Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    yanlızca belirli ip adresleri ve mac adreslerine izin verme

    Scheduled Pinned Locked Moved
    Turkish
    3
    9
    199
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mika_hakinen
      last edited by

      Merhaba
      yeni bir cloud server alıcaz ve üstünde mysql çalışacak sadece 3306 portu üstünden.
      farklı lokasyonlardan / ülkelerden ve cihazlardan kendi özel yazılımımız üstünden bu mysql'e erişim sağlanıcak.
      aynı zamanda sitemizin subdomaini üstünden panel vasıtasıyla bu mysql database'inden veri çekiyor.

      ama direkt olarak açmak istemiyoruz bu portu dışarıya tehlikeli.

      **pfsense ile yanlızca izin verilen ip adresleri ve mac adreslerine bu mysql portu üstünden erişim sağlayabilirmiyiz.
      sadece ip tanımlayamayız çünkü ofisten çalışan birisi akşam eve bilgisayarınıda götürebiliyor.
      yada farklı ülkelere gidip çalışanlarda var.
      isteğimiz sadece belirlediğimiz ip adresleri ve mac adreslerinden buraya erişim sağlanabilsin.
      böyle bir şey mümkünmü pfsense ile.
      allow list sadece ip adresleri ve mac adreslerinden oluşacak sadece.
      hangisi uyarsa ona izin verecek.
      vpn ile bağlasak hem karmaşık hemde web siteside buradan veri çekiyor o iş biraz karışık olacak.

      yada başka bir öneriniz varmıdır bununla ilgili.**

      eğer pfsense bu işi yapabiliyorsa önerebileceğiniz bir cihaz varmıdır.
      serverda 2gbps bandwidth düşünüyoruz bu yükü kaldırabilecek bir cihaz olmalı.
      yada windows server üstünden yazılım ilede çözebilirmiyiz ama isteğimiz olabilirse cihaz üstünden bunu sağlamak.
      Saygılar.

      P 1 Reply Last reply Reply Quote 0
      • P
        plusbil @mika_hakinen
        last edited by

        @mika_hakinen Wan Nat işlemi için mac filtreleme yapamazsınız. Pfsense için değil, bütün sistemler için geçerlidir bu. Çünkü wan tarafından bağlantılarda sisteme görünen mac, sizin cihazınızın değil, isp ağ geçidindeki cihazın mac adresidir. Bu işlem için Vpn'den başka bir seçeneğiniz maalesef yok.

        M 1 Reply Last reply Reply Quote 0
        • G
          greenlight
          last edited by

          bu kadar geniş bir çalışma alanı için ip ve mac gibi eşleştirmeler tanımlanabilse bile nihayetinde yetersiz kalacaktır. ben olsam firebase authentication kullanıp 2 faktörlü doğrulamayı da zorunlu tutarım. eğer ip adresi değişmeyecek cihazlar var ise onlarda statik ip üzerinden izin verebilirsiniz.

          M 1 Reply Last reply Reply Quote 0
          • M
            mika_hakinen @plusbil
            last edited by

            @plusbil said in yanlızca belirli ip adresleri ve mac adreslerine izin verme:

            @mika_hakinen Wan Nat işlemi için mac filtreleme yapamazsınız. Pfsense için değil, bütün sistemler için geçerlidir bu. Çünkü wan tarafından bağlantılarda sisteme görünen mac, sizin cihazınızın değil, isp ağ geçidindeki cihazın mac adresidir. Bu işlem için Vpn'den başka bir seçeneğiniz maalesef yok.

            mac adreslerine göre kurallar sadece lan > wan şeklindemi ilerliyor ?
            dediğiniz gibi biz internetten gelecek cihazları filtrelemek istiyoruz bununda yapılacabileceğini zannediyorduk hatta fortigate falan bakıyorduk şu an.
            bu bilgi çok önemli oldu teşekkürler.

            dışardan gelen cihazlarda sistem sadece ip adresinimi çözebiliyor ?
            mac adresini ise bağlandığı modem , isp vb.. cihazımı gösteriyor ?

            P 1 Reply Last reply Reply Quote 0
            • M
              mika_hakinen @greenlight
              last edited by

              @greenlight said in yanlızca belirli ip adresleri ve mac adreslerine izin verme:

              bu kadar geniş bir çalışma alanı için ip ve mac gibi eşleştirmeler tanımlanabilse bile nihayetinde yetersiz kalacaktır. ben olsam firebase authentication kullanıp 2 faktörlü doğrulamayı da zorunlu tutarım. eğer ip adresi değişmeyecek cihazlar var ise onlarda statik ip üzerinden izin verebilirsiniz.

              çok fazla ülkeden ve ip adresinden bağlanılılacak.
              bizim iş çok dinamik olduğu için statik ip tanımlamamız mümkün değil.
              kişi işyerinde çalışıyor akşam evine götürüyor oradada çalışması lazım veya hafta sonu almanyaya gidiyor oradan çalışacak hemde görüşme yapacak.
              aynı zamanda web sitesinin bir subdomainide bu cloud server'dan / mysql üzerinden veri çekecek.

              haydi bilgisayarları vpn ile bağladım, web sitesinin bir kısmıda buradan veri çekiyor.
              işin içinden tam çıkamadım.

              **benim aklımda
              ilk kural olarak en üstte 7-8 ofisimiz var onların statik ip'lerini girip
              2. kuraldada bağlanıcak her bilgisayarın lan ve wifi mac adreslerini girip bu işi çözmek vardı.
              diyelimki kişi ofisten değil evden bağlanıcak mac adresini girdiğimiz için sistem izin verecekti.

              ama anladığım kadarıyla wan > lan kısmında mac adresleri çözülemiyormuş.

              önelerilere açığım. tam çıkamadım bu işin içinde.**

              G 1 Reply Last reply Reply Quote 0
              • G
                greenlight @mika_hakinen
                last edited by

                size önerebileceğim 2 farklı çözüm var. birisi zaten önceden bahsemiş olduğun 2fa destekli bir auth api kullanarak bağlanacak kullanıcıları yönetebilir ve düzenleyebilirsiniz.

                ikinci çözüm host server önüne bir pfsense yapılandırabilir, cloud server ile olan bağlantıyı site to site vpn ile, kullanıcılar ile server arasındaki bağlantıyı da openvpn clientlerı ile bağlayabilirsiniz. daha önce aynı anda ikisini birden çalıştırmadım ama bir problem olacağını düşünmüyorum.

                M 1 Reply Last reply Reply Quote 0
                • M
                  mika_hakinen @greenlight
                  last edited by

                  @greenlight said in yanlızca belirli ip adresleri ve mac adreslerine izin verme:

                  size önerebileceğim 2 farklı çözüm var. birisi zaten önceden bahsemiş olduğun 2fa destekli bir auth api kullanarak bağlanacak kullanıcıları yönetebilir ve düzenleyebilirsiniz.

                  ikinci çözüm host server önüne bir pfsense yapılandırabilir, cloud server ile olan bağlantıyı site to site vpn ile, kullanıcılar ile server arasındaki bağlantıyı da openvpn clientlerı ile bağlayabilirsiniz. daha önce aynı anda ikisini birden çalıştırmadım ama bir problem olacağını düşünmüyorum.

                  çok teşekkür ederim.
                  web sitesi dedicated ip'ye sabit bu ip'yi pfsense allow list olarak tanımlasak cloud servera bağlantı kurar gibi zaten sanırım.
                  bilgisayarlarıda vpn ile bağlamam gerekiyor anlaşılan başka bir çözüm yolu yok gibi.

                  izleyeceğim yol şu şekildemi olacak
                  windows server 2022 olacak
                  bir hyper-v 'ye pfsense kurucam , 2. hyper-v 'yede veritabanın olduğu sistemi..
                  trafiği pfsense karşılayacak eğer uygunsa diğer hyper-v ip'sine yani veritabanının olduğu ip'ye yönlendirecek doğrumudur ?

                  vpn bağlantılarını pfsense yapıyormu yoksa windows server üzerindenmi ayarlıyacaz / yapıcaz vpn'leri.
                  ben hep fortigate kullandığım için onda vpn seçenekleri mevcut pfsense'de varmı emin değilim.

                  G 1 Reply Last reply Reply Quote 0
                  • G
                    greenlight @mika_hakinen
                    last edited by

                    @mika_hakinen anlattığınız şekilde sistemi kurabilirsiniz. pfsense kullanarak openvpn ile bağlantı sağlayabilirsiniz.

                    1 Reply Last reply Reply Quote 0
                    • P
                      plusbil @mika_hakinen
                      last edited by plusbil

                      @mika_hakinen Wan > Lan şeklinde de ilerleyebilir. Sonuçta pfsense tarzı açık kaynak kodlu bir güvenlik duvarına 3-5 kod yazmaya bakar herşey. Sıkıntı orada değil.

                      Sıkıntı networkun wandaki işleyiş yapısında. Bir bilgisayara varsayılan ağ geçidi ve dns adresi yazmazsanız wan netine ulaşamazsınız bildiğiniz gibi. Siz ağ geçidinize isteğinizi iletirsiniz, ağ geçidiniz isteğinizi isp servera gönderir. Isp server gelen isteği girdiğiniz dns sunucusu sayesinde ip adresine dönüştürür, adrese ulaşır ve geriye doğru cevaplama işlemi gerçekleşir. Tabi bu en basit tarzda bir wan yapısıdır. Çünkü bağlandığınız isp server, aslında bir grubun belki de en alt halkası olabilir. Üzerinde, sizi istediğiniz adrese ulaştıracak daha onlarca katman bulunabilir. Her katman bir üstteki katmana ip-mac kimlik bilgisini iletir. Bu sistemde işlemi yapan landaki sizin kimliğiniz değil, wandaki ağ geçidiniz yahut isp serverlardır. Onların üzerindeki var olan ip ve mac adresleri kayıt altına alınır.

                      O yüzdendir ki, metro tarzı bağlantılarda, uydunet-fiber altyapı sistemlerinde sizin bilgisayarınızın değil, modem-router cihazının mac adresi iss tarafından sisteme kayıt edilir ve internet açılır. Wan>Lan Nat yapısında mac filtreleme bu sebeple mantıksızdır, bunu yapan herhangi bir cihaz da yoktur.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post