Firewall devredışı nasıl bırakılır ?
-
arkadaslar bu pfsense nin firewall kapatmaın bir yolu yokmu bendeki firewall devredısı bırakıyor tanımladığım kurallar calışmıyor yan sanailerden bazen rdp yapmaları gerekiyor firewall devredısı bırakıp sadece proxy filre aktıf olmuyormu ?
-
Merhaba,
Öncelikle pfsense makinesini ne tür bir yapıya kurdunuz?
Squid ilk önce devreye girerek proxy görevini üstlenir sonrasında cache yapılması istenmişse caching yapar
sonrasında SquidGuard devereye girerek içerik filtreleme modülü çalışır ve http üzerinden yapılan bütün filtrelemeleri gayet başarılı bir şekilde sniff ediyor.
son olarak Firewall kuralları çalışır sizin içeriden dışarıya yani Lan to Wan açmış oldugunuz portlar yönlendirmeler NAT ladığınız ipler portlar vs kuralları devreye girerek çalışır.
yani çalışma diagramı şöle oluyor Squid(Proxy)+SquidGuard(Proxy Filter)+Firewalliyi çalışmalar.
-
topoloji budur kardes ben pfsenseyi sadece web filtreleme için kullanmayı düşünüyorum
-
firewall rullarından içerden dışarıya herseye açık vericeksin filtrelemeyi squidguard üzerinden yapicaksin bu sekilde calisir yani şu
Action= Pass
proto=*
source= LanNET
port=*
destination=*
Gateway=*
seklinde -
daha önce clientlarınız gateway olarak juniper'i kullanıyorlardı ise, yine juniperi kullansınlar.
pfsense makinesine de juniper ve clientların olduğu havuzdan bir ip numarası verin.
juniper'de 80-443 portlarını bloklayın, sadece pfsense'in 80-443 üzerinden çıkmasına müsade edin
clientlarınıza proxy olarak pfsense makinesini yazın. böyle bir networkde bunu zaten GPO ile domain controllerdan yaparsınız.
muhtemelen bu kadar çok fiziksel serverınız yoktur, eğer tüm bunlar VmWare üzerinde konsolide ise, zaten bu bahsettiğim pfsense'i de virtual olarak konumlandırın. ben bu şekilde kullanıyorum ve memnunum. sadece web trafiğine müdahele etmiş olacaksınız, mevcut firewall kural ve yönlendirmelerine minimum müdahele etmiş olacaksınız. üstelik VM'in high availability, fault tolerence ve benzeri imkanlarından faydalanırsınz, fiziksel makineye göre daha sağlam olur.bir de pfsense'i transparent bridge olarak kurup üzerinde proxy çalıştırlabilir mi ona bakmak lazım, o da işinizi görebilir. bildiğim bir konu değil, dökümanı şurda
http://202.143.130.99/files/transparent_firewall.pdf -
firewall rullarından içerden dışarıya herseye açık vericeksin filtrelemeyi squidguard üzerinden yapicaksin bu sekilde calisir yani şu
Action= Pass
proto=*
source= LanNET
port=*
destination=*
Gateway=*
seklindeArkadaşın sorunu muhtemelen içeriden dışarıya değil, dışarıdan içeriye
-
evet bizim sorunumuz dısarıdan içeriye giriş içeriden cıkışlarda herhangi bir sorun yok
daha önceki vpn bağlantımız calısıyor ama pf sense takılıyor ip block liste te görünüyor bende telcomdan alınma 4 dıs bacak ip bulunmakta her server icin ayrı pf sense dvreye alınca sadece juniper dışbacak ip calısıyor öbürleri devredısı kalıyor
bir türlü cözemedim web filtrelemede cok güzel calısıyor bütün sorunlrı astım ama burda takıldım artık cözemessem birde untagle web filtre varmış onu deneyecem
websense 3 yıl için 9000 dolar istiyorlar bu parayı bosa vermek istemiyorum kimse istemez değilmi ?
-
2 mesaj üstte yazdığım konfigürasyon işinizi görecektir.
ben de eskiden benzer bir yapıyı kullanıyordum, önde cisco ASA bilmemne vardı.
hatta daha sonra cisco'yu da bir başka pfsense ile değiştirdim.