Forum

Fortigate Domain he...
 
Bildirimler
Hepsini Temizle

Fortigate Domain hesabı haricinde interneti yasaklama

10 Yazılar
4 Üyeler
0 Reactions
2,475 Görüntüleme
(@DoganYetiskin)
Gönderiler: 171
Reputable Member
Konu başlatıcı
 

Merhabalar,

 

Domain hesabı olmadan internete çıkışı yasaklamak istiyorum. yani bir kişi domainde olmayan bilgisayara kablo taktığında internete çıkamsını istemiyorum. Fortigate 90D kullanıyorum DC ile baglantı var. nasıl bir şey önerebilirsiniz.

 

 
Gönderildi : 30/10/2017 17:14

(@TuncayBAS)
Gönderiler: 139
Estimable Member
 

Merhaba,

Bu işlemi PC nin takılı olduğu Port aşamasında 802.1x ile yapmak daha güvenli ama Fortigate üzerinde açılan kurallarda mutlaka ilgili user veya usergroup seçili olmalı ve bu authentication kuralından sonra asla Guest ya da all-all kuralı olmamalı.

Bu sayede fortigate internet çıkışlarında kullanıcıyı authenticationa zorlayacaktır.

 
Gönderildi : 30/10/2017 17:48

(@DoganYetiskin)
Gönderiler: 171
Reputable Member
Konu başlatıcı
 

kablosuz olarak degil ben kablo takılı bilgisayarlar için isityorum açıkcası. biraz daha detayşı bilgi verirmisiniz nasıl yapacağım ile ilgili.

 
Gönderildi : 30/10/2017 18:40

(@TuncayBAS)
Gönderiler: 139
Estimable Member
 

Ben de kabloludan bahsetmişdim.

aşağıdaki resim örnek olsun. FSSO grupları için açılan satırların altında başka bir kural yok. yani internete çıkmak isteyen PC herhangi bir FSSO grubunda değilse çakılıp kalıyor.

11-20 arasındaki kurallar FSSO kullanıcıları için. PC DC de oturum açsa bile bu gruplarda değilse de internete çıkamamaktadır.

 

 
Gönderildi : 30/10/2017 19:45

(@DoganYetiskin)
Gönderiler: 171
Reputable Member
Konu başlatıcı
 

teşekkür ederim çok ayarlı oldu ama sormak istediğim bir şey internal > wan 1 policy yukarıda ve blocklumu olacak ? diğerleri aşagıda olacak ?

 
Gönderildi : 17/11/2017 19:31

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

merhaba,

internet e doğru kurallarda mümkün mertebe all kullanmayın, http, https ile sınırlandırabilirsiniz erişimleri.

dc sunucular için dns , mail sunucu için smtp ayrıca verilebilir...

 

ancak any olarak açtığınızda birçok risk ve tehtite açık oluyor...

kolay gelsin,

yB

 
Gönderildi : 18/11/2017 02:46

(@turancoskun)
Gönderiler: 4100
Üye
 

teşekkür ederim çok ayarlı oldu ama sormak istediğim bir şey internal > wan 1 policy yukarıda ve blocklumu olacak ? diğerleri aşagıda olacak ?

merhaba,

interal->wan1 yönüne olan policylerde, block policy en alt satıra alıp, üstüne izin vermek istediğiniz hostlara yönelik bir kural yazmanız yeterli.

ek olarak Yılmaz hocanında belirttiği gibi, port bazlı filtrelemeye gitmenizde faydanıza olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/11/2017 05:17

(@DoganYetiskin)
Gönderiler: 171
Reputable Member
Konu başlatıcı
 

port bazlı filitreleme nasıl yapacagım.

 
Gönderildi : 18/11/2017 13:13

(@turancoskun)
Gönderiler: 4100
Üye
 

Doğan bey,

burada adım adım size her süreci aktarmamızdan öte, sizin de araştırma içinde olmanız gerekir.

fortigate vb. herhangi bir fw/ngfw çözümünde, en basit adımlardan biri talebiniz.

daha önce herhangi bir firewall çözümünü tecrübe ettiyseniz, en fazla başlıklar farklıdır.

ancak network ve firewall tecrübeniz yok ise, öğrenme süreciniz uzun olacaktır.

temel network bilgisi olmadan, sadece ezbere dayalı operasyonlar yapabilir.

sorunuza gelince, referans adreste dns(53), http(80), https(443) portlarına yönelik kural oluşturma mevcut.

standart kullanıcılarınıza, mail hizmetinize ait portlarıda eklemeniz gerekebilir.

https://www.youtube.com/watch?v=JcFIiY5P3mg  / bkz. 0:36

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/11/2017 16:46

(@DoganYetiskin)
Gönderiler: 171
Reputable Member
Konu başlatıcı
 

Yardımlarınız için teşekkür ederim Turan bey,

 
Gönderildi : 20/11/2017 15:33

Paylaş: