Juniper ssg5 conten...
 
Bildirimler
Hepsini Temizle

Juniper ssg5 content filtering yetkili yetkisiz grup oluşturma  

  RSS
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Merhaba,


Öncelikle sistede yazılan makaleleri ve forumda geçen yöntemleri denedim, ancak benim ihtiyacımı karşılayamadı ve bu işte acemeyim konsoldan değilde web arayüzden işlemleri yapmaya çalışıyorum.


Yapmak istediğim şey şu : 10.0.0.0/255.255.255.0 networkündeki adreslerden sadece benim belirteceğim 5 ip adresi dışında herkes hazırladığım content policy e sadık kalmalı. Diğer 5 adres full sitelere erişim yapabilmeli.


Yaptıklarım ve olmayanlar : Security > web filtering >categories>custom  altında kendime özel siteleri oluşturdum. Daha sonra Security > web filtering >profiles>custom  altına oluşturduğum kategorileri bir profil altında topladım. Daha sonra policy>policies altına, trust dan untrust a bir policy oluşturup web filtering den yaptığım profili gösterdi . Ancak yaptığım bi dünya kombinasyondan istediğim sonucu alamadım. Ya hepsi full nete çıkıyor, ya hiçbiri çıkmıyor yada hepsi custom profile a sadık kalıyor. Birde bu source adress kısmına ip adres 10.0.0.x / 24 mü yoksa 32 mi olarak girilecek . 32 olunca hiç biri girmiyor diğer kurallar da çalışmıyor 24 oluncada hepsi giriyor. İşin içinden çıkamadım. Teşekkürler şimdidden

Alıntı
Gönderildi : 15/12/2009 23:39
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

 

 

 ilk kurala o bahsettiginiz makinaları source kisminda bir grup olarak gostermeniz gerek ve bu kurala content filter uygulamiyorsunuz 

ikinci kurala ise  10.0.0.0/255.255.255.0  (10.0.0.0/24) networkunu source olarak gosterip bahsettiginiz content filteri uygulamaniz yeterli olacaktir

 

subnet mask konusuna gelince 24 yani 255.255.255.0 bir ağın subnet maskıdır 32 ise sadece bir makina oldugunu gosterir

 

 

 

 

 

 

CevapAlıntı
Gönderildi : 16/12/2009 11:07
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Merhaba, Vasfi bey dediğinizi yaptım ama olmadı. Yaptığım işlemleri gönderiyorum.






Bu şekilde olunca sadece http protokulu izinli dns veya diğer protokller mevzu bahis değil. ayrıca bu servisleri içerende kurla yazılması gerekmezmi ?


Not: Son resimdeki 2 id li kuralın source policy sini 10.0.0.0/255.255.255.0 olarakta denedim. sonuş değişmedi.

CevapAlıntı
Gönderildi : 16/12/2009 12:11
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

olmayan nedir burda peki

tum makinalara http portundan cıkısa izin vermissiniz dns hizmetini kim veriyor icerden bir makinamı dısardan bir makinamı 

eger icerden bir makina ise ( dns hizmeti veren ) ve sadece bu iki kural varsa isim cozumlemesi yapamazsınız 

CevapAlıntı
Gönderildi : 16/12/2009 13:15
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Yapıyı anlatıyım isterseniz.


Server yapılandırması : 10.0.0.250 /24 gw 10.0.0.2 dns : 10.0.0.250 (dhcp+ad+dns srv bu makina)


client yapılandırması : 10.0.0.x /24 gw 10.0.0.2 (juniper) dns : 10.0.0.250 195.175.39.40


6 numaralı id de herşey serbest görüldüğü gibi. 2 numaralı id de ise yaptığım content profili baz alıyor. http serbest ama sadece content profildekiler. Sadece 2 numaralı id yi yaparsam, belirlediğim siteşler dışında siteler açılmıyor. açılmaya çalışıncada zaten juniper uyraı mesajını gönderiyor. Ama resimdeki gibi yapılırsa juniper uyarı mesajı vermiyor sitelerin hemen hemen hepsi açılmıyor. Birkaç site açılıyor ( content izinli )ama neye dayanarak açılıyor anlamadım  (cache de mi kalanlar) zira content ten izin verdiğim başka siteler açılmıyor. Bu policy leri oluşturmadamı yoksa sıralamadamı hata yapıyorum ?*

CevapAlıntı
Gönderildi : 16/12/2009 13:36
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Ayrıca sadece http kuralları ile policy olacaksa buda işime gelmez. Çünkü içerden çıkışta http hariç port kullanan yerlerede erişim yapılıyor. Mesela 1433 3306 1723 gibi başka yerdeki bilgisayarlarada bağlantı yapılmakta.

CevapAlıntı
Gönderildi : 16/12/2009 14:02
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

bence bu 10.0.0.250 ve 10.0.0.2 icin en uste any to any (sadece http degil any secip ) bir kural yazin ve icerik filtrelemesi uygulamayin derim

bu makina nete cikip isim sorgulamasi yapamaz ise sizde hali internet cikamazsiniz 

 http yapin diye onermedim zaten bunu kendiniz bu sekilde yapmissiniz hangi grup hangi portlardan cikmasi gerekiyorsa onlari bir grup yapip http yerine onu secmeniz gerek

 

 

CevapAlıntı
Gönderildi : 16/12/2009 15:18
Yasin Evrenkaya
(@YasinEvrenkaya)
Üye

Vasfi bey öncelikle ilginiz için teşekkür ediyorum. Sorunu çözdüm. Öncelikle herkesin 10.0.0.0/24 üzerinden tüm servisleri (ANY) kullanarak web content kullanmaya zorladım. Daha sonra bu policynin üstüne; source kısmında yonetici pclerin ip lerinin bulunduğu , DNS.HTTP,HTTPS,FTP gibi servislerin açık olduğu contente takılmayan bir policy oluşturdum. Sorun çözüldü. Tekrar teşekkürler.

CevapAlıntı
Gönderildi : 17/12/2009 12:23
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

Probleminizin çözülmüş olmasına sevindim 

 

 iyi çalışmalar 

 

 

CevapAlıntı
Gönderildi : 18/12/2009 11:32
Paylaş: