Forum

Juniper ssg5 conten...
 
Bildirimler
Hepsini Temizle

Juniper ssg5 content filtering yetkili yetkisiz grup oluşturma

9 Yazılar
2 Üyeler
0 Reactions
488 Görüntüleme
(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Merhaba,


Öncelikle sistede yazılan makaleleri ve forumda geçen yöntemleri denedim, ancak benim ihtiyacımı karşılayamadı ve bu işte acemeyim konsoldan değilde web arayüzden işlemleri yapmaya çalışıyorum.


Yapmak istediğim şey şu : 10.0.0.0/255.255.255.0 networkündeki adreslerden sadece benim belirteceğim 5 ip adresi dışında herkes hazırladığım content policy e sadık kalmalı. Diğer 5 adres full sitelere erişim yapabilmeli.


Yaptıklarım ve olmayanlar : Security > web filtering >categories>custom  altında kendime özel siteleri oluşturdum. Daha sonra Security > web filtering >profiles>custom  altına oluşturduğum kategorileri bir profil altında topladım. Daha sonra policy>policies altına, trust dan untrust a bir policy oluşturup web filtering den yaptığım profili gösterdi . Ancak yaptığım bi dünya kombinasyondan istediğim sonucu alamadım. Ya hepsi full nete çıkıyor, ya hiçbiri çıkmıyor yada hepsi custom profile a sadık kalıyor. Birde bu source adress kısmına ip adres 10.0.0.x / 24 mü yoksa 32 mi olarak girilecek . 32 olunca hiç biri girmiyor diğer kurallar da çalışmıyor 24 oluncada hepsi giriyor. İşin içinden çıkamadım. Teşekkürler şimdidden

 
Gönderildi : 16/12/2009 00:39

(@vasviuysal)
Gönderiler: 7889
Üye
 

 

 

 ilk kurala o bahsettiginiz makinaları source kisminda bir grup olarak gostermeniz gerek ve bu kurala content filter uygulamiyorsunuz 

ikinci kurala ise  10.0.0.0/255.255.255.0  (10.0.0.0/24) networkunu source olarak gosterip bahsettiginiz content filteri uygulamaniz yeterli olacaktir

 

subnet mask konusuna gelince 24 yani 255.255.255.0 bir ağın subnet maskıdır 32 ise sadece bir makina oldugunu gosterir

 

 

 

 

 

 

 
Gönderildi : 16/12/2009 12:07

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Merhaba, Vasfi bey dediğinizi yaptım ama olmadı. Yaptığım işlemleri gönderiyorum.






Bu şekilde olunca sadece http protokulu izinli dns veya diğer protokller mevzu bahis değil. ayrıca bu servisleri içerende kurla yazılması gerekmezmi ?


Not: Son resimdeki 2 id li kuralın source policy sini 10.0.0.0/255.255.255.0 olarakta denedim. sonuş değişmedi.

 
Gönderildi : 16/12/2009 13:11

(@vasviuysal)
Gönderiler: 7889
Üye
 

olmayan nedir burda peki

tum makinalara http portundan cıkısa izin vermissiniz dns hizmetini kim veriyor icerden bir makinamı dısardan bir makinamı 

eger icerden bir makina ise ( dns hizmeti veren ) ve sadece bu iki kural varsa isim cozumlemesi yapamazsınız 

 
Gönderildi : 16/12/2009 14:15

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Yapıyı anlatıyım isterseniz.


Server yapılandırması : 10.0.0.250 /24 gw 10.0.0.2 dns : 10.0.0.250 (dhcp+ad+dns srv bu makina)


client yapılandırması : 10.0.0.x /24 gw 10.0.0.2 (juniper) dns : 10.0.0.250 195.175.39.40


6 numaralı id de herşey serbest görüldüğü gibi. 2 numaralı id de ise yaptığım content profili baz alıyor. http serbest ama sadece content profildekiler. Sadece 2 numaralı id yi yaparsam, belirlediğim siteşler dışında siteler açılmıyor. açılmaya çalışıncada zaten juniper uyraı mesajını gönderiyor. Ama resimdeki gibi yapılırsa juniper uyarı mesajı vermiyor sitelerin hemen hemen hepsi açılmıyor. Birkaç site açılıyor ( content izinli )ama neye dayanarak açılıyor anlamadım  (cache de mi kalanlar) zira content ten izin verdiğim başka siteler açılmıyor. Bu policy leri oluşturmadamı yoksa sıralamadamı hata yapıyorum ?*

 
Gönderildi : 16/12/2009 14:36

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Ayrıca sadece http kuralları ile policy olacaksa buda işime gelmez. Çünkü içerden çıkışta http hariç port kullanan yerlerede erişim yapılıyor. Mesela 1433 3306 1723 gibi başka yerdeki bilgisayarlarada bağlantı yapılmakta.

 
Gönderildi : 16/12/2009 15:02

(@vasviuysal)
Gönderiler: 7889
Üye
 

bence bu 10.0.0.250 ve 10.0.0.2 icin en uste any to any (sadece http degil any secip ) bir kural yazin ve icerik filtrelemesi uygulamayin derim

bu makina nete cikip isim sorgulamasi yapamaz ise sizde hali internet cikamazsiniz 

 http yapin diye onermedim zaten bunu kendiniz bu sekilde yapmissiniz hangi grup hangi portlardan cikmasi gerekiyorsa onlari bir grup yapip http yerine onu secmeniz gerek

 

 

 
Gönderildi : 16/12/2009 16:18

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Vasfi bey öncelikle ilginiz için teşekkür ediyorum. Sorunu çözdüm. Öncelikle herkesin 10.0.0.0/24 üzerinden tüm servisleri (ANY) kullanarak web content kullanmaya zorladım. Daha sonra bu policynin üstüne; source kısmında yonetici pclerin ip lerinin bulunduğu , DNS.HTTP,HTTPS,FTP gibi servislerin açık olduğu contente takılmayan bir policy oluşturdum. Sorun çözüldü. Tekrar teşekkürler.

 
Gönderildi : 17/12/2009 13:23

(@vasviuysal)
Gönderiler: 7889
Üye
 

Probleminizin çözülmüş olmasına sevindim 

 

 iyi çalışmalar 

 

 

 
Gönderildi : 18/12/2009 12:32

Paylaş: