SSG140 - Metro ethetnet

Network menusunün altında interfaces oluşturcaksın.

merhaba ssg 140 ın firmware ini söyleseydiniz biraz daha kolay olurdu.:)

eğer cihazınızı yeni aldıysanız firmware i 6.x.x ile başlııyordur.

ssg 140 da 10 adet port bulunmakta.(ethernet 0/0 -- 0/9)

default olarak Untrust bacağı ethernet 0/2 dedir.

Network > Interfaces (List) diyorsunuz: Ethernet 0/2 yi edit ediyorsunuz. telekomun size verdiği dış bacak ip adresini buraya yazıyorsunuz.

ssg 140 da default olarak DMZ bacağı ethernet0/1 dir

isterseniz DMZ ip bloğunuzu buraya tanımlıyorsunuz.

telekomun size verdiği dmz ip bloğunun sizin metro ethernet dış bacağına route edilmesi gerekiyor.

Network > Routing > Routing Entries: bölümüne gelip;new demelisiniz

buradan da, internete çıkış (default route ) yazmalısınız. gateway ip adresini de burda kullanıyorsunuz.

umarım sorularınızın cevabını almış olursunuz.

Sait bey firmware versiyonu 6.x.x söylediğiniz gibi 10 port bulunuyor. Bahsettiğiniz gibi Network sekmesi altında interface bölümüne girerek default untrast bacağı olan 0/2 yi edit leyerek dış ip yi ve 255.255.255.248 netmask ı girdim Fakat sonraki adımda Routing sekmesi altında Destination , Source , Source interface , MCast Routing , PBR , Virtual Routers başlıkları bulunuyor.Routing Entries i göremedim.

Birde uç switch ten mail server a giden diğer bir data kablosu daha var ip si farklı onu 0/3 portunu untrast tanımlayarak girmeye çalışınca hata veriyor.

merhaba

işlerin yoğunluğundan dolayı biraz geç yazdım.

Destination click'lendiğingde dediğim path oluşuyor. --- > (Network > Routing > Routing Entries) burada new diyeceksiniz.(trust-vr)

burada default route yazacaksınız.

yalnız anlamadığım şu: siz 8 adet ip satın aldınız. bunu dmz için almadınız mı acaba? yani telekom size zaten 30 lu bloktan bir ip adresi verecek.

birinci ip adresini kendi untrust interface'inize ikinci ip adresini de default route olarak kullanacaksınız.. lütfen burayı netleştirir misiniz? 

Sait bey tekrar merhaba,

Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.

new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var

       address 88.255.xx.xx

       netmask 255.255.255.248

       network 88.255.xx.xx

       broadcast 88.255.xx.xx

       gateway 88.255.xx.xx

bu girdilere göre Broadcast  ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.

Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.

Sait bey tekrar merhaba,

Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.

IP/Netmask	Gateway	Interface	Protocol	Preference	Metric	Vsys	Configure

new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var

       address 88.255.xx.xx

       netmask 255.255.255.248

       network 88.255.xx.xx

       broadcast 88.255.xx.xx

       gateway 88.255.xx.xx

bu girdilere göre Broadcast  ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.

Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.

merhaba,

sorularınıza tersten başlıyorum

şunu söylemekte yarar var. 8 tane ip adresini DMZ de konumlandırmak istediğiniz server lara vermeniz mantıklı olandır. bu iki tane server olabilir 3 olabilir,, hepsini kullanmak zorunda değilsiniz tabii ki..

ikinci olarak; metro ethernet aldığınız zaman telekom size bir dış ip adresi verecektir. yani subneti /30 olan yada 255.255.255.252 olan.

 genel olarak söylüyorum 30 lu ip bloğunun ilkini juniper firewall un 0/2 ethernetine veriyorsunuz. ayarlar şöyle yapılıyor:

ethernet0/2 edit edilir. IP Address / Netmask :: telekomun internete çıkışınız için verdiği 30 lu bloğun ilk ip sini buraya yazıyorsunuz.

mesela: 88.24.44.1 / 30  manageble opsiyonunu aktif edebilirsiniz. interface mode: NAT/Route size kalmış.. sizin için hangisi uygunsa seçebilirsiniz. default route da da belirttiğiniz gibi trust-vr  ve new diyorsunuz.

gateway ip adress: telekomun gateway olarak size bildirdiği ip adresini kullanıyorsunuz. yani benim yazdığım ip örneğine göre:88.24.44.2

IP Address/Netmask: 0.0.0.0 / 0   --- default route

gateway radyo iconu seçilir.

interface combo box dan : ethernet 0/2 seçilir.

gateway ip adress: 88.24.44.2

permanent: aktif edilir.

başkaca birşey gerek kalmadı.. OK

geldik satın aldığınız 8 bloklu ip adresi aralığının ayarlanmasına. diyelim ki burada iki tane internete hizmet verecek ftp ve web server ınız var.

diğerlerini de ihtiyaç oldukça kullanacaksınız diyelim.

şimdi sizin burda iki seçeneğiniz var. birincisi juniper firewall da  MIP yaparak dışardan gelen isteklerin iç networkünüzde ki bir server'a ulaşması.(cisco ASA da uyguladığınız gibi)

yok efendim ben dışardan gelen istekleri local networküme almam derseniz ikinci seçeneğiniz var. bu da DMZ zone unu kullanmanız demektir.

DMZ için default interface ssg 140 da ethernet0/1 dir. bunu editliyorsunuz.

IP Address / Netmask: telekomdan aldığınız 8 li ip bloğu şöyle olsun. 88.34.27.36/29 yada  diğer gösterim tarzıyla 255.255.255.248 

bunu ethernet 0/1 editlenerek: şöyle veriniz. IP Address / Netmask: 88.34.27.37/29.. bu interface ait ip adresi oldu.

serverlarınızdan birinin ip adresini beraber yapalım şimdi, benim verdiğim ip aralığına göre: ftp server tcp/ip :

IP Address: 88.34.27.38

subnet: 255.255.255.248

gateway: 88.34.27.37

policy tanımlayarak bu ip adreslerine doğru istediğiniz servisler için izin tanımlayabilirsiniz.

yani: from unturst to DMZ : mesela FTP servisine izin verelim.

mail server için , web server için de aynı yolları deniyorsunuz..

bu çok önemli;

telekom, sizin dış bacağınıza doğru routing' leri tanımladıysa; artık serverlarınıza internetten ulaşılabileceksiniz.

iyi çalışmalar diliyorum.

Sait bey merhaba,

 Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.

Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.

Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.

Sait bey merhaba,

 Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.

Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.

Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.

 

mevcut yapınızı bozmayacaksanız ve bir ip planlaması istemiyorsanız ssg 140 sistemini transparent mode de çalıştırmanız gerekecek.

transparent mode'de çalışırken layer2 switch gibi davranacak ayrıca zone'lar arası trafiğide kontrol edebileceksiniz.

transparent mode için;

layer2 zone oluşturursunuz yada mevcut v1-trust v1-untrust zone'larını kullanabilirsiniz.

ssg üzerinde hangi interface leri kullanacaksanız o interface leri L2 zone'a atıyorsunuz

layer 2 zone lar arası policy oluşturuyorsunuz.

 iyi çalışmalar diliyorum.

http://kb.juniper.net/index?page=content&id=KB4160&actp=search&searchid=1233944290719

Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.

iyi çalışmalar.

Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.

iyi çalışmalar.

umarım faydalı olabilmişimdir.

saygılar