Önceki yazımızda yönlendirme işlemini yapmıştık. Bu yazımızda yaptığımız yönlendirmenin izinlerini veriyoruz.
Firewall > Rules menüsüne giriyoruz.
Yönlendirme işlemi esnasında Auto-add a firewall rule to …; işareletmemişseniz Rules kısmında herhangi bir bilgi olmayacaktır.
+ ile yeni kural giriyoruz.
Actions pass ile bu kuralın izin kuralı olduğunu belirtiyoruz. Engelleme yapacaksak block seçeneği seçmemiz gerekir.
Interface ile hangi ağ arayüzünden gelen paketler üzerinde işlem yapılacağını belirtiyoruz.
Protocol ile hangi ağ protokolü üzerinde işlem yapılacağı,
Source ile gelen bağlantının ip veya ağ adresini,
Destination ile hedefin neresi veya hangi adres olduğu,
Destination port range; hedef portun ne olduğu
Log, bu izne göre işlem yapılanları raporlarının tutulup tutulmayacağı
Description ile de bu bağlantıya bir açıklama bilgisi giriyoruz.
Save ile kayıt ettikten sonra iznimiz veya engellememiz listeye işleniyor. Apply changes ile bu kuralı devreye sokuyoruz.
Fakat bu bilgileri işledikten sonra kuralımız aktif olmuyor yada bağlantı kuramıyoruz. Çünkü bu kuralın üstünde bu kuraldan sonra çalışan kurallar var. pfSense de kural mantığı aşağıdan yukarıya doğrudur. Yani en alttaki en önce işlenir. Bu durumda üstteki iki engelleme kuralı bizim yazdığımız kuralı kapatıyor.
Bu iki kural pfSense’nin kurulduğu andan itibaren olan fabrika ayarı :o) kuralları. Bunları kaldırammız gerekir. Bunun için Interface > Wan menüsüne giriyoruz.
Wan bağlantısının ayarlarına girdikten sonra en altta iki seçenek bulunuyor. Block private networks ve Block bogon networks. Bunların işaretlerini kaldırıyoruz. Bunlar wan kısmından girişleri engellemek üzere işlem yapıyor.
NAT Kurallarımıza yenilerini eklebiliriz. Bende şu anda üç adet NAT yönlendirmesi bulunmakta.
Bu kurallar için izinler de Firewall / Rules menüsünde bulunmakta. Az önce dediğimiz kural sırasını burada tekrar uyguluyoruz. En altta olan kural en önce işleniyor. Bu durumda biz tüm girişleri engelliyoruz. Fakat daha sonra TCP/UDP portlarında 192.168.1.16 hedef ipsine 136, 139 ve 445 portlarına izin vermişiz.
Yönlendirme ve izinlerde dikkat etmemiz gereken noktalar şunlar.
- İstediğimiz uygulamayı belirleyelim. DNS, DHCP, VPN gibi.
- Bu uygulamaların protokollerini bilelim. TCP, UDP, TCP/UDP gibi.
- Uygulamamızın kullandığı port numarasını bilelim. 135, 53, 22, 21 gibi.
- Hedef ip’mizi doğru girelim.
- Firewall / Rules kısmından yönlendirmemize izin verelim.
Merhabalar…
Öncelikle bu emeğe, bu dokümanlara Teşekkür etmemek olmaz. Ellerinize Sağlık…
PFSense, Endian, IPCop hepsini denedim, en çok PFSense’i sevdim ama hepsinde ortak bir sorunu aşamadım:
İsteğim şu: Genel anlamda POP3 ve SMTP portlarını açıyorum. Bazı kişilere sadece belirli siteleri açıyorum. Bazılarına ise normal Internet kullanma hakkını veriyorum. İşte bu Interneti kullanabilen kişilerin de filtreleme ile her siteye ulaşamasını sağlamam gerekiyor.
Transparent Proxy aktifken;çok güzel filtrelemeler yapabiliyorum ama herkesin Internete çıkmasına engel olamıyorum.
Transparent Proxy pasifken; içerik filtrelemesi yapamıyorum.
Nerede hata yapıyorum anlamadım! Gözümden kaçan nedir çözemedim.
Yardımcı olursanız çok sevinirim.
Şimdiden çook Teşekkürler…
Mehmet bey merhaba.
yorumunuz için teşekkür ederim.
Transparent proxy kapalı iken tarayıcının bağlantı ayarlarına proxy adreslerini (örneğin 192.168.1.1:8080 veya 192.168.1.20:3128 gibi) girmeniz gerekir.
İlk konunuza gelince; engelleyebiliyor musunuz? yoksa engellediğinizde problem mi çıkıyor.
Sanırım yapmak istediğimi önce söylemem gerekiyor.
80 Client’lı bir sistem var. Doğal olarak manuel Proxy ayarı vermek istemiyorum. Bu nedenle de Transparent Proxy’i aktif ediyorum. Ama Trnasparent Proxy aktif iken de herkes Internete çıkabiliyor. Engelleyemiyorum. Oysa büyük bir çoğunluğun sadece Mail portlarını kullanması Internette sörf yapamaması gerekiyor!
paketlerden squidguard aktif yaptınız mı?
https://www.hwturk.com/index.php/pfsense-icerik-filtrelemede-kullanicilari-gruplandirmak/
https://www.hwturk.com/index.php/pfsense-icerik-filtreleme-content-filter/
Bu yazılarımızı inceleyebilirsiniz. Eğer bunları yaptıysanız lütfen tekrar yazın.
Evet bunları yaptım.
Sorumu daha da basitleştireyim:
Transparent proxy aktif iken ağdaki belli bir IP Bloğunu Internete kapatmak,
başka bir IP bloğunu da sadece mail portlarından yararlandırmak istiyorum.
Ama olmuyor!
Kafayı yiyeceğim…
Mehmet bey,
Şu şekilde deneme yapmanız mümkün mü? pfSense üzerinde istediğiniz işlemi kendim denedim. Bi sıkıntı yok gibi.
Firewall Rules kısmına girin, Burada Lan kısmındaki (terminaller burda olduğu için) ilk kural olan izin kuralını kapatın.
Yeni kural tanımlayın. UDP 53 (DNS) kuralına tamamen izin verin. Çünkü isim çözümleyecek.
Daha sonra yeni kural olarak TCP HTTP Kaynak IP gruplarını yazın. İzin verin.
Daha sonra tekrar yeni kural tanıtarak TCP SMTP, IMAP veya POP3 için gerekli portlarla beraber istediğiniz ip gruplarını tanıtın.
Bu şekilde istediğinizin olması gerekir.
Sonucu olumlu yada olumsuzsa bile yazarsanız çok sevinirim.
Ayrıca bu konuyla ilgili bir yazı hazırlayabiliriz muhtemelen.
Tekrar Teşekkürler.
Söylediğinizi denedim ama olmadı. Tabii denememi sıfırdan kurup başka hiçbir ayarını kurcalamadan yaptım. Net sonuç şu:
Lan’dan hiçbir şekilde Internete çıkma diyorum. Kuralı kapatıyorum. Bu şekilde kapatıyor.
Ama Transparent Proxy’i işaretleyip onayladığım anda tüm PC’ler Internete çıkıyor. Firewall’da Tüm LAN’ı bloklamama rağmen çıkıyor. Başka kurallar denememe rağmen çıkıyor. İşte asıl çözemediğim bu!
İyi Çalışmalar…
nat ayarlarını aynen anlatıldığı gibi yapıyorum çalışıyor hiçbir sorun yokken 1 saat sonra herşey normalken ve internet de çalışıyorken nat ayarları işlemez hale geliyor, konuyla ilgili fikriniz var mı?
Merhabalar,
oncelikle bu guzel anlatim icin tesekkur ederim.
benim sorunum kullanidgim laptop icin port acmak istedim
butun verielr, ayarlar pf sense de anlattiginiz gibi yazili ama nedense port kapali cikiyor
musait bir zamaninizda yardimci olursaniz minnettar kalirim
selamlar & saygilar