Herkese selamlar arkadaşlar bu yazımda sizlere FortiGate firewall cihazlarında Virtual IP kullanarak port yönlendirme nasıl yapılır onu göstereceğim. FortiGate güvenlik duvarı VPN, anti-virüs ve web filtresi gibi bir çok güvenlik özelliği sunan gelişmiş bir ağ güvenliği cihazıdır. Port yönlendirme (port forwarding) dış ağdan gelen bir isteğin belirli bir iç IP adresine ve porta yönlendirilmesi işlemidir. Adım adım tüm süreci anlatmaya çalışacağım ve bu işlemle birlikte dışarıdan gelen trafiği iç ağımızdaki belirli bir servise yönlendirebileceğiz.
Port yönlendirme ihtiyacı aslında çoğu ağ yöneticisinin karşılaştığı bir durum. Dışarıdan gelen trafiği iç ağımızdaki doğru cihaz ve servislere yönlendirmek istediğimizde bu işlemi yapmamız gerekiyor. Mesela bir web sunucumuz varsa ve bu sunucuya internet üzerinden erişilmesini istiyorsak 80 (HTTP) portunu dışarıya açmamız gerekebilir. Ama burada önemli olan nokta portu açarken trafiğin doğru adrese ve doğru sunucuya yönlendirmemiz lazım.
Bu gibi durumlar port yönlendirme yapılması gereken senaryolardır. Dışarıdan birisi belirli bir portu kullanarak sizin ağınıza bağlanmak istediğinde bu bağlantının doğru yere gitmesi için port yönlendirme ayarlarını yapmamız şart. Bu işlemle aynı zamanda güvenliği de sağlamak mümkün çünkü sadece belirli portları açarak gereksiz trafiği engellemiş oluyoruz.
FortiGate Üzerinden Virtual IPs Örneği (Mail Server İçin Port Forwarding Yapmak)
Burda daha iyi anlaşılması adına yaptığım örnekte dışarıdan gelen SMTP trafiğini (port 25) iç ağda bulunan mail sunucusuna yönlendirmek.
Yapılacak işlemler Virtual IP (VIP) oluşturma ve ardından bir Firewall Policy yazma adımlarını içerecek.
İlk olarak FortiGate cihazımızda port yönlendirme işlemi için Virtual IP (VIPs) nesnesi oluşturacağız. Bu işlemi yapmak için aşağıdaki adımları izliyoruz.
Policy & Objects menüsüne gidiyoruz. Bu menü altında Objects sekmesine tıkladıktan sonra Virtual IPs seçeneğini buluyoruz.
Bu kısımda yeni Virtual IP‘mizi oluşturuyoruz.
Name: VIP’ye anlamlı bir isim veriyoruz ben Mail-Server-VIP yazdım.
Interface: Bu seçenekte any seçerek tüm arayüzlerden gelen trafiği kabul ediyoruz. Ancak yalnızca WAN arayüzünden gelen trafiği yönlendirmek isterseniz WAN interface‘ini seçebilirsiniz.
External IP address/range: Dış dünyadan gelen trafiği alacak olan IP adresini giriyoruz.
Mapped IP address/range: Bu kısımda, trafiğin yönlendirileceği iç IP adresini giriyoruz. Ben örnek olarak 192.168.1.200‘ü mail sunucumuzun IP adresi olarak belirledim.
External service port: Dışarıdan gelen SMTP trafiği için port 25‘i seçiyoruz.
Mapped to IPv4 port: Yönlendirilen trafiğin aynı port üzerinden iç ağdaki mail sunucusuna gitmesini sağlamak için yine port 25‘i belirtiyoruz.
Şimdi oluşturduğumuz Virtual IP‘yi bir Firewall Policy‘ye bağlayarak dışarıdan gelen trafiği yönlendirmemiz gerekiyor. Gelen SMTP trafiği için bir policy yazıyoruz.
Name: Policy için anlamlı bir isim veriyoruz örneğin SMTP-Forwarding-to-Mail-Server.
Incoming Interface: WAN arayüzünü seçiyoruz çünkü dış dünyadan gelen trafik WAN arayüzüne geliyor.
Outgoing Interface: İç ağdaki mail sunucusunun bulunduğu LAN arayüzünü seçiyoruz.
Source Address: All seçiyoruz çünkü tüm dış adreslerden gelen trafiği kabul edeceğiz.
Destination Address: Mail-Server-VIP seçeneğini belirliyoruz yani dışarıdan gelen trafik daha önce oluşturduğumuz VIP’ye yönlendirilecek.
Schedule: Trafiğin her zaman yönlendirilmesini sağlamak için always seçiyoruz. Senaryoya göre belirli bir zaman aralığı da girilebilir.
Service: SMTP servisini seçiyoruz çünkü port 25 üzerinden gelen trafiği kabul edeceğiz.
Action: Trafiği kabul etmek için Accept seçeneğini işaretliyoruz.
Burada Proxy-based seçeneğini işaretliyoruz. Proxy-based modu her paketi derinlemesine incelememize olanak tanır ve daha yüksek güvenlik sağlar.
Antivirus: Dışarıdan gelen trafiği daha güvenli hale getirmek için antivirus’ü açıyoruz. Kötü amaçlı yazılımları tespit etmek için önemli olabilir.
All Sessions: Tüm hareketlerin kaydedilmesini sağlamak için All Sessions’ı açık tutuyoruz çünkü ağ trafiğini izlememiz gereken durumlarda sorun tespiti için işimize yarayabilir.
Yapılandırmalarınızı doğru şekilde test ettiğinizde dışarıdan gelen SMTP trafiğinin iç ağınızdaki mail sunucusuna sorunsuz bir şekilde yönlendirildiğini ve güvenli bir bağlantı sağlandığını doğrulamış olursunuz. Buraya kadar okuduğunuz için teşekkürler..
elinize sağlık bilgilendirici bir yazı olmus 🙂