PfSense 2.0'da NAT (Yeni)

MC_MaCESte

Kurallarla değil ama  donanımsal bir çözüm önerim olabilir, LAN ve SQL switchleri arasına bir tane router yerleştirirsen o iki network'ü haberleştirebileceğini düşünüyorum. sanırım bu durumdada güvenlik problemleri ortaya çıkabilir.. Ancak router içerisinde sadece haberleştireceğin port ve protokollere izin verirsen güvenlik sorununuda aşmış olursun…

Kolay gelsin...

tcjackal

merhabalar,
sql interface tarafında dhcp'mi yoksa static yapılandırma mı kullanıyorsunuz ?
static ise , gw ekleyiniz yada direk dhcp alarak, ilk post'taki ekran görüntülerine benzer bir kural oluşturduğunuzda, hedef host'larınızda bir sorun olmadığı sürece erişim sağlayabilirsiniz. çünkü pfsense herzaman varsayılan gw olmak ister ve bunu önlemek için static yapılandırmada, hedef ağ için manual gw belirleyemezseniz, erişimde sağlayamazsınız. tavsiyem dhcp mod'a almanız, test süresince.
bu yapıya benzer şuanda 4 farklı lokasyonda, sadece tek bir kural ile iletişim kurmaktayım.
Keyifli çalışmalar

yakar

@MC_MaCESte:

Kurallarla değil ama  donanımsal bir çözüm önerim olabilir, LAN ve SQL switchleri arasına bir tane router yerleştirirsen o iki network'ü haberleştirebileceğini düşünüyorum. sanırım bu durumdada güvenlik problemleri ortaya çıkabilir.. Ancak router içerisinde sadece haberleştireceğin port ve protokollere izin verirsen güvenlik sorununuda aşmış olursun…

Kolay gelsin...

Merhaba, bu şekilde yaparsak pfSense'in hiçbir anlamı kalmaz. Kurallar ile çözümlenmesi gerekiyor…

yakar

@tcjackal:

merhabalar,
sql interface tarafında dhcp'mi yoksa static yapılandırma mı kullanıyorsunuz ?
static ise , gw ekleyiniz yada direk dhcp alarak, ilk post'taki ekran görüntülerine benzer bir kural oluşturduğunuzda, hedef host'larınızda bir sorun olmadığı sürece erişim sağlayabilirsiniz. çünkü pfsense herzaman varsayılan gw olmak ister ve bunu önlemek için static yapılandırmada, hedef ağ için manual gw belirleyemezseniz, erişimde sağlayamazsınız. tavsiyem dhcp mod'a almanız, test süresince.
bu yapıya benzer şuanda 4 farklı lokasyonda, sadece tek bir kural ile iletişim kurmaktayım.
Keyifli çalışmalar

Merhaba,

DHCP ile Statik arasında nasıl bir fark var anlamadım çünkü DHCP açarsam eğer o zaman SQL tarafındaki modemden ip alacak ve GW Modem olacaktır. Bu durum da yine yazacağımız kurallar bir bağlantısı olmayacaktır diye düşünüyorum.

Bir kural ile örnek verebilirseniz daha anlaşılır olacaktır.

tuzsuzdeli

@Aydin:

@tcjackal:

merhabalar,
sql interface tarafında dhcp'mi yoksa static yapılandırma mı kullanıyorsunuz ?
static ise , gw ekleyiniz yada direk dhcp alarak, ilk post'taki ekran görüntülerine benzer bir kural oluşturduğunuzda, hedef host'larınızda bir sorun olmadığı sürece erişim sağlayabilirsiniz. çünkü pfsense herzaman varsayılan gw olmak ister ve bunu önlemek için static yapılandırmada, hedef ağ için manual gw belirleyemezseniz, erişimde sağlayamazsınız. tavsiyem dhcp mod'a almanız, test süresince.
bu yapıya benzer şuanda 4 farklı lokasyonda, sadece tek bir kural ile iletişim kurmaktayım.
Keyifli çalışmalar

Merhaba,

DHCP ile Statik arasında nasıl bir fark var anlamadım çünkü DHCP açarsam eğer o zaman SQL tarafındaki modemden ip alacak ve GW Modem olacaktır. Bu durum da yine yazacağımız kurallar bir bağlantısı olmayacaktır diye düşünüyorum.

Bir kural ile örnek verebilirseniz daha anlaşılır olacaktır.

Muhtemelen o ifadedeki kasıt DHCP'yi pfsense üzerindeki SQL interface'i üzerinde açmak yönünde. Yani pfsense üzerinden ip dağıtın.

Pfsense üzerinde SQL'in olduğu taraftaki firewall rule'u olarak herşeye izin veren bir kural yazdığınızda yapı çalışıyor mu ?

Ben benzeri bir yapıyı ekteki ekran görüntüsüne yazılı kural ile çalıştırıyorum.
"Androidwireless" interface'i üzerinden gelen bilgisayarları, LAN tarafında sadece belli portlara ulaşabilmeleri için ekteki gibi yönetiyorum.
Burada port kısmında yazan aliasda web ve bir iki tane daha servis açık. Böylece LAN tarafında bu servislere ulaşabiliyorlar.

Yani böyle bir kuraldan sonra siz SQL tarafında bir makineden 172.16.0.20:81 yazdığınızda ya da 172.16.0.20:80 yazdığınızda erişebiliyor olmanız lazım.
Yeter ki benim yaptığım gibi bu porta izin veren bir kural olsun.

yakar

Açıkcası kafam iyice karıştı, SQL IP şuanda DHCP'den alıyor ama IP dağıtımını Modem yapıyor çünkü mevcut yapıdaki WAN bacağındaki interneti LAN bacağındaki kullanıcılara ayrılmış durumda, eğer 2. bir WAN ayarlanmış olsaydı dediğiniz gibi SQL kısmının da IP dağıtımını açarak tüm trafiğin pfSense üzerinden geçmesi sağlanabilirdi ki muhtemelen bu durumda tüm sorunlarımız çözümlenmiş olacaktı ama bu yapı da mümkün değil.

Bu durum da NAT bile yapılmış olsa her durum da trafik Modem'e yönlendirildiği için AP erişim sağlayamıyoruz. Eğer SQL bacağındaki trafiğin önce pf üzerinden geçmesi ve sonra SQL Modeme yönlendirilmesi sağlanabilirse bu IP üzerinde bir takım kurallar ile pf üzerinden kontroller yapılabilir diye düşünüyorum. Tabi reel de bu nasıl yapılabilir aklıma birşey gelmiyor..

Sizin yazdığınız kural da trafik pf üzerinden geçiyor anladığım kadarı ile bu nedenle de kural aktif olabiliyor, zaten bizdeki yapıda tüm trafik geçişi için kural olduğundan dolayı aynı yapıya sahip olsaydık muhtemelen birşey yapmamıza gerek kalmayacaktı (diye düşünüyorum!)

Sanırım bu konuyu çözersek network kısmında da kafamızda birçok sorun cevap bulacak :)

@tuzsuzdeli:

@Aydin:

@tcjackal:

merhabalar,
sql interface tarafında dhcp'mi yoksa static yapılandırma mı kullanıyorsunuz ?
static ise , gw ekleyiniz yada direk dhcp alarak, ilk post'taki ekran görüntülerine benzer bir kural oluşturduğunuzda, hedef host'larınızda bir sorun olmadığı sürece erişim sağlayabilirsiniz. çünkü pfsense herzaman varsayılan gw olmak ister ve bunu önlemek için static yapılandırmada, hedef ağ için manual gw belirleyemezseniz, erişimde sağlayamazsınız. tavsiyem dhcp mod'a almanız, test süresince.
bu yapıya benzer şuanda 4 farklı lokasyonda, sadece tek bir kural ile iletişim kurmaktayım.
Keyifli çalışmalar

Merhaba,

DHCP ile Statik arasında nasıl bir fark var anlamadım çünkü DHCP açarsam eğer o zaman SQL tarafındaki modemden ip alacak ve GW Modem olacaktır. Bu durum da yine yazacağımız kurallar bir bağlantısı olmayacaktır diye düşünüyorum.

Bir kural ile örnek verebilirseniz daha anlaşılır olacaktır.

Muhtemelen o ifadedeki kasıt DHCP'yi pfsense üzerindeki SQL interface'i üzerinde açmak yönünde. Yani pfsense üzerinden ip dağıtın.

Pfsense üzerinde SQL'in olduğu taraftaki firewall rule'u olarak herşeye izin veren bir kural yazdığınızda yapı çalışıyor mu ?

Ben benzeri bir yapıyı ekteki ekran görüntüsüne yazılı kural ile çalıştırıyorum.
"Androidwireless" interface'i üzerinden gelen bilgisayarları, LAN tarafında sadece belli portlara ulaşabilmeleri için ekteki gibi yönetiyorum.
Burada port kısmında yazan aliasda web ve bir iki tane daha servis açık. Böylece LAN tarafında bu servislere ulaşabiliyorlar.

Yani böyle bir kuraldan sonra siz SQL tarafında bir makineden 172.16.0.20:81 yazdığınızda ya da 172.16.0.20:80 yazdığınızda erişebiliyor olmanız lazım.
Yeter ki benim yaptığım gibi bu porta izin veren bir kural olsun.

tcjackal

tekrar merhabalar aydın bey,
sizinde bir önceki mesajınızda belirttiğiniz gibi, interface / sql tarafında ekran görüntüsünde olduğu gibi type: dhcp kalarak,
ve rules tabında sql ağı için heryöne tam erişim hakkı veren bir kural oluşturunuz, loglama aktif olsun lütfen.
daha sonra ip grubuna erişmek istediğinizde, system logs/firewall tabının ilgili yerlerinin ekran görüntülerini paylaşabilirseniz,daha uygun olacak gibi.
uygun olursanız, son çare belki uzaktan bağlanılarak sistem incelenilebilir.
keyifli çalışmalar

yakar

@tcjackal:

tekrar merhabalar aydın bey,
sizinde bir önceki mesajınızda belirttiğiniz gibi, interface / sql tarafında ekran görüntüsünde olduğu gibi type: dhcp kalarak,
ve rules tabında sql ağı için heryöne tam erişim hakkı veren bir kural oluşturunuz, loglama aktif olsun lütfen.
daha sonra ip grubuna erişmek istediğinizde, system logs/firewall tabının ilgili yerlerinin ekran görüntülerini paylaşabilirseniz,daha uygun olacak gibi.
uygun olursanız, son çare belki uzaktan bağlanılarak sistem incelenilebilir.
keyifli çalışmalar

Tahminim şu; loglarda da gördüğünüz gibi hiçbir trafik pf üzerinden geçmediğinden dolayı loglara da yansımadı. SQL tarafında ip ulaşılmak istendiğin de GW olan modemden sorgulama yapılıyor ve tabi ip dair bilgi olmadığı için istek timeout oluyor..

Ekran görüntüleri aşağıda:

sgtr

Merhabalar,

Kullanıcı pclerinin gatewaylerinin modem oldugunu söyledin aynı zamanda da SQL in de gw modem. Peki şunu dener misiniz; kullanıcı pclerinin işletim sistemi windows ise static route girişi yapabilir misin? Kullanıcı pclerinden herhangi birine gelip start>cmd yazıp (eğer win 7 ise yönetici olarak çalıştır demelisin aksi takdirde route girişine izin vermez) C:> konumunda iken şunu yazmalasın komut satırına route add 172.16.0.0 mask 255.255.0.0 192.168.0.101 -p (-p bu routing girişinin kalıcı olmasını sağlar -p parametresini girmediğin takdirde bilgisayarını her yeninden başlattıgında bu rotuing girişi silinecektir. Bir diğer önemli konuda kameraların gw adresi var mı varsa pfSense ip si midir?

Not: Statik routingi belki modeminde destekliyor olabilir lakin modemin de kamera networkune bağlı oldugu ethernetin gw zaten modem orada bir karşıklık olacagı için bunu en güzel çözüm olarak kullanıcı pclerinde yapmak en dogru çzöümdür.

Sevgilerle,
SGTR


yakar

@sgtr:

Merhabalar,

Kullanıcı pclerinin gatewaylerinin modem oldugunu söyledin aynı zamanda da SQL in de gw modem. Peki şunu dener misiniz; kullanıcı pclerinin işletim sistemi windows ise static route girişi yapabilir misin? Kullanıcı pclerinden herhangi birine gelip start>cmd yazıp (eğer win 7 ise yönetici olarak çalıştır demelisin aksi takdirde route girişine izin vermez) C:> konumunda iken şunu yazmalasın komut satırına route add 172.16.0.0 mask 255.255.0.0 192.168.0.101 -p (-p bu routing girişinin kalıcı olmasını sağlar -p parametresini girmediğin takdirde bilgisayarını her yeninden başlattıgında bu rotuing girişi silinecektir. Bir diğer önemli konuda kameraların gw adresi var mı varsa pfSense ip si midir?

Not: Statik routingi belki modeminde destekliyor olabilir lakin modemin de kamera networkune bağlı oldugu ethernetin gw zaten modem orada bir karşıklık olacagı için bunu en güzel çözüm olarak kullanıcı pclerinde yapmak en dogru çzöümdür.

Sevgilerle,
SGTR

Bu çözüme 1 adım daha yaklaştırdı, pf'in SQL IP'sine de benzeri mantıkla route yapmamız lazım sanırım..

sgtr

Selam Tekrar,

Eğer ki senin kameralarının ve Ap lerinin gw adresleri pfSense ise onda da gerekli statik routingleri yaptıysan otomatik olarak birbirleriyle haberleşmeleri gerekiyor. Bu arada pfSense üzerinde ilgili adreslere gerekli izinleri verdiğini varsayıyorum. Birde merak ettiğim bir konu var SQL ismini verdiğin interface Opt1 mi?

Sevgilerle,
SGTR

yakar

@sgtr:

Selam Tekrar,

Eğer ki senin kameralarının ve Ap lerinin gw adresleri pfSense ise onda da gerekli statik routingleri yaptıysan otomatik olarak birbirleriyle haberleşmeleri gerekiyor. Bu arada pfSense üzerinde ilgili adreslere gerekli izinleri verdiğini varsayıyorum. Birde merak ettiğim bir konu var SQL ismini verdiğin interface Opt1 mi?

Sevgilerle,
SGTR

LAN bacağında varsayılan kurallar var,
SQL yani OPT1'de ise tüm trafiğe izin veren tek kural yazdım test için, yukardaki logda LAN'dan SQL'e dönüş var gibi aslında ama AP arayüzü gelmedi..

sgtr

Bunu en iyi anlamanın yolu LAN tarafından 1 pc ile SQL tarafındaki herhangi bir hizmete (ftp, www, rdp vs) ulaşmayı denemek. Bunu denediniz mi?

Sevgilerle,
SGTR