumda Remote-desktop isimli port tanımımızda 3389 yerine bizim belirlediğimiz standart olmayan portu girmemiz gerekecektir. (3390 – 3399 gibi)

İç ip adresimiz ve port   : 192.168.0.6:3389

İlk olarak dışarıdan uzak masaüstü portu ile erişmek istediğimiz sunucumuz için Srx firewall cihazımızın adres defterindeki kayıtları oluşturuyoruz. 192.168.0.6 ip adresli yerel ağımızdaki makinamızı RDP_SRV ismi ile adres listemize kaydediyoruz. Yaptığımız bu tanıma en son security policy kısmındaki dışarıdan içeriye erişim kuralımızı oluşturuken ihtiyaç duyacağız.

image002

Remote-desktop ismi ile rdp portu olan 3389 portunu cihaz üzerinde aşağıdaki komutlar yardımı ile oluşturuyoruz. Bir önceki tanımda olduğu gibi bu tanımı da dışarıdan içeriye erişim kuralını oluştururken kullanacağız.

image004

Srx cihazımız üzerinde dnat-rdpserver ismi ile içeride port yönlendireceğimiz ip adresi ve port tanımını yapıyoruz. İçerideki servisimizin çalıştığı port olan 3389 portu içinde aynı şekilde tanımlıyoruz.

image006

NAT (dışarıdan içeriye port yönlendirme)  tanımımızı d-nat ismi ile untrsust zone üzerinden gelecek şekilde oluşturalım. Kural adımıza da portfw-rule1 ismini veriyoruz. Cihazın untrust bacağındaki 10.10.10.1/32 ip adresine ve 3389 portuna gelen istekleri dnat-rdpserver  ismi ile tanımını yaptığımız 192.168.0.6 makinamızın 3389 portuna iletmesini sağlıyoruz.


image008

Tüm tanımlamalarımızı yaptığımıza göre artık dışarıdan içeriye doğru erişim izni vermek için kuralımızı yazmaya başlayabiliriz. İlk satırda portfw ismi ile kuralımızı oluşturuyoruz. RDP_SRV ismili makinamıza dışarıdan tüm dünyadan Remote-desktop tanımı yaptığımız port üzerinden erişim izni vermiş oluyoruz böylece.

Sadece dışarıdaki belirli network veya hostlardan erişime izin vermek istememiz durumunda adres defterimizde bu cihazlar icinde tanım yapıp source-adress any kısmındaki any yerine bu tanımladığımız adresleri kullanmamamız gerekmektedir.

image010

ve tüm bu kural ve tanımlarımızı cihaz üzerinde en son commit komutu ile aktif hale getiriyoruz.

image012

artık dışarıdan 10.10.10.1/32 adresine uzak masaüstü portu ile erişilmeye çalışıldığında içerideki 192.168.0.6/32 ip adresli makinamıza ulaşılacaktır.

Uzak masaüstünden başka uygulamalar (web->80, smtp->25, pop3 ->110 gibi ) için port yönlendirme yapılacak ise bu senaryodaki port ve tanımlarımızı değiştirmemiz yeterli olacaktır.

Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.
Adress book için tanımlama:
set security zones security-zone trust address-book address RDP-Server 192.168.0.6/32Port için tanımlama:
set applications application RDP protocol tcp
set applications application RDP destination-port 3389NAT Pool için tanımlama:
set security nat destination pool dnat-RDP address 192.168.0.6/32
set security nat destination pool dnat-RDP address port 3389NAT Policy için tanımlama:
set security nat destination rule-set dst-nat from zone untrustset security nat destination rule-set dst-nat rule RDP-Rule match destination-address 10.10.10.1/32
set security nat destination rule-set dst-nat rule RDP-Rule match destination-port 3389
set security nat destination rule-set dst-nat rule RDP-Rule then destination-nat pool dnat-RDPSecurity Policy tanımları:
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match source-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match destination-address RDP-Server
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match application RDP
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp then permit

İlgili Makaleler

3 Yorum

  1. Merhaba konu için çok teşekkürler. Uygulamaya çalıştım fakat komutlar tam okunamadığı için uygulayamadım tekrar yollama şansınız olur mu
    Şimdiden teşekkürler

  2. Adress book için tanımlama:
    set security zones security-zone trust address-book address RDP-Server 192.168.0.6/32

    Port için tanımlama:
    set applications application RDP protocol tcp
    set applications application RDP destination-port 3389

    NAT Pool için tanımlama:
    set security nat destination pool dnat-RDP address 192.168.0.6/32
    set security nat destination pool dnat-RDP address port 3389

    NAT Policy için tanımlama:
    set security nat destination rule-set dst-nat from zone untrust

    set security nat destination rule-set dst-nat rule RDP-Rule match destination-address 10.10.10.1/32
    set security nat destination rule-set dst-nat rule RDP-Rule match destination-port 3389
    set security nat destination rule-set dst-nat rule RDP-Rule then destination-nat pool dnat-RDP

    Security Policy tanımları:
    set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match source-address any
    set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match destination-address RDP-Server
    set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match application RDP
    set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp then permit

    şeklinde özetleyebiliriz.
    (Resimler içerisindeki komutları ben de okuyamadığım için yeniden yazdım birebir aynı olmayabilir, fakat aynı işlevi görecektir.)

  3. ilginize çok teşekkür ederim fakat uyguladım başaramadım

    şöyle özetlesem konuyu:
    Elimde SRX-110h-va router var.
    kameralar için dışardan içeriye port yönlendirmek istiyorum. dış ip adresim 85.105.110.77 iç ip adresim 192.168.1.200 yönlendireceğim port 81 bir türlü yaopamadım sizin verdiğiniz komutları bire bir girdim. Birde bende untrust yada trust diye zonlar yok. internal ve internet zone ları var. ona göre de değiştirdim ama maalesef olmadı 🙁

    yardımcı olabilirseniz çok sevinirim

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu