Tüm intenet bağlantısını kesmek ve lochal ağ sınırlandırmak ??

Merhaba;

İnternet çıkışı vermek istemediğiniz kullanıcıları bir grup içinde toplayım, policy tarafından ilgili grup için deny kuralı yazacaksınız.

Bazı gruplar internete çıksın, bazıları çıkmasın bu isteklerini fortigate tamamlamaktadır.

ama diğer isteğin olan a grubu bilgisayarları, b grubu bilgisayarları ile iletişime geçmesin, görmesin istklerini karşılamaz.

Sebebi ise Fortigate bir firewalldır ve gateway (kapı ağzı) teknolojisidir.

Senin isteklerini kapının içindekiler yapar. Örnek olarak SW in ve üzerinde uygulayacağın VLAN lar ile yapabilirsin.

 

Merhaba;

Fortigate 60b kullanıyorum ve bazı kullanıcıların sadece local ağda kalmalarını ama internete hiç bir şekilde çıkmamalarını istiyorum web,ftp, mail telnet aklınıza ne gelirse hiç bir şekilde internet bağlantıları olmasın istiyorum.(Kısaca A Grubu Diyelim)  Bazılarıda internete çıkabilir ama lochal ağda bu internet çıkışı olmayan cihazlarla yani A grubu makinalarla iletişim kuramaz paylaşımları olmaz.(Bunlara B grubu diyelim) Bide C grubu olacak ki bu hem internete çıkar hemde A ve B grubu ile iletişime geçebilir. Network Yapısıda aşağıdaki gibidir.

İnternet ---- Modem --- Fortigate 60B --- Switch ------A,B,C Grubu Makinalar

 switch'den VLAN ayarlarından gruplandırarak yaptım cevapı yazayım dedim 🙂

Fortigate 60B Uzerinde 2 wan 1 dmz portu olan cihazdır.
a networkünü locale bağlayın ip örneğin 192.168.1.0/24
b networkünü local de  secondary ip yapın örneğin 192.168.2.0/24
c networkünüde local de secondary ip olarak yada dmz portu üzerinde tanımlayalım örneğin 10.1.0.0/24

a için bir deny kuralı
b için accept allow kuralı
c için accept allow kuralı ve a networkü ile b networküne erişim policy si yazılır

vlan switch maliyetine yazık olmuş dimi 🙂

Merhaba;

Fortigate 60b kullanıyorum ve bazı kullanıcıların sadece local ağda kalmalarını ama internete hiç bir şekilde çıkmamalarını istiyorum web,ftp, mail telnet aklınıza ne gelirse hiç bir şekilde internet bağlantıları olmasın istiyorum.(Kısaca A Grubu Diyelim)  Bazılarıda internete çıkabilir ama lochal ağda bu internet çıkışı olmayan cihazlarla yani A grubu makinalarla iletişim kuramaz paylaşımları olmaz.(Bunlara B grubu diyelim) Bide C grubu olacak ki bu hem internete çıkar hemde A ve B grubu ile iletişime geçebilir. Network Yapısıda aşağıdaki gibidir.

İnternet ---- Modem --- Fortigate 60B --- Switch ------A,B,C Grubu Makinalar

 switch'den VLAN ayarlarından gruplandırarak yaptım cevapı yazayım dedim 🙂

Fortigate 60B Uzerinde 2 wan 1 dmz portu olan cihazdır.
a networkünü locale bağlayın ip örneğin 192.168.1.0/24
b networkünü local de  secondary ip yapın örneğin 192.168.2.0/24
c networkünüde local de secondary ip olarak yada dmz portu üzerinde tanımlayalım örneğin 10.1.0.0/24

a için bir deny kuralı
b için accept allow kuralı
c için accept allow kuralı ve a networkü ile b networküne erişim policy si yazılır

vlan switch maliyetine yazık olmuş dimi 🙂

Savaş abi selam;

isteğin detayına inersek eğer aşağıda ki satır üzerinde yoğunlaşırsak ;

.(Kısaca A Grubu Diyelim)  Bazılarıda internete çıkabilir ama lochal ağda bu internet çıkışı olmayan cihazlarla yani A grubu makinalarla iletişim kuramaz paylaşımları olmaz.(

isteği anladığım kadarıyla açayım;

A grubu içinde ki bazı makineler internete çıkacak = eşittir fortigate üzerinde grublarız ve alloe veya deny kuralı ile neti yasaklar veya izinleriz.

ama diğer istek aynı grup içinde ki, 192.168.1.0/24 ip blogundaki bazı makineler bir birleriylende iletişim kuramayacak. Bu istek Fortigateye gelmeyeceği için firewallımız burada iş görmeyecek. Managment olan bir SW üzerin de port bazlı VLAN lar uygularsak bu isteği karşılarız. Kapı içinde..

Yoksa fortigate üzerinde 1 lan, 1 WAN,1 DMZ olup ve bütün portlarının WAN,LAN,DMZ olarak konfigure edilebiliyor.
Eğer istek anladığım gibiyse SW bütçesi için finans müdürünün kapısına gidilmesi gerekli veya Server varsa securty ile işlemler yapılabilir.

Saygılar Savaş abi.

yok bence a grubu b grubu c grubu diyerek farklı networklerden bahsediyor.
zaten vlan switch ilede bunu yaptı anladığım üzere
bunu zaten fortigate izin verir
Poslwa doğrumu anladım acaba

Fatih Selamlar Saygılar nasılsın kardeş 🙂

 

Arkadaşım bence sen mac eşleşmeside yaparsan mükemmel olur neden çünkü fortinet bildiginiz gibi ip bazında yetkilendirme yaptıgı için kullanıcılar artık localde interneti olan userlerin ip adreslerini kendi sistemlerine girerek internete çıkıyorlar. En azından benim başıma geldi ordan biliyorum [:D]