Linux Yaz Kampı 2016pfSense Firewall ve Router Eğitimi

İbrahim UÇAR

ucribrahim@gmail.com

http://lifeoverlinux.com

Twitter : @ucribrahim

Eğitim Hakkında

pfSense Firewall Eğitimi: Bu eğitim pfSense 2.2.6 kurulumu/yapılandırması, filtrelenmesi, dhcp, dns, vpn gibi temel servislerinin ne işe yaradıkları ve nasıl yapılandırılacağı gibi konuların işleneceği bir eğitimdir.

Katılımcılardan beklenen nitelikler;

● Temel seviyede networking.

● Temel seviyede okuduğunu anlayabilecek ingilizce bilgisi.

Bu Eğitim, FreeBSD ve TCP/IP eğitimi değildir.

● Güvenlik duvarı yeteneklerini öğrenmek● İnternet ve yerel ağ trafiğini yönetmek● Temel servisler hakkında bilgi edinmek● Temel ağ servislerini yönetmek● Web trafiğini filtrelemek● Desteklediği VPN türlerini öğrenmek ve güvenli iletişim kanalı oluşturmak● Birden fazla WAN bağlantısı için yük dengeleme ve failover hakkında bilgi edinmek● NAT türlerini öğrenmek● Captive Portal ile kimlik doğrulamalı sınır kapısı oluşturmak● Yedekli çalışma (CARP) prensibinin anlaşılması● Trafik şekillendirme● Yedekleme ve Kurtarma seçenekleri

Amaçlar

● pfSense Nedir?● Neden pfSense ?● pfSense Özellikleri● Donanım● Destek● Minimum Donanım Gereksinimleri● pfSense Kurulumu● pfSense Paket Sistemi ● Yedekleme ve Kurtarma Seçenekleri● Firewall Yetenekleri● NAT● Trafik Şekillendirme ● CARP Yapılandırması

Eğitim İçeriği #1

● Captive Portal ve Kullanım Alanları

● Servisler

○ DHCP Server

○ Proxy Servisi olarak Squid/SquidGuard (URL Filter)

● Desteklediği VPN Teknolojileri

○ PPTP VPN

○ OpenVPN

○ IPsec

Eğitim İçeriği #2

Neden pfSense?

● FreeBSD sağlamlığını taşıyor● OpenBSD PF güvenlik duvarı● Hızlı destek● Mail listesi● IRC kanalı● Türkçe&İngilizce forumlar● Ticari destek● Yerel, Yerinde Destek● Geniş özellik listesi● Kapsamlı dökümantasyon

Bölüm 1:pfSense Giriş

Mail Listeleri

pfSense Support Listesi, support-subscribe@pfsense.com boş bir mail gönderip dönen onay mailini doğrulamanız yeterli.

pfSense Türkçe support listesi, pfsense-tr+subscribe@googlegroups.com e-posta adresine boş bir e-mail atmanız yeterlidir.

Bölüm 2:pfSense Destek ve Yardım Seçenekleri

Döküman ve Özel Dersler

https://doc.pfsense.org/index.php/Main_Page

https://doc.pfsense.org/index.php/Tutorials

Sorun Giderme Klavuzları

https://doc.pfsense.org/index.php/Category:Troubleshooting

Eğitim Videoları

http://www.cehturkiye.com/videolar/pfsense/

Bölüm 2:pfSense Destek ve Yardım Seçenekleri

Forum Sayfası

Arasında “Türkçe” nin bulunduğu 13 dilde destek formu;

http://forum.pfsense.com

IRC Kanalı

IRC Kanalı Freenode irc servisi üzerinde, ##pfsense adında bir kanal bulunuyor. Ortalama 100 kişi

sürekli aktif oluyor. Bu kanala dahil olup, sorunuzu yöneltebilirsiniz.

http://freenode.net/

Ticari Destek

Ticari Destek pfSense geliştiricilerinden direk destek alınabilecek bir mecra.

https://portal.pfsense.org/index.php/support-subscription

Bölüm 2:pfSense Destek ve Yardım Seçenekleri

CSV Track

Bug’lar ve düzenlemeler ile ilgili rapor gönderebilirsiniz.

https://redmine.pfsense.org/

Bug Listesi

Tüm çözülen ve çözülmeyi bekleyen Bug’larıda görebilirsiniz.

https://redmine.pfsense.org/

Bölüm 2:pfSense Destek ve Yardım Seçenekleri

Bölüm 3:Donanım Seçimi

Bölüm 3:Donanım Alımı

Donanım seçimi ve satın alma kanalları için kaynaklar,

pfSense Storehttps://www.pfsense.org/hardware/#pfsense-store

Lanner Harwarehttp://www.lannerinc.com/products/

IBM http://www.ibm.com/tr/tr/

Alix Embedded Boardhttp://www.pcengines.ch/alix.htm

CPU - 100 Mhz Penitum

RAM - 128 MB

Diğer Platformlar

Live CD

CD-ROM Drive

USB Flash Sürücü, ayarları saklamak için

Sabit Diske Kurulum

CD-ROM, kurulum başlangıcı için

1 GB hard disk

Gömülü Sistemler (Embeded)

512 MB Compact Flash card

Yönetim için Seri Port

Bölüm 3:Minimum Donanım Gereksinimleri

Symmetric Multiprocessing Kernel

Çok çekirdekli veya çok işlemcili donanımları destekler.

Embedded Kernel

Gömülü anakartlar için. VGA konsolu yok. Klavye var. Seri porttan yönetilir.

Developer Kernel

Debug seçeneklerinin aktif edildiği geliştirici versiyonu.

Bölüm 4:Kurulum Seçenekleri

Embedded iso imajlarını buradan bulabilirsiniz.

https://www.pfsense.org/download/

● Linux üzerinden kurulum

# gunzip -c pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz | dd of=/dev/hdX bs=16k

NOT: CF kartlar ve IDE diskler /dev/hdX olarak isimlendirilir. USB veya SCSI diskler /dev/sdX olarak

isimlendirilir. Komutu kullanmadan önce hangi disk’e kurulum yapacağınızı öğreniniz.

● FreeBSD üzerinden kurulum

# gunzip pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz

# dd if=pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz of=/dev/adX obs=64k

Bölüm 4:Kurulum

Vmware player ile veya workstation aracılığı ile ‘de kurulum yapabilirsiniz.

1. pfSense imajını indir : https://www.pfsense.org/download/

2. Yeni bir VM imajı oluştur.

3. Fiziksel disk ekle ( IDE/SATA vb. diskler eklenebilir)

4. Sanal makinayı başlat.

5. Full kurulum veya embedded kurulumu için yönegerleri tamamla.

Bölüm 4:Alternatif Kurulum Seçenekleri

pfSense kurulum sonrası başka bir donanımda farklı bir disk ismi alabilir ve her açılışta sizden disk ismi

girmenizi ister.

Disk problemi;

Mountroot: ? : Sistemdeki mevcut disklerin listesini alabiliriz.

ufs:/dev/ad0s1a : Bu komut ile disk mount edilir.

Bölüm 4:Kurulum Aşamalarında Sorun Giderme

pfSense iki farklı yönetim arabirimine sahiptir.

Konsol Arabirimi: Temel ayarlar ve kurtarma operasyonları için seçenekler sunan sade bir menüdür.

Web Arabirimi: Hemen tüm sistem ayarlarının ve yönetimsel faaliyetlerinin yürütülebildiği web tabanlı

yönetim arabirimidir.

Bölüm 5:Konfigurasyon | Yönetim Arabirimleri

Bölüm 5:Konfigurasyon | Yönetim Arabirimleri

Konsole Arabirimi Web Arabirimi

0) Logout (SSH only)1) Assign Interfaces2) Set Interfaces IP address3) Reset webConfigurator password4) Reset to factory defaults5) Reboot system6) Halt system7) Ping host8) Shell9) PFtop

10) Filter Logs11) Restart webConfigurator12) pfSense Developer Shell13) Upgrade from console14) Disable Secure Shell (sshd)15) Restore Recent Configuration16) Restart PHP-FPM

System

Interfaces

Firewall

Services

VPN

Status

Diagnostics

Gold

Help

Konsol Arabirimi

Bölüm 5:Konfigurasyon | Yönetim Arabirimleri

Web Arabirimi

Bölüm 5:Konfigurasyon | Yönetim Arabirimleri

Bölüm 5:Konfigurasyon | Konsol Arabirimi

Kullanıcı adı: adminParola: pfsense

Bölüm 5:Konfigurasyon | Konsol Arabirimi

Aktif ağ arabirimleri.1. Arabirim atamak.2. IP tanımlamak.3. Web parolasını sıfırlamak.4. Varsayılan ayarlara geri döner.5. Sistem restart.6. Sistem kapat.7. Ping komutu.8. Bash kabuğuna girer.

9. pfTop çalıştırır.10. Logları filtreler.11. Web arayüzü yeniden başlatır.12. Geliştirici bash kabuğuna girer.13. Konsoldan sistemi günceller.14. SSH aktif eder.15. Sistemi kurtarma.16. PHP-FPM restart.

Bölüm 5:Konfigurasyon | Konsol Arabirimi

Bölüm 5:Konfigurasyon | Genel Ayarlar

Ağ ayarlarında hangi ağ arabirimine hangi IP türlerinin atanacağını belirleyebilirsiniz.

IP türleri;

● Static

● DHCP

● PPPoE / PPP

● PPTP

● L2TP

Bölüm 6:Ağ Ayarları

● Static

IP adresi ve netmask elle ayarlanır. Ağ arabirimi eğer WAN olucak ise ekstra gateway adreside tanımlanmalıdır.

● DHCP

IP adresi netmask, gateway vb. bilgileri otomatik olarak ortamdaki DHCP sunucusundan alır.

● PPPoe / PPTP

PPPoe ve PPTP seçerseniz ağ arabirimine servis kullanıcı adı ve parola bilgilerini girmeniz gerekir. PPPoe seçeneğini kullanırsanız internet ip adresi direkt belirttiğiniz ağ arabiriminde tanımlanmış olacaktır. İnternet ip adresine istek olursa direkt iletişime pfsense geçecektir.

Bölüm 6:Ağ Ayarları | IP Türleri

Bölüm 6:Ağ Ayarları | WAN | Static

DHCP sunucusundan ikincil bir ip adresi istenebilir.

Bölüm 6:Ağ Ayarları | WAN | DHCP

Servis sağlayıcının bilgileri.

Bölüm 6:Ağ Ayarları | WAN | PPPoE

PPP 3G bağlantı ayarları.

Bölüm 6:Ağ Ayarları | WAN | PPP

Ağ arabirimine ait bilgiler.

Bölüm 6:Ağ Ayarları | WAN Bilgileri

Artı (+) Butonuna tıklayarak yeni bir ağ arabirimi eklenebilir.

Interfaces > Assign sekmesine girerek ağ arabirimi ekleyebilir veya kaldırabilirsiniz.

Bölüm 6:Ağ Ayarları | Ağ Arabirim Eklemek

pfSense üzerinde hali hazırda kurulmaya hazır paketler vardır. Bu paketler ayrı ayrı kategori halinde tutulmaktadırlar. Örneğin güvenlik ile ilgili paketler “Security” adlı sekme içerisinde tutulur. Kısacası tüm paketler ayrı ayrı kategori halinde tutuluyor.

Paket sisteminde iki adet ana sekme bulunmaktadır.

Available Packages: Bu bölümde pfSense tarafından kurabileceğiniz mevcut paketler vardır.

Installed Packages: Bu bölümde ise kurduğunuz paketler listelenecektir. Bu alanı kullanarak

kurulu bir paketi silebilir veya yeniden kurabilirsiniz.

Bölüm 7:Paket Sistemi

pfSense modüler yapısını paket sistemi ile sağlıyor. Ek uygulamalar ve programlar paket sisteminden kolayca yönetilebiliyor. Paket sisteminin sağladığı özellikler;

● Paket Kurulumu

● Paket Yükseltme

● Paket Kaldırma

Bölüm 7:Paket Sistemi

Paket kur.

Kur

ulab

ilir P

aket

Lis

tesi

Bölüm 7:Paket Sistemi

Paketi yeniden kurmayı sağlar.

İlgili paketin web arabirimi yeniden kurar.

Kurulu paketi sistemden kaldırır.

Bölüm 7:Paket Sistemi

Sistemdeki tüm bilgileri .xml formatında indirebilirsiniz.

İndirilen xml. formatındaki sistem yedeği buradan geri sisteme yüklenebilir.

Bölüm 8:Yedekleme ve Kurtarma Seçenekleri

Firewall Genel Özellikler;

● Kaynak/Hedef IP, IP protocol ve TCP/UDP port bazlı filtreleme.

● OS bazlı filtreleme yeteneği. ( Linux’lar internete çıksın, Win’ler çıkamasın vb.)

● Yük dengeleme, yük dağıtma ve çoklu WAN için kural bazlı gateway seçme imkanı.

● Alias tanımlamları ile host, network ve portlar için grup oluşturabilme ve onlara kural tanımlayabilme.

● Layer 2 seviyesinde kural tanımlayabilme.

● Her firewall kuralı için log tutabilme yeteneği.

● Trafik şekillendirme (in/out) ile kaynak, grub, bazlı trafik limitleme yapabilme.

Bölüm 9:Firewall

Bölüm 9:Firewall | Kurallar I

Action: Pakete uygulanacak filtre kriteri. ○ Pass: Paketin geçişine izin verir. ○ Block: Paketi engeller. (drop) ○ Reject: TCP paketlerine "TCP RST", UDP için ise "ICMP port unreachable" yanıtı döndürür. ● Disabled: Kuralı devre dışı bırakır. ● Interface: Kuralın uygulanacağı arayüz. ● Protocol: IP protokolü. (TCP, UDP, ICMP vs.) ● Source: Paketin kaynağı. (IP, Alias, Subnet vs. ) ○ Source port range: Kaynak port aralığı.● Destination: Paketin hedefi (IP, Alias, Subnet vs. ) ○ Destination port range: Paketin hedef port aralığı. ● Log: Kural için kayıt tut.● Description: Kuralı tanımlayıcı açıklama satırı.

Bölüm 9:Firewall | Kurallar I

Bölüm 9:Firewall | Kurallar II

● Source OS: Kuralın geçerli olacağı işletim sistemi. (Yalnızca TCP kurallar için geçerlidir.)

● TCP Flags: Spesifik TCP bayraklarını set etmek için kullanılır.

● State Type: Durum türü.

○ keep state: Durum kontrollü kurallar. (Default)

○ sysnproxy state: Gelen istekler için proxy görevi görür.

● Schedule: Kuralın çalışacağı zaman, zaman tanımlaması.

● Gateway: Birden fazla gateway olması durumunda kural için hangi gateway'in

kullanılacağını belirler.

● In/Out : Trafik şekillendirme.

● Layer 7 : Uygulama katmanında kural tanımlamanızı sağlar.

● Description : Kuralı hatırlamanızı sağlayacak bir mesaj. ( Sistem dikkate almayacaktır. )

Bölüm 9:Firewall | Kurallar II

Firewall kurallarının tanımlandığı alt menü “Rules” bölümünde her interface için ayrı kural sayfası bulunmaktadır.

Örneğin, LAN’dan dışarıya doğru yapılacak filtreleme kuralları “LAN” tabı altında oluşturulmalıdır. Aynı şekilde dışarıdan içeriye doğru olan trafik üzerindeki filtrelemeler vb. “WAN” tabı altında yapılmalıdır.

"Floating" tabı ise tüm interfaces’lerde yürütülecek kurallar içindir.

Bölüm 9:Firewall | Kurallar III

Firewall kuralları yukarıdan aşağıya doğru uygulanmaktadır. Örneğin, birisinin internete çıkmasını engellemek istiyorsunuz, onu en üst kurala aldınız ondan sonra herkes için bir izin kural oluşturdunuz ve onuda yasak kuralının bir üstüne aldınız. Böyle bir durumda yasaklamak istediğiniz kullanıcının firewall kuralı devre dışı kalacaktır ve internete çıkmaya devam edecektir. Bunu aşağıdaki resimler açıklıyor.

Yanlış!

Doğru

Bölüm 9:Firewall | İpucu!

Kurallarda kullanılmak üzere IP, port ve network adreslerini gruplandırmak için kullanılır. Firewall kurallarında kolaylık sağlar.

Bölüm 9:Firewall | Alias

Bölüm 9:Firewall | Alias | Port

Bölüm 9:Firewall | Alias | Host

Bölüm 9:Firewall | Alias | Network

Bölüm 9:Firewall | Alias | Urltable

Zaman bazlı kurallar yazmanızı sağlar.

Örnek: Ahmet personeli hafta içi günlerde( 09:00 - 18:00 ) arası yasaklı olsun.

Bölüm 9:Firewall | Schedules

Örnek : Ahmet personeli her ay hafta içi günlerde ( 09:00- 18:00 ) arası yasaklı olsun, diğer saatler internet açık olsun.

Bölüm 9:Firewall | Schedules | Uygulama

Network ‘daki kullanıcıların internete çıkarken belirleyeceğiniz upload hızı ve download hızı ile çıkmasını sağlanabilir. Böylelikle tüm kullanıcılar adil internet paylaşımı olacaktır. Aynı zamanda network rahatlamış olacaktır.

Ana menüde Firewall > Traffic Shaper > Limiter yolu takip edilerek menüye ulaşılabilir.

Bölüm 9:Firewall | Traffic Shaper | Limiter

Herkes 2mbit upload ve 2mbit download hakları ile internette gezinsin.

1. adım

2. adım

3. adım

Bölüm 9:Firewall | Limiter | Uygulama

NAT (Network Address Translation - Ağ Adresi Çeviricisi )

NAT bir ağda bulunan bilgisayarın, kendi ağı dışında başka bir ağa veya internete çıkarken farklı bir IP adresi kullanabilmesi için geliştirilmiş bir İnternet protokolüdür. Yani NAT bilgisayarın sahip olduğu IP adresini istenilen başka bir adrese dönüştürür. Kısaca özel IP'lerin Internetteki IP'ler ile haberleşmesini sağlar.

Birden fazla NAT çeşidi vardır. Önemli olan iki tanesi;

Static NAT: Türk telekom servis sağlayacısı tarafından tahsis edilen statik 85.55.55.55 ip adresimiz var. Bir local network içerisinde istemci internete çıkarken bu ip adresinden üzerinden çıkacaktır.

Dynamic NAT: Türk telekom servis sağlayıcı tarafından 78.14.14.14 - 78.14.14.20 aralığında tahsis edilen IP havuzumuz var. Birden fazla local network içerisindeki istemciler internete çıkarken havuz içerisindeki herhangi bir internet ip adresi ile çıkacaklardır. İstemciler hangi IP adresinden çıkacaklarına kendileri karar vermezler bunu NAT yapan cihaz karar vermektedir.

Bölüm 10:NAT ( Network Address Translation )

pfSense üç farklı NAT özelliği sunar:

Port Forward : Klasik port yönlendirme işleri için kullanılır. LAN'da bulunan herhangi bir servise (port) WAN üzerinden erişilebilmesine olanak sağlar.

1:1 NAT : Belirtilen IP adresine gelen trafiği bir hedef IP adresine yönlendirir.

Outbound NAT : Spesifik bir hostun ya da networkün dışarıya spesifik bir IP üzerinden çıkarılması için kullanılır.

Npt : IPv6 için hazırlanmış bir NAT türüdür.

Bölüm 10:NAT Özellikleri

Bölüm 10:NAT Forwarding | Senaryo

Senaryo 1:WAN arayüzünden gelen ve hedef portu 80 olan tcp trafiğini 192.168.100.1 adresinin 80 portuna yönlendir.

Seneryo 2:WAN arayüzünden gelen ve hedef portu 9000 olan tcp trafiğini LAN'da bulunan 192.168.100.254 adresinin 22. portuna gönder.

Bölüm 10:NAT | Port Forwarding | Uygulama I

Senaryo 3: WAN arayüzünden kaynak 85.55.34.22 ip adresi ve hedef portu 80 olan tcp trafiğini 192.168.100.100 adresinin 80 portuna yönlendir.

Seneryo 4:WAN arayüzünden 85.55.55.55 ip adresinden gelen ve hedef portu 9000 olan tcp trafiğini LAN'da bulunan 192.168.100.254 adresinin 22. portuna gönder.

Bölüm 10:NAT | Port Forwarding | Uygulama II

1:1 NAT: Belirtilen IP adresine gelen trafiği bir hedef IP adresine yönlendirir. Bunun için kullanılacak internet IP'leri virtual IP (proxy arp) olarak tanımlanmalıdır.

Senaryo: WAN arayüzünden 86.19.12.103 gelen tüm trafiği 192.168.100.254 adresine yönlendir.

1- Önce ilgili dış IP için Proxy ARP türünde bir Virtual IP tanımlanır:

2- 1:1 NAT girdisi oluşturulur:

Bölüm 10:NAT | 1:1 NAT

Senaryo: 192.168.100.0/24 network’unu internete çıkarken 86.19.12.103 olarak dönüştür

Bölüm 10:NAT | Outbound

CARP ÖZET

Yedekli çalışma kavramı hayatımızın her noktasında. Herşeyin bir yedeği olsun isteriz, özellikle kritik

konumda olan cihazlarımızın. Tüm ağ trafiğini yöneten aktif ağ cihazlarının (switch, router, firewall) teknik

bir problem sonrası bizlere yaşattığı iş kaybı, stress günümüz şartlarında yedekli çalışmayı daha önemli

hale getirmektedir.

Bir firewall ve router olarak pfSense’in CARP (common Address Redundancy) özelliğini yapılandırma

sonrası pfSense makinalarınızdan birisi bir sorun yaşarsa anlık olarak diğer pfsense makinanız devreye

girecektir ve hiçbir veri kaybı yaşamadan ağ trafiği devam edecektir.

TR | CARP yapılandırmasına buradan ulaşabilirsiniz.

Bölüm 11:CARP ( Common Address Redundancy )

Captive Portal Servisi

Güvenli kimlik doğrulama

DHCP Server

IP dağıtımı

Squid/SquidGuard Servisi

Vekil sunucu, URL filtreleme Kullanımı

Bölüm 13:Servisler

Captive Portal internete çıkış için zorunlu kimlik denetimi sağlanmasına olanak sağlayan bir servistir. Bu servis ile kullanıcılar bir URL’ye yönlendirilebilir ve internet erişimi için kullanıcı adı / parola girmeleri ya da bir linke tıklamaları sağlanabilir.

Kamuya açık kablosuz ağ hizmetlerinin verildiği otel, kafe, eğitim kurumları ve misafir ağları gibi yerlerde internet erişimlerini güvenli bir şekilde sağlamak için kullanılan bir çözümdür.

Bölüm 13:Services | Captive Portal

Genel Özellikler

● Maximum Concurrent Connections - ( Maksimum Eş Zamanlı Bağlantı )

● Idle Timeout - ( Boş Zaman Aşımı )

● Hard Timeout - ( Sabit Zaman Aşımı )

● Logout Popup Window - ( Logout Popup Penceresi )

● Redirection URL - ( Yönlendirme Adresi )

● Concurrent user logins - ( Eş Zamanlı Kullanıcı Girişi )

● Authentication - ( Kimlik Doğrulama ( Tanımsız, Yerel, Radıus )

● Per-user bandwidth restriction : ( Kullanıcı Başına Bant Genişliği Sınırlaması )

● Pass-through MAC Auto Entry : ( İzinli MAC Otomatik Giriş )

Bölüm 13:Services | Captive Portal

Genel Özellikler

● Voucher - ( Biletler )

● MAC filter - ( MAC adresine göre filtreleme )

● IP Address filter - ( IP adresine göre filtreleme )

● Allowed Hostnames - ( Hostname adına göre yetkilendirme )

● File Manager - ( Özelleştirilebilir Giriş/Hata, Çıkış Penceleri ve Logo ayarları )

Farklı ağ arabirimleri için farklı captive portal karşılama ekranı oluşturulabilir. LAN ağ arabirimi için

farklı bir karşılama ekranı, LAN1 ağ arabirimi için farklı bir karşılama ekranı gibi.

Bölüm 13:Services | Captive Portal

Genel Özelliklerin Ne İşe Yaradıkları

Maximum Concurrent Connections: HTTP(S) Hizmet portalı karşılama ekranını aynı anda görebilecek

maximum kullanıcı sayısıdır.

Idle Timeout: İstemciler bu süre boyunca herhangi bir eylem gerçekleştirmezlerse bağlantıları kesilir.

Hard Timeout: İstemcilerin bağlantıları, etkinlik durumuna bakılmaksızın, bu sürenin sonunda koparılır.

Logout Popup Window: Hizmet portalından istemci geçişine izin verildiyse ek bir pencere açılır. Bu

pencereden kullanıcılar boşta veya mecburi zaman aşımını beklemden oturumlarını kapatıp bağlantılarını

kesebilirler.

Redirection URL: Hizmet portalı doğrulama ardından erişmeye çalıştıkları adres yerine bu adrese

yönlendirilirler.

Bölüm 13:Services | Captive Portal

Concurrent user logins: Bir kullanıcı adıyla oturum açıldığında o kullanıcı adıyla açılan diğer oturumlar

kapatılır. Bu seçenek kapalı ise aynı kullanıcı adı ile birden fazla cihazda oturum açabilirler.

Authentication : Kimlik doğrulama’yı hangi yöntem ile yapılacağı buradan belirtilir.

Per-user bandwidth restriction : Kullanıcı başına bant genişliğini buradan tanımlayabilirsiniz. Her

oturum açan kullanıcı 1024 upload ve 1024 download hızları ile çıksın denilebilir.

Pass-through MAC Auto Entry : Bu seçenek açıldığında kullanıcı başarılı şekilde kimlik doğruladıktan

sonra otomatik olarak bir MAC izni oluşturulur. O MAC adresinden çıkan kullanıcıların bir daha kimlik

doğrulaması gerekmez.

Bölüm 13:Services | Captive Portal

● İç ağa ip adresi dağıtmak için kullanılır.

● DHCP sunucusunun hizmet verdiği ağ arabirimi statik ip adresine sahip

olması gerekir!

● MAC adresine göre statik ip adresi ataması yapılabilir.

● NTP server, DNS server, WINS server bilgileri dhcp istemcilerine iletilebilir.

● DNS ve Gateway tanımı yapılabilir.

● DHCP kira süreleri belirtilebilir.

● Ağ üzerinden işletim sistemi yüklemeyi sağlayabilir.

● DHCP kiralarını görüntüleme ve yönetme sekmesi mevcuttur.

● Tanımlanmış ip aralığı ve ip-mac listesi dışındaki istemcilerin ağa erişimlerini

engeller. Bu özelliği ile diğer dhcp sunucular’dan en büyük farkını yansıtır.

Bölüm 13:Services | DHCP Server

Birden fazla ağ arabirimi destekler.

Dağıtılacak ip aralığı.

Ek IP havuzu.

Bölüm 13:Services | DHCP Server

Statik DHCP kiraları.

Bölüm 13:Services | DHCP Server

Bölüm 13:Services | DHCP Server | Kayıtlarının İncelenmesi

Bölüm 13:Services | DHCP Server | Sorun Giderme

DHCP servisi ip adresi dağıtmıyor. Servis restart ettiğinizde aşağıdaki ( zaten servis çalışıyor ) mesajı alıyorsanız;

Oct 5 20:11:29 dhcpd: There’s already a DHCP server running

Aslında arka planda dhcp servisi çalışmıyor, pid dosyası silinmemiş yeni çalışacak olan process bir kopyasının çalıştığını düşünüyor.

Çözüm;

# rm /var/dhcpd/var/run/dhcpd.pid

Komut satırından veya arayüzden yeniden servisi başlatın. Servis çalışıyor olacak.

# px aux | grep dhcp

dhcp 15276 0.0 0.8 14696 2376 - Is 10:23PM 0:00.00 dhclient: em0 (dhclient)72768 - Ss 0:00.01 /usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/

Bölüm 13:Services | Proxy Servisi

HTTP Proxy servisi kullanıcının web trafiğini analiz ederek filtrelemeden geçirir ve detaylı raporlama imkanı sağlar.

Bölüm 13:Services | Proxy Servisi | Squid

Yüksek performanslı web proxy yazılımı.

● Transparent Proxy olarak yapılandırmak

● Upstream Proxy

● Önbellek Yönetimi

● Erişim Kontrol Listeleri (ACL)

● Trafik yönetimi

● Kimlik Doğrulama

• Yerel Kimlik Doğrulama

• Ldap kullanarak Active Directory ile kimlik doğrulama

● Yerel Kullanıcılar

Bölüm 13:Services | Proxy Servisi | Squid

İstemcilere proxy adresi belirtmeden, hedef portu 80 olan istekleri squid’e aktarır. Bu yöntemi kullanabilmek için transparent proxy aktif edilir.

Dinlenecek ağ arabirimleri

Transparent proxy seçenği

Bölüm 13:Squid | Önbellek Yönetimi

Önbellek için kullanılacak disk boyutu. Yüksek trafikli ağlarda arttırılması önerilir.

Önbelleğe alma seçenekleri.

Bölüm 13:Services | Erişim Kontrol Listesi (ACL)

Allowed subnetsProxy kullanımına izin verilen ağlar. 192.168.16.0/24 gibi gibi

Unrestricted IPsSınırsız izne sahip ip adresleri192.168.16.254

Banned host addressesProxy kullanımı yasaklı ip adresleri192.168.16.200

WhitelistBeyaz liste, erişim kurallarının uygulanmayacağı adresler. Hariç tutulanlar. gmail.comwww.milliyet.com.tr

Bölüm 13:Services | Erişim Kontrol Listesi (ACL)

BlacklistErişimi yasaklanmak istenen alan adları facebook.com

ACL safeportsSquid, güvenli port numaraları dışındaki web portlarına erişimi engeller. Öntanımlı port numaraları, 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535Örneğin; http://www.test.com.tr:9999 adresine ulaşmanız için “9999” port numarasını güvenli port grubuna eklemeniz gerekir.

ACL sslportsSSL "CONNECT“ methodu ile bağlantı kurulmasına izin verilen sslportları. Ön tanımlı portlar 443 563.

Bölüm 13:Services | Kimlik Doğrulama | Yerel

Yerel kullanıcı veritabanını kullanarak kimlik doğrulama yapar.Dikkat: Transparent modda kimlik doğrulama yapılamaz !

Kimlik doğrulama methodu “local”

Yerel kullanıcı hesabı oluşturmak.

Yerel kullanıcı hesabı yönetmek.

Bölüm 13:SquidGuard

Yüksek performanslı URL Filter yazılımı. Squid ’e yardımcı servis.

● Genel Ayarlar

● Karaliste Güncelleme

● Kullanıcı ve Grup Bazlı URL Filtreleme

● Uzantı ve kelime bazlı kural tanımlama

● Zaman bazlı erişim kuralları tanımlama

● SquidGuard kayıtlarının yorumlanması

Bölüm 13:SquidGuard

Servis durumu

Karaliste kullanımı

Karaliste, yüklenecek adres

Bölüm 13:SquidGuard

Sık güncellenen karaliste adresleri; http://www.shallalist.de/ http://urlblacklist.com/

Bölüm 13:SquidGuard

Yüklenen karaliste, ACL sayfalarında “Target Rules Lists” başlığı altında yer alır. İlerleyen konularda uygulamalı olarak ele alınacaktır.

Whitelist: Her durumda belirtilen katagorideki adreslere erişim serbest Deny kuralına baskın gelir.Deny: Belirtilen karagorideki adreslere erişimi engelle. Allow kuralına baskın gelir.Allow: Seçili katagoriye erişim izni ver. Default kuralına baskın gelir.

Bölüm 13:SquidGuard | Hedef Kategori Ekleme

Karaliste dışında, istenilen url, domain veya bir düzenli ifadeye göre kategori oluşturulabilir. Bu katagoriler, istenilen acl tanımında kullanılabilir.

>> Proxy filter SquidGuard: Target categories: EditDomains list: Domain adresleri tanımlanır.Örnek; ‘mail.google.com yahoo.com 192.168.1.1’

Expressions: İfadeler. İfadeler pipe | işareti ile ayrılır.Örnek; ‘hack|sex|oyun|\.exe|\.tar.gz|\.php’

URLs list: URL adresleri tanımlanır.Örnek; ‘host.com/xxx 12.10.220.125/alisa’

Redirect mode: Kurala uygun bir erişim olduğunda, istemcilerin yönlendirme türü.Örnek; “Bu sayfaya erişiminiz engellenmiştir” gibi gibi

Bölüm 13:SquidGuard | Hedef Kategori Ekleme

Bölüm 13:SquidGuard | Yeniden Yönlendirme

URL adresinde geçen bir ifadeyi dönüştürmek için kullanılır. Birden fazla ifade eklemek istenirse + butonuna tıklanabilir.

Örneğin: hurriyet.com adresine erişilmek istendiğinde google.com olarak değiştir.

Bölüm 13:SquidGuard | Zaman Tanımları

Oluşturulan zaman tanımları, kurallarda zaman göre filtreleme yapmak için kullanılır.

Bölüm 13:SquidGuard | Genel ACL

“Common ACL” seçenekleri;

Target Rules: Karalisteden seçilen hedef kategoriler.

Do not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak isteniliyorsa erişime izin verme. Genelde URL filreleme servislerini atlatmak için kullanılır. http:/google.com yasaklı bir siteyse, google.com adresinin ip adresi http://74.125.87.104 yazılarak google adresine erişim kurulabilir. Dikkatli kullanılmalıdır!

Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir.Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi

SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.Örneğin, google.com adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. Güvenli arama motoru etkinleştirildiğinde bu aramanın sonucunu google.com listelemeyecektir.

Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et.Log: Bu kural için kayıt tut.

Bölüm 13:SquidGuard | Genel ACL

Herhangi bir kuralda tanımlı olmayan tüm kullanıcılara diğer bir deyişle varsayılan kullanıcılara “Common ACL” kuralları uygulanır.

Bölüm 13:SquidGuard | Genel ACL | Test

Ön tanımlı tüm istemcilere “download_yasak” kuralı uygulanacaktır. \.exe uzantılı bir adrese erişmek istenildiğinde, yönlendirme bilgisi olarak belirttiğimiz içerik çıkacaktır.

192.168.1.5 ip adresi, http://www.rarlab.com/rar/wrar393tr.exe url adresine erişmek istediğinde “download_yasak” hedefine göre erişimi engellendi ve “Yasaklı Adres. Erişiminiz Engellendi” mesajımız ile cevap verildi.☺

Bölüm 13:SquidGuard | Kullanıcı/Grub Bazlı ACL

Kullanıcı ve guruplara ayrıcalıklı kurallar uygulamak için kullanılır.

Seçenekler;Disabled: Kuralı devre dışı bırakır. Kuralı silmez, daha sonra tekrar kullanılabilir.Name: Kural adı.Order: Sıra. Mevcut kuralı diğer kuralların altına-üsüne taşımak için kullanılır.Client (source): Kuralın uygulanacağı kaynak adres(ler). Örnek; IP Adresi : 10.0.0.1 yada Subnet: 10.0.0.0/24 yada ip aralığı: 192.168.1.1-192.168.1.50 yada kullanıcı adı: ‘isim1’ Time: Kuralın geçerli olacağı zaman aralığı.

Target Rules: Karalisteden seçili hedef kategoriler.Do not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak

isteniliyorsa erişime izin verme. Genelde URL filreleme servislerini atlatmak için kullanılır. http:/google.com yasaklı bir siteyse, google.com adresinin ip adresi http://74.125.87.104 yazılarak google adresine erişim kurulabilir. Dikkatli kullanılmalıdır!

Bölüm 13:SquidGuard | Kullanıcı/Grub Bazlı ACL II

Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir.

Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi

SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.Örneğin, google.com

adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. Güvenli arama

motoru etkinleştirildiğinde bu aramanın sonucunu google.com listelemeyecektir.

Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et.

Rewrite for off-time: Zaman tabanlı yönlendirme kuralı.

Description: Oluşturulan kural için hatırlatıcı bir açıklama girilebilir. (Zorunlu değil.)

Log: Bu kural için kayıt tut.

Bölüm 13:SquidGuard | Kullanıcı/Grub Bazlı ACL | Seneryo

Senaryo 1: Firmamın “Yönetim Birimi” var. IP aralığı 192.168.1.1-192.168.10. Bu ip aralığına herzaman herşey serbest sadece zaralı içerikli siteler yasak (hacking gibi)

Senaryo 2: Sunucu adreslerim 192.168.1.88, 192.168.1.33, 192.168.1.56.Sunucularıma herzaman herşey yasak.Yalnızca microsoft.com domainleri izinli.

Senaryo 3: Üretim grubu (192.168.1.100-192.168.1.200) yalnızca mola saatlerinde (12:30-13:30) internete çıkabilsinler bu saatler dışı herşey yasak.

Senaryo 4: Muhasebe birimi içerisinde ( 192.168.1.100,192.168.1.200 ) ip adresleri herşey engelli olsun, sadece ( erişim.com.tr ) adresine erişebilsin.

Bölüm 13:SquidGuard | Kullanıcı/Grub Bazlı ACL | Seneryo

Senaryo 1: Firmamın “Yönetim Birimi” var. IP aralığı 192.168.1.1-192.168.10. Bu ip aralığına herzaman herşey serbest sadece zaralı içerikli siteler yasak (hacking gibi)

Senaryo 2: Sunucu adreslerim 192.168.1.88, 192.168.1.33, 192.168.1.56.Sunucularıma herzaman herşey yasak.Yalnızca microsoft.com domainleri izinli.

Senaryo 3: Üretim grubu (192.168.1.100-192.168.1.200) yalnızca mola saatlerinde (12:30-13:30) internete çıkabilsinler bu saatler dışı herşey yasak.

Senaryo 4: Muhasebe birimi içerisinde ( 192.168.1.100,192.168.1.200 ) ip adresleri herşey engelli olsun, sadece ( erişim.com.tr ) adresine erişebilsin.

Bölüm 13:SquidGuard | Kayıtların Yorumlanması

Bölüm 14:VPN (Virtual Private Network) Servisleri

Özel sanal ağlar oluşturmak için kullanılır.Farklı vpn türleri vardır; PPTP, L2TP, IPSEC vb.

IPSECUDP Port 500ESP/AH protokollerini kullanır

PPTPTCP Port 1723GRE protokolünü kullanırRadius Auth. Destekler

OpenVPNTCP Port 1194

Bölüm 14:VPN IPsec (site2site)

Bölüm 14:VPN PPTP (client2site)

Bölüm 14:VPN | PPTP (client2site)

● PPTP VPN uyumluluk açısından en çok tercih edilen client2site vpn çözümüdür.

● Günümüzde yerini OpenVPN’e bırakmakta olmasına rağmen Windows desteği ve kolay

kurulumu nedeni ile halen yaygın olarak kullanılmaktadır.

● Diğer VPN servislerine göre daha güvensiz bir çözümdür.

● pfSense’de pptp vpn ayarları VPN → PPTP menüsünden erişilen sayfada yapılmaktadır.

● pfSense PPTP VPN için kullanılacak sanal subnet, varolan subnetlerin dışında

olmalıdır !

Bölüm 14:VPN | PPTP (client2site)

pptp kullanıcı açma sayısı

pptp server ip adresi

pptp kullanıcılarına atanacak başlangıç ip adresi

pptp kullanıcılarına atanacak DNSsunucu bilgileri

Bölüm 14:VPN | PPTP (client2site)

Kullanıcı tanımlama ekranı

Kullanıcı bilgilerinin girildiği bölüm

Bölüm 14:VPN | PPTP (client2site)

varsayılan olarak 1723 pptp portu kullanılmaktadır ve uzaktan bağlantı için izin kuralı tanımlanmalıdır.

PPTP kullanıcıları için izin kuralı.

Bölüm 14:PPTP (client2site) | MAC OS X Sistemlerde Bağlantı

Bölüm 14:PPTP (client2site) | MAC OS X Sistemlerde Bağlantı

PPTP VPN kuracağımız pfSense WAN arabirimi (örn. 78.123.98.123)

Kullanıcı adı ve parola bilgileri tamamlandıktan sonra bağlantı kurulabilir.

Bağlantı başarıyla kurulduğunda, kullanıcı sanal ağdan bir ip adresi alacaktır.

Bölüm 14:PPTP (client2site) | Windows Sistemlerde Bağlantı

1

3

2

Bölüm 14:PPTP (client2site) | Windows Sistemlerde Bağlantı

4 5

PPTP VPN kuracağımız pfSense WAN arabirimi (örn. 78.123.98.123)

6

pptp vpn ‘de tanımlamış olduğunuz kullanıcı adı ve parola girildikten sonra bağlan butonuna tıklayarak bağlanılır.

Bölüm 14:PPTP (client2site) | Linux Sistemlerde Bağlantı

1PPTP VPN kuracağımız pfSense WAN arabirimi (örn. 78.123.98.123)

pptp vpn ‘de tanımlamış olduğunuz kullanıcı adı ve parola girilir.

2

Bölüm 14:PPTP (client2site) | IOS Cihazlarda Bağlantı

Bölüm 14:VPN | OpenVPN (client2site)

● OpenVPN günümüzde kullanılan güvenli bir VPN çözümüdür.

● PPTP’nin tersine trafiğin uçtan uca şifrelenmesini PKI altyapısı kullanarak sağlar.

● Two factor authentication olduğundan daha güvenlidir.

● Yapılandırması PPTP’ye göre biraz daha zordur.

● pfSense’de OpenVPN ayarları VPN → OpenVPN menüsünden erişilen sayfada

yapılmaktadır.

TR | OpenVPN dökümantasyonuna buradan ulaşabilirsiniz.