pfSense port yönlendirme izinleri

05 Aralık 2009 Yazan  
Kategori pfSense

Önceki yazımızda yönlendirme işlemini yapmıştık. Bu yazımızda yaptığımız yönlendirmenin izinlerini veriyoruz.

Firewall > Rules menüsüne giriyoruz.

pfsense port yonlendirme rules 01 605x453 pfSense port yönlendirme izinleri

Yönlendirme işlemi esnasında Auto-add a firewall rule to …; işareletmemişseniz Rules kısmında herhangi bir bilgi olmayacaktır.

+ ile yeni kural giriyoruz.

pfsense port yonlendirme rules 02 423x699 pfSense port yönlendirme izinleri

Actions pass ile bu kuralın izin kuralı olduğunu belirtiyoruz. Engelleme yapacaksak block seçeneği seçmemiz gerekir.

Interface ile hangi ağ arayüzünden gelen paketler üzerinde işlem yapılacağını belirtiyoruz.

Protocol ile hangi ağ protokolü üzerinde işlem yapılacağı,

Source ile gelen bağlantının ip veya ağ adresini,

Destination ile hedefin neresi veya hangi adres olduğu,

Destination port range; hedef portun ne olduğu

Log, bu izne göre işlem yapılanları raporlarının tutulup tutulmayacağı

Description ile de bu bağlantıya bir açıklama bilgisi giriyoruz.

pfsense port yonlendirme rules 03 605x453 pfSense port yönlendirme izinleri

Save ile kayıt ettikten sonra iznimiz veya engellememiz listeye işleniyor. Apply changes ile bu kuralı devreye sokuyoruz.

pfsense port yonlendirme rules 04 605x453 pfSense port yönlendirme izinleri

Fakat bu bilgileri işledikten sonra kuralımız aktif olmuyor yada bağlantı kuramıyoruz. Çünkü bu kuralın üstünde bu kuraldan sonra çalışan kurallar var. pfSense de kural mantığı aşağıdan yukarıya doğrudur. Yani en alttaki en önce işlenir. Bu durumda üstteki iki engelleme kuralı bizim yazdığımız kuralı kapatıyor.

Bu iki kural pfSense’nin kurulduğu andan itibaren olan fabrika ayarı icon surprised pfSense port yönlendirme izinleri ) kuralları. Bunları kaldırammız gerekir. Bunun için Interface > Wan menüsüne giriyoruz.

pfsense port yonlendirme rules 05 605x453 pfSense port yönlendirme izinleri

Wan bağlantısının ayarlarına girdikten sonra en altta iki seçenek bulunuyor. Block private networks ve Block bogon networks. Bunların işaretlerini kaldırıyoruz. Bunlar wan kısmından girişleri engellemek üzere işlem yapıyor.

pfsense port yonlendirme rules 06 605x453 pfSense port yönlendirme izinleri

NAT Kurallarımıza yenilerini eklebiliriz. Bende şu anda üç adet NAT yönlendirmesi bulunmakta.

pfsense port yonlendirme rules 07 605x453 pfSense port yönlendirme izinleri

Bu kurallar için izinler de Firewall / Rules menüsünde bulunmakta. Az önce dediğimiz kural sırasını burada tekrar uyguluyoruz. En altta olan kural en önce işleniyor. Bu durumda biz tüm girişleri engelliyoruz. Fakat daha sonra TCP/UDP portlarında 192.168.1.16 hedef ipsine 136, 139 ve 445 portlarına izin vermişiz.

Yönlendirme ve izinlerde dikkat etmemiz gereken noktalar şunlar.

  • İstediğimiz uygulamayı belirleyelim. DNS, DHCP, VPN gibi.
  • Bu uygulamaların protokollerini bilelim. TCP, UDP, TCP/UDP gibi.
  • Uygulamamızın kullandığı port numarasını bilelim. 135, 53, 22, 21 gibi.
  • Hedef ip’mizi doğru girelim.
  • Firewall / Rules kısmından yönlendirmemize izin verelim.
share save 171 16 pfSense port yönlendirme izinleri

Yorumlar

9 yorum pfSense port yönlendirme izinleri

  1. Mehmet Eskitürk diyor ki:

    Merhabalar…
    Öncelikle bu emeğe, bu dokümanlara Teşekkür etmemek olmaz. Ellerinize Sağlık…

    PFSense, Endian, IPCop hepsini denedim, en çok PFSense’i sevdim ama hepsinde ortak bir sorunu aşamadım:
    İsteğim şu: Genel anlamda POP3 ve SMTP portlarını açıyorum. Bazı kişilere sadece belirli siteleri açıyorum. Bazılarına ise normal Internet kullanma hakkını veriyorum. İşte bu Interneti kullanabilen kişilerin de filtreleme ile her siteye ulaşamasını sağlamam gerekiyor.
    Transparent Proxy aktifken;çok güzel filtrelemeler yapabiliyorum ama herkesin Internete çıkmasına engel olamıyorum.
    Transparent Proxy pasifken; içerik filtrelemesi yapamıyorum.
    Nerede hata yapıyorum anlamadım! Gözümden kaçan nedir çözemedim.
    Yardımcı olursanız çok sevinirim.
    Şimdiden çook Teşekkürler…

  2. Bahattin Arıcı diyor ki:

    Mehmet bey merhaba.

    yorumunuz için teşekkür ederim.

    Transparent proxy kapalı iken tarayıcının bağlantı ayarlarına proxy adreslerini (örneğin 192.168.1.1:8080 veya 192.168.1.20:3128 gibi) girmeniz gerekir.

    İlk konunuza gelince; engelleyebiliyor musunuz? yoksa engellediğinizde problem mi çıkıyor.

  3. Mehmet Eskitürk diyor ki:

    Sanırım yapmak istediğimi önce söylemem gerekiyor.
    80 Client’lı bir sistem var. Doğal olarak manuel Proxy ayarı vermek istemiyorum. Bu nedenle de Transparent Proxy’i aktif ediyorum. Ama Trnasparent Proxy aktif iken de herkes Internete çıkabiliyor. Engelleyemiyorum. Oysa büyük bir çoğunluğun sadece Mail portlarını kullanması Internette sörf yapamaması gerekiyor!

  4. Bahattin ARICI diyor ki:

    Mehmet Eskitürk: Sanırım yapmak istediğimi önce söylemem gerekiyor. 80 Client’lı bir sistem var. Doğal olarak manuel Proxy ayarı vermek istemiyorum. Bu nedenle de Transparent Proxy’i aktif ediyorum. Ama Trnasparent Proxy aktif iken de herkes Internete çıkabiliyor. Engelleyemiyorum. Oysa büyük bir çoğunluğun sadece Mail portlarını kullanması Internette sörf yapamaması gerekiyor!

    paketlerden squidguard aktif yaptınız mı?
    http://www.hwturk.com/index.php/pfsense-icerik-filtrelemede-kullanicilari-gruplandirmak/

    http://www.hwturk.com/index.php/pfsense-icerik-filtreleme-content-filter/

    Bu yazılarımızı inceleyebilirsiniz. Eğer bunları yaptıysanız lütfen tekrar yazın.

  5. Mehmet Eskitürk diyor ki:

    Evet bunları yaptım.

    Sorumu daha da basitleştireyim:
    Transparent proxy aktif iken ağdaki belli bir IP Bloğunu Internete kapatmak,
    başka bir IP bloğunu da sadece mail portlarından yararlandırmak istiyorum.

    Ama olmuyor!
    Kafayı yiyeceğim…

  6. Bahattin Arıcı diyor ki:

    Mehmet Eskitürk: Evet bunları yaptım.Sorumu daha da basitleştireyim: Transparent proxy aktif iken ağdaki belli bir IP Bloğunu Internete kapatmak, başka bir IP bloğunu da sadece mail portlarından yararlandırmak istiyorum.Ama olmuyor! Kafayı yiyeceğim…

    Mehmet bey,

    Şu şekilde deneme yapmanız mümkün mü? pfSense üzerinde istediğiniz işlemi kendim denedim. Bi sıkıntı yok gibi.

    Firewall Rules kısmına girin, Burada Lan kısmındaki (terminaller burda olduğu için) ilk kural olan izin kuralını kapatın.

    Yeni kural tanımlayın. UDP 53 (DNS) kuralına tamamen izin verin. Çünkü isim çözümleyecek.

    Daha sonra yeni kural olarak TCP HTTP Kaynak IP gruplarını yazın. İzin verin.

    Daha sonra tekrar yeni kural tanıtarak TCP SMTP, IMAP veya POP3 için gerekli portlarla beraber istediğiniz ip gruplarını tanıtın.

    Bu şekilde istediğinizin olması gerekir.

    Sonucu olumlu yada olumsuzsa bile yazarsanız çok sevinirim.

  7. Bahattin Arıcı diyor ki:

    Ayrıca bu konuyla ilgili bir yazı hazırlayabiliriz muhtemelen.

  8. Mehmet Eskitürk diyor ki:

    Tekrar Teşekkürler.
    Söylediğinizi denedim ama olmadı. Tabii denememi sıfırdan kurup başka hiçbir ayarını kurcalamadan yaptım. Net sonuç şu:
    Lan’dan hiçbir şekilde Internete çıkma diyorum. Kuralı kapatıyorum. Bu şekilde kapatıyor.
    Ama Transparent Proxy’i işaretleyip onayladığım anda tüm PC’ler Internete çıkıyor. Firewall’da Tüm LAN’ı bloklamama rağmen çıkıyor. Başka kurallar denememe rağmen çıkıyor. İşte asıl çözemediğim bu!
    İyi Çalışmalar…

  9. kenan diyor ki:

    nat ayarlarını aynen anlatıldığı gibi yapıyorum çalışıyor hiçbir sorun yokken 1 saat sonra herşey normalken ve internet de çalışıyorken nat ayarları işlemez hale geliyor, konuyla ilgili fikriniz var mı?

Leave a Reply

What is 11 + 5 ?
Please leave these two fields as-is:
ÖNEMLİ! Devam edebilmek için, aşağıdaki basit matematik sorusunu girmeniz gerekiyor. (Spam maillerden korunmak içindir)