WatchGuard UTM üzerinde Statik NAT


Network Address Translation (NAT)

Merhabalar

Bu makalemizde Network Address Translation (NAT), Statik NAT ve bu işlemlerin Watchguard UTM cihazı üzerinde nasıl uygulandığını göreceğiz. Kısaca bahsetmek gerekirse;Network Address Translation (NAT) bir network içerisinde kullanılan ip adreslerinin internet ortamına çıkarken ISP tarafından bize verilmiş olan IP adresi/adreslerine dönüştürülmesi işlemine denilmektedir. Örneklemek gerekirse 88.122.34.23 nolu ip adresinizin ISP tarafından size tahsis edildiğini varsayalım. İç tarafta ise 192.168.1.2 / 192.168.1.3 /192.168.1.4 IP’lerine sahip 3 adet bilgisayarınız olsun. Bu bilgisayarlar internete çıkacakları zaman NAT devreye girer ve 192.168.1.2 olan IP adresi 88.122.34.23 olarak değişir ve internete çıkabilirsiniz. Bu şekilde içerideki bilgisayar sayısı kadar IP satın almak zorunda kalmamış oluyoruz. Bildiğiniz gibi bu sayede internet üzerinde kullanılan IP sayısından da tasarruf etmiş oluyoruz.

Watchguard üzerinde ADSL kullanıcı adı ve parola ayarları, Metro Ethernet ya da Leased Line hattımızın ayarlarının yapıldıgı yer Policy Manager üzerinde Network → Configuration → External arayüzü kısmındadır.

Network Configuration ekraninda 0-Interface External bacağını seçerek Configure tıklıyoruz.

Use Static IP : Bu bölümünde ISP tarafindan bize verilen ve bizim default olarak kullanmak istediğimiz IP’nin girildiği yerdir.

Not : WINN tarzı cihazımızı IP alarak kullıyorsak kısımda IP ‘yi girmeliyiz.

Use DCHP Client : Elimizde WINN tarzı bir cihaz varsa ve UP si otomatik ise bu ayari seçmemiz gerekmektedir.

Secondary : Bu bölümde ISP tarafından bize verilen diğer IP adreslerini girdiğimiz bölümdür.

Use PPPoE : Bu bölümde ADSL kullanıcı adi ve parolamizin girildiği yerdir.

Statik NAT

Bu uygulamadaki amaç dış ağdan iç ağa bağlanırken dış ağdan gelen bağlantının port adresini değiştirmektir. Uygulamasını yapacağımız portun örneğinden yola çıkacak olursak. Dışarıdan 3390 ila gelen istekleri içerideki NAT’ladığımız sunucunun 3389 nolu portuna yönlendirme işlemi bu kısmın konusudur. Birçok UTM cihazı için bu işlemi yapmak biraz zaman kaybettirici olsa bile Watchguard bu konuda çok pratik seçenekleri ile sistem yöneticilerinin işini kolaylaştırmaktadır. Uygulamamızda Önce NAT’ı sonra Statik NAT’ı gerçekleştireceğiz.

Watchguard System Manager ile cihazımıza bağlanıyoruz. Daha sonra Policy Manager Ardından yukarıdaki gibi Artı butonuna tıklayarak ya da boş alanda sağ tuş Add Policy diyerek Policy olarak ekleyebileceğimiz kuralları görüyoruz.

Packet Filters sekmesinde bulunan protokolleri ve portları görebilirsiniz.

RDP’yi seçip, Add diyerek devam ediyoruz.

Burada uygulayacağımız bu kuralın nereden nereye gideceğini belirliyoruz. From ile gösterilen kısım Nereden gelineceğini To ile gösterilen kısım ise nereye gideceğini belirtir. Policy default olarak Any-Trusted ( İçerden ) Any-External (Dışarıya) olarak gelmektedir. Any-Trusted seçerek Remove diyoruz.

Any-Trusted adresini sildikten sonra Any-External eklemek için Add diyoruz.Çünkü biz dışarıdan geliyor olacağız bu nedenle From kısmına Any-External eklememiz gerekiyor.

Add Adress ekraninda Any-External seçerek Add tikliyoruz.

From kismina Any-External geliyor gördüğünüz gibi.

Şimdi NAT yapılandıralim To kisminda Any-External görülüyor Remove diyerek Any-External adresini siliyoruz.

Any-External adresini sildikten sonra Add diyoruz.

Add Address ekraninda Add SNAT tikliyoruz.

SNAT ekraninda Add tikliyoruz.

SNAT Name kismina bir isim veriyoruz ve Add tikliyoruz.. Ben 3389 Portu için NAT yapacağım için RDP_3389 olarak adlandırdım.

Add Static Nat ekraninda External IP Address bölümünde External seçersek sadece external yani o interface üzerinden bağlanabiliriz.Ama eğer cihazimiza birden fazla interface tanimli olsaydi.Örneğin Cihazimiz üzerinde hem MetroEthernet hem ADSL olsaydı o zaman buraya Any-External diyerek bütün interfaceler üzerinden bağlanabiliriz.Benim cihazim üzerinde sadece bir sadece external interface olduğu için ben sadece External seçtim.

Gördüğünüz gibi kuralımızı oluşturduk. Buradaki From yani Any-Externaldan yani dışardan External bacağına RDP yaptığımızda içeride 192.168.34.67 IP adresli Server’imiza 3389 portu üzerinde  Remote Desktop bağlantısı yapabiliriz.

İşlem tamamlanmıştır. Yazdığımız kuralın aktif olabilmesi için cihaz içerisine kaydetmeyi unutmayınız.

Şimdi ise Statik NAT örneğine geçelim. Senaryomuz dışarıdan 3390 ile gelen istekleri içerideki sunucumuzun RDP portunu değiştirmeden default RDP portu olan 3389’a yönlendirme yapmak.

Yine Policy Manager menüsünde yukarıdaki gibi Artı butonuna tıklayarak ya da boş alanda sağ tuş Add Policy diyerek Policy ekranini açıyoruz.

Bu sefer cihaz üzerinde tanımli olmayan bir port ekleyeceğimiz için Add Policies ekraninda Custom seçeneğini seçiyoruz ve New tikliyoruz.

New Policy Template ekraninda ekleyeceğimiz port için bir isim belirtiyoruz ve Add diyoruz.

Add Protocol ekraninda sadece 3390 portunu tanımlayacağımız için Type sekmesini Single Port olarak tanımlıyoruz. Protocols sekmesini TCP olarak tanımlıyoruz. Server Port sekmesinide 3390 olarak tanımlıyoruz.

Add Policies ekranina oluşturduğumuz 3390 Portu geliyor gördüğünüz gibi Add diyerek yapılandırmaya geçiyoruz.

From kismi Any-External olarak tanimliyoruz to kismina Statik NAT yapılandırmasi için Add diyoruz.

Add Address ekraninda Add SNAT tikliyoruz.

SNAT ekraninda Add tikliyoruz.

SNAT Name kismina bir isim veriyoruz ve Add tikliyoruz.. Ben 3390 Portu için NAT yapacağım için burayada RDP_3390 olarak adlandırdım.

Burada NAT’dan farklı olarak Set internal Port a different port seçeneğini seçip içerideki sunucumuza yönlendireceğimiz port numarasını giriyoruz. Yani Any-External 3390 portu ile geldiğimizde içerdeki server’imiz portu 3389 olduğu için içeride NAT yaparken 3389 portundan bağlanmasi sağlıyoruz.Policy’nin son hali aşağıdaki gibi olmalıdır.

Gördüğünüz gibi kuralımızı oluşturduk. Buradaki From yani Any-Externaldan yani dışardan External bacağına 3390 ile  RDP yaptığımızda içeride 192.168.34.78 IP adresli Server’imiza içeride 3389 portu üzerinde  Remote Desktop bağlantısı yapabiliriz.

Gördüğünüz gibi oluşturduğumuz kuralımız listemize eklendi.Ayarları WatchGuard Policy Manager’dan Save to Firebox ile kaydettikten sonra artık uzaktan 88.122.34.23:3390 yaptığımız zaman iç ağımızda bulunan 192.168.34.78 nolu sunucumuza yönlenecektir. Gördüğünüz gibi Watchguard ile Statik NAT işlemi bu kadar pratiktir 🙂

Bir sonraki makalemizde görüşmek üzere…

Bir yorum ekleyin