Skip to main content

Kullanım Kılavuzu (İngilizce)

Güvenlik Duvarında ( Firewall ) Kural Oluşturma

Yerel ağınızı internette saldırılara ve izinsiz müdahalelere karşı korumak için Keenetic serisi cihazlarda varsayılan olarak firewall güvenlik duvarı bulunmaktadır. Çoğu durumda varsayılan ayarlar güvenlik için yeterlidir ve firewall konfigürasyonuna gerek yoktur. Ancak belirli sorunların çözülmesi gerektiğinde Keenetic router, firewall kurallarının konfigürasyonuna yönelik esnek seçenekler sunar.

Bu yazıda, Keenetic’te kullanılan firewall kurallarına dair pratik örneklerden bahsedeceğiz.

Keenetic’te bulunan firewall güvenlik duvarı teorisine ve ayrıntılı açıklamalarına Firewall nasıl çalışır? başlıklı yazıdan ulaşabilirsiniz.

Önemli

Güvenlik duvarı, bir oturum zaten kuruluysa bu oturumu kontrol etmez, o oturumdaki trafiğe ilişkin bir güvenlik duvarı kuralı oluşturulur. Kural geçerli oturum bittikten sonra geçerli olur.

Yeni oluşturulan kuralın doğru çalışması için (mevcut / aktif bağlantıları sıfırlamak için) ilgili Keenetic arayüzü devre dışı bırakılmalı ve tekrar etkinleştirilmelidir.

Aşağıdaki örneklere beraber göz atalım:

  1. Yerel ağda bulunan bir bilgisayara İnternet erişimi tanımlama, diğer bilgisayarların İnternet erişimini engelleme

  2. Yerel ağda bulunan bir bilgisayarın İnternet erişimini engelleme

  3. Yerel ağdan belirli bir web sitesine erişimi engelleme

  4. Belirli bir LAN’a bağlı bilgisayarın yalnızca belirli bir web sitesine erişimine izin verme

  5. Yerel ağdan yalnızca belirli protokollere (servislere) İnternet erişimine izin verme

  6. Keenetic’in uzaktan kontrolüne izin verme

  7. İnternetin belirli bir alt ağının veya dış ağların kullanıldığı IP adreslerinden Keenetic’e erişimi engelleme

  8. Allow RDP access only from a specific external IP address.

  9. Block certain hosts on your LAN from accessing the router's web interface

Firewall kurallarını Keenetic web arayüzünden konfigüre edeceğiz. Konfigürasyonu Firewall sayfasından yapabilirsiniz.

Not

İnternet, TCP/IP ağ veri transfer protokollerine bağlı olduğundan dolayı internet erişimini engellemek için firewall kuralları içeriğinde TCP protokolü tanımlayacağız.

  1. Yerel ağda bulunan bir bilgisayara İnternet erişimi tanımlama, diğer bilgisayarların İnternet erişimini engelleme

    Bu örnekte ‘EV Ağı’ segmenti için iki kural oluşturmanız gerekecek.

    İlk olarak kaynak IP adresinin (erişime izin verilecek bilgisayarın IP adresi) ve TCP protokol türünün tanımlanacağı bir İzin kuralı oluşturacağız.

    ex-firewall-01_en.png

    Ardında alt ağ olarak kaynak IP adreslerinin (255.255.255.0 alt ağ maske ile 192.168.1.0) ve TCP protokol türünün tanımlanacağı bir yasak kuralı oluşturacağız.

    ex-firewall-02_en.png

    Önemli

    Bu kural, İnternet erişimi olan bir bilgisayardan konfigüre edilmelidir. Aksi takdirde yukarıda belirtilen kurallar oluşturulduktan sonra Keenetic web arayüzüne erişimi kaybedebilirsiniz. Böyle bir durumda ise ay bağdaştırıcı kartı ayarlarında izin verilen IP adresini manüel olarak atayın ve ardından ağ arayüzüne bağlanın.

  2. Yerel ağda bulunan yalnızca bir bilgisayarın İnternet erişimini engelleme

    Bu örnekte ‘EV Ağı’ segmenti için bir kural oluşturmamız gerekiyor. Kaynak IP adresini (erişimin yasaklanacağı bilgisayarın IP adresi) ve TCP protokol türünü gireceğimiz bir Yasaklı kural oluşturacağız.

    ex-firewall-03_en.png

  3. Yerel ağdan belirli bir web sitesine erişimi engelleme

    Bu örnekte, yerel ağda bulunan tüm bilgisayarların Wikipedia’ya (wikipedia.org web sitesine) erişimini engelleyeceğiz.

    Önemli

    Keenetic router’ların firewall ayarlarında alan adı isimleri kullanılmaz, yalnızca IP adresleri girilebilir.

    Dolayısıyla kuralları konfigüre etmeden önce kullanmak istediğiniz web sitesinin IP adresini bulmanız gerekir. Bir sitenin birden fazla farklı IP adresi olabilir (Amazon.comgoogle.comfacebook.com gibi büyük kaynaklar genellikle birden fazla farklı IP adresi kullanır).

    Web sitesinin IP adresini bulmanın ilk yolu, nslookup <web sitesinin adı> özel komutunu kullanmaktır.

    Bizim örneğimizde, işletim sisteminin komut satırına aşağıdaki komutu gireceğiz:

    
nslookup merhaba.com.tr
    ex-firewall-04_en.png

    Yukarıdaki komutu girdiğinizde web sitesinin bulunduğu IP adresini görebileceksiniz (bizim örneğimizde merhaba.com.tr web sitesinin sadece bir IP adresi kullandığını görüyoruz 77.79.68.59).

    Web sitesinin IP adresini bulmanın ikinci yolu, özel online servislerden (2ip.io gibi) birini kullanmaktır. İlgilendiğiniz web sitesinin adını özel alana girin ve ardından ‘Check’ butonuna tıklayın. Web sitenin kullandığı tüm IP adresleri karşınıza çıkacaktır.

    ex-firewall-05_en.png

    Web sitesinin IP adresini öğrendiğinize göre şimdi firewall kuralları oluşturmaya başlayabilirsiniz.

    Önemli

    Web siteleri sadece HTTP ile değil HTTPS ile de çalışır.

    Bizim örneğimizde web sitesi tek bir IP adresi kullandığı için, protokoller yardımıyla trafiği engellerken ‘Ev Segmenti’ için biri HTTP diğer HTTPS olmak üzere iki kural oluşturalım. IP adresinin (erişimin engelleneceği sitenin IP adresi) ve protokol türünün (HTTPS ve HTTP) destinasyonunu belirleyeceğimiz bir Yasak kuralı oluşturalım.

    ex-firewall-06_en.png
    ex-firewall-07_en.png

    Konuyla ilgili ayrıntılı bilgiye Belirli bir web sitesine erişim nasıl engellenir başlıklı yazıdan ulaşılabilir.

  4. Belirli bir LAN’a bağlı bilgisayarın yalnızca belirli bir web sitesine erişimine izin verme

    Bu örnekte, IP adresi 192.168.1.65 olan bir yerel bilgisayarın yalnızca merhaba.com.tr web sitesine erişimine izin vereceğiz.

    Bu bilgisayarın diğer web sitelerine erişimi engellenecek.

    İlk olarak, ihtiyacımız olan web sitesinin IP adresini bulmakla işe başlayalım. Verdiğimiz örnekte merhaba.com.tr web sitesini kullanacağımız için bu web sitesinin IP adresini 77.79.68.59 olarak bulduk. Web sitesinin IP adresinin nasıl bulunacağıyla ilgili ayrıntılı bilgiye Örnek 3’ten ulaşabilirsiniz.

    Bizim örneğimizde, ‘Ev Ağı’ segmenti için üç kural oluşturmanız gerekecek. Öncelikle kaynak IP adresinin (erişime izin vermek istediğiniz bilgisayarın IP adresi), hedef IP adresine (erişime izin vermek istediğiniz web sitesinin IP adresi) ve HTTP ve HTTPS protokol türlerinin belirleneceği bir İzin kuralı oluşturalım.

    ex-firewall-08_en.png
    ex-firewall-09_en.png

    Ardından kaynak IP adresini (erişimin engelleneceği bilgisayarın IP adresi) ve TCP protokol türünü (İnternet erişimini engelleme) belirleyeceğimiz bir Yasak kuralı oluşturalım.

    ex-firewall-10_en.png

  5. Yerel ağdan yalnızca belirli protokollere (servislere) İnternet erişimine izin verme.

    Şimdi ise yerel bilgisayarların İnternete yalnızca HTTPHTTPSFTPSMTPPOP3IMAPDNS üzerinden erişimine izin verelim, tüm diğer trafiği engelleyelim.

    Bu örnekte, ‘Ev Ağı’ segmenti için kurallar oluşturacağız. Öncelikle 'Kaynak IP' ve Destinasyon IP' alanlarında ‘Herhangi bir’ değer belirleyeceğimiz kuralları oluşturmakla işe başlayalım. ‘Protokol’ alanında, listeden gerekli protokol (servis) türünü seçelim. Ardından 'Kaynak IP' ve Destinasyon IP' alanlarında Herhangi bir’ değer belirleyeceğimiz, ‘Protokol’ alanında ise internet erişimini engellemek için TCP ve UDP değeri gireceğimiz iki kural oluşturalım.

    Önemli

    İnternetin doğru çalışması için Alan Adı Servisi (TCP/53UDP/53) gereklidir. Alan Adı servisi, sitelerin/alan adlarının sembolik isimlerini IP adreslerine çevirmeye (ve tam tersi) olanak tanır.

    Bizim örneğimizde firewall kurallar dizini aşağıdaki gibidir:

    ex-firewall-11_en.png

  6. Keenetic’in uzaktan kontrolüne izin verme

    Önemli

    Başka bir ağdan (İnternet) Keenetic yönetim paneline (web arayüzüne) erişim, aygıtın ve yerel ağın güvenliği için varsayılan olarak engellidir.

    İnternetten cihazınıza erişim ancak harici arayüzde (WAN) public IP adresinin olduğu, dolayısıyla router’ın global ağa bağlandığı durumlarda ya da KeenDNS servisi kullanılarak özel IP adresinin olduğu hallerde mümkündür.

    Bizim örneğimizde, router’ın internet üzerinden uzaktan kontrolünü sağlamak için (özellikle aygıtın yönetim paneline bağlanmak için) bir firewall kuralı oluşturacağız.

    Bunun yanı sıra İnternetten ICMP ping isteklerine izin vereceğiz (bu sayede ağ üzerinden aygıtın kullanıma uygun olup olmadığını kontrol edebileceğiz).

    Güvenliği artırmak amacıyla, yalnızca belirlenen public IP adresine sahip harici ağdan (bizim örneğimizde 93.94.95.96 IP adresinden) uzaktan erişime ve ping isteklerine izin vereceğiz.

    Önemli

    Public IP adresi kullanıyorsanız Keenetic web arayüzüne erişime, public (global) ağdan kullanıcıların ping isteklerine izin vermemenizi tavsiye ederiz.

    Bu örnekte, ‘Sağlayıcı’ harici ağ arayüzü -internete erişim sağladığınız arayüz- için kurallar oluşturmamız gerekecek (PPPoE, PPTP, USB LTE, vb. olabilir).

    Kaynak IP’ alanını (İnternetten erişimin izin verileceği bilgisayarın public IP adresi) doldurduğumuz yerde bir İzin kuralı oluşturacağız ve ‘Protokol’ alanında "TCP/80 (HTTP)"yi seçeceğiz.

    ex-firewall-12_en.png

    Ardından ICMP protokolü (ping için) olmadan benzer bir kural oluşturacağız.

    ex-firewall-13_en.png

    Böylece Keenetic’in ping (ICMP ile) ve ağ arayüzüne erişimi (HTTP ile) İnternet üzerinden yalnızca belirli bir IP adresinden erişime açık olacak.

    Önemli

    Keenetic’in web arayüzüne erişim sağlamak için web tarayıcısında Keenetic’in public WAN IP adresini kullanmanız gerekecektir (Bunun için Keenetic'in web arayüzünde ‘Sistem paneli’nde ‘İnternet’ bilgi paneli başlangıç sayfasında ‘IP adres’ satırında bulunan ‘Ayrıntılar’ kısmına tıklayın). Tarayıcıdaki adres http:// ile başlamalıdır. Örnek: http://IP adresi (http://89.88.87.86 gibi).

  7. İnternetin belirli bir alt ağının veya dış ağların kullanıldığı IP adreslerinden Keenetic’e erişimi engelleme

    Diyelim ki router’in WAN portuna İnternette bilinmeyen IP adreslerinden çok sayıda erişim girişimi (saldırı girişimi) tespit ettiniz. Bağlantı girişimlerinin farklı IP adreslerinden gelmesine rağmen tümünün aynı 115.230.121.x alt ağ grubuna ait olduğunu fark ettiniz.

    Bu durumda Keenetic harici arayüz ‘Sağlayıcısı’nda (veya İnternet erişimi olan başka birinde olabilir) 115.230.121.x alt ağ grubu IP adreslerinin WAN port erişimini engellemek gerekecektir.

    Alt ağ’ değerinin ‘Kaynak IP’ olarak girileceği ve alt ağ adresinin ve maskenin belirleneceği TCP/UDP/ICMP(ping) trafiği için Ret kuralları oluşturalım. /24 (255.255.255.0) alan kodu ile alt ağ maske kullanırken, bu alt ağın IP adresi 0 ile bitmelidir (bizim örneğimizde 115.230.121.0 olacak).

    ex-firewall-14_en.png
    ex-firewall-15_en.png
    ex-firewall-16_en.png

  8. Allow RDP access only from a specific external IP address.

    Let's suppose that a Keenetic router uses a port forwarding rule to allow connection from the Internet to a home computer via RDP (TCP/3389). However, in this case, the port will be open for any IP address from the Internet. It is recommended that you allow RDP access from a specific external IP address only for security reasons. This can be done using firewall rules on the external interface through which the Internet is accessed.

    Create a Permit rule for access from a specific IP address on TCP port 3389 and then create a Deny rule for all IP addresses on TCP port 3389.

    In our example, only connections from public IP address 93.94.95.96 are allowed.

    ex-firewall-17_en.png
    ex-firewall-18_en.png
    ex-firewall-19_en.png

    Önemli

    If you configured destination port mapping in the forwarding rule (e.g. from 4389 to 3389), in the firewall rule, you must specify the actual destination port number used on the server in the local network, i.e. 3389.

  9. Block certain hosts on your LAN from accessing the router's web interface

    If you need to block access to the Keenetic web interface at 192.168.1.1 and my.keenetic.net for some devices on your local network, you can do that using firewall Deny rules created on the LAN interface (which is the 'Home segment' interface by default).

    Let's see an example of blocking access to the router's web interface for the device with IP address 192.168.1.143.

    ex-firewall-20_en.png

    In our example, we have added two Deny rules. The source address is the IP address of the local network host that we want to block access to the router's web interface. Note that in the rule to deny access to 192.168.1.1, the destination port should be set to TCP/80, and in the rule to Deny access to my.keenetic.net, the destination address should be 78.47.125.180 (which is the IP bound to the domain name my.keenetic.net) and port TCP/443 (because access to the domain name is automatically redirected to the HTTPS protocol).

    We have shown an example to block one host from accessing the router's web interface from the local network, but similarly, rules can be made for other hosts.

Not

SoruFirewall kuralları kullanarak yerel ağda yalnızca iki host arasındaki trafiği engellemek mümkün mü?

  • Cevap: Hostlar aynı segmentte olduğu için ve aralarındaki etkileşim OSI modelin ikinci katmanında gerçekleştiği için aynı LAN üzerinde bulunan iki host arasındaki trafik Firewall kuralları kullanarak engellenemez.  Firewall, OSI modelin 3. katmanında çalışır.

    Farklı ağ segmentlerinde bulunan tüm hostlar arasındaki trafik ancak izole-özel (isolate-private) fonksiyon etkinleştirilerek (segmentler arasındaki tüm iletişimin engellenmesi) veya ayrı Firewall kurallarını kullanıp yalnızca bazı hostların erişimini engelleyerek engellenebilir.

Bu bölümde: