Forum

Metronet - Firewall...
 
Bildirimler
Hepsini Temizle

Metronet - Firewall ayarları

22 Yazılar
8 Üyeler
0 Reactions
1,411 Görüntüleme
(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Merhaba arkadaşlar, 2 gün önce Metronet aldık. Sistemimizde 3 tane internet bağlantısı var. Firewall' a 3 girişi yapıp, çıkışta tek bir bağlantı alıyoruz. Oluşturduğumuz kurallarla da istediğimiz terminali, istediğimiz bağlantıdan çıkışını sağlıyoruz.

Metronet gelince işler biraz karıştı. Metroneti bir switch'e bağlayıp, bize rj-45 çıkışını ve sahip olduğumuz ip,gateway  bilgilerini bize verdiler.

 Şimdi şöyle birşey var, verdikleri switch'in router özelliği yok,  yönetilebilir bir panelide yok.

 Şimdi ne yapmamız gerekiyor, dağıtım işini nasıl yapacaz tamamen bilmiyorum, teknik destekte alamıyorum. Firewall yönetimi konusunda da bir bilgim yoktur. Şuan için nasıl bir yöntem izleyebilirim? nereden başlamam gerekiyor fikir verebilir misiniz?

 
Gönderildi : 11/11/2009 17:57

(@sercancokyegit)
Gönderiler: 209
Reputable Member
 

Elinizde ki firewall nedir marka model

Teşekkürler.

 
Gönderildi : 11/11/2009 18:06

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Düzme bir sistem, freebsd kurulmuş üzerine.

 
Gönderildi : 11/11/2009 18:09

(@sercancokyegit)
Gönderiler: 209
Reputable Member
 

Freebsd ile ilgili bir bilgim yok ama bu konuda uzman arkadaşlar görüşlerini yazacaklardır.

 
Gönderildi : 11/11/2009 18:15

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

İlginiz için teşekkür ederim. Kolay gelsin.

 
Gönderildi : 11/11/2009 18:33

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

normal şartlarda metronet switch lerde ISP gerekli ayarları ve yönlendirmeyi yapmakta. yani direk bir makineye taktığınız da bile direk internet çıkışı alabilirsiniz. onların size vermiş olduğu ucu firewall a girip firewall üzerinde iç ağdaki güvenlik politikası gereğince gerekli yapılandırmaları yapmanız lazım. o firewall üzerinden ise dağıtım yapacağınız switch e çıkış alıp dağıtımı yapabilirsiniz.

 
Gönderildi : 12/11/2009 14:58

(@fatihakkus)
Gönderiler: 372
Honorable Member
 

Yapacağın iş bir makineye 4 adet ethernet tak.üç tane internet bağlantın var söylerdğin kadarı ile.Onları bu artlara tak.SOnra son etherneti de switche bağla.üzerine bildiğin bi linux dağıtımını kur.Sonra bunun dış internet bacaklarını iç  internete yönlendir.En kısa böyle anlatılabilir.BU konu başlı başına uzun sürer anlatmaya kalksak.Routingler falan.


http://www.howtoforge.org/home-gateway-firewall-with-dhcp-server-for-connection-sharing-centos5


buraya bakabilirsin.Takıldığın konuda yine sor burdan yardımcı olalım.

 
Gönderildi : 12/11/2009 19:21

(@BSD_DaeMoN)
Gönderiler: 29
Eminent Member
 

Merhaba..


Bu islem icin FreeBSD, bicilmis bir kaftandir. Yapmaniz gereken seyler aslinda biraz karisik fakat zor degil. Metro'nun calisma mantigina gore FreeBSD'inizi ayarlamaniz yeterlidir. Muhtemelen PacketFilter ile bacaklar arasinda paketlere yonlendirme yapiliyor.. PF kurallarini duzeltmeniz ve FreeBSD makinanizi o bacaktanda cikacak sekilde ayarlamaniz yeterli olacaktir.

*BSD Sistemler uzerinde bu islemler cok basittir. Bunun yaninda *BSD Sistemler cok kati ve sert bir disipline sahip sistemlerdir. Belli prosedurlere uymaniz gerekir. Eğer FreeBSD'yi kullanmayi bilmiyorsaniz bence hic dokunmayin, bilen birisine yaptirin. Yapalim derken hazir sistemi bozabilirsiniz.


 

 
Gönderildi : 25/11/2009 00:23

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Cevabınız için teşekkürler.

Bağlantı olayını hallettim, şuan metro ethernet üzerinden çıkış yapılıyor.

 Bu defada farklı bir sorun ile boğşuyorum. Daha önceki ip adresimiz blacklist'deydi. bu yüzden mail server'ı, metronet üstünden çıkış yaptırdım. başarılıda oldum, fakat bir sorun var. Mail gönderiminde hiç bir sorun yoktur, seri bir şekilde çalışıyor. Fakat mail gelişlerinde problem var. mailler gelmiyor. Bunun nedeni olarakta pf de ki güvenlik komutlarından olduğunu tahmin ediyorum.

Şu komut dizisinin anlamını öğrenecektim.

 rdr on $int_if proto tcp from !<bim> to any port 80 -> 192.168.1.150 port 8080

 Buradaki komutun anlamı şu mu ? bim grubu dışındaki tüm grupları 80 portundan çıkarma, yani engelle. bu mudur? 

 
Gönderildi : 03/12/2009 19:09

(@BSD_DaeMoN)
Gönderiler: 29
Eminent Member
 

Selamlar..

Bu kuralin manasi <bim> grubu disindaki 80 portuna baglanti yapmak isteyen her IP'yi, 192.168.1.150 IP'sinde 8080 portuna gonder.. Ilk bakista muhtemel olarak transparan proxy icin yazilmis bir kural olarak duruyor. Yuksek olasilikla da bu amacla yazilmistir.

 

 

 
Gönderildi : 04/12/2009 00:18

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

O zaman durumu şöyle açklayayım, 3 tane bağlantımız vardı söylediğim gibi.

1. VPN bağlantılar için kullanıyoruz. Onunla ilgili bir sorun yok.

2. G.SHDSL bağlantı, bim dediğimiz grup kullanıyor bunu. ayrıca web server falanda bunun üzerinde.mail server'da daha önce buradaydı.

3.Metro ethernet (daha önce normal adsl vardı) 

 Firewall'da bim grubu tanımlanmış ve bim grubuna aldığımız ip ler, hiç bir yere takılmadan internete çıkış yapıyor. Çıkışı G.SHDSL üzerinden yapıyor tabi.

web diye bir grubumuz var, bu gruba aldığımız kişilerde sınırlı olarka, dansguardian üzerinden geçerek metro ethernetten internete çıkıyor.

 Kafam iyice karıştı artık, karmaşık bir sistem kurulmuş buraya. mail server'ı çıkışını metro ethernet'e verdim, yukarıda dediğim gibi sistemli olarak çalışıyor, dışarı mail'de atıyor, ama dışarıdan mail gelmiyor.

  Bunun nedenide pf'deki kulların olduğunu düşünüyorum, tek tek adım adım gidiyorum, bir türlü çözemedim. nereden başlasam bilmiyorum.

Mail server'ı  G.SHDSL üzerine aldığımda tekrar, web panelinede ulaşabiliyorum G.SHDSL ip si üzerinden mail server'ın. ama metro ethernete aldığımda, portlarda açık olmasına rağmen web panelede ulaşamıyorum.

 
Gönderildi : 04/12/2009 12:24

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Aslında şuan sorunu kafamda tam olarak anladım gibi.

Normalde web server ve mail server için portlar  G.SHDSL modemin panelinden açılmıştı.Yani Modem üzerinden portlar açılmıştı.

Metro ethernetin yönetilebilir bir modemi yokki. Normal bir extra özellikleri olmayan swicth'e fiberi girip, bize çıkış verdiler, bizde onu firewall'a girdik.

Mantık olarak, metro ethernet ip'si üzerinden port açmak gerekmez mi? Yanlış mı düşünüyorum?

 
Gönderildi : 04/12/2009 13:39

(@BSD_DaeMoN)
Gönderiler: 29
Eminent Member
 

Merhaba..

PF kurallariniza bakmak lazim. Ayrica MetroEthernet uzerinden baglaniyorsaniz, gercek IP zaten makinaniza indirilir. MetroEthernet'in ozelligi budur. Bu durumda PF kurallarinizi yeniden duzenlemeniz gerekir. Sunu soylemek istiyorum, PF uzerinde MetroEth IP'sinin 25 portuna gelenleri iceride bu IP'ye (Mail Sunucu) gonder, ayni sekilde 80 portuna gelenleri iceride su IP'ye (Web Sunucu) gonder gibi davranmasini saglamalisiniz.

Bu islemleri icin PF konfigurasyonunda "rdr" kismina bakin.

Kolay Gelsin.

 
Gönderildi : 04/12/2009 14:11

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

192.168.5.2 > Mail server'ın adresi

$ext_if > metro ethernetin giriş yaptığı kart

rdr on $ext_if proto tcp from any to $ext_if port 25 -> 192.168.5.2 port 25
rdr on $ext_if proto tcp from any to $ext_if port 110 -> 192.168.5.2 port 110
rdr on $ext_if proto tcp from any to $ext_if port 80 -> 192.168.5.2 port 80

 Bir problem var mı? Bu şekilde yaptığım halde olmadı.

 
Gönderildi : 04/12/2009 18:58

(@BSD_DaeMoN)
Gönderiler: 29
Eminent Member
 

Pekala,

Mail Server cikis yaparken hangi bacaktan cikiyor ? Su anda siz gelen istekleri 192.168.5.2 IP'sine gonderiyorsunuz, peki gonderdiginiz paketler tekrar ayni interface'den cikis yapabiliyor mu ?

tcpdump v.s. bu tarz uygulamalar ile interface'leri ve trafigi izleyin, kim nereden ne yapiyor bunu gormeye calisin.

Kolay Gelsin.

 
Gönderildi : 04/12/2009 20:09

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Tekrar merhaba arkadaşlar,

Çok fazla soru soruyorum ama 🙂 Şuan herşey tamam, fakat bir sorun var. Metro ethernet şuan çalışıyor ama download/upload trafiği çok çok kötü. Download dalgalı oluyor, sürekli inip, çıkıyor hız. Upload'da durum daha da vahim, saniyede 3-4 kb upload yapıyor. Bir problem olduğu kesin.

Bunun çözümüne nereden başlayabilirim acaba ?

 
Gönderildi : 10/02/2010 13:08

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

Merhaba;

mevcut trafiği incelediniz mi hiç? loglara,kayıtlara baktınız mı? networkü bir monitor edip bakmanızda fayda var. daralmalar ve düşüşler nerede gerçekleşiyor diye. bir de networkü analiz edip paketlere bakmanızda fayda var..

(tabi eğer donanımsal veya hizmeti aldığınız yerden bir sorun ya da altyapı ile ilgii problem yoksa)

 
Gönderildi : 11/02/2010 13:57

(@gokhansarrafgil)
Gönderiler: 66
Estimable Member
Konu başlatıcı
 

Üstad hizmeti aldığımız yer ve donanım ile ilgili bir sorun yok, çünkü Metro ethernet bacağını direk herhangi bir pc ye bağladığımda istediğim performansı alıyorum fakat Metro ethernet Firewall'a girip, Firewall'dan çıkışı aldıktan sonra sıkıntı oluşuyor.

Kısacası problem firewall'da yazlımsal olarak görünüyor. Hangi log'lara bakmam gerekiyor ?

 
Gönderildi : 11/02/2010 14:20

(@omeralbayrak)
Gönderiler: 203
Estimable Member
 

sistemined mrtg kurulu ise öncelikle network trafiğini kontrol et. giden gelen trafik değerlerine bak. eğer proxy kullanıyorsan en fazla istek nerelerden nerelere yapılmış ona bakarsın.

firewall tarafında ise eğer logları tutuyorsan öncelikle iç ağdan dışarı çıkan istekleri bir kontrol et. en fazla isteği kim yapmış, nerelere istek yapılmış, bu isteklerin zaman süreci nedir, yani 1 dk içinde 1 yerden 100 istek mi var vs diye...whireshark ile paket analizi yapabilirsen neler gidip geliyor onlara bir bak. tcpdump ile de networkü izleyebilirsin. şimdilik aklıma bunlar geldi. 

ayrıca switch yönetilebilirse ona da bir bak. ağda bir poising varsa bu da etklieyebilir. 

 
Gönderildi : 11/02/2010 14:30

Sayfa 1 / 2
Paylaş: