Watchguard Port Yönlendirme Kuralı Tanımlama

Bu yazımızda Watchguard Firebox cihazımızda port yönlendirmesi yapacağız. Bunun için öncelikle bir senaryoya ihtiyacımız var. Bu senaryoya göre local networkümüzde 10.0.1.100 ipisin de bir sunucumuz mevcut ve bu sunucu için RDP (Remote Desktop) portunu dış ipden erişilmesini sağlayacağız. Ancak güvenlik amacı için dışarıdan erişimlerde 3389 portu yerine 6050 portundan erişim sağlayacağız.

İşleme başlamak için öncelikle Watchguard Firebox cihazımıza bağlanıyoruz. Sonrasında işlemlere devam ediyoruz.

Öncelikle senaryo gereği dışarıdan gelenler 6050 bağlantısı için localde yer alan server için port değişikliği olacağı için bunu SNAT olarak tanımlamamız gerekmektedir.

1.Bunun için sırası ile FIREWALL > SNAT bölümüne giriyoruz ve ADD

2. Açılan menüde yer alan Name tanıma hatırlamamız için bir isim veriyoruz. Ben bu alana SERVER-1_3389 şeklinde isim veriyorum. Type kısmını şimdilik Static NAT olarak bırakıyorum ve SNAT MEMBERS altında yer alan ADD (SNAT bölümüne detaylı olarak başka bir yazıda değiniyor olacağız)

3. Açılan Add Members menüsünde External/Optional IP Address bölümünde zaten tanımlı olan dış ip adresimizi görüyoruz. Burada birden fazla WAN networkümüz varsa hangisinden bağlantının geleceğini seçiyoruz. Hepsinden bu bağlantıyı kabul edecek isek Any-External olarak seçebiliriz.

4. Aynı menüde yer alan Internal IP Address bölümüne sunucumuzun ip adresini yazıyoruz. Buradaki kritik nokta dış ip adresimiz gelecek olan port 6050 olacağı için ve bu bağlantıyı RDP portu olan 3389 olarak değiştireceğimiz için Set internal port a different port kısmını aktif edip 3389 yazıyoruz. Daha sonra OK diyoruz ve tanımladığımız alanı görüyoruz. 

5.Bu kısımda da yaptığımız SNAT konfigürasyonun kaydedilmesi için SAVE yapıyoruz.

Port değişikliği için gerekli olan tanımı yaptığımıza göre Watchguard Firebox cihazmızın port yönlendirmesi için yeni kuralımızı yapalım.

 

1- Bu işlem için Ana Menüde iken sırası ile FIREWALL > Firewall Policies alanına giriyoruz. Yeni kural tanımı için ADD POLİCY bölümüne tıklıyoruz.

2- Açılan bu menüde dış erişim portumuz farklı olduğunu Select Policy Type bölümünde CUSTOM kısmını işaretliyoruz ve daha önce böyle bir port tanımı yapmadığımız için ADD diyoruz.

3- Policy Template kısmında Name bölümüne bir isim veriyoruz. Ben Sunucu RDP Yönlendirmesi şeklinde yazıyorum. Type bölümünü Paket Filter olarak bırakıyorum. PROTOCOLS altında ADD diyoruz.

 4- Açılan Protocol menüsünde Type bölümünü bir port tanımlayacağım için Single Port olarak default bırakıyorum. Protocol kısmını TCP port olacağı için TCP olarak bırakıyorum. Server Port bölümüne ise External tarafında 6050 dinleyip yönlendireceğim için 6050 yazıyorum ve OK diyerek çıkıyorum.

5- Portumu gördükten sonra SAVE diyoruz.

6- Policy Type bölümündeki Custom yanında artık yaptığımız SUNUCU RDP Yönlendirmesi ayarını görüyoruz. Bunu seçip ADD POLİCY diyoruz.

7- Açılan policy ekleme alanında çok fazla detaya girmeyeceğim. Bu alandan firewall u yönettiğimiz için bir sürü işlem yapabiliyoruz. Bunun için ayrıca bir yazı yazıyor olacağız.

8- Ana ekran bölümünde dış erişim kuralı yazdığımız için FROM kısmında yer alan Any-Trust kısmını siliyoruz ve yerine Any-External yapıyoruz.

 9- TO kısmında Any-External kısmını siliyoruz ve ADD Açılan menüde Member Type kısmında Statik NAT kısmını seçiyoruz. Burada daha önce SNAT bölümünde tanımlamış olduğumuz SERVER-1_3389 kuralımızı seçiyoruz.

10- Tekrar Policy kısmında aşağıdaki şekilde görüyoruz. 

11- Save diyerek kuralımızı oluşturuyoruz ve Firewall Policies ekranında oluşturduğumuz kuralı görebiliyoruz. Bu işlemden sonra kuralımızın otomatik olarak bir sıraya yerleştiğini görebiliriz. Artık uzak masa üstü bağlantısını açarak DIŞIPADRESİMİZ:6050 yazarak sunucumuza erişebiliriz.

Biraz karışık gibi görünse de bu işlemleri yapmanız emin olun 2 dakikanızı almayacaktır. Menülere hakim olunduktan sonra ve firewall çalışma mantığını bilince çok kolay olduğunu görebilirsiniz. SNAT tanımı dışında bütün ayarları farkında iseniz Policies ekranında yaptık. Başka marka firewall cihazlarda bu işlemi yapmak ve kural tanımını yapmak gerçekten diğer markalar ile de çalıştı iseniz zor olduğunu anlayabilirsiniz.

Ayrıca oluşturduğumuz senaryo gereği dış erişim portunu iç networkümüzde başka porta yönlendirdik. Eğer direk olarak 3389 portunu yönlendirmiş olsaydık Firewall Policy bölümündeki 4. Adımda oluşturduğumuz dış erişim portunu 3389 yapacaktık ve SNAT bölümündeki yine 4 Adımda olan Set internal port a different port seçeneğini işaretini kaldırmamız yeterli olacaktı. Bu şekilde iken port değiştirmeden olduğu gibi yönlendirme yapabilecektik.

Leave A Comment

Your email address will not be published. Required fields are marked *