26 Eylül 2012 Çarşamba

pfSense - Rules


Güvenlik Duvarı - Kural Yazımı


Güvenlik duvarı kurallar kısmını bildiğim kadarıyla pfSense üzerinden anlatmaya çalışmak istedim. pfSense'de kuralların yazılacabileceği menüye ulaşmak için Firewall > Rules bağlantısına tıklamamız gerekir.

 
Bu menüde karşımıza üç sekme gelir. (LAN ve WAN olduğu varsayılırsa)

 
WAN (Wide Area Network)  için yazılan kurallar, WAN arayüzünden - belirli ip yada ip bloklarından ve belirli port yada port aralığından - gelen paketleri engellemek veya izin vermek için kullanılır. 

LAN (Local Area Network)  için yazılan kurallar, LAN arayüzünden - belirli ip yada ip blocklarından ve belirli port yada port aralığından - giden paketleri engellemek veya izin vermek için kullanılır.

FLOATING  sekmesine yazılan kurallar birden fazla arayüz üzerine hem gelen  hem giden yönde uygulanabilir. Floating kurallar LAN ve WAN sekmesine yazılan kurallardan daha öncelikli işlenir.

Kuralların işleyişi

     Kurallar yukarıdan aşağıya sıra düzensel olarak ele alınıp işlenir. Bundan dolayı kuralların sırası çok önemlidir. Örneğin yukarıya yazılan herhangi bir pass kuralı aşağıda blocklanmaya çalışılsa da herhangi bir etkisi olmayacaktır.
 

     Yukarıda yazılan kurallar dizininde alttaki engelleme kuralının herhangi bir etkisi olmayacaktır. 
 
    Kural yazılırken Pass ve Block seçeneklerinin yanısıra Reject seçeneği bulunur. Block seçildiğinde gelen paket güvenlik duvarı kuralına takılır ve izin verilmez. Paket direkt kesilir. Reject seçildiğinde ise paket gönderene geri gönderilir.


Alias

    "Alias"  ;  ip, host, yada port numaralarını gruplanabilmesini ve artık tek bir isimle çağrılabilmesini sağlar. 
    İzin verilmesi yada engellenmesi gereken ip, host yada port numaraları için ayrı ayrı kural yazmak yerine bunları ortak bir çatıda toplayıp kural yazarken bunu kullanmak karmaşılığı giderir,  okunabilirliği ve kontrolü artırır.

 
 
Alias tanımlandıktan sonra kuralda kullanılabilir.
 
   

     Daha sonra izinli_portlar isimli alias'a başka bir port numarasını eklediğimizde/çıkardığımızda  kurallara otomatik olarak eklenicektir/çıkarılacaktır.

    Yazdığınız kuralların belirli zaman aralıklarında devreye girmesini istiyorsanız Firewall - Schedules bölümünde bir schedule yaratıp kuralda kullanabilirsiniz.
     
    Kurallar kısmında göze çarpan bir diğer önemli seçenek de Layer7 seçeneğidir. Uygulama katmanında bir blocklama yapmak istiyorsanız Firewall > Traffic Shapper > Layer7 bölümüne girip bir tane oluşturmanız gerekir. Oluştururken etkinleştirmeyi unutmayınız. Etkinleştirilmemiş layer7 kalıbı listede gözükmeyecektir. Ayrıca layer7 uygulayabilmeniz için kural tipi "pass" kuralı (zaten layer7 bloklamaya yaradığı için ) ve protokol TCP, UDP veya TCP/UDP seçilmelidir.