Daha önce başka bir listede de sordum ama cevap gelmedi, bir de freebsd
cilere sorayım dedim. Ben router ve switchler üzerindeki yönlendirmeler ile
yapılır diye düşündüm ama freebsd firewall üzerinde yazdığım kurallarla
yapabilirmiyim aşağıda yazdığım şeyleri. Aşağıdaki sorunun özeti dış
kampüslerimizdeki kullanıcılarımızı da nat yapmadan merkezdeki freebsd
güvenlik duvarı üzerinden geçirebilir miyim? :)
(ipfw üzerinden geçtikten sonra nat yapılabilir, ama daha önce değil,
loglarını da alacağım çünkü)
Saygılar.
---------------------------------
Dış birimlerimiz merkez router üzerindeki statik routelarla internete
çıkmaktalar. Merkezde de bir tane firewall cihazımız var. Acaba dış
birimleri de merkezdeki firewall üzerinden geçirme imkanımız var mı?
ATM üzerinde Diğer ilçeler ve
İnternet Çıkışı
|
|
Merkez Router
|
Firewall
|
|
İç Ağ
Diğer uçlar dediğim bölgedeki bir personelimiz merkez routera route edilmiş
vaziyette, ayrıca merkez route gelen tüm paketler de İnternet çıkışına
yönlendirilmekte. İç ağdan gelen trafik normalde FW üzerinden geçerek
internete çıkmakta. Ama ATM ucundaki diğer binalarımızdaki kullanıcılarımız
Merkez Routera gelmesine rağmen FW'a uğramadan internete çıktıkları için
gerekli güvenlik sağlanamamaktadır.
Örneğin;
interface ATM1/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
interface ATM1/0.1 point-to-point
description connected to INTERNET
ip address 55.55.55.10 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc INTERNET 0/55
protocol ip 55.55.55.9 broadcast
encapsulation aal5snap
interface ATM1/0.2 point-to-point
description connected to ILCE1
ip address 188.88.88.9 255.255.255.252
ip access-group 151 in
ip access-group 152 out
no ip mroute-cache
pvc ILCE1 0/88
protocol ip 188.88.88.10 broadcast
encapsulation aal5snap
interface FastEthernet2/1
ip address 88.88.87.1 255.255.255.0
duplex auto
speed auto
no cdp enable
.
.
.
ip route 0.0.0.0 0.0.0.0 55.55.55.9
ip route 188.88.89.0 255.255.255.0 188.88.88.10
gibi bir konfigürasyonda firewall'un ip si 88.88.87.2 olsun. İlçedeki bir
kullanıcı da 188.88.89.3 nolu ip ye sahip olsun. 188.88.89.3 nolu IP nasıl
FW üzerinden çıkabilir internete.
Tabi FW üzerinden geçirirken FW router arasına ve FW iç ağ arasına
yönlendirme yapabilen bir switch koyduğumu düşünüyorum.
Arayüze özgü statik route mümkün müdür?
*bsd cihazlarda mümkün diye biliyorum ama cisco üzerinde de varsa paketin
geldiği interface'e göre route özelliği, o zaman cisco da yapacağım.
ATM üzerinde Diğer ilçeler ve
İnternet Çıkışı
|
|
Merkez Router
|
+-------\ (ilçeden gelen paketler L3 sw üzerinden başka porta
| | yönlendirilecek)
Firewall |
| |
+-------/ (başka bir sw ile de ilçeden gelen paketler
| FW'un giriş bacağına yönlendirilecek)
İç Ağ
Böyle bir yapı mümkün müdür?
Teşekkürler.
FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.
Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey
