Forum
Herkese merabalar
arkadaşlar çalıştığım işyerinde misafirler için wireless ağı kullanıyorum (vlan 90 192.168.90.0/23 networku)
Wireless ağına bağlanan kullanıcıların sadece internete çıkıp benim iç networküme erişmesini istemiyorum .
Şimdi ben bu kullanıcıların benim iç networküme erişmemesi için ne yapabilirim. Elimdeki cihazlar şunlar
Cisco wireless Controller 5508
Cisco Access Point 1140
Hp 4800G ve Hp5120 Poe switch
Hp 7506 Omurga
Juniper SSG 550 firewall
Yukarıdaki cihazların hangisinde daha basit ve daha etkili bir engelleme yapılabilir. Fikir ve görüşlerinizi bekliyorum
Misafir ağınızı ayrı bir VLAN'a alarak zaten ağınızı bölmüşsünüz. Bu durumda bu VLAN'ın ağ geçidininde yazacağınız bir kural ile iç ağınız ile iletişimini kesmelisiniz. Güvenlik duvarınızı bu anlamda kullanabilirsiniz (gerçek işi bu olduğu için güvenlik duvarınızı kullanmanızı tavsiye edeceğim). Juniper güvenlik duvarı tarafında tecrübem çok fazla değil ancak genel mantık aynı. VLAN90 ağınızın ağ geçidini Juniper güvenlik duvarınız olarak ayarlayıp üzerinde yazacağınız kurallar ile haberleşmenizi yönetebilirsiniz. Juniper konusunda deneyimli arkadaşlar daha fazla bilgi verecektir.
Saolun serkan hocam Önemli olan hangi yolu izlemem gerektiğiydi
şimdi juniper üzerinde denemelere başlayayım....
Bu arada cisco wireless controller üzerinde Acces Control List olayı varmış yeni keşfettim 🙂
Controller üzerinden de deneme yapacağım..... Burdan bilgilendirme yaparım
Bazı özellikler lisans denetimine tabi oluyor, gözardı etmeyin derim.
Selamlar,
Firewall üzerinde eğer kısıtlama işlemi yaparsanız sorun yaşarsınız. H3C 7506 üzerinde veya VLAN'ı hangi switch üzerinde oluşturduysanız,
ilgili switch üzerinde "ACL" erişim denetim listesi oluşturarak gerçekleştiriniz. En kesin ve sağlıklı çözüm bu olur sizin için.
switch (config)# ip acces-list 101 deny 192.168.90.0 0.0.1.255 199.168.89.0 0.0.0.255 eq ping
(ilk yazılan ip ve wild card bit ve sonraki ip ler, kaynak ve hedef network ip adresleridir.)
switch (config)# ip access-list 101 permit any any
(yukarıdaki kuraldan dolayı tüm network erişimi kesilmiş olacak yukarıdaki ip segmentleri dışında diğer ip erişim trafiğine izin verebilmek için bunu yazmanız şart)
switch (config)# interface fa0/24 (VLAN interface içerisinde de yapılabilir.)
switch(config)# ip access-group in (veya out yazılabilir yukarıdaki portun trafik yönüne göre)
bu operasyon çok daha sağlıklı ve iş görür.
iyi çalışmalar...
Firewall üzerinde eğer kısıtlama işlemi yaparsanız sorun yaşarsınız.
Ne tür sorunlar yaşanabilir Gökhan bey ?