Forum

draytek 2710n modem...
 
Bildirimler
Hepsini Temizle

draytek 2710n modem ile firewall yapılandırma

2 Yazılar
2 Üyeler
0 Reactions
581 Görüntüleme
(@eroldursun)
Gönderiler: 2204
Famed Member
Konu başlatıcı
 

merhaba ; arkadaşlar draytek modemi öğrenmeye çalışıyorum.


firewall kısmına girdiğimde call filter data filter var bunlar nedir ? karşılarındaki set 1 set 2 ne anlama geliyor.


tüm networke wan çıkışı default rule kısmından filer kısmını block yapınca nete çıkılmıyor


sonrasında filter setup girip filter set3 oluşturup istediğim ip nin çıkması için gerekli işlemleri yapıyorum ama çıkmıyor.


yada tam tersini yapıyorum default rulede pass diyorum filter seuptan block yapıyorum nete çıkıyor.


 


 

 
Gönderildi : 31/03/2011 16:20

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

merhaba ; arkadaşlar draytek modemi öğrenmeye çalışıyorum.

firewall kısmına girdiğimde call filter data filter var bunlar nedir ? karşılarındaki set 1 set 2 ne anlama geliyor.

tüm networke wan çıkışı default rule kısmından filer kısmını block yapınca nete çıkılmıyor

sonrasında filter setup girip filter set3 oluşturup istediğim ip nin çıkması için gerekli işlemleri yapıyorum ama çıkmıyor.

yada tam tersini yapıyorum default rulede pass diyorum filter seuptan block yapıyorum nete çıkıyor.

 

 

Merhaba DrayTek cihazları ufak tefek olmalarına karşın oldukca etkili bir firewall sistemine sahiptirler. Cihazlar 13 Tablo ve toplam  84 satırlık bir firewall girdisini desteklerler. 13 tablo, tabloların içinde gözükmez ve general kısmında bulunan default rule olarak geçer. Default Rule tablosu son kuraldır ve filter setup kısmında herhangi bir kural yazılmadı ise geçerli olan kuraldır.

 

Default Call filter ve Data Filter kısımları;

 

Call Filter, İnternet bağlantısnız sürekli değil ise ve sadece istek olması durumunda başlatılıyor sa ( Modemde ayarlanabilir ) Call filter sistemi kullanılır. Bunun temel sebebi eğer istek izin verilen bir paket olursa bağlantının kurulmasının istenmesidir, eğer paket izin verilen bir paket değilse bağlantı hiç başlatılmıyacaktır.

Data Filter, İnternet bağlantınız sürekli ise bu sistem kullanılır. Firewall kuralları izinli ise datayı internete değilse blocklayarak çöplüğe göndrecektir.

Tablo sistemi,

Tablo sistemleri firewall sistemin hızlandırılması içindir. Birçok kural yazdığınızda ilk kuralda belirtilen bir kaynak ile son kuralda belirtilen bir kaynak arasında cihazın okuması gereken 83 satır olacaktır. bu duruma istinaden bir kuraldan sonra direk başka bir tabloya yönlendirme yapabileceğiniz gibi tabloların sonunda bulunan NEXT Filter set kısmı ile bir sonraki tabloya da geçebilirsiniz. 

Firewall mantığında yapı en üst kuralın geçerli olduğu ve kapsar küme mantığında üst kuralın alt kuralı kapsamaması usulüne dayanır. Bu duruma istinaden Filter Setup kısmında yazacağınız kurallar default rule kuralından önceliklidir ve onu kapsamamalıdır. Bunun anlamı bir kaynak, hedef ya da servis belirtmeyeceksiniz default rule kısmını kullanmalısınız. Eğer default rule kısmında PASS derseniz bu içerden gelen isteklerin dışarı çıkışına NAT, NAPT DMZ vb.. yönlendirmeler yapmanız durumunda dışarıdan gelen isteklerin içeri gönderilmesine izin vermeniz anlamına gelir. Eğer bu kuralda Block derseniz filter setup kısmında kaynak, hedef yada servis belirterek kurallar yazmalısınız.

 

Örnek olması açısından bir senaryo yazalım,

1. A,B,C,D,E,F makinalarından oluşan bir sistemim var ve istediğim şunlar.

1.a A makinası internete sınırsız şekilde çıkabilecek

1.b B makinası internete sınırsız şekilde çıkabilecek, fakat P2P programlarını kullanamayacak ve Adult sitelere gidemeyecek.

1.c Bunun dışında kalan tüm sistemlerin  zaman sunucularına gitmelerini fakat başka bir servis kullanamayacaklar.

1.d E sistemimde bulunan bir mail sunucudur ve SMTP ve POP portlarının dışardan gelişine izin vermek istiyorum.

 

Yapılanıdırma;

1. Gerekli NAT işlemlerini mail sunucum için Open Port kısmından yaparak 110 ve 25 portlarını Private Ip adresi E olacak şekilde yönlendireceğim.

2. Firewall kısmında General bölümünde BLOCK seçeceğim,

3. Filter Rule Default Data Filter Kısmında Direction kısmı Lan > Wan olan bir kural oluşturup kaynağını A IP adresi gösterip PASS edeceğim,

4. Filter Rule Default Data Filter Kısmında Direction kısmı Lan > Wan olan bir kural oluşturup kaynağını B IP adresi gösterip PASS edip, APP kısmında daha önce hazırladığım P2P profilini seçip, Web Content kısmında daha önce hazırladığım profili seçeceğim.

5.  Filter Rule Default Data Filter Kısmında Direction kısmı Wan > Lan olan bir kural oluşturup Hedefi E olan bir kural oluşturup servis kısmında daha önce hazırladığım Servis Objemi ( İçeriğinde SMTP ( 25 ) ve POP (110) ) seçerek dışardan gelen SMTp ve POP isteklerine izin vereceğim.

 

Cihazlarda obje oluşturulması sırasında bulunan işaretlerin anlamları,

 

>, Büyüktür anlamına gelir, uygulanacak olan kural sağ kısımda yazan porttan büyük ise geçerlidir.

<, küçüktür anlamına gelir, uygulanacak olan kural sağ tarafta yazan porttan küçük ise geçerlidir.

=, eşittir anlamına gelir, uygulanacak kural sağ tarafta yazan port ya da port aralığına eşit ise geçerlidir.

!=, değilse anlamına gelir, uygulanacak olan kural sağ tarafta yazan port ya da port aralığının dışında ise.

!, dışında anlamına gelir,uygulanacak olan  kural yazılan IP adresinin, aralıpının network subnetinin, mac adresinin dışında kalan herşey için geçerlidir.

 

 

DrayTek firewall sistemi oldukça karışık ve komplike bir sistemdir. Hali hazırda tüm kurallarda, QoS, APP Enforcment, Url Content Filter, Web Content Filter , Session Limit, Dual Wan olan cihazlarda Policy Based Routing uygulanabilmekte kaynak ve hedef bazında özelleştirilebilmektedir.

Genel mantığı anlaşıldığında ise kullanılması oldukça zevkli bir sistemi vardır. 

  

 

 
Gönderildi : 01/04/2011 04:25

Paylaş: