Forum

İki Ayrı Server Kul...
 
Bildirimler
Hepsini Temizle

İki Ayrı Server Kullanıyoruz ve sonicwall Olmasına Rağmen Web Filtering Yapamıyoruz

Olgay Uğraş
(@OlgayUgras)
Üye

Merhabalar,

Çalışmış olduğum şirkette sonicwall firewall kullanmaktayız. Sistemimizin yapısında 2 adet server bulunmakta. Ve her iki adet server içinde ayrı ayrı internet hatlarımız bulunmakta. Serverlerden birisi tamamen bize ait ve Sonicwall'a bağlı. Ancak diğer server Sonicwall'a bağlı değil. Ama her iki server makinada birbirlerini görmesi ve iletişim halinde olması lazım. Bizim kendimize ait olan servere bağlı olan hattın gateway'i 1.99 diğer serverin bağlı olduğu hattın gatewayı ise 1.253 

1.253 olan gateway'e hiç bir şekilde sonicwall ile engel olamıyoruz. Çünkü şirketler arası anlaşmalardan dolayı 1.253 olan makinaya hiç bir şekilde karışamıyoruz. Yani 1.253 olan makina internete sınırsız çıkış yapıyor. 

Bizim çok uyanık çalışanlarımızda 1.253 gatewayını öğrenmiş ve 1.99 kullanacağı yerde değiştirip 1.253 gatewayını alıp istediği gibi hareket edebiliyor.  Active directory yapısı kurulu değil ve Ağ bağlantılarıma erişememeleri için local'den kaldırmakta istemiyorum. Peki sonicwall üzerinden bir ayar bir komut vs. yaparak localdeki kullanıcıların sadece 1.99 gatewayı ile çıkış yapmalarını 1.253 gatewayını yazsalar dahi çıkış yaamamalarını sağlayabilirmiyim?

Alıntı
Konu başlatıcı Gönderildi : 03/12/2012 19:08
Efe Sülükçü
(@efesulukcu)
Üye

253lü ip olan cihaza karışamamak hiçbir şekilde ayarlarına müdahale edememek mi anlayamadım ama eğer müdahale edebiliyorsanız, bu cihaz üzerinde 192.168.1.0/24 için bir 192.168.1.99a giden statik route ve bu gw üzerinden çıkması gereken sunucunuz için ikinci bir static route ile bu işi çözebilirsiniz.

CevapAlıntı
Gönderildi : 03/12/2012 22:53
Olgay Uğraş
(@OlgayUgras)
Üye

Vermiş olduğun bilgi için teşekkür ederim. Ben en iyisi biraz daha ayrıntılı anlatayım konuyu. Biz XxX adlı firmanın yetkili servis ve satış bayisiyiz. (XxX olarak veriyorum firma ismi verip reklam yapmak istemediğimden dolayı.) XxX adlı firma anlaşmalar gereği bize kendi sistemi ve serverini kurmak için bir makina getirdi. Ve bu kendi getirdiği makinaya hiç bir şekilde firewall yada başka bir şekilde müdahale etmememiz konusunda anlaşma imzaladı. Getirdiği kendisine ait olan server için ayrı bir dsl hattı istedi ve bunu tahsis ettik. Bizde onun serverinde çalışan programı yönetip kullanıcılara gerekli ayarlamalar ve yetkilendirmeleri yapabilmemiz için kendi serverimizi kurduk ve kullanıcıların internete bizim kurduğumuz server ve firewall üzerinden çıkmalarını sağladık. Ancak XxX adlı firma hem kendi serverinin bizim local'deki makinalarla irtibatta olmasını istedi hemde hiç bir şekilde kendi firmasının koymuş olduğu servere dokunmamamızı istedi. Çünkü bizim local'de ki kullanıcılarımızın yaptığı satışlar, bakımlar vs. XxX firmasının ana merkezine XxX firması serveri üzerinden gönderiliyordu. Biz kendi serverimize gerekli firewall ayarlarını yaptık. Full yetki ile çıkış yapmasını istemediğimiz kulla nıcılara web filter ile engel koyduk. Ancak kullanıcılar belli zamandan sonra XxX firmasının gateway numarasını öğrenip manuel olarak tcp\ip ayarları ile oynararak bizim kullanıcıların çıkışlaını kontrol ettiğimiz gateway yerine, kontrolsüz bir şekilde XxX firmasının gatewayını kullanarak çıkış yapmaya başladılar. Amacım bu çıkışları engellemek. Ama XxX firmasının hiç bir şekilde ne server makinasına dokunabiliyoruz nede ayar yapabiliyoruz. Bu yüzden local'deki kullanıcılarımızın XxX serverine ait olan gatewayı kullanmamalarını istiyoruz. Bunuda nasıl yapacağımızı çözemedik. Active directory ortamında olsaydık kullanıcıların ayarları değiştirmesini engeller ve kendi kafalarına göre gateway atamalarını engellemiş olurduk. Ancak Active Directory yapımız yok. Bunu sonicwall üzerinden halletmenin yollarını aramaktayım sadece. Yardımlarınız için teşekkür ederim.

CevapAlıntı
Konu başlatıcı Gönderildi : 03/12/2012 23:55
Efe Sülükçü
(@efesulukcu)
Üye

yukarıdaki yazdıklarım zaten sunucu üzerinde değil, firmaya atadığınız dsl hattındaki modemde yapılabilecek ayarlardır. eğer bu modeme giriş yapıp tüm networkten gelen istekleri sonicwall üzerine atmasını, bunu yalnızca firmanın sunucusu için yapmamayı sağlarsanız istediğiniz işlemi yapmış olursunuz.

CevapAlıntı
Gönderildi : 04/12/2012 00:11
Aykut ŞAFAK
(@AykutSAFAK)
Üye

Merhaba  

sizin kendi dsliniz interface:X0 zone:WAN,  iç network interface:X1 zonu:LAN da olduğunu varsayarsak,

XXX dsl ini switch den söküp x2 ye alın (böylece 253 ipsine kimse erişemez) ve WAN2 diye zone oluşturup x2 yi buraya atayın(sonicwall üzerinde 2. wan çıkışını sağladınız) . firewall da xxx serverını obje (xxxsrv) olarak ekleyin sonrasında Network routing de yeni bir policy ekleyerek xxxSrv nin x2 üzerinden çıkmasını sağlayın. rule u yazarken, destination any , source xxxsrv, service any, interface x2, gateway x2 default gateway olacak.

 

daha sonra web filter  ve policylerinizdeki engellemerin sadece x0 a uygulandığından emin olun. böylece herkesi kendi adslinizden çıkartırken xxxsrv yi xxx üzerinden çıkartmış olacak aynı zamanda iç networke de erişimini sağlarsınız. 

yeni bir interface oluşturmak için;

http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=7781

 

belli bir objeyi farklı bir interface den çıkarmak için ;

http://www.fuzeqna.com/sonicwallkb/consumer/kbdetail.asp?kbid=5733 

 

diğer alternatiflerinizin daha önce söylendiği gibi route tanımını dsl üzerinden yapmak veya ikinci network kartı ile serverınızın bir bacağını xxx dsl e diğerini iç networke bağlamanız olacaktır.  

CevapAlıntı
Gönderildi : 04/12/2012 02:15
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

1.253 cihazı ile sadece internete bu ip uzerinden çıkmasını istediğinizi makinaların ip adreslerine izin vermeniz yada verilmesi gerekli 

sonicwall tarafında bir işlem yaparak clientlerin ag gecidi degistirmelerini engelleyemezsiniz 

CevapAlıntı
Gönderildi : 04/12/2012 10:43
AYAYDIN
(@AYAYDIN)
Üye

merhabalar, oncelikle dışarıdan gelen adsl ve serverı ayrı bir switchle sonicwallun x2 portuna takın. x2 portunu lan zonunda port shild olarak tanımlayın. daha sonra firewall kurallarında lan to lan a gelip dısarıdan gelen server icin adsl gatewaye ulasması için izin verin. kalan butun cihazlar için yasak koyun. böylelikle adsl hattan sadece server cıkmıs olur. 

CevapAlıntı
Gönderildi : 24/12/2012 19:10
Paylaş: