Juniper SRX (JunOS) Üzerinde dışarıdan İçeriye port yönlendirme

Güncelleme: 15 Ağustos 2019

Resimlerdeki komutların okunamaması nedeni ile yazarımız komutları text olarak makalenin sonuna eklemiştir.

İnternet ile yerel ağlarımızın arasına konumlandırdığımız firewall cihazlarımız üzerinden bazen dışarıdan iç networkümüzde sunduğumuz bir servise ulaşma ihtiyacı duyarız. Bu işlemin güvenli yolu vpn kullanımı olsa da web ftp smtp gibi servisler için vpn kullanamadığımız durumlarda olmaktadır. Bu tip durumlar için bu örnekte uzak masaüstü portunu baz alarak Juniper SRX (JunOS) cihazımız üzerinde dışarıdan içeriye port yönlendirme konfigurasyonunu komut satırı arayüzü aracılığı ile yapacağız.

Dış ip adresimiz ve port : 10.10.10.1:3389

Dış ip adresimizden farklı bir porttan içerideki 3389 portumuza erişim sağlayabiliriz. Burada varsayılan 3389  portu örnek aldık aksi durumda Remote-desktop isimli port tanımımızda 3389 yerine bizim belirlediğimiz standart olmayan portu girmemiz gerekecektir. (3390 – 3399 gibi)

İç ip adresimiz ve port   : 192.168.0.6:3389

İlk olarak dışarıdan uzak masaüstü portu ile erişmek istediğimiz sunucumuz için Srx firewall cihazımızın adres defterindeki kayıtları oluşturuyoruz. 192.168.0.6 ip adresli yerel ağımızdaki makinamızı RDP_SRV ismi ile adres listemize kaydediyoruz. Yaptığımız bu tanıma en son security policy kısmındaki dışarıdan içeriye erişim kuralımızı oluşturuken ihtiyaç duyacağız.

Remote-desktop ismi ile rdp portu olan 3389 portunu cihaz üzerinde aşağıdaki komutlar yardımı ile oluşturuyoruz. Bir önceki tanımda olduğu gibi bu tanımı da dışarıdan içeriye erişim kuralını oluştururken kullanacağız.

Srx cihazımız üzerinde dnat-rdpserver ismi ile içeride port yönlendireceğimiz ip adresi ve port tanımını yapıyoruz. İçerideki servisimizin çalıştığı port olan 3389 portu içinde aynı şekilde tanımlıyoruz.

NAT (dışarıdan içeriye port yönlendirme)  tanımımızı d-nat ismi ile untrsust zone üzerinden gelecek şekilde oluşturalım. Kural adımıza da portfw-rule1 ismini veriyoruz. Cihazın untrust bacağındaki 10.10.10.1/32 ip adresine ve 3389 portuna gelen istekleri dnat-rdpserver  ismi ile tanımını yaptığımız 192.168.0.6 makinamızın 3389 portuna iletmesini sağlıyoruz.

Tüm tanımlamalarımızı yaptığımıza göre artık dışarıdan içeriye doğru erişim izni vermek için kuralımızı yazmaya başlayabiliriz. İlk satırda portfw ismi ile kuralımızı oluşturuyoruz. RDP_SRV ismili makinamıza dışarıdan tüm dünyadan Remote-desktop tanımı yaptığımız port üzerinden erişim izni vermiş oluyoruz böylece.

Sadece dışarıdaki belirli network veya hostlardan erişime izin vermek istememiz durumunda adres defterimizde bu cihazlar icinde tanım yapıp source-adress any kısmındaki any yerine bu tanımladığımız adresleri kullanmamamız gerekmektedir.

ve tüm bu kural ve tanımlarımızı cihaz üzerinde en son commit komutu ile aktif hale getiriyoruz.

artık dışarıdan 10.10.10.1/32 adresine uzak masaüstü portu ile erişilmeye çalışıldığında içerideki 192.168.0.6/32 ip adresli makinamıza ulaşılacaktır.

Uzak masaüstünden başka uygulamalar (web->80, smtp->25, pop3 ->110 gibi ) için port yönlendirme yapılacak ise bu senaryodaki port ve tanımlarımızı değiştirmemiz yeterli olacaktır.

Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.
Adress book için tanımlama:
set security zones security-zone trust address-book address RDP-Server 192.168.0.6/32Port için tanımlama:
set applications application RDP protocol tcp
set applications application RDP destination-port 3389NAT Pool için tanımlama:
set security nat destination pool dnat-RDP address 192.168.0.6/32
set security nat destination pool dnat-RDP address port 3389NAT Policy için tanımlama:
set security nat destination rule-set dst-nat from zone untrustset security nat destination rule-set dst-nat rule RDP-Rule match destination-address 10.10.10.1/32
set security nat destination rule-set dst-nat rule RDP-Rule match destination-port 3389
set security nat destination rule-set dst-nat rule RDP-Rule then destination-nat pool dnat-RDPSecurity Policy tanımları:
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match source-address any
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match destination-address RDP-Server
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp match application RDP
set security policies from-zone untrust to-zone trust policy untrust-to-trust-rdp then permit