�ݺ�ߣ

Linux Yaz Kampı 2016
pfSense Firewall ve Router Eğitimi
İbrahim UÇAR
ucribrahim@gmail.com
http://lifeoverlinux.com
Twitter : @ucribrahim

Eğitim Hakkında
pfSense Firewall Eğitimi: Bu eğitim pfSense 2.2.6 kurulumu/yapılandırması,
filtrelenmesi, dhcp, dns, vpn gibi temel servislerinin ne işe yaradıkları ve nasıl
yapılandırılacağı gibi konuların işleneceği bir eğitimdir.
Katılımcılardan beklenen nitelikler;
● Temel seviyede networking.
● Temel seviyede okuduğunu anlayabilecek ingilizce bilgisi.
Bu Eğitim, FreeBSD ve TCP/IP eğitimi değildir.

● Güvenlik duvarı yeteneklerini öğrenmek
● İnternet ve yerel ağ trafiğini yönetmek
● Temel servisler hakkında bilgi edinmek
● Temel ağ servislerini yönetmek
● Web trafiğini filtrelemek
● Desteklediği VPN türlerini öğrenmek ve güvenli iletişim kanalı oluşturmak
● Birden fazla WAN bağlantısı için yük dengeleme ve failover hakkında bilgi edinmek
● NAT türlerini öğrenmek
● Captive Portal ile kimlik doğrulamalı sınır kapısı oluşturmak
● Yedekli çalışma (CARP) prensibinin anlaşılması
● Trafik şekillendirme
● Yedekleme ve Kurtarma seçenekleri
Amaçlar

● pfSense Nedir?
● Neden pfSense ?
● pfSense Özellikleri
● Donanım
● Destek
● Minimum Donanım Gereksinimleri
● pfSense Kurulumu
● pfSense Paket Sistemi
● Yedekleme ve Kurtarma Seçenekleri
● Firewall Yetenekleri
● NAT
● Trafik Şekillendirme
● CARP Yapılandırması
Eğitim İçeriği #1

● Captive Portal ve Kullanım Alanları
● Servisler
○ DHCP Server
○ Proxy Servisi olarak Squid/SquidGuard (URL Filter)
● Desteklediği VPN Teknolojileri
○ PPTP VPN
○ OpenVPN
○ IPsec
Eğitim İçeriği #2

Neden pfSense?
● FreeBSD sağlamlığını taşıyor
● OpenBSD PF güvenlik duvarı
● Hızlı destek
● Mail listesi
● IRC kanalı
● Türkçe&İngilizce forumlar
● Ticari destek
● Yerel, Yerinde Destek
● Geniş özellik listesi
● Kapsamlı dökümantasyon
Bölüm 1:
pfSense Giriş

Mail Listeleri
pfSense Support Listesi, support-subscribe@pfsense.com boş bir mail gönderip dönen onay
mailini doğrulamanız yeterli.
pfSense Türkçe support listesi, pfsense-tr+subscribe@googlegroups.com e-posta adresine
boş bir e-mail atmanız yeterlidir.
Bölüm 2:
pfSense Destek ve Yardım Seçenekleri

Döküman ve Özel Dersler
https://doc.pfsense.org/index.php/Main_Page
https://doc.pfsense.org/index.php/Tutorials
Sorun Giderme Klavuzları
https://doc.pfsense.org/index.php/Category:Troubleshooting
Eğitim Videoları
http://www.cehturkiye.com/videolar/pfsense/
Bölüm 2:

Forum Sayfası
Arasında “Türkçe” nin bulunduğu 13 dilde destek formu;
http://forum.pfsense.com
IRC Kanalı
IRC Kanalı Freenode irc servisi üzerinde, ##pfsense adında bir kanal bulunuyor. Ortalama 100 kişi
sürekli aktif oluyor. Bu kanala dahil olup, sorunuzu yöneltebilirsiniz.
http://freenode.net/
Ticari Destek
Ticari Destek pfSense geliştiricilerinden direk destek alınabilecek bir mecra.
https://portal.pfsense.org/index.php/support-subscription
Bölüm 2:

CSV Track
Bug’lar ve düzenlemeler ile ilgili rapor gönderebilirsiniz.
https://redmine.pfsense.org/
Bug Listesi
Tüm çözülen ve çözülmeyi bekleyen Bug’larıda görebilirsiniz.
https://redmine.pfsense.org/
Bölüm 2:

Bölüm 3:
Donanım Alımı
Donanım seçimi ve satın alma kanalları için kaynaklar,
pfSense Store
https://www.pfsense.org/hardware/#pfsense-store
Lanner Harware
http://www.lannerinc.com/products/
IBM
http://www.ibm.com/tr/tr/
Alix Embedded Board
http://www.pcengines.ch/alix.htm

CPU - 100 Mhz Penitum
RAM - 128 MB
Diğer Platformlar
Live CD
CD-ROM Drive
USB Flash Sürücü, ayarları saklamak için
Sabit Diske Kurulum
CD-ROM, kurulum başlangıcı için
1 GB hard disk
Gömülü Sistemler (Embeded)
512 MB Compact Flash card
Yönetim için Seri Port
Bölüm 3:
Minimum Donanım Gereksinimleri

Symmetric Multiprocessing Kernel
Çok çekirdekli veya çok işlemcili donanımları destekler.
Embedded Kernel
Gömülü anakartlar için. VGA konsolu yok. Klavye var. Seri porttan yönetilir.
Developer Kernel
Debug seçeneklerinin aktif edildiği geliştirici versiyonu.
Bölüm 4:
Kurulum Seçenekleri

Embedded iso imajlarını buradan bulabilirsiniz.
https://www.pfsense.org/download/
● Linux üzerinden kurulum
# gunzip -c pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz | dd of=/dev/hdX bs=16k
NOT: CF kartlar ve IDE diskler /dev/hdX olarak isimlendirilir. USB veya SCSI diskler /dev/sdX olarak
isimlendirilir. Komutu kullanmadan önce hangi disk’e kurulum yapacağınızı öğreniniz.
● FreeBSD üzerinden kurulum
# gunzip pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz
# dd if=pfSense-CE-2.3.1-RELEASE-2g-amd64-nanobsd.img.gz of=/dev/adX obs=64k
Bölüm 4:
Kurulum

Vmware player ile veya workstation aracılığı ile ‘de kurulum yapabilirsiniz.
1. pfSense imajını indir : https://www.pfsense.org/download/
2. Yeni bir VM imajı oluştur.
3. Fiziksel disk ekle ( IDE/SATA vb. diskler eklenebilir)
4. Sanal makinayı başlat.
5. Full kurulum veya embedded kurulumu için yönegerleri tamamla.
Bölüm 4:
Alternatif Kurulum Seçenekleri

pfSense kurulum sonrası başka bir donanımda farklı bir disk ismi alabilir ve her açılışta sizden disk ismi
girmenizi ister.
Disk problemi;
Mountroot: ? : Sistemdeki mevcut disklerin listesini alabiliriz.
ufs:/dev/ad0s1a : Bu komut ile disk mount edilir.
Bölüm 4:
Kurulum Aşamalarında Sorun Giderme

pfSense iki farklı yönetim arabirimine sahiptir.
Konsol Arabirimi: Temel ayarlar ve kurtarma operasyonları için seçenekler sunan sade bir menüdür.
Web Arabirimi: Hemen tüm sistem ayarlarının ve yönetimsel faaliyetlerinin yürütülebildiği web tabanlı
yönetim arabirimidir.
Bölüm 5:
Konfigurasyon | Yönetim Arabirimleri

Bölüm 5:
Konsole Arabirimi Web Arabirimi
0) Logout (SSH only)
1) Assign Interfaces
2) Set Interfaces IP address
3) Reset webConfigurator password
4) Reset to factory defaults
5) Reboot system
6) Halt system
7) Ping host
8) Shell
9) PFtop
10) Filter Logs
11) Restart webConfigurator
12) pfSense Developer Shell
13) Upgrade from console
14) Disable Secure Shell (sshd)
15) Restore Recent Configuration
16) Restart PHP-FPM
System
Interfaces
Firewall
Services
VPN
Status
Diagnostics
Gold
Help

Konsol Arabirimi
Bölüm 5:

Web Arabirimi
Bölüm 5:

Bölüm 5:
Konfigurasyon | Konsol Arabirimi

Kullanıcı adı: admin
Parola: pfsense
Bölüm 5:

Aktif ağ arabirimleri.
1. Arabirim atamak.
2. IP tanımlamak.
3. Web parolasını
sıfırlamak.
4. Varsayılan ayarlara
geri döner.
5. Sistem restart.
6. Sistem kapat.
7. Ping komutu.
8. Bash kabuğuna
girer.
9. pfTop çalıştırır.
10. Logları filtreler.
11. Web arayüzü yeniden
başlatır.
12. Geliştirici bash
kabuğuna girer.
13. Konsoldan sistemi
günceller.
14. SSH aktif eder.
15. Sistemi kurtarma.
16. PHP-FPM restart.
Bölüm 5:

Bölüm 5:
Konfigurasyon | Genel Ayarlar

Ağ ayarlarında hangi ağ arabirimine hangi IP türlerinin atanacağını belirleyebilirsiniz.
IP türleri;
● Static
● DHCP
● PPPoE / PPP
● PPTP
● L2TP
Bölüm 6:
Ağ Ayarları

● Static
IP adresi ve netmask elle ayarlanır. Ağ arabirimi eğer WAN olucak ise ekstra gateway adreside
tanımlanmalıdır.
● DHCP
IP adresi netmask, gateway vb. bilgileri otomatik olarak ortamdaki DHCP sunucusundan alır.
● PPPoe / PPTP
PPPoe ve PPTP seçerseniz ağ arabirimine servis kullanıcı adı ve parola bilgilerini girmeniz gerekir.
PPPoe seçeneğini kullanırsanız internet ip adresi direkt belirttiğiniz ağ arabiriminde tanımlanmış
olacaktır. İnternet ip adresine istek olursa direkt iletişime pfsense geçecektir.
Bölüm 6:
Ağ Ayarları | IP Türleri

Bölüm 6:
Ağ Ayarları | WAN | Static

DHCP sunucusundan ikincil
bir ip adresi istenebilir.
Bölüm 6:
Ağ Ayarları | WAN | DHCP

Servis sağlayıcının bilgileri.
Bölüm 6:
Ağ Ayarları | WAN | PPPoE

PPP 3G bağlantı
ayarları.
Bölüm 6:
Ağ Ayarları | WAN | PPP

Ağ arabirimine ait bilgiler.
Bölüm 6:
Ağ Ayarları | WAN Bilgileri

Artı (+) Butonuna
tıklayarak yeni bir ağ
arabirimi eklenebilir.
Interfaces > Assign sekmesine girerek ağ arabirimi ekleyebilir veya
kaldırabilirsiniz.
Bölüm 6:
Ağ Ayarları | Ağ Arabirim Eklemek

pfSense üzerinde hali hazırda kurulmaya hazır paketler vardır. Bu paketler ayrı ayrı kategori
halinde tutulmaktadırlar. Örneğin güvenlik ile ilgili paketler “Security” adlı sekme içerisinde
tutulur. Kısacası tüm paketler ayrı ayrı kategori halinde tutuluyor.
Paket sisteminde iki adet ana sekme bulunmaktadır.
Available Packages: Bu bölümde pfSense tarafından kurabileceğiniz mevcut paketler vardır.
Installed Packages: Bu bölümde ise kurduğunuz paketler listelenecektir. Bu alanı kullanarak
kurulu bir paketi silebilir veya yeniden kurabilirsiniz.
Bölüm 7:
Paket Sistemi

pfSense modüler yapısını paket sistemi ile sağlıyor. Ek uygulamalar ve programlar paket
sisteminden kolayca yönetilebiliyor. Paket sisteminin sağladığı özellikler;
● Paket Kurulumu
● Paket Yükseltme
● Paket Kaldırma
Bölüm 7:
Paket Sistemi

Paket kur.
KurulabilirPaketListesi
Bölüm 7:
Paket Sistemi

Paketi yeniden kurmayı sağlar.
İlgili paketin web arabirimi yeniden kurar.
Kurulu paketi sistemden kaldırır.
Bölüm 7:
Paket Sistemi

Sistemdeki tüm bilgileri
.xml formatında
indirebilirsiniz.
İndirilen xml.
formatındaki sistem
yedeği buradan geri
sisteme yüklenebilir.
Bölüm 8:
Yedekleme ve Kurtarma Seçenekleri

Firewall Genel Özellikler;
● Kaynak/Hedef IP, IP protocol ve TCP/UDP port bazlı filtreleme.
● OS bazlı filtreleme yeteneği. ( Linux’lar internete çıksın, Win’ler çıkamasın vb.)
● Yük dengeleme, yük dağıtma ve çoklu WAN için kural bazlı gateway seçme imkanı.
● Alias tanımlamları ile host, network ve portlar için grup oluşturabilme ve onlara kural tanımlayabilme.
● Layer 2 seviyesinde kural tanımlayabilme.
● Her firewall kuralı için log tutabilme yeteneği.
● Trafik şekillendirme (in/out) ile kaynak, grub, bazlı trafik limitleme yapabilme.
Bölüm 9:
Firewall

Bölüm 9:
Firewall | Kurallar I

Action: Pakete uygulanacak filtre kriteri.
○ Pass: Paketin geçişine izin verir.
○ Block: Paketi engeller. (drop)
○ Reject: TCP paketlerine "TCP RST", UDP için ise "ICMP port unreachable" yanıtı döndürür.
● Disabled: Kuralı devre dışı bırakır.
● Interface: Kuralın uygulanacağı arayüz.
● Protocol: IP protokolü. (TCP, UDP, ICMP vs.)
● Source: Paketin kaynağı. (IP, Alias, Subnet vs. )
○ Source port range: Kaynak port aralığı.
● Destination: Paketin hedefi (IP, Alias, Subnet vs. )
○ Destination port range: Paketin hedef port aralığı.
● Log: Kural için kayıt tut.
● Description: Kuralı tanımlayıcı açıklama satırı.
Bölüm 9:
Firewall | Kurallar I

Bölüm 9:
Firewall | Kurallar II

● Source OS: Kuralın geçerli olacağı işletim sistemi. (Yalnızca TCP kurallar için geçerlidir.)
● TCP Flags: Spesifik TCP bayraklarını set etmek için kullanılır.
● State Type: Durum türü.
○ keep state: Durum kontrollü kurallar. (Default)
○ sysnproxy state: Gelen istekler için proxy görevi görür.
● Schedule: Kuralın çalışacağı zaman, zaman tanımlaması.
● Gateway: Birden fazla gateway olması durumunda kural için hangi gateway'in
kullanılacağını belirler.
● In/Out : Trafik şekillendirme.
● Layer 7 : Uygulama katmanında kural tanımlamanızı sağlar.
● Description : Kuralı hatırlamanızı sağlayacak bir mesaj. ( Sistem dikkate almayacaktır. )
Bölüm 9:
Firewall | Kurallar II

Firewall kurallarının tanımlandığı alt menü “Rules” bölümünde her interface için ayrı kural
sayfası bulunmaktadır.
Örneğin, LAN’dan dışarıya doğru yapılacak filtreleme kuralları “LAN” tabı altında
oluşturulmalıdır. Aynı şekilde dışarıdan içeriye doğru olan trafik üzerindeki filtrelemeler vb.
“WAN” tabı altında yapılmalıdır.
"Floating" tabı ise tüm interfaces’lerde yürütülecek kurallar içindir.
Bölüm 9:
Firewall | Kurallar III

Firewall kuralları yukarıdan aşağıya doğru uygulanmaktadır. Örneğin, birisinin internete
çıkmasını engellemek istiyorsunuz, onu en üst kurala aldınız ondan sonra herkes için bir izin
kural oluşturdunuz ve onuda yasak kuralının bir üstüne aldınız. Böyle bir durumda
yasaklamak istediğiniz kullanıcının firewall kuralı devre dışı kalacaktır ve internete çıkmaya
devam edecektir. Bunu aşağıdaki resimler açıklıyor.
Yanlış!
Doğru
Bölüm 9:
Firewall | İpucu!

Kurallarda kullanılmak üzere IP, port ve network adreslerini gruplandırmak için kullanılır. Firewall
kurallarında kolaylık sağlar.
Bölüm 9:
Firewall | Alias

Bölüm 9:
Firewall | Alias | Port

Bölüm 9:
Firewall | Alias | Host

Bölüm 9:
Firewall | Alias | Network

Bölüm 9:
Firewall | Alias | Urltable

Zaman bazlı kurallar yazmanızı sağlar.
Örnek: Ahmet personeli hafta içi günlerde
( 09:00 - 18:00 ) arası yasaklı olsun.
Bölüm 9:
Firewall | Schedules

Örnek : Ahmet personeli her ay hafta içi günlerde ( 09:00- 18:00 )
arası yasaklı olsun, diğer saatler internet açık olsun.
Bölüm 9:
Firewall | Schedules | Uygulama

Network ‘daki kullanıcıların internete çıkarken belirleyeceğiniz upload hızı ve download hızı ile
çıkmasını sağlanabilir. Böylelikle tüm kullanıcılar adil internet paylaşımı olacaktır. Aynı zamanda
network rahatlamış olacaktır.
Ana menüde Firewall > Traffic Shaper > Limiter yolu takip edilerek menüye ulaşılabilir.
Bölüm 9:
Firewall | Traffic Shaper | Limiter

Herkes 2mbit upload ve 2mbit download hakları ile internette gezinsin.
1. adım
2. adım
3. adım
Bölüm 9:
Firewall | Limiter | Uygulama

NAT (Network Address Translation - Ağ Adresi Çeviricisi )
NAT bir ağda bulunan bilgisayarın, kendi ağı dışında başka bir ağa veya internete çıkarken farklı bir IP
adresi kullanabilmesi için geliştirilmiş bir İnternet protokolüdür. Yani NAT bilgisayarın sahip olduğu IP
adresini istenilen başka bir adrese dönüştürür. Kısaca özel IP'lerin Internetteki IP'ler ile haberleşmesini
sağlar.
Birden fazla NAT çeşidi vardır. Önemli olan iki tanesi;
Static NAT: Türk telekom servis sağlayacısı tarafından tahsis edilen statik 85.55.55.55 ip adresimiz var.
Bir local network içerisinde istemci internete çıkarken bu ip adresinden üzerinden çıkacaktır.
Dynamic NAT: Türk telekom servis sağlayıcı tarafından 78.14.14.14 - 78.14.14.20 aralığında tahsis
edilen IP havuzumuz var. Birden fazla local network içerisindeki istemciler internete çıkarken havuz
içerisindeki herhangi bir internet ip adresi ile çıkacaklardır. İstemciler hangi IP adresinden çıkacaklarına
kendileri karar vermezler bunu NAT yapan cihaz karar vermektedir.
Bölüm 10:
NAT ( Network Address Translation )

pfSense üç farklı NAT özelliği sunar:
Port Forward : Klasik port yönlendirme işleri için kullanılır. LAN'da bulunan herhangi bir servise
(port) WAN üzerinden erişilebilmesine olanak sağlar.
1:1 NAT : Belirtilen IP adresine gelen trafiği bir hedef IP adresine yönlendirir.
Outbound NAT : Spesifik bir hostun ya da networkün dışarıya spesifik bir IP üzerinden çıkarılması
için kullanılır.
Npt : IPv6 için hazırlanmış bir NAT türüdür.
Bölüm 10:
NAT Özellikleri

Bölüm 10:
NAT Forwarding | Senaryo

Senaryo 1:
WAN arayüzünden gelen ve hedef portu 80 olan tcp trafiğini 192.168.100.1 adresinin
80 portuna yönlendir.
Seneryo 2:
WAN arayüzünden gelen ve hedef portu 9000 olan tcp trafiğini LAN'da bulunan
192.168.100.254 adresinin 22. portuna gönder.
Bölüm 10:
NAT | Port Forwarding | Uygulama I

Senaryo 3:
WAN arayüzünden kaynak 85.55.34.22 ip adresi ve hedef portu 80 olan tcp trafiğini
192.168.100.100 adresinin 80 portuna yönlendir.
Seneryo 4:
WAN arayüzünden 85.55.55.55 ip adresinden gelen ve hedef portu 9000 olan
tcp trafiğini LAN'da bulunan 192.168.100.254 adresinin 22. portuna gönder.
Bölüm 10:
NAT | Port Forwarding | Uygulama II

1:1 NAT: Belirtilen IP adresine gelen trafiği bir hedef IP adresine yönlendirir. Bunun için
kullanılacak internet IP'leri virtual IP (proxy arp) olarak tanımlanmalıdır.
Senaryo: WAN arayüzünden 86.19.12.103 gelen tüm trafiği 192.168.100.254 adresine
yönlendir.
1- Önce ilgili dış IP için Proxy ARP türünde bir Virtual IP tanımlanır:
2- 1:1 NAT girdisi oluşturulur:
Bölüm 10:
NAT | 1:1 NAT

Senaryo: 192.168.100.0/24 network’unu internete çıkarken 86.19.12.103 olarak dönüştür
Bölüm 10:
NAT | Outbound

CARP ÖZET
Yedekli çalışma kavramı hayatımızın her noktasında. Herşeyin bir yedeği olsun isteriz, özellikle kritik
konumda olan cihazlarımızın. Tüm ağ trafiğini yöneten aktif ağ cihazlarının (switch, router, firewall) teknik
bir problem sonrası bizlere yaşattığı iş kaybı, stress günümüz şartlarında yedekli çalışmayı daha önemli
hale getirmektedir.
Bir firewall ve router olarak pfSense’in CARP (common Address Redundancy) özelliğini yapılandırma
sonrası pfSense makinalarınızdan birisi bir sorun yaşarsa anlık olarak diğer pfsense makinanız devreye
girecektir ve hiçbir veri kaybı yaşamadan ağ trafiği devam edecektir.
TR | CARP yapılandırmasına buradan ulaşabilirsiniz.
Bölüm 11:
CARP ( Common Address Redundancy )

Captive Portal Servisi
Güvenli kimlik doğrulama
DHCP Server
IP dağıtımı
Squid/SquidGuard Servisi
Vekil sunucu, URL filtreleme Kullanımı
Bölüm 13:
Servisler

Captive Portal internete çıkış için zorunlu kimlik denetimi sağlanmasına olanak sağlayan bir servistir.
Bu servis ile kullanıcılar bir URL’ye yönlendirilebilir ve internet erişimi için kullanıcı adı / parola
girmeleri ya da bir linke tıklamaları sağlanabilir.
Kamuya açık kablosuz ağ hizmetlerinin verildiği otel, kafe, eğitim kurumları ve misafir ağları gibi
yerlerde internet erişimlerini güvenli bir şekilde sağlamak için kullanılan bir çözümdür.
Bölüm 13:
Services | Captive Portal

Genel Özellikler
● Maximum Concurrent Connections - ( Maksimum Eş Zamanlı Bağlantı )
● Idle Timeout - ( Boş Zaman Aşımı )
● Hard Timeout - ( Sabit Zaman Aşımı )
● Logout Popup Window - ( Logout Popup Penceresi )
● Redirection URL - ( Yönlendirme Adresi )
● Concurrent user logins - ( Eş Zamanlı Kullanıcı Girişi )
● Authentication - ( Kimlik Doğrulama ( Tanımsız, Yerel, Radıus )
● Per-user bandwidth restriction : ( Kullanıcı Başına Bant Genişliği Sınırlaması )
● Pass-through MAC Auto Entry : ( İzinli MAC Otomatik Giriş )
Bölüm 13:

Genel Özellikler
● Voucher - ( Biletler )
● MAC filter - ( MAC adresine göre filtreleme )
● IP Address filter - ( IP adresine göre filtreleme )
● Allowed Hostnames - ( Hostname adına göre yetkilendirme )
● File Manager - ( Özelleştirilebilir Giriş/Hata, Çıkış Penceleri ve Logo ayarları )
Farklı ağ arabirimleri için farklı captive portal karşılama ekranı oluşturulabilir. LAN ağ arabirimi için
farklı bir karşılama ekranı, LAN1 ağ arabirimi için farklı bir karşılama ekranı gibi.
Bölüm 13:

Genel Özelliklerin Ne İşe Yaradıkları
Maximum Concurrent Connections: HTTP(S) Hizmet portalı karşılama ekranını aynı anda görebilecek
maximum kullanıcı sayısıdır.
Idle Timeout: İstemciler bu süre boyunca herhangi bir eylem gerçekleştirmezlerse bağlantıları kesilir.
Hard Timeout: İstemcilerin bağlantıları, etkinlik durumuna bakılmaksızın, bu sürenin sonunda koparılır.
Logout Popup Window: Hizmet portalından istemci geçişine izin verildiyse ek bir pencere açılır. Bu
pencereden kullanıcılar boşta veya mecburi zaman aşımını beklemden oturumlarını kapatıp bağlantılarını
kesebilirler.
Redirection URL: Hizmet portalı doğrulama ardından erişmeye çalıştıkları adres yerine bu adrese
yönlendirilirler.
Bölüm 13:

Concurrent user logins: Bir kullanıcı adıyla oturum açıldığında o kullanıcı adıyla açılan diğer oturumlar
kapatılır. Bu seçenek kapalı ise aynı kullanıcı adı ile birden fazla cihazda oturum açabilirler.
Authentication : Kimlik doğrulama’yı hangi yöntem ile yapılacağı buradan belirtilir.
Per-user bandwidth restriction : Kullanıcı başına bant genişliğini buradan tanımlayabilirsiniz. Her
oturum açan kullanıcı 1024 upload ve 1024 download hızları ile çıksın denilebilir.
Pass-through MAC Auto Entry : Bu seçenek açıldığında kullanıcı başarılı şekilde kimlik doğruladıktan
sonra otomatik olarak bir MAC izni oluşturulur. O MAC adresinden çıkan kullanıcıların bir daha kimlik
doğrulaması gerekmez.
Bölüm 13:

● İç ağa ip adresi dağıtmak için kullanılır.
● DHCP sunucusunun hizmet verdiği ağ arabirimi statik ip adresine sahip
olması gerekir!
● MAC adresine göre statik ip adresi ataması yapılabilir.
● NTP server, DNS server, WINS server bilgileri dhcp istemcilerine iletilebilir.
● DNS ve Gateway tanımı yapılabilir.
● DHCP kira süreleri belirtilebilir.
● Ağ üzerinden işletim sistemi yüklemeyi sağlayabilir.
● DHCP kiralarını görüntüleme ve yönetme sekmesi mevcuttur.
● Tanımlanmış ip aralığı ve ip-mac listesi dışındaki istemcilerin ağa erişimlerini
engeller. Bu özelliği ile diğer dhcp sunucular’dan en büyük farkını yansıtır.
Bölüm 13:
Services | DHCP Server

Birden fazla ağ arabirimi
destekler.
Dağıtılacak ip aralığı.
Ek IP
havuzu.
Bölüm 13:

Statik DHCP
kiraları.
Bölüm 13:

Bölüm 13:
Services | DHCP Server | Kayıtlarının İncelenmesi

Bölüm 13:
Services | DHCP Server | Sorun Giderme
DHCP servisi ip adresi dağıtmıyor. Servis restart ettiğinizde aşağıdaki ( zaten servis çalışıyor ) mesajı
alıyorsanız;
Oct 5 20:11:29 dhcpd: There’s already a DHCP server running
Aslında arka planda dhcp servisi çalışmıyor, pid dosyası silinmemiş yeni çalışacak olan process bir
kopyasının çalıştığını düşünüyor.
Çözüm;
# rm /var/dhcpd/var/run/dhcpd.pid
Komut satırından veya arayüzden yeniden servisi başlatın. Servis çalışıyor olacak.
# px aux | grep dhcp
dhcp 15276 0.0 0.8 14696 2376 - Is 10:23PM 0:00.00 dhclient: em0 (dhclient)
72768 - Ss 0:00.01 /usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/

Bölüm 13:
Services | Proxy Servisi
HTTP Proxy servisi kullanıcının web trafiğini analiz ederek filtrelemeden geçirir ve detaylı
raporlama imkanı sağlar.

Bölüm 13:
Services | Proxy Servisi | Squid
Yüksek performanslı web proxy yazılımı.
● Transparent Proxy olarak yapılandırmak
● Upstream Proxy
● Önbellek Yönetimi
● Erişim Kontrol Listeleri (ACL)
● Trafik yönetimi
● Kimlik Doğrulama
• Yerel Kimlik Doğrulama
• Ldap kullanarak Active Directory ile kimlik doğrulama
● Yerel Kullanıcılar

Bölüm 13:
Services | Proxy Servisi | Squid
İstemcilere proxy adresi belirtmeden, hedef portu 80 olan istekleri squid’e aktarır. Bu yöntemi
kullanabilmek için transparent proxy aktif edilir.
Dinlenecek ağ
arabirimleri
Transparent
proxy seçenği

Bölüm 13:
Squid | Önbellek Yönetimi
Önbellek için kullanılacak disk
boyutu. Yüksek trafikli ağlarda
arttırılması önerilir.
Önbelleğe alma
seçenekleri.

Bölüm 13:
Services | Erişim Kontrol Listesi (ACL)
Allowed subnets
Proxy kullanımına izin verilen ağlar. 192.168.16.0/24 gibi gibi
Unrestricted IPs
Sınırsız izne sahip ip adresleri
192.168.16.254
Banned host addresses
Proxy kullanımı yasaklı ip adresleri
192.168.16.200
Whitelist
Beyaz liste, erişim kurallarının uygulanmayacağı adresler. Hariç tutulanlar. gmail.com
www.milliyet.com.tr

Bölüm 13:
Services | Erişim Kontrol Listesi (ACL)
Blacklist
Erişimi yasaklanmak istenen alan adları facebook.com
ACL safeports
Squid, güvenli port numaraları dışındaki web portlarına erişimi engeller. Ön
tanımlı port numaraları, 21 70 80 210 280 443 488 563 591 631 777 901 1025-
65535
Örneğin; http://www.test.com.tr:9999 adresine ulaşmanız için “9999” port numarasını güvenli
port grubuna eklemeniz gerekir.
ACL sslports
SSL "CONNECT“ methodu ile bağlantı kurulmasına izin verilen sslportları. Ön tanımlı portlar
443 563.

Bölüm 13:
Services | Kimlik Doğrulama | Yerel
Yerel kullanıcı veritabanını kullanarak kimlik doğrulama yapar.
Dikkat: Transparent modda kimlik doğrulama yapılamaz !
Kimlik doğrulama
methodu “local”
Yerel kullanıcı hesabı
oluşturmak.
Yerel kullanıcı
hesabı yönetmek.

Bölüm 13:
SquidGuard
Yüksek performanslı URL Filter yazılımı. Squid ’e yardımcı servis.
● Genel Ayarlar
● Karaliste Güncelleme
● Kullanıcı ve Grup Bazlı URL Filtreleme
● Uzantı ve kelime bazlı kural tanımlama
● Zaman bazlı erişim kuralları tanımlama
● SquidGuard kayıtlarının yorumlanması

Bölüm 13:
SquidGuard
Servis durumu
Karaliste
kullanımı
Karaliste, yüklenecek
adres

Bölüm 13:
SquidGuard
Sık güncellenen karaliste adresleri; http://www.shallalist.de/ http://urlblacklist.com/

Bölüm 13:
SquidGuard
Yüklenen karaliste, ACL sayfalarında “Target Rules Lists” başlığı altında yer alır. İlerleyen
konularda uygulamalı olarak ele alınacaktır.
Whitelist: Her durumda belirtilen katagorideki adreslere erişim serbest Deny kuralına baskın gelir.
Deny: Belirtilen karagorideki adreslere erişimi engelle. Allow kuralına baskın gelir.
Allow: Seçili katagoriye erişim izni ver. Default kuralına baskın gelir.

Bölüm 13:
SquidGuard | Hedef Kategori Ekleme
Karaliste dışında, istenilen url, domain veya bir düzenli ifadeye göre kategori oluşturulabilir.
Bu katagoriler, istenilen acl tanımında kullanılabilir.
>> Proxy filter SquidGuard: Target categories: Edit
Domains list: Domain adresleri tanımlanır.
Örnek; ‘mail.google.com yahoo.com 192.168.1.1’
Expressions: İfadeler. İfadeler pipe | işareti ile ayrılır.
Örnek; ‘hack|sex|oyun|.exe|.tar.gz|.php’
URLs list: URL adresleri tanımlanır.
Örnek; ‘host.com/xxx 12.10.220.125/alisa’
Redirect mode: Kurala uygun bir erişim olduğunda, istemcilerin yönlendirme türü.
Örnek; “Bu sayfaya erişiminiz engellenmiştir” gibi gibi

Bölüm 13:
SquidGuard | Hedef Kategori Ekleme

Bölüm 13:
SquidGuard | Yeniden Yönlendirme
URL adresinde geçen bir ifadeyi dönüştürmek için kullanılır. Birden fazla ifade eklemek istenirse +
butonuna tıklanabilir.
Örneğin: hurriyet.com adresine erişilmek istendiğinde google.com olarak değiştir.

Bölüm 13:
SquidGuard | Zaman Tanımları
Oluşturulan zaman tanımları, kurallarda zaman göre filtreleme yapmak için kullanılır.

Bölüm 13:
SquidGuard | Genel ACL
“Common ACL” seçenekleri;
Target Rules: Karalisteden seçilen hedef kategoriler.
Do not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak isteniliyorsa
erişime izin verme. Genelde URL filreleme servislerini atlatmak için kullanılır. http:/google.com
yasaklı bir siteyse, google.com adresinin ip adresi http://74.125.87.104 yazılarak google adresine
erişim kurulabilir. Dikkatli kullanılmalıdır!
Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir.
Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi
SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.Örneğin, google.com
adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. Güvenli arama motoru
etkinleştirildiğinde bu aramanın sonucunu google.com listelemeyecektir.
Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et.
Log: Bu kural için kayıt tut.

Bölüm 13:
SquidGuard | Genel ACL
Herhangi bir kuralda tanımlı olmayan tüm kullanıcılara diğer bir deyişle varsayılan kullanıcılara
“Common ACL” kuralları uygulanır.

Bölüm 13:
SquidGuard | Genel ACL | Test
Ön tanımlı tüm istemcilere “download_yasak” kuralı uygulanacaktır. .exe uzantılı bir adrese
erişmek istenildiğinde, yönlendirme bilgisi olarak belirttiğimiz içerik çıkacaktır.
192.168.1.5 ip adresi, http://www.rarlab.com/rar/wrar393tr.exe url adresine erişmek istediğinde
“download_yasak” hedefine göre erişimi engellendi ve “Yasaklı Adres. Erişiminiz Engellendi”
mesajımız ile cevap verildi.☺

Bölüm 13:
SquidGuard | Kullanıcı/Grub Bazlı ACL
Kullanıcı ve guruplara ayrıcalıklı kurallar uygulamak için kullanılır.
Seçenekler;
Disabled: Kuralı devre dışı bırakır. Kuralı silmez, daha sonra tekrar kullanılabilir.
Name: Kural adı.
Order: Sıra. Mevcut kuralı diğer kuralların altına-üsüne taşımak için kullanılır.
Client (source): Kuralın uygulanacağı kaynak adres(ler). Örnek; IP Adresi : 10.0.0.1 yada
Subnet: 10.0.0.0/24 yada ip aralığı: 192.168.1.1-192.168.1.50 yada kullanıcı adı: ‘isim1’ Time:
Kuralın geçerli olacağı zaman aralığı.
Target Rules: Karalisteden seçili hedef kategoriler.
Do not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak
isteniliyorsa erişime izin verme. Genelde URL filreleme servislerini atlatmak için kullanılır.
http:/google.com yasaklı bir siteyse, google.com adresinin ip adresi http://74.125.87.104
yazılarak google adresine erişim kurulabilir. Dikkatli kullanılmalıdır!

Bölüm 13:
SquidGuard | Kullanıcı/Grub Bazlı ACL II
Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir.
Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi
SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.Örneğin, google.com
adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. Güvenli arama
motoru etkinleştirildiğinde bu aramanın sonucunu google.com listelemeyecektir.
Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et.
Rewrite for off-time: Zaman tabanlı yönlendirme kuralı.
Description: Oluşturulan kural için hatırlatıcı bir açıklama girilebilir. (Zorunlu değil.)
Log: Bu kural için kayıt tut.

Bölüm 13:
SquidGuard | Kullanıcı/Grub Bazlı ACL | Seneryo
Senaryo 1: Firmamın “Yönetim Birimi” var. IP aralığı 192.168.1.1-192.168.10. Bu ip aralığına
herzaman herşey serbest sadece zaralı içerikli siteler yasak (hacking gibi)
Senaryo 2: Sunucu adreslerim 192.168.1.88, 192.168.1.33, 192.168.1.56.
Sunucularıma herzaman herşey yasak.Yalnızca microsoft.com domainleri izinli.
Senaryo 3: Üretim grubu (192.168.1.100-192.168.1.200) yalnızca mola saatlerinde
(12:30-13:30) internete çıkabilsinler bu saatler dışı herşey yasak.
Senaryo 4: Muhasebe birimi içerisinde ( 192.168.1.100,192.168.1.200 ) ip adresleri herşey
engelli olsun, sadece ( erişim.com.tr ) adresine erişebilsin.

Bölüm 13:
SquidGuard | Kayıtların Yorumlanması

Bölüm 14:
VPN (Virtual Private Network) Servisleri
Özel sanal ağlar oluşturmak için kullanılır.
Farklı vpn türleri vardır; PPTP, L2TP, IPSEC vb.
IPSEC
UDP Port 500
ESP/AH protokollerini kullanır
PPTP
TCP Port 1723
GRE protokolünü kullanır
Radius Auth. Destekler
OpenVPN
TCP Port 1194

Bölüm 14:
VPN IPsec (site2site)

Bölüm 14:
VPN PPTP (client2site)

Bölüm 14:
VPN | PPTP (client2site)
● PPTP VPN uyumluluk açısından en çok tercih edilen client2site vpn çözümüdür.
● Günümüzde yerini OpenVPN’e bırakmakta olmasına rağmen Windows desteği ve kolay
kurulumu nedeni ile halen yaygın olarak kullanılmaktadır.
● Diğer VPN servislerine göre daha güvensiz bir çözümdür.
● pfSense’de pptp vpn ayarları VPN → PPTP menüsünden erişilen sayfada yapılmaktadır.
● pfSense PPTP VPN için kullanılacak sanal subnet, varolan subnetlerin dışında
olmalıdır !

Bölüm 14:
pptp kullanıcı açma
sayısı
pptp server ip adresi
pptp kullanıcılarına atanacak
başlangıç ip adresi
pptp kullanıcılarına atanacak DNS
sunucu bilgileri

Bölüm 14:
Kullanıcı
tanımlama ekranı
Kullanıcı bilgilerinin
girildiği bölüm

Bölüm 14:
varsayılan olarak 1723 pptp
portu kullanılmaktadır ve uzaktan
bağlantı için izin kuralı
tanımlanmalıdır.
PPTP kullanıcıları için
izin kuralı.

Bölüm 14:
PPTP (client2site) | MAC OS X Sistemlerde Bağlantı

Bölüm 14:
PPTP (client2site) | MAC OS X Sistemlerde Bağlantı
PPTP VPN kuracağımız pfSense WAN
arabirimi (örn. 78.123.98.123)
Kullanıcı adı ve parola bilgileri
tamamlandıktan sonra bağlantı
kurulabilir.
Bağlantı başarıyla kurulduğunda, kullanıcı
sanal ağdan bir ip adresi alacaktır.

Bölüm 14:
PPTP (client2site) | Windows Sistemlerde Bağlantı
1
3
2

Bölüm 14:
PPTP (client2site) | Windows Sistemlerde Bağlantı
4 5
PPTP VPN
kuracağımız pfSense
WAN arabirimi (örn.
78.123.98.123)
6
pptp vpn ‘de tanımlamış
olduğunuz kullanıcı adı ve parola
girildikten sonra bağlan butonuna
tıklayarak bağlanılır.

Bölüm 14:
PPTP (client2site) | Linux Sistemlerde Bağlantı
1
PPTP VPN
kuracağımız pfSense
WAN arabirimi (örn.
78.123.98.123)
pptp vpn ‘de tanımlamış
olduğunuz kullanıcı adı ve
parola girilir.
2

Bölüm 14:
PPTP (client2site) | IOS Cihazlarda Bağlantı

Bölüm 14:
VPN | OpenVPN (client2site)
● OpenVPN günümüzde kullanılan güvenli bir VPN çözümüdür.
● PPTP’nin tersine trafiğin uçtan uca şifrelenmesini PKI altyapısı kullanarak sağlar.
● Two factor authentication olduğundan daha güvenlidir.
● Yapılandırması PPTP’ye göre biraz daha zordur.
● pfSense’de OpenVPN ayarları VPN → OpenVPN menüsünden erişilen sayfada
yapılmaktadır.
TR | OpenVPN dökümantasyonuna buradan ulaşabilirsiniz.

�ݺ�ߣ

Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı

Recommended

More Related Content

What's hot (20)

Similar to Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı (20)

Linux Yaz Kampı 2016 pfSense Firewall ve Router Eğitim Dökümanı