Sophos UTM Astaro V9.0 Firewall Network Service Yapılandırması–Bölüm3
Merhabalar bu makalemde sizlere Sophos Firewall cihazında Network Servisinin yapılandırmasını anlatacağım. Sophos üzerinde gelen özelliklerden Network Service içeriğinde DNS, DHCP ve NTP Roleleri bulunmaktadır. Bu rollerin neler yaptıklarını genel olarak biliyor. İşte bu makalemizde bu Network Service’ de bu rollerin konfigürasyonunu ve ne özelliklere sahip olacağını sizlere anlatacağım.
Sophos Web Management konsolomuzu açıyoruz. Sol tarafta bulunan yönetimsel ayarlarımızdan Network Services’ i genişletiyoruz. Burada gördüğünüz üzere ilk özelliğimiz olan DNS’ e geliyoruz. Eğer yapınızda mevcut bir DNS Server’ ınız varsa bu kısımı tabiki boş bırakabilirsiniz. Fakat ben test ortamında yaptığımdan dolayı ortamımda bir DNS Sunucum mevcut değil. İşte burada DNS Server özelliğini kullanabiliyoruz. Gördüğünüz gibi bir folder ikonu bulunmakta bu folder ikonuna bastığınızda hangi networklerin DNS hizmetinden yararlanmasını istiyorsak bu alana ekliyoruz. Tabi (+) ikonuna bastığınızda da yeni networkler ekleyebilirsiniz. Böylelikle network’ ümüzdeki DNS Server görevinide firewall’ umuz üstlenmiş olacaktır.
Forwarders Tabında içeriden gelen DNS isteklerini yapımızda veya dışarıdan ISP hizmetlerini aldığımız DNS Sunucularımızı ekleyerek ve yönlendirerek daha hızlı çözümleme yapabilmemizi sağlayacaktır. Bunun için daha önceden eklediğiniz DNS’ler var ise gene folder ikonundan ekleyebilirsin veya + işaretine basarak kendinizde ekleyebilirsiniz.
Request Routing Tabında DNS sorgularımız nereden dış dünyaya çıkacağını belirliyoruz. Yani modemimiz dışarıya açılan kapımız yani modemiz. Gördüğünüz gibi yapımızda olan mevcut internet bağlantılarımızı buraya ekleyerek dns sorgularımızı internete erişimini sağlayarak çözümlenmesini sağlayacağız.
DHCP kısmında gördüğünüz gibi belli başlı yapılandırmalarımız mevcut ilk önce DHCP Server özelliğini sağlayıcak olan network adaptörümüzü belirlemeliyiz. Bunun için Interface kısmında nic’ imizi yani internal adaptörümüzü seçiyoruz. IP adres aralığımızı belirlemek için Range Start ve Range End kısmına dağıtılabilecek IP aralığımızı belirliyoruz. DNS Server kısmında mevcut dns adreslerimizi belirtiyoruz. Clientlara dağıtılın IP’ ler de internete erişim sağlamaları için firewall’ umuzun iç bacak ip adresini ekliyoruz. Domain kısmında mevcut yapımız bir domain yapısıysa etki alanımızı giriyoruz. DHCP Serverda nasıl clientlara verilen her ip adresinin bir mevcut kira süresi varsa burada clientlara verilen ip adresinin kira süresini Lease Time kısmından ayarlıyoruz. Advanced kısmında bulunan ayarları yapılandırabilirsiniz.Enable HTTP Proxy Auto Configuration kutucuğunu işaretleyerek bütün clientlardan gelen bütün internet erişim isteklerini otomatik olarak belirlediğimiz ayarları alacaktır. Clients via DHCP relay agent kutucuğu aslında DHCP Relay Agent farklı bir makale konusu ama kısaca bahsedeyim, DHCP Relay Agent farklı bir subnetteki DHCP Server’dan kendi subnetimizdeki kullanıcılara IP aldırmamızı sağlar. Relay Agent olacak makine bir bilgisayar da olabilir bir Router’da olabilir. Basit olarak DHCP Relay Agent kendi subnet’indeki kullanıcıların DHCP Broadcast’lerini yakalayarak bunları Unicast’e çevirip yetkili DHCP Server’a gönderir. Bunu eğer bir ipsec veya pptp bağlantılarımız var ise işaretlemeliyiz…
DHCP de Options Tab’ ında default olarak TFTP bootfile ve TFTP Server ve NTP Time Server disable gelecektir. Biz sonraki özelliğimiz NTP Rolü olduğundan NTP Server özelliğini enable eddiyoruz. NTP (Network Time Protocol) Server’ ın amacı zaman bazli kuralların uygulana bilmesi için gereken bir roldür. Cisco gb. Cihazlarda dahili saat bulunmadığından cihazlar kapatilip açildiginda üzerinde bulunan saati kaybedip varsayilan zaman degerine dönmektedir. İşte bu yüzden cihaz varsayilan degerine döndügü için cihaz üzerinde zaman bazli yazilan kurallar çalisamaz hale gelmekte. Bu yüzden cihazlara harici zaman kaynagi göstermek için cihazlarin zaman ve tarih bilgileri baska bir kaynaktan alabilmeleri saglayan protocol NTP (Network Time Protocol) dir. Bu yüzden aktif ediyoruz.
NTP alanına geldiğimizde hangi networklerden NTP Server’ a erişim sağlanacak ise bu alandan ekleyerek belirlediğimiz networklerdeki cihazların zaman bilgisini alabileceklerdir. Böylelikle yeniden başlatılan üzerinde dahili saat bulunmayan cihazlar kaldıkları yerden devam edebileceklerdir.
Sizlere Sophos Astaro Firewall üzerinde Network Services yapılandırmasını anlatmaya çalıştım gelişmiş konfigürasyonlarını daha ileri uygulamalarda nasıl yapılandırılacağına tekrardan değineceğim.
Umarım sizlere faydalı olacaktır…