Forum

Watchguard Kurallar...
 
Bildirimler
Hepsini Temizle

Watchguard Kurallar Hakkında

Mücahit Yılmaz
(@mucahityilmaz)
Üye

Merhaba böyle bir yapılandırma ne kadar doğrudur acaba kurallarda gw antivirüs webblocker aktif durumda bunu şuanda ayrı bir xml olarak oluşturdum daha firewalla kaydetmedim. Sizlerinde fikrini almak istedim. Resmi yeni sekmede açarsanız daha net görünecektir. Teşekkür ederim.

Alıntı
Konu başlatıcı Gönderildi : 27/12/2016 16:23

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

DNS ile ilgili hicbir kural yok icerdeki dns sunucunuz nasıl isim çözecek bu durumda

 

CevapAlıntı
Gönderildi : 27/12/2016 16:30

Mücahit Yılmaz
(@mucahityilmaz)
Üye

şuanda da yok ama çalışıyor hocam 🙂 nasıl bir kural yazmalıyım sadece any-trustedtan any-externala dns kuralını aktif etsem yeterli midir?

CevapAlıntı
Konu başlatıcı Gönderildi : 27/12/2016 16:41

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

CevapAlıntı
Gönderildi : 27/12/2016 19:16

Hüseyin ERTUGRUL
(@huseyinertugrul)
Üye

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

  • Özellikle web erişim ve proxy kurallarının loglamasını açın.
  • RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
  • En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
  • Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 
CevapAlıntı
Gönderildi : 27/12/2016 19:16

Mücahit Yılmaz
(@mucahityilmaz)
Üye

[quote user="Vasvi UYSAL"]

ben source olarak içerdeki dns sunucudan dışarıya (any-external ) erişmesine izin veriyorum

bu şekilde içerdeki clientler dns vb değiştiremiyorlar.

[/quote]

Teşekkürler gerekli düzenlemeyi yaptım hocam.

[quote user="Hüseyin ERTUGRUL"]

Merhaba Mücahit bey,

Kuralları çok düzenli oluşturmuşsunuz elinize sağlık. Naçizane bir kaç önerim olabilir.

  • Özellikle web erişim ve proxy kurallarının loglamasını açın.
  • RDP ile dışardan direk bağlantı kabul etmek yerine kullanıcılarınıza SSL VPN hesabı açın o şekilde RDP yaptırın
  • En alttaki outgoing kuralı tüm trafiğe izin veren bir kuraldır, onu kapatmazsanız trafiği kontrol altına alamazsınız.
  • Outgoing kapandığında bazı servisleriniz duracaktır, örnek olarak DNS çalışmaz. Bu yüzden ihtiyaç olacak portları dışarıya açmalısınız. 

[/quote]

Teşekkür ederim Hüseyin Bey,

Estağfirullah hocam görüşleriniz benim için değerlidir. Log kısımlarına dikkat ettim otomatik olarak açık geliyordu.
Dns-proxy aktif ettikten sonra outgoing kuralını da sildim.
Yalnız vpn kısmı nasıl olacak. Siz dedikten sonra kurcaladım. VPN tabında > Mobile VPN > SSL seçilerek Activate kutucuğunu işaretliyoruz.
Daha sonra Authentication tabında firebox-db aktif olarak geliyor configure diyip kullanıcıları oluşturup kaydedip çıkıyoruz.
Bundan sonra kullanıcılar watchguard client vpn yazılımı ile cihaza bağlanıp local ağdaymış gibi 10.0.0.3 diyerek mi bağlanacak?
Eğer böyle ise çok zor olacak zira logoff yapıp çıkmak bile zor gelirken client programını açıp bağlanmakla hiç uğraşmazlar 🙂

Ama yazdım bir kenara kullanırım elbette.

CevapAlıntı
Konu başlatıcı Gönderildi : 27/12/2016 20:00

Mücahit Yılmaz
(@mucahityilmaz)
Üye

Dün outgoing kuralını devre dışı bırakınca mailler gitmemeye başladı. 587 portunu kullanıyorum pop3 olarak.

Daha sonra custom smtp proxy kuralı oluşturdum ama yine sorun vardı ekstra birşey mi yapılması gerekiyor acaba?

CevapAlıntı
Konu başlatıcı Gönderildi : 28/12/2016 11:47

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

any internal to mail sunucu (any port ) allow seklinde bir kural yazabilirsiniz

(sadece kendi mail sunucunuza izin vermek için tabii bu )

CevapAlıntı
Gönderildi : 28/12/2016 12:28

Mücahit Yılmaz
(@mucahityilmaz)
Üye

maili doruknet üzerinden kullanıyoruz hocam içeride exchange vb. yok

CevapAlıntı
Konu başlatıcı Gönderildi : 28/12/2016 12:32

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

exchange değil kastettiğim dışarıdaki sadece tek mail sunucuya izin vermek için bu yöntemi kullanabilirsiniz demek istedim

kullanıcılar farklı farklı mail sunuculara erişiyor ise bu yöntem yerine any internal to any external (port olarak 587 110 gibi mail portlarını ekleyerek sadece ) allow seklinde de kural yazabilirsiniz diye tahmin ediyorum.

 

CevapAlıntı
Gönderildi : 28/12/2016 12:36

Mücahit Yılmaz
(@mucahityilmaz)
Üye

kuralı bu şekilde oluşturuyorum port olarak any mi vermeliyim yoksa?

CevapAlıntı
Konu başlatıcı Gönderildi : 28/12/2016 12:53

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

Dışarıda eriştiğiniz mail sunucu sadece 1 adet ise any-external yerine onun ip adresini girebilirsiniz

eğer birden fazla sunucuya erişiyor iseniz yaptığınız şekilde erişebnilmeniz gerek

yalnız smtp haricinde pop3 , imap gibi gerekli portlaı da eklemeniz gerek

 

iyi çalışmalar

CevapAlıntı
Gönderildi : 28/12/2016 13:41

Mücahit Yılmaz
(@mucahityilmaz)
Üye

Peki hocam teşekkürler pop3 proxy aktif durumda zaten imap olarakta kullanılmadığı için gerek yoktur diye düşünüyorum tekrar deneyeceğim.

CevapAlıntı
Konu başlatıcı Gönderildi : 28/12/2016 13:54

Paylaş: