Mikrotik, PPP , Kablonet veya Simetrik İnternet Ayarı, DHCP dağıtımı, Firewall İleri yapılandırma, Web Filtre Kurulum

D Çevrimdışı

Daidalos 

✌ ✌ ✌ ✌
Süper Üye
22 Kas 2018
810
Daha önceki Mesajımda temel ayarlar ile firewall ı internete nasıl çıkaracağımızı anlatmıştım bu konuda gerekli olan DHCP kurulumu kopyala yapıştır yapacağım



Köprü modu kullandığınız yönlendiricinin yükünün tamamını mikrotik firewall e vermeniz için 2 senaryodan en istikrarlı olanıdır. Diğer senaryo yönlendiricinin yani modemin dhcp dağıtımından dmz aktif edilerek mikrotik firewall e yönlendirilmesiyle gerçekleşen senaryodur 1. Senaryo Superonline fiber de kullanılamaz çünkü Superonline fiber PPP bağlantı için gerekli olan kullanıcı adı ve şifrenizi paylaşmamaktadır.( Linux çekirdekli bir işletim sistemine pppoe sunucu kurularak bazı modemlerden bu bilgiler çekilebilir ) 1. Senaryoyu gerçekleştirecekseniz öncelikle modeminizi bridge moda almanız gerekmektedir.

PPP Kurulum

PPP Servis sağlayıcıdan aldığımız kullanıcı adı şifre ile bridge modu sonlandıracağımız kısımdır

Sol menüden PPP - + - PPPoe Client e yıklıyoruz.

Karşıma gelen ekranda “Name” istediğimizi yazıp

İnterfaces kısmına, modemden gelen cat kabloyu hangi porta taktıysak onu seçiyoruz. Ardından “Dial Out” Sekmesine geçiyoruz.

“User ve password” Kısmına ISS den aldığınız bilgileri giriyoruz. Burada dikkat etmemiz gereken nokta “use peer DNS”. Tiki işaretlersek iss den aldığı dns ile internete çıkış sağlayacağız. İşaretlemezsek IP-DNS kısmına dns girmemiz gerekecek tercih sizlerin. Apply-OK diyerek firewall internete çıkmaya hazır hale getiriyoruz.

ppp.jpg


Kablonet veya Simetrik İnternet Ayarı

Sırası ile “Ip - Dhpc Client” tıklayıp açılan sayfada Dhcp Client altında + butonuna tıklayın ve “Interface” yi modemden gelen cat kabloyu taktığınız portu seçip “ok” a tıklayın.

(Use Peer DNS: İşaretli ise Sağlayıcının dns bilgilerini çeker siz kendi belirleyeceğiniz dns i kullanacaksanız Ip-Dns kısmına girmelisiniz.

Use Peer NTP: ise sağlayıcının zaman bilgilerini çeker işaretli kalmasını öneririm )

Dhcp client ip aldı ise artık mikrotik internete çıkıyor demektir. (Simetrik internet için yazıyorum ) Bazı omniswitchlerde dhcp dağıtımı yoktur bunun için iss den ip bloğunuzu ve dns’inizi almanız gerekli bu bilgiler elinizde ise IP-Addresses kısmına girip + butonuna tıklıyoruz iss den aldığınız ip bloğunuzu “address” kısmına yazıp “interface” kısmından bağlı olan portu seçip “apply-ok” tıklayarak tamamlıyoruz.

client.jpg


“IP-DNS” Kısmına gelip iss den aldığımız dns i en üste yazıyoruz.

dns9bd1d125ebc7083c.jpg


“IP-Routes” kısmına gelip + butonuna tıklıyoruz “Geteway” kutucuğuna iss den aldığınız geteway adresini giriyoruz “apply-ok” diyerek sonlandırıyoruz. Bu anlatımı statik ip aldığınız kablonet içinde uygulayabilirsiniz fakat kablonet modemler dhcp dağıtımı yaptığı için çok kullanılmaz.



Dhcp Server Kurulum

Dhcp server ın dağıtacağı ip aralığını belirlemeniz gerekli ben 172 li ip bloğu ve 24 maske ile kurulum yapacağım.

“Ip - Addresses” kısmına gelip + butotuna tıklayıp “address” kısmına 172.16.1.1/24 “interface” kısmını ise mikrotikten clientlara dağıtım yapmak istediğiniz portu seçip ok’a tıklayın “Network” kısmını otomatik atayacaktır.

“Ip- Dhcp Server” Kısmına Gelip “Dhcp Setup” a tıklayın açılan pencerede “Dhcp Server İnterface” yi addreses de seçtiğiniz portu seçip next i tıklayın çıkan her pencereye setup has completed successfully uyarısını görene kadar next e tıklayın.

“Ip-Firewall-Nat” Sekmelerinden + butonuna basın açılan pencerede general sekmesi altınca “Chain” Karşılığı Srcnat olmalı

Scr. adress karşılığına belirlediğiniz ip bloğunu yazacağız yani 172.16.1.0/24

Sonra “action” sekmesine gelip action karşılığı masquerade olmalı.

Böylelikle dhcp server kurulumunu yapıp client makinelerin internete çıkışını sağladık.

Firewall

Burada önemli olan gelen giden tüm portları engelleyip isteğe ve clientlere göre izin vermektedir. Firewall cihazların 1. Kuralı budur. “Tüm İstekleri reddetmek”


“IP-Firewall” sekmesinden “Filter Rules” Seçilip “+” butonuna tıklıyoruz.

Açılan pencerede General sekmesi altında “chain” forward seçilir

“scr address kısmına dhcp dağıtım yaptığımız ip adres bloğu yazılır. Örn; 172.16.1.0/24

“Protocol” kısmı TCP seçiyoruz (sıralamanın bir önemi yok ama hem tcp hemde udp olmak üzerine kuralı iki kez yazmamız lazım )

“Any. Port” 1-65535 yazıyoruz. (bunun nedeni port numaralı 16 bittir ve son kullanılacak port 65535 e tekâmül eder. Mikrotik cihazlarda port aralığı – ile port sıralama , ile yapılır. Yani 1-500 yazarsanız 1 den 500 e kadar tüm portlar kabul edilir 1,500 yazarsanız sadece 1 ve 500 portları kabul edilir. )


filter1.jpg


“Action” sekmesi altından action karşılığını drop seçiyoruz. Apply ve copy diyerek protocol kısmından tcp seçtiğimiz yeri udp ile değiştirip “OK” tıklayarak sonlandırıyoruz.Böylece aynı kuralı hem tcp hem udp olmak üzere iki kere yazmış olduk.

filter2.jpg



filterUDP.jpg




Artık hiçbir client internete çıkamaz paket gönderemez ve alamaz. İnternete çıkmasını istediğimiz clientları sizin istediğiniz şekilde interneti nasıl kullanacaklarını belirleyebilirsiniz.



Burada 1 senaryo anlatacağım siz istediğiniz kadar senaryo oluşturabilirsiniz.


Client’lerin internete çıkabilmeleri için öncelikle “DHCP Server” dan “Leases” sekmesine gelip statik ip vermeniz gerekli. Clientler bu sayfada görüntülenecektir. Otomatik ip almış ve statik atanmamışların başında “D” işaretini göreceksiniz üzerine çift tıklayık “Make Static”e tıklarsanız o cliente ip-mac eşleşmesi yani statik ip vermiş olursunuz. O kullanıcı artık sadece o ip adresini alabilir.

“IP-Firewall” den “address list” sekmesi açılıp + butonuna tıklanır name kısmına ne isterseniz onu yazın (bir sonra ki kuralda bu listeyi kullanacağınız.)

Address Kısmına sadece 1 adres yazıyoruz ve bu liste ile etkileşimde olan kurala, bu ip adresinin sadece tarayıcı üzerinden interneti kullanabilmesini sağlayacağım. OK seçerek listemizi kayıt ediyoruz.


izin.jpg


Filter Rules sekmesine geliyoruz

General sekmesi altında chain karşılığını forward seçiyoruz Protocol karşılığı TCP, Dst Port karşılığına ise izin vereceğimiz portları yazıyoruz ben sadece tarayıcı üzerinden interneti kullanmasını istediğim için http portu olan “80” ve https portu olan “443” portlarını aralarında , olarak yazacağım. Sonra Advanced sekmesine gelip scr.address list karşılığına oluşturduğum listeyi seçip Action sekmesine geliyorum Action karşılığını accept seçip APPLY ve Copy ye tıklayarak General sekmesine tekrar geliyoruz değiştireceğimiz kısım protocol ve dst port kısmı protocol UDP, dst port ise sadece “53” olmalıdır. 53 portu dns portudur yani clientler istek gönderdiklerinde önce dns sorgulanır 53 portuna izin vermez isek hiçbir şekilde client internete çıkamaz. OK tıklayarak kuralı tamamlıyoruz. Böylelikle 172.16.1.3 adresi artık sadece tarayıcı üzerinden interneti kullanabilecek 80 ve 443 portunu kullanan uygulamalar hariç tabi ki.


izinliste.jpg

izinliste2.jpg

izinliste3.jpg


Not ; Yazdığım kuralara göre 172.16.1.3 ip si Outlook vb mail uygulamalarını, Mobil ise whatsapp ve buna benzer 80 ve 443 portundan çalışmayan uygulamaları kullanamayacaklar. Bunları kullanmasını istediğiniz kullanıcılara isterseniz aynı işlemleri yaparak yeni bir liste kural oluşturup isterseniz oluşturduğunuz kurala sadece 80,443 ve udp 53 portuna ekleme yaparak kayıt edebilirsiniz. Portları yazarken “,“ ile ayırmayı unutmayın örn; 80,443,993,465

Kurallar bittikten sonra Client eklemek için statikleştirdiğiniz ip adresini address list kısmına hangi listeye ekleyecekseniz name kısmına o listenin adını address kısmına ip adresini yazıp kayıt ediyoruz ve o kullanıcı o listeye dâhil olmuş oluyor.



Müsait bir zamanda konuyu tamamlayacağım ve eklemeler yapacağım.
 
Geri
Üst Alt