Forum
Bildirimler
Hepsini Temizle
Network Genel
11
Yazılar
3
Üyeler
0
Likes
446
Görüntüleme
Konu başlatıcı
Arkadaşlar Juniter ssg140 ile ilgili bikaç soru sormak istiyorum,
Lokasyonda Metro Ethernet mevcut telekom uç switch üzerinde 5 port aktif ve bu portlar;
Port 1 :Mail server Port 2 : Firewall (iptables)Proxy server Port 3 : Tel. Santrali Port 4 : Linksys PAP2T Port 5 : Linksys PAP2T
Port 3 4 5 Santral ile alakalı ve destek veren firmanın sorumluluğunda ayrıca Networkle de bi alakası yok. Yanlız Mail server ve Firewall + proxy suucularının dış bacakları direk fiber uç switch te. Elimde SSG140 var ve bunu kullanmak istiyorum,
Daha önce Cisco Asa5510 kullanmıştım ve o yapıda fiber uç switch ten tek port aktifti ve asa5510 a tek porttan giriş yapıyorduk sonrada ip bloğunu cihaza bu tek port üzerinden girebiliyor ve iç network teki sunuculara istediğimiz dış ip yi yönlendirebiliyorduk.
Eminim bunlar SSG-140 ilede yapılıyordur, ip bloğunu tek port üzerinden ssg140 a nasıl girerim. Birde Tek porttan değilde ip leri ayrı portlardan (Port 1 ve port 2 yi ayrı portlardan ssg 140 a girmek ve proxy ve mail server in dış bacaklarınıda ssg-140 a bağlama gibi)
address 88.xxx.xxx.xxx
netmask 255.255.255.248
network 88.xxx.xxx.xxx
broadcast 88.xxx.xxx.xxx
gateway 88.xxx.xxx.xxx
bu interface ayarlarını girecek bölümü bulamadım.
Gönderildi : 23/01/2009 18:06
Network menusunün altında interfaces oluşturcaksın.
Gönderildi : 23/01/2009 18:53
merhaba ssg 140 ın firmware ini söyleseydiniz biraz daha kolay olurdu.:)
eğer cihazınızı yeni aldıysanız firmware i 6.x.x ile başlııyordur.
ssg 140 da 10 adet port bulunmakta.(ethernet 0/0 -- 0/9)
default olarak Untrust bacağı ethernet 0/2 dedir.
Network > Interfaces (List) diyorsunuz: Ethernet 0/2 yi edit ediyorsunuz. telekomun size verdiği dış bacak ip adresini buraya yazıyorsunuz.
ssg 140 da default olarak DMZ bacağı ethernet0/1 dir
isterseniz DMZ ip bloğunuzu buraya tanımlıyorsunuz.
telekomun size verdiği dmz ip bloğunun sizin metro ethernet dış bacağına route edilmesi gerekiyor.
Network > Routing > Routing Entries: bölümüne gelip;new demelisiniz
buradan da, internete çıkış (default route ) yazmalısınız. gateway ip adresini de burda kullanıyorsunuz.
umarım sorularınızın cevabını almış olursunuz.
Gönderildi : 24/01/2009 15:25
Konu başlatıcı
Sait bey firmware versiyonu 6.x.x söylediğiniz gibi 10 port bulunuyor. Bahsettiğiniz gibi Network sekmesi altında interface bölümüne girerek default untrast bacağı olan 0/2 yi edit leyerek dış ip yi ve 255.255.255.248 netmask ı girdim Fakat sonraki adımda Routing sekmesi altında Destination , Source , Source interface , MCast Routing , PBR , Virtual Routers başlıkları bulunuyor.Routing Entries i göremedim.
Birde uç switch ten mail server a giden diğer bir data kablosu daha var ip si farklı onu 0/3 portunu untrast tanımlayarak girmeye çalışınca hata veriyor.
Gönderildi : 26/01/2009 11:08
merhaba
işlerin yoğunluğundan dolayı biraz geç yazdım.
Destination click'lendiğingde dediğim path oluşuyor. --- > (Network > Routing > Routing Entries) burada new diyeceksiniz.(trust-vr)
burada default route yazacaksınız.
yalnız anlamadığım şu: siz 8 adet ip satın aldınız. bunu dmz için almadınız mı acaba? yani telekom size zaten 30 lu bloktan bir ip adresi verecek.
birinci ip adresini kendi untrust interface'inize ikinci ip adresini de default route olarak kullanacaksınız.. lütfen burayı netleştirir misiniz?
Gönderildi : 30/01/2009 01:34
Konu başlatıcı
Sait bey tekrar merhaba,
Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.
IP/Netmask
Gateway
Interface
Protocol
Preference
Metric
Vsys
Configure
new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var
address 88.255.xx.xx
netmask 255.255.255.248
network 88.255.xx.xx
broadcast 88.255.xx.xx
gateway 88.255.xx.xx
bu girdilere göre Broadcast ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.
Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.
Gönderildi : 02/02/2009 11:46
Sait bey tekrar merhaba,
Aslında yapmak istediğim yapı çok basit ilk mesajımda da anlatmaya çalıştığım gibi iki adet Linux server ım var üzerlerinde çift ethernet bulunan ve iç-dış çalışan, bu server lara Telekom uç switch ten ip ler ayrı portlarla (ilk mesajda yazıldığı gibi) direk Linux sunucuların dış bacağına giriyor. Ben bu girişleri SSG-140 üzerinden geçirmek istiyorum Linux sunucu üzerinde iptables kullanıyorum ve router olarak onu kullanıcam. uç switch ten sunuculara giden port ların ip leri ve interface ayarlarını biliyorum. Network > Routing > Routing Entries e geldiğimde List route Entries for bölümünde "All vitual routers" default olarak seçili karşısındada "trust-vr" bu şelikdemi NEW diycem.
IP/Netmask
Gateway
Interface
Protocol
Preference
Metric
Vsys
Configure
new dediğimde yukarıdaki girdi seçenekleri geliyor. Bendeki telekom interface ayarlarında yukarıda bulunmayan bölümler var
address 88.255.xx.xx
netmask 255.255.255.248
network 88.255.xx.xx
broadcast 88.255.xx.xx
gateway 88.255.xx.xx
bu girdilere göre Broadcast ve Network ü bu bölüme giremiyoruz Metro ethernette bunları girmeden çalışırmı.
Yine önemli bir konu daha diyelim ip nin birini 0/2 ye girdim diğer ip yi girmek için 0/3 ayarladığımda hata veriyor. Aynı ip bloğunda olduğu için sanırım.
merhaba,
sorularınıza tersten başlıyorum
şunu söylemekte yarar var. 8 tane ip adresini DMZ de konumlandırmak istediğiniz server lara vermeniz mantıklı olandır. bu iki tane server olabilir 3 olabilir,, hepsini kullanmak zorunda değilsiniz tabii ki..
ikinci olarak; metro ethernet aldığınız zaman telekom size bir dış ip adresi verecektir. yani subneti /30 olan yada 255.255.255.252 olan.
genel olarak söylüyorum 30 lu ip bloğunun ilkini juniper firewall un 0/2 ethernetine veriyorsunuz. ayarlar şöyle yapılıyor:
ethernet0/2 edit edilir. IP Address / Netmask :: telekomun internete çıkışınız için verdiği 30 lu bloğun ilk ip sini buraya yazıyorsunuz.
mesela: 88.24.44.1 / 30 manageble opsiyonunu aktif edebilirsiniz. interface mode: NAT/Route size kalmış.. sizin için hangisi uygunsa seçebilirsiniz. default route da da belirttiğiniz gibi trust-vr ve new diyorsunuz.
gateway ip adress: telekomun gateway olarak size bildirdiği ip adresini kullanıyorsunuz. yani benim yazdığım ip örneğine göre:88.24.44.2
IP Address/Netmask: 0.0.0.0 / 0 --- default route
gateway radyo iconu seçilir.
interface combo box dan : ethernet 0/2 seçilir.
gateway ip adress: 88.24.44.2
permanent: aktif edilir.
başkaca birşey gerek kalmadı.. OK
geldik satın aldığınız 8 bloklu ip adresi aralığının ayarlanmasına. diyelim ki burada iki tane internete hizmet verecek ftp ve web server ınız var.
diğerlerini de ihtiyaç oldukça kullanacaksınız diyelim.
şimdi sizin burda iki seçeneğiniz var. birincisi juniper firewall da MIP yaparak dışardan gelen isteklerin iç networkünüzde ki bir server'a ulaşması.(cisco ASA da uyguladığınız gibi)
yok efendim ben dışardan gelen istekleri local networküme almam derseniz ikinci seçeneğiniz var. bu da DMZ zone unu kullanmanız demektir.
DMZ için default interface ssg 140 da ethernet0/1 dir. bunu editliyorsunuz.
IP Address / Netmask: telekomdan aldığınız 8 li ip bloğu şöyle olsun. 88.34.27.36/29 yada diğer gösterim tarzıyla 255.255.255.248
bunu ethernet 0/1 editlenerek: şöyle veriniz. IP Address / Netmask: 88.34.27.37/29.. bu interface ait ip adresi oldu.
serverlarınızdan birinin ip adresini beraber yapalım şimdi, benim verdiğim ip aralığına göre: ftp server tcp/ip :
IP Address: 88.34.27.38
subnet: 255.255.255.248
gateway: 88.34.27.37
policy tanımlayarak bu ip adreslerine doğru istediğiniz servisler için izin tanımlayabilirsiniz.
yani: from unturst to DMZ : mesela FTP servisine izin verelim.
mail server için , web server için de aynı yolları deniyorsunuz..
bu çok önemli;
telekom, sizin dış bacağınıza doğru routing' leri tanımladıysa; artık serverlarınıza internetten ulaşılabileceksiniz.
iyi çalışmalar diliyorum.
Gönderildi : 03/02/2009 02:08
Konu başlatıcı
Sait bey merhaba,
Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.
Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.
Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.
Gönderildi : 06/02/2009 17:01
Sait bey merhaba,
Sanırım ben yine size izah edemedim 🙂 bu tarz yapıyla sık haşır neşir olmuyorum ondan sanırım.
Şimdi sizin anlattığınız yapıda çalıştırmak daha mantıklı eminim ama şuan kurulu bir yapı var ve ben bu yapıda araya SSG-140 ı konumlandırmak istiyorum, kullanıma amacımda sadece firewall olacak. Biraz açmak gerekirse; Fiber uç switch üzeründen bir birinden ayrı portlardan iki network kablom geliyor bu kaplolardan biri Linux debian üzerinde iptables tables çalıştıran sunucumun dış bacağına bağlanıyor ip si de 88.255.xx.x1 . Bu sunucuda dış bagağına gelen istekleri networke iç bacak ile dağıtıyor Router olarak kullanılıyor. ( bu sunucuma dışarıdan sürekli atak oluyor loglarda görüyorum ve ip tables üzerinden elle drop ediyorum ama o kadar çok proxy var ki sürekli farklı ip lerle geliyorlar. SSG-140 ı bu yapıyı bozmadan uç switch le linux sunucum arasına konumlandırmak istiyorum ve sadece firewall olarak ve hatta mümkünse transtaran olarakta olabilir kullanmak istiyorum) DMZ yapısı şu aşamada kullanmayacağım. Aynı şekilde uç switch teki diğer kablomda 88.255.xx.x2 ip si ile mail sunucuma giriyor ve iç bacaklada networke bağlanıyor.
Yapmak istediğim uç switch deki iki kablomu SSG-140 a bağlamak ve yine SSG-140 üzerinden iki kablo ilede firewall dan süzülmüş şekilde sunucularıma bağlamak.
mevcut yapınızı bozmayacaksanız ve bir ip planlaması istemiyorsanız ssg 140 sistemini transparent mode de çalıştırmanız gerekecek.
transparent mode'de çalışırken layer2 switch gibi davranacak ayrıca zone'lar arası trafiğide kontrol edebileceksiniz.
transparent mode için;
layer2 zone oluşturursunuz yada mevcut v1-trust v1-untrust zone'larını kullanabilirsiniz.
ssg üzerinde hangi interface leri kullanacaksanız o interface leri L2 zone'a atıyorsunuz
layer 2 zone lar arası policy oluşturuyorsunuz.
iyi çalışmalar diliyorum.
http://kb.juniper.net/index?page=content&id=KB4160&actp=search&searchid=1233944290719
Gönderildi : 06/02/2009 23:35
Konu başlatıcı
Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.
iyi çalışmalar.
Gönderildi : 09/02/2009 11:31
Gösterdiğiniz ilgi ve yardımlarınız için çok teşekkür ederim Sait Bey.
iyi çalışmalar.
umarım faydalı olabilmişimdir.
saygılar
Gönderildi : 10/02/2009 02:52
