Forum

Watchguard Kurallar...
 
Bildirimler
Hepsini Temizle

Watchguard Kurallar Hakkında

13 Yazılar
3 Üyeler
0 Reactions
1,293 Görüntüleme
(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

Merhaba böyle bir yapılandırma ne kadar doğrudur acaba kurallarda gw antivirüs webblocker aktif durumda bunu şuanda ayrı bir xml olarak oluşturdum daha firewalla kaydetmedim. Sizlerinde fikrini almak istedim. Resmi yeni sekmede açarsanız daha net görünecektir. Teşekkür ederim.

 
Gönderildi : 27/12/2016 16:23

(@vasviuysal)
Gönderiler: 7890
Üye
 

DNS ile ilgili hicbir kural yok icerdeki dns sunucunuz nasıl isim çözecek bu durumda

 

 
Gönderildi : 27/12/2016 16:30

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

şuanda da yok ama çalışıyor hocam 🙂 nasıl bir kural yazmalıyım sadece any-trustedtan any-externala dns kuralını aktif etsem yeterli midir?

 
Gönderildi : 27/12/2016 16:41

(@vasviuysal)
Gönderiler: 7890
Üye
 

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

 
Gönderildi : 27/12/2016 19:16

(@huseyinertugrul)
Gönderiler: 1112
Noble Member
 

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

  • Özellikle web erişim ve proxy kurallarının loglamasını açın.
  • RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
  • En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
  • Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 
 
Gönderildi : 27/12/2016 19:16

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

Teşekkürler gerekli düzenlemeyi yaptım hocam.

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

  • Özellikle web erişim ve proxy kurallarının loglamasını açın.
  • RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
  • En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
  • Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 

Teşekkür ederim Hüseyin Bey,

Estağfirullah hocam görüşleriniz benim için değerlidir. Log kısımlarına dikkat ettim otomatik olarak açık geliyordu.
Dns-proxy aktif ettikten sonra outgoing kuralını da sildim.
Yalnız vpn kısmı nasıl olacak. Siz dedikten sonra kurcaladım. VPN tabında > Mobile VPN > SSL seçilerek Activate kutucuğunu işaretliyoruz.
Daha sonra Authentication tabında firebox-db aktif olarak geliyor configure diyip kullanıcıları oluşturup kaydedip çıkıyoruz.
Bundan sonra kullanıcılar watchguard client vpn yazılımı ile cihaza bağlanıp local ağdaymış gibi 10.0.0.3 diyerek mi bağlanacak?
Eğer böyle ise çok zor olacak zira logoff yapıp çıkmak bile zor gelirken client programını açıp bağlanmakla hiç uğraşmazlar 🙂

Ama yazdım bir kenara kullanırım elbette.

 
Gönderildi : 27/12/2016 20:00

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

Dün outgoing kuralını devre dışı bırakınca mailler gitmemeye başladı. 587 portunu kullanıyorum pop3 olarak.

Daha sonra custom smtp proxy kuralı oluşturdum ama yine sorun vardı ekstra birşey mi yapılması gerekiyor acaba?

 
Gönderildi : 28/12/2016 11:47

(@vasviuysal)
Gönderiler: 7890
Üye
 

any internal to mail sunucu (any port ) allow seklinde bir kural yazabilirsiniz

(sadece kendi mail sunucunuza izin vermek için tabii bu )

 
Gönderildi : 28/12/2016 12:28

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

maili doruknet üzerinden kullanıyoruz hocam içeride exchange vb. yok

 
Gönderildi : 28/12/2016 12:32

(@vasviuysal)
Gönderiler: 7890
Üye
 

exchange değil kastettiğim dışarıdaki sadece tek mail sunucuya izin vermek için bu yöntemi kullanabilirsiniz demek istedim

kullanıcılar farklı farklı mail sunuculara erişiyor ise bu yöntem yerine any internal to any external (port olarak 587 110 gibi mail portlarını ekleyerek sadece ) allow seklinde de kural yazabilirsiniz diye tahmin ediyorum.

 

 
Gönderildi : 28/12/2016 12:36

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

kuralı bu şekilde oluşturuyorum port olarak any mi vermeliyim yoksa?

 
Gönderildi : 28/12/2016 12:53

(@vasviuysal)
Gönderiler: 7890
Üye
 

Dışarıda eriştiğiniz mail sunucu sadece 1 adet ise any-external yerine onun ip adresini girebilirsiniz

eğer birden fazla sunucuya erişiyor iseniz yaptığınız şekilde erişebnilmeniz gerek

yalnız smtp haricinde pop3 , imap gibi gerekli portlaı da eklemeniz gerek

 

iyi çalışmalar

 
Gönderildi : 28/12/2016 13:41

(@mucahityilmaz)
Gönderiler: 498
Honorable Member
Konu başlatıcı
 

Peki hocam teşekkürler pop3 proxy aktif durumda zaten imap olarakta kullanılmadığı için gerek yoktur diye düşünüyorum tekrar deneyeceğim.

 
Gönderildi : 28/12/2016 13:54

Paylaş: