Port Yönlendirme ve Firewall Kuralı Oluşturma
Zywall üzerinde port yönlendirme işlemleri için Network_NAT menüsü kullanılır. Örnek olarak içerideki bir sunucuya iç network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP’den mstsc (remote desktop connection) ekranına wan1_ppp gerçek IP’mizi(örnek:88.245.34.45) yazarak içerideki 192.168.1.x IP’li sunucuya ulaşmak.
Bunun için ilk olarak NAT menüsünde Add butonuna tıklayarak kural eklememiz gerekiyor.
Burada oluşturacağımız kuralı aktiflemek için Enable Rule’u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP’yi alan interface’i wan1_ppp’yi seçiyoruz.
Original Ip’ye any olarak giriş yapıp Mapped IP’ye içeride bağlanmak istediğimiz IP’yi yazıyoruz. Bunun için bu Ip’yi bir object olarak cihaza tanımlamamız gerekiyor. Sol üst köşeden Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir.
Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip’sini tanımlıyoruz.
Bu ekranı kaydedince otomatik olarak kural ekranına dönüş yapacağız. Mapped IP kısmında oluşturmuş olduğumuz object’i seçiyoruz.
Port mapping Type kısmında Service, Port ve Ports seçilebilir. Port seçerek Original ve Mapped Port kısmına Remote Desktop Connection’ın kullandığı 3389 portunu yazınız.
Nat Loopback özelliğini devre dışı bırakarak ayarlarınızı kaydediniz.
Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem Zywall gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor.
Dışarıdan içeriye doğru Zywall’a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN’dan WAN’a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN’dan LAN’a (dışarıdan içeriye); ki bu örnekte de Zywall’a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır.
Firewall’da WAN’dan LAN’a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden add butonuna basarak kural tanımlamamız gerekiyor.
Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN’dan LAN’a doğru olduğu için From kısmı WAN to kısmı LAN1 olarak seçilir.
Schedule,User, Source,Destination menüsü any olarak seçilir.(Source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve sadece belirli IP’lerin uzak bağlantı yapmasına izin veren bir kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak Zywall’a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir. Service kısmında create object ile 3389 portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz.
Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır.
Kuralı kaydettiğimizde Firewall genel menüsünde WAN’dan LAN’a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir . Örneğin burada Zywall’a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN’dan Lan’a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389’dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız.
