5.Port Yönlendirme ve Firewall Zywall üzerinde port yönlendirme işlemleri için Network_Virtual Server menüsü kullanılır. Örnek olarak içerideki bir sunucuya iç network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP den mstsc (remote desktop connection) ekranına gerçek IP mizi(örnek:88.245.34.45) yazarak içerideki 192.168.1.x IP li sunucuya ulaşmak. Bunun için ilk olarak virtual server menüsünde sağ taraftaki artı butonuna tıklayarak kural eklememiz gerekiyor. Burada oluşturacağımız kuralı aktiflemek için Enable Rule u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP yi alan interface i wan1_ppp yi seçiyoruz.
Original Ip ye any olarak giriş yapıp Mapped IP ye içeride bağlanmak istediğimiz IP yi yazıyoruz. Bunun için bu Ip yi bir object olarak cihaza tanımlamamız gerekiyor. Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir.
Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip sini tanımlıyoruz. Bu ekranı kaydedince otomatik olarak Virtual Server kural ekranına dönüş yapacağız. Port mapping Type kısmında Service, Port ve Ports seçilebilir. Service seçerek buradan port bazında cihazda otomatik tanımlı servislerden ihtiyacımız olanı bulabilir veya create object i kullanarak bu trafiğin kullanacağı portu tanımlayarak seçebiliriz.
Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem Zywall gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor. Policy Route menüsüne otomatik bir rota girilmesi için de NAT 1:1 mapping seçilmeli ve ayarlar kaydedilmelidir. Dışarıdan içeriye doğru Zywall a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN dan WAN a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN dan LAN a (dışarıdan içeriye); ki bu örnekte de Zywall a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır.
Firewall da WAN dan LAN a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden sağdaki artı butonuna basarak kural tanımlamamız gerekiyor.
Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN dan LAN a doğru olduğu için From kısmı WAN to kısmı LAN1 olarak seçilir. Schedule,User, Source,Destination menüsü any olarak seçilir.(source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak Zywall a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir.) Service kısmında create object ile 3389 portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz. Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır.
Kuralı kaydettiğimizde Firewall genel menüsünde WAN dan LAN a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada Zywall a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN dan Lan a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389 dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız.
Port yönlendirme ve Firewall kuralları ile ilgili ileri düzey ayarlar veya sıkıntı yaşadığınız spesifik senaryolar hakkında destek almak için bizlerle irtibata geçiniz.