Nat yerine Pat kullanmak
IPv4 sayısı azaldıkçe ip dağıtımını yapan organizasyonlar ripe, arin, apnic, afrinic ve lacnic kullanılmayan veya düzgün yapılandırılmamış ip'leri tespit edip, verildiği kurumlardan/şirketlerden ip'leri geri almaktadır.
Kurumlar ve servis sağlayıcılar IPv6'ya geçmemekte nedeni de basit, ayarlamak zor ve router/switch üreticilerinin IPv6'yı desteklemek için kullanıcılardan ilave para talep etmeleridir.
Kullanılmayan ip'leri geri almasına bir şey denemez ama elinizdeki ip'leri "düzgün kullanmıyorsunuz" diyerek geri alması veya yeni ip talebinizi redetmesi itibarınızı zedeleyecektir.
Bir sunucunun dışarıya hizmet vermesi için için en kolay yöntem "NAT"tır. Herşey de olduğu gibi nat'ın da dezavantajı vardır bu da kullandığınız gerçek ip'yi (real ip) başka bir sunucu/servis/hizmet için kullanamazsınız.
Bu noktada "PAT" devreye girer.
Dezavantajı;
PAT, NAT kadar kolay ayarlanmayacaktır.
Avantajı;
Bir gerçek ip'yi (real ip) birden fazla sunucu/servis/hizmet için kullanmanızı sağlar.
Checkpoint'iniz üzerinde daha etkin olmanızı ve bu da özgüveninizi arttır.
Hadi yapalım;
Senaryo gereği 4 adet sunucunuz olduğu ve bu sunucular üzerinde dns, e-posta, ftp ve web hizmetlerini verdiğinizi varsayalım.
1) Yapılması gereken ilk iş port dışarıya sunulacak hizmetlerin/servislerin listesini oluşturmak;
port listemizi oluşturalım
53, udp, sorgulama, dns
21, tcp, command, ftp
20, tcp, data, ftp (passive mod kullanılıyorsa bu port'a ihtiyaç yoktur)
110, tcp, pop3, e-posta
25, tcp, smtp, e-posta
143, tcp, imap, e-posta
80, tcp, http, e-posta
443, tcp, https, e-posta
80, tcp, http, web
443, tcp, https, web
2) Liste oluşturulduktan sonra bu listenin gerçek ip'lere dağıtım listesini oluşturmak;
53, udp, sorgulama, dns, 196.143.134.70
21, tcp, command, ftp, 196.143.134.71
110, tcp, pop3, e-posta, 196.143.134.68
25, tcp, smtp, e-posta, 196.143.134.68
143, tcp, imap, e-posta, 196.143.134.68
80, tcp, http, e-posta, 196.143.134.68
443, tcp, https, e-posta, 196.143.134.68
80, tcp, http, web, 196.143.134.66
443, tcp, https, web, 196.143.134.66
3) Liste oluşturulduktan sonra bu listenin iç ip'lere dağılımını listelemek gerekli;
53, udp, sorgulama, dns, 196.143.134.70, 10.10.5.5
21, tcp, command, ftp, 196.143.134.71, 10.10.5.6
110, tcp, pop3, e-posta, 196.143.134.68, 10.10.5.10
25, tcp, smtp, e-posta, 196.143.134.68, 10.10.5.10
143, tcp, imap, e-posta, 196.143.134.68, 10.10.5.10
80, tcp, http, e-posta, 196.143.134.68, 10.10.5.10
443, tcp, https, e-posta, 196.143.134.68, 10.10.5.10
80, tcp, http, web, 196.143.134.66, 10.10.5.15
443, tcp, https, web, 196.143.134.66, 10.10.5.15
4) Düzenleme yapalım böylece çakışan portlar var mı bakalım;
53, 21, 110, 25, 143, 80, 443, 80, 443
Görüldüğü gibi web ve e-posta servislerinin iki portu çakışmakta.
Bu durumda bu durumda bize en az iki gerçek ip (real) gerekli olacaktır.
Ip'leri dağıtalım.
53, 21, 110, 25, 143, 80, 443; 196.143.134.75
80, 443; 196.143.134.76
Sadece NAT kullanılarak yapılan ayarlamada 4 gerçek ip kullanıyorken PAT kullanımında sayıyı ikiye indirdik.
Listedeki port'ları çakışmadığı sürece istediğiniz gibi dağıtabilirsiniz.
5) Checkpoint için gerekli olacak local.arp dosyamızı hazırlayalım;
Local.arp dosyasının amacı dış arabirimin mac adresini gerçekte yayımlanmayan gerçek ip'lere tanımlamaktır.
Bu işlemi atlarsak ayarlar doğru olduğu halde bağlantı problemleri (paket kayıpları) yaşanacaktır.
Önce dış arabirimin mac adresini bulalım;
Ssh ile checkpoint'e bağlanıyoruz, "expert" yazıp şifremizi giriyoruz, daha sonra "ifconfig" yazıyoruz.
Örnek çıktı böyle oluyor;
eth0 Link encap:Ethernet HWaddr 00:0A:5F:51:D1:BC
inet addr:196.143.134.80 Bcast:196.143.134.127 Mask:255.255.255.192
.......
RX bytes:20135604816 (20036.6 Mb) TX bytes:16964149 (106.1 Mb)
Interrupt:15 Base address:0x4000
Burdan çıkan sonuç, mac adresimiz "00:0A:5F:51:D1:BC"
Ağ bölümlemiz de 196.143.134.64/26'dır.
Örnek local.arp dosyamızın içeriği şu şekilde olmalıdır;
196.143.134.80 00:0A:5F:51:D1:BC
196.143.134.75 00:0A:5F:51:D1:BC
196.143.134.76 00:0A:5F:51:D1:BC
Ssh bağlantımızdan şunları yazalım;
cd $FWDIR (büyük harflerle)
cd conf/
Daha önceden tanımlanmış dosyamız varmı bakalım;
cat local.arp
cat: local.arp: No such file or directory (yokmuş yaratalım)
vi local.arp
"a" basalım daha sonra hazırladığımız listeyi yapıştıralım (paste).
196.143.134.80 00:0A:5F:51:D1:BC
196.143.134.75 00:0A:5F:51:D1:BC (yeni pat tanımlarımızı yapacağımız kullanılmayan gerçek ip)
196.143.134.76 00:0A:5F:51:D1:BC (yeni pat tanımlarımızı yapacağımız kullanılmayan gerçek ip)
(fazladan bir "enter" basmayı unutmayın)
~
~
~
("esc" basın daha sonra ":" ve "wq" yazıp "enter" basın)
local.arp: new file: 4 lines, 100 characters.
Örnek çıktımız bu şekildedir. Dosyamızın doğru olduğundan emin olalım;
cat local.arp
...
Vi alışkanlığımız yoksa bu komutları yazabilirsiniz;
echo 196.143.134.80 00:0A:5F:51:D1:BC > local.arp (bir adet ">" işareti)
echo 196.143.134.75 00:0A:5F:51:D1:BC > local.arp (iki adet ">>" işareti)
echo 196.143.134.76 00:0A:5F:51:D1:BC > local.arp (iki adet ">>" işareti)
local.arp dosyamız hazır.
6) Checkpoint'e kuralları (security ve nat) girelim;
Öncelikle 4 tane iç ip node'larını hazırlayalım;
"Host node" olarak tanımlayacağız;
name: sunucu_dns ip address: 10.10.5.5
name: sunucu_ftp ip address: 10.10.5.6
name: sunucu_eposta ip address: 10.10.5.10
name: sunucu_web ip address: 10.10.5.15
"network objects" bölümünde gerçek ip'ler için iki adet "host" objesi tanımlayın;
name: External_IP_75 ip address: 196.143.134.75
name: External_IP_76 ip address: 196.143.134.76
Daha sonra "service" sekmesinden;
"Group" yaratılım,
name: IP_75_ports in group: ilgili servisleri atayın.
name: IP_76_ports in group: ilgili servisleri atayın.
Not: DNS sunucusu ayrı bir sunucuda olduğundan servis listesine eklemedim. Sizin yapınızda bu servisler/hizmetler aynı makinedeyse, ekleyin.
Security kuralımızı girelim;
Not: Security'de "name" bölümünde Türkçe karakter kullanmayın.
Nat kurallarımızı girelim;
2 ve 4 numaralı kuralı ayarlarken "choose translation method" sorusu çıkacaktır, "static" seçiyoruz.
Not: 2 ve 4 numaralı kuralda "service" bölümü "any" seçilebilir bu durumda dns sunucunun dışarıya doğru tüm bağlantılarında gerçek ip adresi kullanılır.
Service kısmı resimdeki gibi bırakılırsa bu durumda sadece ilgili port'lardan dışarıya doğru bağlantılarında gerçek ip adresi kullanılır.
Tanımlarımız bitti, özellikle local.arp dosyamızın doğru olduğundan emin olun.
7) Proxy arp'ın aktif hale (secure platform) gelebilmesi için yapılması gerekenler;
"vi /etc/sysctl.conf" ile ayarların bulunduğu config dosyasını açıyoruz ve
net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.default.proxy_arp = 1
değerlerini yukarıdaki gibi değiştiriyoruz.
Daha sonra "reboot" yazarak secure platform'u kapatıp açıyoruz.
Artık "install policies" için hazırsınız.
"Policies install"dan sonra "fw ctl arp" komutu ile arp tablonuzu görebilirsiniz.
Güncelleme - 2008-08-05;
Özellikle web sunucularların dışarıdan erişimleri ile ilgili olarak bağlantı sorunları yaşıyorsanız ve web filtering özelliğini kullanıyorsanız bu durumda şöyle bir kural girmeniz gerekecektir;
"Content Inspection" - "web filtering" - "advanced" - "network exceptions"
"Enforce the web filtering policy on all traffic except for traffic from the following sources and destinations:"
seçin, daha sonra
"add" - "source, any" - "destination, sunucu, External_IP_76" ekleyin.
Bağlantı probleminin sebebini anlayamadım sanırım bug var. Yukardaki gibi bir ilave ile sorunu giderebilirsiniz.
Güncelleme ve özür - 2008-09-12
En önemli şeyi unutmuşum, local.arp dosyasına eklediğiniz ip ve mac'lerin geçerli olması ve yayımlanması için mutlaka bu ayarı açmanız gerekli. Unuttum yazmayı.
Alıntı Yaparak Cevapla
Basitleştirelim
