Forum
Merhaba,
Öncelikle sistede yazılan makaleleri ve forumda geçen yöntemleri denedim, ancak benim ihtiyacımı karşılayamadı ve bu işte acemeyim konsoldan değilde web arayüzden işlemleri yapmaya çalışıyorum.
Yapmak istediğim şey şu : 10.0.0.0/255.255.255.0 networkündeki adreslerden sadece benim belirteceğim 5 ip adresi dışında herkes hazırladığım content policy e sadık kalmalı. Diğer 5 adres full sitelere erişim yapabilmeli.
Yaptıklarım ve olmayanlar : Security > web filtering >categories>custom altında kendime özel siteleri oluşturdum. Daha sonra Security > web filtering >profiles>custom altına oluşturduğum kategorileri bir profil altında topladım. Daha sonra policy>policies altına, trust dan untrust a bir policy oluşturup web filtering den yaptığım profili gösterdi . Ancak yaptığım bi dünya kombinasyondan istediğim sonucu alamadım. Ya hepsi full nete çıkıyor, ya hiçbiri çıkmıyor yada hepsi custom profile a sadık kalıyor. Birde bu source adress kısmına ip adres 10.0.0.x / 24 mü yoksa 32 mi olarak girilecek . 32 olunca hiç biri girmiyor diğer kurallar da çalışmıyor 24 oluncada hepsi giriyor. İşin içinden çıkamadım. Teşekkürler şimdidden
ilk kurala o bahsettiginiz makinaları source kisminda bir grup olarak gostermeniz gerek ve bu kurala content filter uygulamiyorsunuz
ikinci kurala ise 10.0.0.0/255.255.255.0 (10.0.0.0/24) networkunu source olarak gosterip bahsettiginiz content filteri uygulamaniz yeterli olacaktir
subnet mask konusuna gelince 24 yani 255.255.255.0 bir ağın subnet maskıdır 32 ise sadece bir makina oldugunu gosterir
Merhaba, Vasfi bey dediğinizi yaptım ama olmadı. Yaptığım işlemleri gönderiyorum.
Bu şekilde olunca sadece http protokulu izinli dns veya diğer protokller mevzu bahis değil. ayrıca bu servisleri içerende kurla yazılması gerekmezmi ?
Not: Son resimdeki 2 id li kuralın source policy sini 10.0.0.0/255.255.255.0 olarakta denedim. sonuş değişmedi.
olmayan nedir burda peki
tum makinalara http portundan cıkısa izin vermissiniz dns hizmetini kim veriyor icerden bir makinamı dısardan bir makinamı
eger icerden bir makina ise ( dns hizmeti veren ) ve sadece bu iki kural varsa isim cozumlemesi yapamazsınız
Yapıyı anlatıyım isterseniz.
Server yapılandırması : 10.0.0.250 /24 gw 10.0.0.2 dns : 10.0.0.250 (dhcp+ad+dns srv bu makina)
client yapılandırması : 10.0.0.x /24 gw 10.0.0.2 (juniper) dns : 10.0.0.250 195.175.39.40
6 numaralı id de herşey serbest görüldüğü gibi. 2 numaralı id de ise yaptığım content profili baz alıyor. http serbest ama sadece content profildekiler. Sadece 2 numaralı id yi yaparsam, belirlediğim siteşler dışında siteler açılmıyor. açılmaya çalışıncada zaten juniper uyraı mesajını gönderiyor. Ama resimdeki gibi yapılırsa juniper uyarı mesajı vermiyor sitelerin hemen hemen hepsi açılmıyor. Birkaç site açılıyor ( content izinli )ama neye dayanarak açılıyor anlamadım (cache de mi kalanlar) zira content ten izin verdiğim başka siteler açılmıyor. Bu policy leri oluşturmadamı yoksa sıralamadamı hata yapıyorum ?*
Ayrıca sadece http kuralları ile policy olacaksa buda işime gelmez. Çünkü içerden çıkışta http hariç port kullanan yerlerede erişim yapılıyor. Mesela 1433 3306 1723 gibi başka yerdeki bilgisayarlarada bağlantı yapılmakta.
bence bu 10.0.0.250 ve 10.0.0.2 icin en uste any to any (sadece http degil any secip ) bir kural yazin ve icerik filtrelemesi uygulamayin derim
bu makina nete cikip isim sorgulamasi yapamaz ise sizde hali internet cikamazsiniz
http yapin diye onermedim zaten bunu kendiniz bu sekilde yapmissiniz hangi grup hangi portlardan cikmasi gerekiyorsa onlari bir grup yapip http yerine onu secmeniz gerek
Vasfi bey öncelikle ilginiz için teşekkür ediyorum. Sorunu çözdüm. Öncelikle herkesin 10.0.0.0/24 üzerinden tüm servisleri (ANY) kullanarak web content kullanmaya zorladım. Daha sonra bu policynin üstüne; source kısmında yonetici pclerin ip lerinin bulunduğu , DNS.HTTP,HTTPS,FTP gibi servislerin açık olduğu contente takılmayan bir policy oluşturdum. Sorun çözüldü. Tekrar teşekkürler.
Probleminizin çözülmüş olmasına sevindim
iyi çalışmalar