Forum

Port izin verme
 
Bildirimler
Hepsini Temizle

[Çözüldü] Port izin verme

17 Yazılar
4 Üyeler
2 Reactions
1,792 Görüntüleme
(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Merhabalar,

MKS sistemine giriş yapmaya çalışıyoruz. Bunun için MKS deki arkadaşlarla görüştük ve firewall üzerinden 80 ve 443 nolu portlara izin vermemiz gerektiği yazıyor. Tam olarak şöyle;

Üyelerimizin https://i-mks.mkk.com.tr/ (185.53.62.70) adresi için varsa güvenlik duvarı üzerinden 80 ve 443 no’lu portlara izin vermeleri gerekmektedir Proxy kullanılıyorsa kapatılması gerekmektedir.

diyorlar. Ben anlamadım, bu IP'den gelen 80 ve 443 nolu portlara mı izin vermek gerekiyor? Yani şuan internet kullanıyorum, 80 ve 443 nolu portları aktif olarak kullanıyorum. Ekstra ne yapmam gerekiyor? Proxy falan da yok. Yardımlarınızı rica ederim.

 
Gönderildi : 11/08/2023 12:21

(@sinankahraman)
Gönderiler: 5224
Illustrious Member
 

DNS ayarlarınızı gözden geçirir misiniz? MKS'nin doğru IP adresine mi çözümleniyor?

Aslında doğru anlamışsınız. IP den portlara izin vermeniz gerekir.

 
Gönderildi : 11/08/2023 14:53

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

Merhaba Halit bey,

Virtual ip tanımladınız mı?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/08/2023 15:52

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @sinankahraman

DNS ayarlarınızı gözden geçirir misiniz? MKS'nin doğru IP adresine mi çözümleniyor?

Aslında doğru anlamışsınız. IP den portlara izin vermeniz gerekir.

Hocam dns ayarlarımı nslookup ile kontrol etmiştim.

Non-authoritative answer:
Name: i-mks.mkk.com.tr
Address: 185.53.62.70

Hocam bize bir link veriyorlar. Diyorlar ki o linke giriş yaptığınızda "IP Adresiniz tanımlıdır." şeklinde uyarı almalısınız. Ama böyle bir yazı ile karşılaşmıyoruz. Bu adres zaten bizim IP mizi kontrol edip 443 ve 80 portuna erişip ne yapacak ki? Yani hangi client'ın IP'sine 80 ve 443 portu için izin vermem lazım? Şirket içerisinde 3 kullanıcı var, 3 için de izin vermemiz mi gerekecek? 

Ayrıca ne kadar mantıksız gelirse gelsin bu yöntemi denedim ve işe yaramadı. Belki eksik birşeyler yapmışımdır diye üzerinden geçiyorum, lütfen yanlış anlamayın.

 

Gönderen: @hasanhuseynozer

Merhaba Halit bey,

Virtual ip tanımladınız mı?

 

Evet hocam şu şekilde bir tanımlama yaptım;

config firewall vip
    edit "MKS_80"
        set mappedip "185.53.62.70"
        set extintf "wan1"
        set portforward enable
        set extport 80
        set mappedport 80
    next
    edit "MKS_443"
        set mappedip "185.53.62.70"
        set extintf "wan1"
        set portforward enable
        set extport 443
        set mappedport 443
    next
end
config firewall policy
    edit 23
        set name "MKS"
        set srcintf "wan1"
        set dstintf "IT"
        set action accept
        set srcaddr "all"
        set dstaddr "MKS_80" "MKS_443"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
    next
end

Ayrıca birde şöyle bir yapılandırma yaptım;

config firewall address
    edit "MKS_ADDR"
        set subnet 185.53.62.70 255.255.255.255
    next
end
config firewall policy
    edit 23
        set name "MKS"
        set srcintf "IT"
        set dstintf "wan1"
        set action accept
        set srcaddr "all"
        set dstaddr "MKS_ADDR"
        set schedule "always"
        set service "HTTP" "HTTPS"
        set logtraffic all
        set nat enable
    next
end

Bütün kuralları da en üste taşıdım bu arada. Ayrıca firewall üzerinden de

execute telnet 185.53.62.70 443

yaptığım zaman yine bu adrese ulaşamıyorum.

Sizce gözden kaçırdığım veya eksik yaptığım bir durum var mı?

Hocam son olarak bilmiyorum ne kadar işe yarar bir bilgidir ama bunu da sizlerle paylaşmak istedim, belki tamamıyla anlamsızdır ama yine de belki fikir verebilir. tracert ile ağımdan dışarıya çıkış var belli bir yere kadar ama sonrasında aşağıda da görebileceğiniz üzere 7. satırdan itibaren iletişim sağlayamıyorum.

Tracing route to i-mks.mkk.com.tr [185.53.62.70]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms ---
2 <1 ms <1 ms <1 ms ---
3 <1 ms <1 ms <1 ms --.statik.turktelekom.com.tr
4 <1 ms <1 ms <1 ms --.statik.turktelekom.com.tr
5 7 ms 7 ms 7 ms 34-umraniye-xrs-t2-2.statik.turktelekom.com.tr
6 8 ms 8 ms 8 ms 34-kartal-xrs-t2-2.statik.turktelekom.com.tr
7 13 ms 13 ms 8 ms 212.156.150.30.static.turktelekom.com.tr [212.156.150.30]
8 * * * Request timed out.
9 * * * Request timed out.
...
...

 30 * * * Request timed out.

Trace complete.

Bu ileti 1 yıl önce 3 defa Halit ÇOLAK tarafından düzenlendi
 
Gönderildi : 11/08/2023 16:27

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

Virtual IP de hata var gözüküyor, mapped kısmına MKS sunucusunun local ip adresini girip deneyin.

 

resim

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/08/2023 16:49

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @hasanhuseynozer

Virtual IP de hata var gözüküyor, mapped kısmına MKS sunucusunun local ip adresini girip deneyin.

 

-- ek mevcut değil --

 

Hocam şu şekilde;

image

 

 
Gönderildi : 11/08/2023 16:53

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

MKS için local bir ip bloğu yok mu? Policy üzerinde IT networkünü seçmişsiniz çünkü

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/08/2023 16:55

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4595
Co-Helper
 

Siz yapıya hakim olmadığınızdan karışmış sanırım istekleri çok basic. Konu verdiğim ile temelde aynı, multi wan yapıyorsanız dönüş trafiğinin de aynı noktadan olduğuna emin olmalısınız, sd wan yapmalısınız. Bunun dışında 80, 443 için ayrıca bir şey yapmanız gerekmez özel olarak local ip'leri bloklamadığınız müddetçe.

https://www.cozumpark.com/community/fortigate-13/fortigate-bankalara-giris-problemi-hk/

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/08/2023 16:56

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @hasanhuseynozer

MKS için local bir ip bloğu yok mu? Policy üzerinde IT networkünü seçmişsiniz çünkü

 

MKS olarak belirttiğim 185.53.62.70 IP üzerinde çalışan i-mks.mkk.com.tr domaini. IT ise bilgisayarımın bulunduğu vlan ağı.

 

 
Gönderildi : 11/08/2023 16:57

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @ibrahimyildiz

Siz yapıya hakim olmadığınızdan karışmış sanırım istekleri çok basic. Konu verdiğim ile temelde aynı, multi wan yapıyorsanız dönüş trafiğinin de aynı noktadan olduğuna emin olmalısınız, sd wan yapmalısınız. Bunun dışında 80, 443 için ayrıca bir şey yapmanız gerekmez özel olarak local ip'leri bloklamadığınız müddetçe.

https://www.cozumpark.com/community/fortigate-13/fortigate-bankalara-giris-problemi-hk/

İbrahim hocam sadece bir tane TT METRO hattım var. Başka bir hattım yok. Yine de SD Wan kurmam gerekiyor mu?

 

 
Gönderildi : 11/08/2023 17:04

(@hasanhuseynozer)
Gönderiler: 103
Estimable Member
 

Halit bey, İbrahim hoca'nın dediği şekilde ilerlemeniz gerekiyor

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/08/2023 17:13

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4595
Co-Helper
 

Multi wan yoksa bir yerde hata yapıyorsunuz araya yanlış config giriyorsunuz demektir. Malum yapınızın detayları da burada yok. Hasan bu yüzden sormuştu virtual ip var mı diye. Bunu tanımlamanıza da gerek yok, verdikleri cümle basit o ip'e yönelik filtering vs hiçbir şey yapmadığınız da çalışır. Herşeyi eski haline getirin yine erişim yoksa loglar üzerinden inceleyin mutlaka arada bir şey oluyordur. Site ip'nizi görmeli, siz herşeyi kontrol ettiniz yine olmuyorsa karşı taraftan log kontrolü isteyin.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/08/2023 00:29

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @ibrahimyildiz

Multi wan yoksa bir yerde hata yapıyorsunuz araya yanlış config giriyorsunuz demektir. Malum yapınızın detayları da burada yok. Hasan bu yüzden sormuştu virtual ip var mı diye. Bunu tanımlamanıza da gerek yok, verdikleri cümle basit o ip'e yönelik filtering vs hiçbir şey yapmadığınız da çalışır. Herşeyi eski haline getirin yine erişim yoksa loglar üzerinden inceleyin mutlaka arada bir şey oluyordur. Site ip'nizi görmeli, siz herşeyi kontrol ettiniz yine olmuyorsa karşı taraftan log kontrolü isteyin. 

 

İbrahim hocam kesinlikle haklısınız, bende zaten hatamı anlayabilmek için sizin gibi üstadlara soruyorum. Herhangi bir IP kısıtlamam falan yok, hatta o IP ye özel SSL kontrolü yapmadan erişim açtım, firewall üzerinden deniyorum yine olmuyor. Konuştuğumuz zaman kısıtlama var diyorlar ama firewall'umdan tracert ile o IP ye çıkış yaptığımı görüyorum. Eğer bir kısıtlama varsa o IP'ye çıkış yapamıyor olmam lazım diye düşüyorum. Peki hocam site IP'nizi görmeli diyorsunuz ya, onu nasıl yapmalıyım?

 

 
Gönderildi : 12/08/2023 10:08

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4595
Co-Helper
 

Siz herşeyi standart, filtrelenmeyecek şekilde yaptınız diyelim bence şöyle deneyebilirsiniz firewall'ın önünden porttan bir laptopla girin site sizin ip'nizi yine görmüyor erişim düzgün değilse fw elimine etmiş oldunuz sorun karşıdadır bunu karşı tarafla paralel inceleyerek ancak çözebilirsiniz.
Erişim varsa sorununuz fw'dadır kural yada paket filtering vs paket akışında buna göre log'lar üzerinden odaklanırsınız.
Gördüğünüz gibi fortigate den hiç bahsetmiyorum konuya tamamen temeller üzerinden yaklaşıyorum default'ları sağladıktan sonra elinizde detay olmuş olur fortig kaynaklı bir tespitiniz olursa arkadaşlar yardımcı olmaya çalışır yada ticket açabilirsiniz.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/08/2023 19:43
Halit ÇOLAK reacted

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Gönderen: @ibrahimyildiz

Siz herşeyi standart, filtrelenmeyecek şekilde yaptınız diyelim bence şöyle deneyebilirsiniz firewall'ın önünden porttan bir laptopla girin site sizin ip'nizi yine görmüyor erişim düzgün değilse fw elimine etmiş oldunuz sorun karşıdadır bunu karşı tarafla paralel inceleyerek ancak çözebilirsiniz.
Erişim varsa sorununuz fw'dadır kural yada paket filtering vs paket akışında buna göre log'lar üzerinden odaklanırsınız.
Gördüğünüz gibi fortigate den hiç bahsetmiyorum konuya tamamen temeller üzerinden yaklaşıyorum default'ları sağladıktan sonra elinizde detay olmuş olur fortig kaynaklı bir tespitiniz olursa arkadaşlar yardımcı olmaya çalışır yada ticket açabilirsiniz.

 

Hocam gerçekten hiç aklıma gelmemişti 🙂 çok mantıklı bir çözüm önerisi. Verdiğiniz çözümü haftasonu gördüm ve denemek için sabırsızlanıyordum. Hemen denedim ve sonuç yine ulaşamamak oldu. Artık problemin bizim tarafımızdan kaynaklanmadığına sayenizde emin oldum. Çok çok teşekkür ederim. 

 

Herkese iyi haftalar.

 

 
Gönderildi : 14/08/2023 09:28

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4595
Co-Helper
 

🙂 Eyvallah sevindim kolay gelsin.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/08/2023 11:40

(@halitcolak)
Gönderiler: 37
Trusted Member
Konu başlatıcı
 

Hocam kusura bakmayın konuya uzun zamandır cevap yazamıyordum çünkü hala problemim çözülmemişti. Dün nihayet problemim çözüldü. MKK ile iş yapmak bu kadar zor olmamalı! Yani basit bir IP değiştirme işlemi için 1 ay kadar uğraştık!

 

İlginiz için çok teşekkür ederim.

 
Gönderildi : 13/09/2023 17:26

Paylaş: