Watchguard Kurallar Hakkında

DNS ile ilgili hicbir kural yok icerdeki dns sunucunuz nasıl isim çözecek bu durumda

şuanda da yok ama çalışıyor hocam 🙂 nasıl bir kural yazmalıyım sadece any-trustedtan any-externala dns kuralını aktif etsem yeterli midir?

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

• Özellikle web erişim ve proxy kurallarının loglamasını açın.
• RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
• En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
• Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

Teşekkürler gerekli düzenlemeyi yaptım hocam.

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

• Özellikle web erişim ve proxy kurallarının loglamasını açın.
• RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
• En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
• Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 

Teşekkür ederim Hüseyin Bey,

Estağfirullah hocam görüşleriniz benim için değerlidir. Log kısımlarına dikkat ettim otomatik olarak açık geliyordu.
Dns-proxy aktif ettikten sonra outgoing kuralını da sildim.
Yalnız vpn kısmı nasıl olacak. Siz dedikten sonra kurcaladım. VPN tabında > Mobile VPN > SSL seçilerek Activate kutucuğunu işaretliyoruz.
Daha sonra Authentication tabında firebox-db aktif olarak geliyor configure diyip kullanıcıları oluşturup kaydedip çıkıyoruz.
Bundan sonra kullanıcılar watchguard client vpn yazılımı ile cihaza bağlanıp local ağdaymış gibi 10.0.0.3 diyerek mi bağlanacak?
Eğer böyle ise çok zor olacak zira logoff yapıp çıkmak bile zor gelirken client programını açıp bağlanmakla hiç uğraşmazlar 🙂

Ama yazdım bir kenara kullanırım elbette.

Dün outgoing kuralını devre dışı bırakınca mailler gitmemeye başladı. 587 portunu kullanıyorum pop3 olarak.

Daha sonra custom smtp proxy kuralı oluşturdum ama yine sorun vardı ekstra birşey mi yapılması gerekiyor acaba?

any internal to mail sunucu (any port ) allow seklinde bir kural yazabilirsiniz

(sadece kendi mail sunucunuza izin vermek için tabii bu )

maili doruknet üzerinden kullanıyoruz hocam içeride exchange vb. yok

exchange değil kastettiğim dışarıdaki sadece tek mail sunucuya izin vermek için bu yöntemi kullanabilirsiniz demek istedim

kullanıcılar farklı farklı mail sunuculara erişiyor ise bu yöntem yerine any internal to any external (port olarak 587 110 gibi mail portlarını ekleyerek sadece ) allow seklinde de kural yazabilirsiniz diye tahmin ediyorum.

kuralı bu şekilde oluşturuyorum port olarak any mi vermeliyim yoksa?

Dışarıda eriştiğiniz mail sunucu sadece 1 adet ise any-external yerine onun ip adresini girebilirsiniz

eğer birden fazla sunucuya erişiyor iseniz yaptığınız şekilde erişebnilmeniz gerek

yalnız smtp haricinde pop3 , imap gibi gerekli portlaı da eklemeniz gerek

iyi çalışmalar

Peki hocam teşekkürler pop3 proxy aktif durumda zaten imap olarakta kullanılmadığı için gerek yoktur diye düşünüyorum tekrar deneyeceğim.