Fortigate Ip MAC Eşleştirme Aracı (IPMAC Binding Tool)

Kurallarınız çalışır.

 IP/MAC eşleşmesinin amacı listede bulunan ip adreslerinin internet ve diğer interface lere erişimini kontrol altına almaktır. Listede IP si ve Mac adresi bulunmayan bilgisayarları internete çıkarmaz.

 Gelen IP nin sahibi farklı bir mac kullanırsa internete erişimine izin vermez. 

Bu arada ip/mac binding ayarlarında şunlara da dikkat etmek gerekiyor.

 bindthroughfw enable

bu komut diğer arayüzler arası geçiştede mac kontrolü yapmasını aktif yapar.

bindtofw enable

  Arkadaşlar hepinize merhabalar;

  Bu IP Mac konusu çok konuşulan bir konu ama her nedense o kadar işletim sistemi yenilemesine rağmen bir türlü fortinet tarafından kolaylaştırılmadığını ve web browser üzerinden yapılamadığı gerçeğini gördülçe bir türlü anlam veremiyorum. Özelliklede basit ADSL modemelerin bile yaptığını gördükten sonra Fortinet gibi bir firmanın bu işi angarya modunda yaptırması bana ters gelmekte. Bu konuyu anlamlı bir izahat yapan olursa yapabilirsen memenun olurum.

  Diğer bir konu olan bu program verilen linklerde de malesef çıkmadığı gibi aynı zamanda internette de gezen program eski bir versiyon olması hasebi ile düzgün çalışmamakta.

  110C konusuna gelecek olursak; bu prgram çalışmakta ama oluşan script dosyasını açarak daha sonra sizin bu sistemi interface yada switch kurma durumuna göre oradaki ilk komut satırındaki interface komutunu silerek ilgili port bilgisini yazmanız halinde olmaktadır. 

 Kendim bir fiil 60b den 110C ye geçtiğimde yaptım ve çokta güzel oldu. 

bunun sebebi bu işlemin cpu ve memory gereksiz yere çok meşgul etmesi,o yüzden fortinet yeni çıkan firmwarelerle ipmac bind sayısını kısıtlamış durumda,bence hiç koymasalar daha iyi boşu boşuna külfet,ip mac bindi yapıyoruz,bilgi işlemci pc yi değiştiriyor ondan sonra aradan 6 ay geçmiş bize her şey normal neden internete çıkamıyorum diyor.

Programı tekrar upload edebilirmisiniz

Herkese merhaba; öncelikle sitenize yeni üye oldum hayırlı olsun
diyorum ve günlerdir siteniz aracılığı ile okuyarak uğraştığım ve önce
yapıp başardığımı sandığım sonradan da başaramadığımı fark ettiğim
sorunumu sizlerle paylaşıp çözüme kavuşturmak istiyorum.

İpmacbinding ve dhcp reserved-address olayı, şimdi amacımı söyleyeyim;

1- Benim fortinete ip ve mac’ını tanımlamadığım hiçbir pc internete
çıkmasın. Otomatik ip alsada eliyle ip nosu versede hiçbir şekilde nete
çıkışı olmasın. öyle birisi dışarıdan kafasına göre notebookunu getirip
başka bir kullanıcının cat kablosunu notebooğuna takıp nete girmesin.

2- Bütün pcler sürekli aynı ip adresleri ile internete çıksın, farklı ip
nosunu elle girdikleri zaman yani kullanıcılar ipyi elle değiştirince
nete çıkmasın istiyorum.

Şimdi 1.madde için, forumda ve başka kaynaklarda uzun uzun
araştırarak ve şekercioğlu scripti yardımı vasıtasıyla da, toplam 59
pcyi fortinete girdim. Kural aşağıdaki gibidir.

config system interface
edit internal
set ipmac enable

end

config firewall ipmacbinding setting

set bindthroughfw enable

set bindtofw enable

set undefinedhost block

end

config firewall ipmacbinding table

edit 1

set ip 192.168.10.14

set mac 00:1F:C6:BD:A2:18

set status enable

set name "yazimetin"

next

edit 2
set ip 192.168.10.15

set mac 00:0D:61:80:52:F1

set status enable

set name "yazibusra"

next

……..

       Olarak bütün pcleri tanımladım. Şimdi benim anlamadığım bu kurala göre “ipmacbinding” kısmında “set undefinedhost block” bu komut ile tanımlamış olduğum pcler haricinde kimsenin nete çıkamaması lazım değil mi?

       Evet diceksiniz ama yinede buna rağmen ip ve macı tanımlı
olmayan bir pcyi otomatik ip aldırıyorum bir bakıyorum ki nete çatır
çatır giriyor.

set bindthroughfw enable

set bindtofw enable

bu iki satırlı kısım enable olarak yapıyorum. Nerde yanlış yapıyorum anlamıyorum günlerdir bunla uğraşa uğraşa kafayı yedim.

Not:   - fortinet 60B kullanıyorum. Fortianalyser 100C kullanıyorum.(analyzer cihazını geçen hafta yeni aldım.)

         - Fortinet v4.0,build0303,101214 (MR2 Patch 3) kullanıyorum

         - Fortinet Dhcp: enable seçili, Dhcp : Server modunda ,
type-> Regular seçili, Network->Interface-> Switch Mode
sekmesindeki mod “Switch Mode” dadır.

        - Policy kısmındaki bilgileri yazmama gerek varmı isterseniz onlarıda yazarım.

       
- Bütün bunları yaparken tüm pcler açık mesai saatinde yapıyorum bi
ilgisi olur mu olmazmı bilmiyorum ama yamak istedim bu notuda.

not: active dirertory yoktur.

Şimdi 2. kısım için ise yine şekercioğlu scripti kullanarak

config system dhcp reserved-address

edit "yazimetin"

set ip 192.168.10.14

set mac 00:1F:C6:BD:A2:18

next

edit "yazibusra"

set ip 192.168.10.15

set mac 00:0D:61:80:52:F1

next

…..

Olarak bütün pcleri tanımladım. dhcp reserved-address kuralı
çalışıyor yani buraki ip ve mac tanımlı pcler sürekli aynı ip ile nete
çıkıyor. Burada sorun yoktur.

Yardımlarınız, görüş ve önerileriniz en kısa zamanda bekliyorum
sürekli gözüm bu açmış olduğum konunun cevap ve yorumlarında olacaktır.
Teşşekürlerimi sunuyorum.

yok mu yardım edebilecek hocam kimse

Ip/mac kullanımında sistemde DHCP var ise durum biraz karışık hal alıyor.

Şöyleki;

DHCP den IP alan makinaların mac bilgisi otomatik olarak IPMAC tablosuna eklenmektedir. Bu yüzden DHCP den IP alan makinalar internete çıkar.

Bu yüzden ortak ve büyük networklerde içerde DHCP olarak fortigate değilde windows DHCP sunucu kullanmak mantıklı olur.

Tuncay hocam tşk ederim vermiş olduğun bilgiden dolayı, yani ben günlerdir boş yere uğraştım. Evet dedğiniz gibi ipmacbinding olayını yaptıktan sonra fortigate üzerinden dhcp monitör menüsünden baktığımda tanımlamadığım ip-mac larıda orada görebiliyorum. yani bu fortigatei anlamıyorum ben orada bir seçenek koyumda arayüzden tikıt koyarak bu işi (yani tanımlanmayan macları) bu kısımdan kullanıcı yaosa ne olur , basit bir modemde bile ip-mac olayını ayarlayabiliyorsunuz.

şimdi bir pc alacaz windows 2003 kurup dhcp ayarı yapacaz sizin dediğinize göre.

moralim çok bozuldu..

şimdi ;

config firewall ipmacbinding setting

set bindthroughfw enable

set bindtofw enable

set undefinedhost block

bu yukarıdaki komutlara göre ve editlemiş olduğunuz ip ve maclar haricindeki kimsenin nete çıkamaması gerekiyor. 

ipmacbinding yaptıktan sonra  herkes zannediyorki fortigate tanımlanmış
ip ve maclar haricindeki hiçbir kimse nete çıkamaz diye biliyor hatta
forumda da bütün anlatımlar bu doğrultutadır. fakat konu ile ilgili eksik bir nokta bulunmaktadır. Ve bu çok önemli bir husustur bunu yapmadığınız takdirde bütün uğraş ve çabalar boşunadır.

Ancak burada en önemli kısım hiç kimse tarafından belirtilmemiş ve anlatılmamış.

Ipmacbinding olayını yaptıktan sonra eğer fortigate DHCP SERVER  aktif ise, ipleri otomatik dağıtıyorsa , ipmacbinding kısmında tanımlamış olduğunuz numaralar aralığında DHCP dağıtmanız gerekiyor.

Örneğin; Kurumda 50 pc var bunları sırası ile ipmac tablosuna ve dhcp reserved ile kayıt ettiniz ;  DHCP SERVER-> Internal -> kısmından başlangıç bitiş değerinide

başlangıç: 192.168.10.1 bitiş: 192.168.10.50 aralığında olmalıdır.

tabiki dhcp reserved işlemide  yapıldığı taktirde ve tüm pclerin iplerini otomatik yapıldıktan sonra fortigate artık sizin belirlediğiniz mactaki pcleri o ipleri otomatik olarak verecektir ve sadece sizin ipmacbinding aralığında belirtmiş olduğunuz pcler nete çıkış yapabileceklerdir.

Aksi taktirde başlangış be bitiş değerlerine ipmacbinding tablosuna kayıt etmiş olduğunuz ip numalarından daha büyük yazarsanız son gelen pclerde kendiliğinden nete çıkarlar.

İyi günler herkese kolay gelsin..

Şimdi;

Hocam söyledikleriniz de kesinlikle bir yanlış bir nokta yok ama sanırım eksik bir nokta var;

anladığım kadarıyla ipmac ve dhcp ye tanımlı cihazlarınız tamamen istediğiniz şekilde ıp lerini alıyor tanımlı cihazlarınız elle ip değiştirilmek istendiğinde locale erişemiyor lakin local networke dışarıdan bir bilgisayar geldiğinde ve otomatik ip aldığında hem iç networke hemde dış networke erişebiliyor....

Şimdi gelelim bunu engellemek için benim senaryoma farzımahal 50 pc tanımladınız ipmac  ve dhcp tablolarına ve illaki bu 50 pc adress tablosunada tanımladınız ve kendinize göre guruplara eklediniz. bu 50 pc nete çıkarken belirli bir policy ile çıkıyor ve policy lere göre filtrelemeler uyguluyorsunuz.

işte kritik nokta burada dışarıdan gelen bilgisayar dhcp den ip alıp nete cıkmaya calıstıgında tanımlamış olduğunuz policylerden farklı olarak internal --> wan 1 veya Wan 2 gurubundan All to All satırından cıkmaya calısacak. işte bu satırda farklı bır protection profile kullanır veya nat yapmasını engellerseniz nete cıkmasını engellemıs olursunuz dıye dusunuyorum.

 Umarım yazınızdan anladıklarım dogrudur.

Güzel bir bilgi olmuş teşekkürler

Ip/mac kullanımında sistemde DHCP var ise durum biraz karışık hal alıyor.

Şöyleki;

DHCP den IP alan makinaların mac bilgisi otomatik olarak IPMAC tablosuna eklenmektedir. Bu yüzden DHCP den IP alan makinalar internete çıkar.

Bu yüzden ortak ve büyük networklerde içerde DHCP olarak fortigate değilde windows DHCP sunucu kullanmak mantıklı olur.

Yazılanlardan anladığım kadarı ile fortigate  üzerinden  ip mac binding  yapılması için script kullanılması gerekiyor. Herşeyi  fortigate ' in üzerine  yıkmak performans açısından ne derece sağlıklıdır birde bunu düşünüyorum.

Bu durumda;

Windows Server üzerinden daha önce  dhcp dağıtmadım.  Bir bilgisayarı  dhcp server yaptığımızı varsayalım.
Forti üzerinden yapılan ip - mac eşleştirmesini  dhcp server üzerinden de yapabilirmiyiz?
Yada clientların  belirlenen bir ip dışında ip almaması için  ne yapmam  gerekir?

Forti DHCP server ayarlarında type olarak server değilde Relay olarak seçilerek Relay IP alanında Windows DHCP server IP si girilir.

Böylece fortiden IP isteyenlere fortigate Windows DHCP ye istek yaparak IP yi alır, isteyen MAC e IP yi set eder.

AMA IP-MAC eşleştirmesini windows dhcp üzerinden relay kullanrak daha önce denemedim açıkcası.

Mantık olarak anladım , açıklama için teşekkürler .

Merhaba savaş bey

Bu portal a katılmamın tek sebebi siz oldunuz. Gerek sahip olduğunuz bilgi deryası, gerekse türkçemizi ve yazılım anlatımını bu kadar net bir şekilde sentezleyip en ufak bi yazım yanlışı olmadan, güçlü ve iyi bir lider vasıflarına sahip olduğunuz tahmini üzerine dayanarak çok iyi bir şekilde yaptığınızı düşündüm.

Ayrıca diğer farkettiğim buradaki tüm arkadaşlarda buna dahildir. Gerçekten dalınızda çok iyisiniz.

Bu hislerimi de siz ve değerli arkadaşlar ile paylaşma gereği duydum.

Herkese iyi çalışmalar ve başarılar dilerim. 

İp Mac eşleştirmesi genelde şu amaçla yapılır ;

halk dilinden anlatayım 🙂

gerçekten sert katı yöneticilerin olduğu bir şirkette çalıştığınızı düşünün ;

yöneticiler bazen yurt dışına vs çıkıyor bir süre gelmiyor, geldiklerinde ip adresleri değişiyor işte bu ip adresleri değişlmesin ve internet yetkileri hep full olsun diye dhcp den o yöneticilerin ip mac eşleştirmesi yapılır ve o yönetici dışında kimse o ipi artık alamaz.. sadece o eşleştirilen yönetici alır ve ipisi sabit kalacağından internet yetkileri kaybolmaz..