PALO ALTO FIREWALL NAT

Benzer belgeler
Ssl Vpn konfigurasyonunda öncelikle Sslvpn yapmasına izin vereceğimiz kullanıcıları oluşturuyoruz.

Cyberoam Firewall Kullanıcı ve Grup Oluşturma

PALO ALTO FIREWALL HAZ LG LER

Useroam Cloud Kurulum Rehberi

Iptables. Deniz Özibrişim. Eylül, 2012

5.Port Yönlendirme ve Firewall

Cyberoam Single Sing On İle

Uzem Eğitmen Girişi. Şekil 1. Sisteme girdikten sonra Şekil 2 deki ekran karşımıza çıkacak. Bu ekrandaki adımları kısaca tanıyalım.

Port Yönlendirme ve Firewall Kuralı Oluşturma

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

BÖLÜM 1 : ENERJ YÖNET C S N N B LD R LMES

TCP-IP PROTOKOLÜ MODÜLÜ

VSG 1200_v2 Kurulum ve Kullanım Kılavuzu

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM

Useroam Cloud Kurulum Rehberi Sophos

Pfsense kurulum için gereken cd iso imajını adresinden indirebilirsiniz.

Pikatel Airmax Web Arayüzü

BQTEK SMS Asistan. Kullanım Kılavuzu. Doküman Versiyon: BQTEK

MikroÖdeme Servis Dökümanı

BQ360 Modbus Dijital Giriş 24 Kanal. Kullanım Kılavuzu. Doküman Versiyon: BQTEK

Konfigürasyon Dokümanı

Paloalto LDAP Yapılandırılması LDAP: Lightweight Directory Access Protocol DAP (Directory Access Protocol) API (Application Programming Interface)

-D delete : Zinciri silmek için kullanılan komut; Silme işlemi için ya zincir numarası belirtilir ya da kuralın kendisi.

İnternet ortamından iç ağa nasıl port yönlendirmesi yapılır (Virtual Host nasıl oluşturulur)

Yapılacaklar. İnterface Yapılandırması. 1-) Port 1 : ( Wan 1 personel internet )

EPKAS (ELEKTRONİK PROJE KONTROL ARŞİVLEME SİSTEMİ) WEB KULLANIM KILAVUZU

ZyXEL Açilan ekranda ethernet baglantimizi bulalim ve yine sag tus-özellikler

Tasarım Raporu. Grup İsmi. Yasemin ÇALIK, Fatih KAÇAK. Kısa Özet

Eğitim için kurulan Lab Topolojisi aşağıdaki gibidir. Aşağıda bir adet site (2 PC) gösterilmiştir. Topoloji bunun gibi 5 siteden oluşmaktadır.

ÖĞRENME FAALĠYETĠ GELĠġMĠġ ÖZELLĠKLER

FortiGate (SSLVPN) Tunnel Mode & Web App. Mode

FortiGate SSLVPN (Tunnel Mode & Web Mode) v4.00-build /10

Digifresh Kullanım Kılavuzu

ĐŞKUR sitesine giriş şifremizi hatırlamadığımız için, şifremi unuttum kısmını tıklıyoruz.

DOKÜMAN YÖNETİM SİSTEMİ KULLANIMI GELEN EVRAK

Useroam Cloud Kurulum Rehberi Cyberoam

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Topoloji değişik ağ teknolojilerinin yapısını ve çalışma şekillerini anlamada başlangıç noktasıdır.

PERKON PDKS Kurulum ve hızlı başlangıç rehberi

DRAYTEK VIGOR 3300V VPN Dial-in Fonksiyonu

FortiGate (Terminal Server) Terminal Sunucu Üzerinden Gelen Kullanıcılar

GAZİANTEP İL MİLLİ EĞİTİM MÜDÜRLÜĞÜ TÜBİTAK 4006 BİLİM FUARLARI PROJE YÜRÜTÜCÜLERİ TOPLANTISI

İnternette Domain Name Sistem bazı kuruluşlar tarafından kontrol edilmekte ve Register edilmektedir. Aşağıdaki tabloda Bazı isimler belirtilmiştir.

BULUŞ BİLDİRİM FORMU / APARAT

BULUġ BĠLDĠRĠM FORMU/ GIDA

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

Öncelikle Markamıza göstermiş olduğunuz ilgiden dolayı teşekkür ederiz.

DRAYTEK VIGOR 3300V VPN Dial-out Fonksiyonu

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

IPv6 ve UlakNet Geçi planı. Hayrettin BUCAK TÜB TAK - ULAKB M

Ipv6 Egitimi. Mustafa Reşit Şahin. Software Engineer.

OFİS 365 ÖĞRENCİ MAİL SİSTEMİ KULLANIM KLAVUZU. Office 365

E-Fatura Sunucusu Kurulum Klavuzu

K12NET Eğitim Yönetim Sistemi

HotelTV. HotelTV Kurulum Dökümanı REV A0.4 D Ekim. Web : Mail : support@vestek.com.tr Tel :

Kurumsal Güvenlik ve Web Filtreleme

NOTERLERİN MÜNHAL NOTERLİKLERE ATAMA VE VAZGEÇME TALEPLERİNİN VATANDAŞ PORTALI ARACILIĞI İLE ALINMASINA İLİŞKİN AYRINTILI AÇIKLAMA

ONLİNE KATALOG TARAMA (YORDAM KÜTÜPHANE OTOMASYON PROGRAMI)

IPSEC. İnternet Protokol Güvenliği

ENF TEMEL BİLGİSAYAR BİLİMLERİ Eğitim/Öğretim Yılı Bahar Dönemi DÖNEM SONU LAB. ÖDEV TESLİM DUYURUSU

DEBUGER (Komut seti kontrol prosedürü)

Windows Server 2012 DHCP Kurulum ve Yapılandırma

Kurumsal Güvenlik ve Web Filtreleme

İşletim Sistemleri. Hazırlayan: M. Ali Akcayol Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü

T.C. ONDOKUZ MAYIS ÜNİVERSİTESİ ENDÜSTRİ MÜHENDİSLİĞİ BÖLÜMÜ STAJ İLKELERİ / UYGULAMA ESASLARI BİRİNCİ BÖLÜM

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Windows Server 2008 R2 Remote Desktop Licensing Servisi ve Kurulumu RD Licensing Installation

FreeBSD istemcileri arasında Ipsec tünelleme

1 NETWORK KABLO VE CIHAZLAR

FreeBSD Üzerinde VLAN Kullanımı

BIL411 - BİLGİSAYAR AĞLARI LABORATUVARI

FATURANI PAYLAŞ KAMPANYASI BİREYSEL ABONE (ÇALIŞAN) TAAHHÜTNAMESİ

SİRKÜLER İstanbul, Sayı: 2016/01. Konu: E-DEFTER GÖRÜNTÜLEYİCİ PROGRAMI İLE SÖZ KONUSU PROGRAMA İLİŞKİN KULLANIM KILAVUZU YAYINLANMIŞTIR

YÖKAKADEMİK (Yükseköğretim Akademik Arama Sistemi)

KULLANICI KILAVUZU Programın Web Ortamında İndirilmesi

Netscreen Firewall DDoS Ayarları Netscreen Firewall DDoS dan Korunma Özellikleri

TCKK ENTEGRASYON FAALİYETLERİ HİZMETLERİ

Bölüm3 Taşıma Katmanı. Transport Layer 3-1

Man In The Middle Attack Ve ARP Poisoning

OYUN GELİŞTİRME AŞAMALARI-I. Oyununuzun senaryosunu kısaca tanıtınız/ amacınıda belirtiniz:

BİT ini Kullanarak Bilgiye Ulaşma ve Biçimlendirme (web tarayıcıları, eklentiler, arama motorları, ansiklopediler, çevrimiçi kütüphaneler ve sanal

İSTANBUL TEKNİK ÜNİVERSİTESİ MİMARLIK FAKÜLTESİ, MİMARLIK BÖLÜMÜ YARI ZAMANLI ÖĞRETİM ÜYELERİ BİLGİ KİTAPÇIĞI

Useroam Sonicwall Kurulum Rehberi

İçindekiler Hosting hizmeti için silme isteği oluşturulması Reseller Paketi altında hosting hizmetinin oluşturulması Kesintiyi en aza indirmek için

Şekil 9.1 IP paket yapısı

HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 8. Ağ Adresi Dönüştürme (NAT-Network Address Translation)

FormSeries müşterileri operasyon ekibinin bir parçası haline getiren yeni bir hizmet kanalı yaratmayı hedeflemektedir.

Computer and Network Security Cemalettin Kaya Güz Dönemi

AĞ ÜZERİNDEN YAZICI ve TARAYICI TANIMLAMA KLAVUZU

DEVLET KATKI SİSTEMİ Devlet katkısı nedir? Devlet katkısı başlangıç tarihi nedir? Devlet katkısından kimler faydalanabilir?

Bilgisayar Mühendisliği Bölümü. Cisco PT Kullanımı. Arzu Kakışım BİL 372 Bilgisayar Ağları. GYTE - Bilgisayar Mühendisliği Bölümü

Bridge Mod Modem ve Firewall Ayarları

ACENTE PORTAL QUICKRES/TROYA ACENTE BAŞVURU KILAVUZU

HSBS Misafir Anne Modülü

Windows Server 2008R2 de Lisans Server ın Aktive Edilmesi

İSTATİSTİK GENEL MÜDÜRLÜĞÜ

Power Site Controller

Transkript:

Haz rlayan : Mehmet Emin DO AN Sistem Mühendisi

PALO ALTO FIREWALL NAT KAVRAMI VE KONF GÜRASYONU Bu makaleyi PAN web sayfas ndaki dökümandan faydalanarak yazaca bildirmek isterim. Palo Alto i letim sistemi Source IP/Port ve Destination IP/Port olmak üzere her iki translate i lemini de yapar. Bu i lemi yapmak için baz kurallar kullan r. Bu kurallar - Source (kaynak) ve Destination (hedef) zone - Destination Interface ( iste e ba ) - Source ve Destination Adres - Servis kullan larak dizayn edilir. Birden fazla NAT kural yaz labilir ve bu kurallar yukar dan a ya do ru de erlendirilir. Yukar dan a do ru gelirken paket herhangi bir NAT kural ile e le irse di er tüm kurallar ignore edilir. Bundan dolay özel bir NAT kural z varsa en ba a koyar z. Source NAT Örnekler üzerinden anlataca m birkaç case olacak. Topolojimiz a da görüldü ü gibidir. 192.168.1.0/24 subnetindeen gelen büm trafik d interface imiz olan E1/1 in IP adresine yani 1.1.1.1/24 subnetinteki adreslere çevriliyor. Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 1

Önce NAT kural za bir isim veriyoruz. Source Zone olarak trust olarak isim verdi imiz iç networkümüzde bulunan zone u seçiyoruz. Destination Zone bizim untrust dedi imiz d dünyaya kacak alan z oluyor bunu seçiyoruz. Özellikle seçilmek istenen bir source adress varsa seçiyoruz. Daha sonra Source Translation k sm nda dynamic-ip-and-port seçilip, adres tipi interface adres, intereface : d interface IP tipi IP olarak seçiliyor. NAT kural n çal p çal mad anlamak için, show session all komutunu CLI ekran nda çal rsak bize var olan session bilgilerini getirecektir. admin@pa-5060> show session all ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) 2359304 ssh ACTIVE FLOW NS 192.168.1.250[59534]/trust-l3/6 (1.1.1.1[50219]) vsys1 1.1.1.10[22]/untrust-l3 (1.1.1.10[22]) 2359303 ssh ACTIVE FLOW NS 192.168.1.100[50034]/trust-l3/6 (1.1.1.1[51650]) vsys1 1.1.1.10[22]/untrust-l3 (1.1.1.10[22]) admin@pa-5060> Herhangi bir session un detayl bilgisini de görmek istersek show session id 2359304 komutunu kullanabiliriz. admin@pa-5060> show session id 2359304 Session 2359304 c2s flow: source: 192.168.1.250 [trust-l3] dst: 1.1.1.10 proto: 6 sport: 59534 dport: 22 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 1.1.1.10 [untrust-l3] dst: 1.1.1.1 proto: 6 sport: 22 dport: 50219 state: ACTIVE type: FLOW src user: unknown dst user: unknown start time : Fri Apr 8 10:26:33 2011 timeout : 432000 sec time to live : 431845 sec total byte count : 5686 Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 2

ÖRNEK 2 HERHANG B R ADRES NAT TRANSLAT ON N KULLANMAK Burda Source translation olarak dynamic-ip-and-port seçtikten sonra Adres tipini Translated Adress olarak seçip daha önce olu turdu umuz bir adres objesini translated adres olarak seçiyoruz. Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 3

ÖRNEK 3 SOURCA NAT IP ADRESS TRANSLAT ON Sadece Source IP adreslerimizi NAT i lemine tabi tutarken Source Translation k sm nda dynamic-ip sm seçip daha önce belirledi imiz bir IP havuzunu Translated Address olarak belirliyoruz. Destination NAT Destinatio NAT hedef ip adreslerini ve portlar translate etmek için kullan r. Ayn zamanda tek bir IP adresini birden fazla iç IP adresine çevirmek için de kullan r. Destination Port numaralar da destination host lar tan mlamak için kullan r. Bu örnekte daha önce baz testler yapmak iiçin kulland m NAT kural ve politikas sizlerle payla aca m. Sms Kimlik do rulama sistemi için yapt z testi k saca öyle aç klayaca m. Palo Alto Firewall üzerinde kimlik do rulama profili olarak bir sms authentication ürününü seçtik. D ar dan bir IP ye bu testi gerçekle tirmesi için NAT kural ve NAT politikas yaz lmas gerekir. Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 4

NAT kural n ad verip, Source Zone olarak WAN zone umuzu seçiyoruz. Desstination Zone olarak da WAN alan seçiyoruz ( istekler d baca a geldi i için).destination adres olarak WAN baca za yani isteklerin d ar dan gelirken kar la aca ilk baca n IP adresini yaz yoruz. E er özel bir servis grubunuz varsa servis grup olarak ekleyip burda servis k sm na girebilirsiniz. Buraya kadar orijinal paket için konfigürasyonumuzdu. Translated paket için ise Destination Adress Translation sm ndan translated adresi içerideki radius server IP adresini yani sms authentication yaz n kurulu oldu u server n ip adresini veriyoruz. Gelelim bu NAT kural için politika (poicy) yazmaya: Policy ismini verdikten sonra d ar dan u IP adresinden gelip u Zone ume ula maya çal an kullan ya izin ver i lemini resimde görüldü ü gibi uyguluyoruz. Destination IP & Port Translation Baz durumlarda Hep IP hem de Port translation gerekebilir. A daki örnek PAN resmi sayfas ndan al narak haz rlanm r Topoloji : Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 5

NAT Kural ar dan untrust Zone uma gelip serverlar ma 80 portuyla eri en kullan n I P adresini ve Portunu translate et. Security Kural ar dan DMZ alan ma web uygulamas kullanarak gelenlere izin ver. Verification admin@pa-2050> show session all ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) 80 web-browsing ACTIVE FLOW ND 1.1.1.250[55077]/untrust-l3/6 (1.1.1.250[55077]) vsys1 1.1.1.100[80]/dmz-l3 (10.1.1.100[8080]) Soru ve önerileriniz için m.emn.dogan@gmail.com adresine yazabilirsiniz. Palo Alto Firewall Mehmet Emin DO AN System&NetWork Engineer 6

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim