Çift Firewall Juniper & Pfsense



  • Merhaba arkadaşlar
    yapımda Juniper SSG120,AD Server,Exchange Server bulunmakta kullanıcılar üzerinde web filtre,loglama,hız sınırlama,monitor etme gibi aksiyonlar yapmak istiyorum SSG nin filtre özelliği var fakat hem ücretli hemde başarılı değil(bence)
    amacım Juniperin arkasına Pfsense i yerleştirmek ve sadece filtreleme hız sınırlama monitor gibi olayları yapmak istiyorum onun için juniper i devreden çıkarmak istemiyorum.yapıda 10MB Metro Ethernet var

    Pfsense i kursam araya yerleştirsem juniperi bypass eder mi? veya nasıl bir yol izlemeliyim bu proje için.
    şimdiden teşekkürler



  • Birincisi bu yapıda pfsense'i ekledikten sonra Juniper'ı hala tutmak istemenizin sebebi nedir ?

    Dediğiniz gibi Pfsense'i araya koyabilir, filtreleme, hız sınırlama ve loglama yapabilirsiniz. Pfsense'in Juniperi bypass etmesinden kastınız nedir ?



  • Juniper'in kalmasını istememin sebebi merkez ofisin junipere aşina olması ve değişmesini istememesi yani juniper'in her koşulda kalması isteniyor.



  • merhaba, yapınızı,

    metro eth -> Juniper -> Pfsense -> Local ağ

    şeklinde düzenleyip,

    • pfsense üzerinde port kısıtlaması yapmadan bu görevi juniper'a verebilirsiniz.

    Ayırıca yapıyı hiç bozmadan pfsense'i araya almak mümkün, ancak trafik limitleme ve içerik filtreleme tarafında sıkıntılar var.
    Keyifli çalışmalar



  • O zaman pfsense'i araya koyup, bahsettiğiniz şeyleri yapabilirsiniz.

    Yine bir başka alternatif olarak pfsense'i transparent bridge olarak da konfigüre edebilirsiniz.
    Transparent bridge olduğunda webfilter çalışıyor mu bilmiyorum.

    edit: Ben yazarken tcjackal daha detaylı yazmış zaten :)



  • @tcjackal:

    merhaba, yapınızı,

    metro eth -> Juniper -> Pfsense -> Local ağ

    şeklinde düzenleyip,

    • pfsense üzerinde port kısıtlaması yapmadan bu görevi juniper'a verebilirsiniz.

    Ayırıca yapıyı hiç bozmadan pfsense'i araya almak mümkün, ancak trafik limitleme ve içerik filtreleme tarafında sıkıntılar var.
    Keyifli çalışmalar

    sıkıntıların sebebi juniper'in arkasına almamdan dolayı mı gerçekleşir yoksa genel olarak mı bir sıkıntı var?



  • Selam,

    Sıkıntılardan kasıt bence senaryolardan (ör: limit kime/kimlere hangi port, filtreleme kime/kimlere nerelere) netlik kazanmamasından ötürü kaynaklanabilir düşüncesi için olabilir. Limitleme ve filtreleme konusuna gelince senaryonuzu belirlerseniz elden geldiğince yardımcı olmaya çalışırız. Soru net olunca genelde cevapta net olur düşüncesindeyim.

    Sevgilerle,
    SGTR



  • tekrar merhaba,
    her gw ürünü, bağlı ağlarının sahibi olmak ve tüm trafiğin üzerinden geçmesini ister.
    ama juniper gw iken siz pf'yi sisteme ek olarak dahil ettiğinizde trafik üzerinden geçmediğinden limitleme ve raporlama vb. servisleri kontrol edemez.
    illaki kontrol edebilmesini istediğinize takdirde, pf'yi bridge mod'a almak durumundasınız. buda servislerden yararlanamamanız anlamına gelir, ki freebsd ve php tarafında ciddi bir bilgiye sahip değilseniz.

    Pfsense tarafında coslat ekibi, mirror port üzerinden transpran olarak pf'yi çalıştırabilmekte.
    http://www.coslat.com/tr/content.asp?catid=385

    bunun haricinde şahsım adına şuanda pf tarafında sağlıklı bir bridge mod oluşturabilmiş değilim ama çalışmalarım devam ediyor.
    Keyifli çalışmalar


Log in to reply