Kullanım Kılavuzu

Bu talimatta, Router'ın komut satırı arayüzünden (CLI) güvenlik duvarı kurallarının yapılandırılması incelenecektir. Teorik bilgiler 'Güvenlik Duvarı Nasıl Uygulanır?' makalesinde ayrıntılı olarak ele alınmaktadır. Güvenlik duvarı kurallarını web arayüzünden yapılandırma hakkında bilgi için Güvenlik Duvarı makalesine bakın.

CLI, Keenetic güvenlik duvarını yapılandırmak için web arayüzüne kıyasla ek seçenekler sunar. Her bir Keenetic modeli için CLI komutlarının ayrıntılı açıklaması İndirme Merkezi içerisinde yer alan Komut Referans Kılavuzu'nda bulunabilir.

Keenetic cihazının güvenlik duvarı, bu listenin bağlı olduğu her arayüzde Erişim Kontrol Listesi'nde (ACL) yazılı olan filtreleme kurallarını yürütür. Bir arayüze birden fazla liste bağlanabilir.

Güvenlik duvarı yapılandırması için aşağıdaki komutlar mevcuttur:

Örneğin, MyList1 listesi düzenlemesine geçmek için aşağıdaki komut kullanılır:

(config)> access-list MyList1
(config-acl)>

Erişim listesi oluşturulduktan sonra kurallarını oluşturmaya başlayabilirsiniz. Bu amaçla, reddetme ve izin verme filtreleme kurallarına karşılık gelen deny ve permit komutları kullanılır. Bu komutların formatı aynıdır ve Komut Referans Kılavuzu'nda bulunabilir.

İşte bazı kural örnekleri:

exit komutu, erişim listesi düzenlemesinden çıkmak için kullanılır.

Yukarıdaki komutlar kullanılarak tamamlanmış bir kural listesi, Router'ın yapılandırma dosyasında şöyle görünecektir:

access-list MyList1
permit tcp 192.168.1.33/32 0.0.0.0/32
deny icmp 192.168.1.0/24 0.0.0.0/32
deny ip 192.168.1.0/24 0.0.0.0/32

Erişim kuralları listesini hazırladıktan sonra, bunu cihazın gerekli arayüzüne bağlamalısınız. Bu amaçla her arayüzün ayarlarında ip access-group {ACL_name} {direction in|out} komutu kullanılır.

Arayüzün aynı zamanda bu kuralların uygulanacağı her liste için trafik akış yönünü de tanımladığını unutmayın. Yön, arayüze göre belirlenir (gelen yön in — her zaman cihaza doğru ve giden yön out — cihazdan dışarı doğru). Bu bilgi Güvenlik Duvarı Nasıl Uygulanır? makalesinde ayrıntılı olarak açıklanmaktadır.

Örneğin, oluşturulan kuralları harici İSS arayüzüne bağlayın:

(config)> interface ISP
(config-if)> ip access-group MyList1 out
Network::Acl: Output "MyList1" access list added to "ISP".

İSS arayüzünün giden (out) yönünde (bu, Router'dan bu arayüzün ağına doğru olan yöndür) herhangi bir trafiğin herhangi bir adrese iletimi yasaklanacaktır.

Örneğimize benzer bir kural listesi, yerel ağınızdaki bir ana bilgisayar dışındaki herkese harici arayüz aracılığıyla İnternet erişimini engellemeniz gerektiğinde yardımcı olabilir. Örneğimizde, IP adresi 192.168.1.33 olan ana bilgisayar hariç, 192.168.1.0 üzerindeki tüm ana bilgisayarlara erişim ve ping engellenmiştir.

Ağ güvenlik duvarı çalışmasının mantığını belirleyen erişim seviyesi ayarları (security-level), Keenetic arayüzlerinde uygulanır:

Aşağıdaki şema, Keenetic Router'lardaki izin verilen ve yasaklanan veri yönlerinin şemasını temsil edebilir:

Varsayılan olarak, bir Keenetic Router yalnızca özel arayüzlerden gelen ağ bağlantılarını kabul eder. private türündeki arayüzlerin, yönetim ve Router'da çalışan hizmetlere erişim için public arayüzlere ve cihazın kendisine bağlantı kurmasına izin verilir. Misafir ağı arayüzü için Router'a ve hizmetlerine erişim engellenir.

Varsayılan olarak, private arayüzler arasında ve bir private ile protected arayüz arasında bağlantı kurmak yasaktır, ancak gerekirse erişime izin verilebilir. Bu seçenek isolate-private parametresinin ayarlanmasına bağlıdır. private arayüzler arasında veya bir private ile protected arayüz arasında bağlantılara izin vermeniz gerekiyorsa (yani erişimi izole etmemek için), no isolate-private komutunu çalıştırın.

public arayüzlerden, public türündeki diğer arayüzler ve cihazın kendisi dahil olmak üzere herhangi bir arayüze bağlantı kurmak yasaktır.

protected türündeki arayüzlerin yalnızca public arayüzlere bağlantı kurmasına izin verilir. Varsayılan olarak, private ve diğer protected arayüzlerin cihazlarına ve cihaz yönetimine erişim yasaktır.

security-level public|private|protected komutuyla, Router'ın arayüzlerindeki erişim seviyelerini yönetebilirsiniz.

Örneğin:

(config)> interface Bridge3
(config-if)> security-level protected
Network::Interface::IP: "Bridge3": security level set to "protected".

Belirtilen arayüzün güvenlik seviyesini show interface {interface_name} komutunu çalıştırarak belirleyebilirsiniz.

Örneğin:

(config)> show interface ISP

               id: GigabitEthernet1
            index: 1
             type: GigabitEthernet
      description: Broadband connection
   interface-name: ISP
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 2000
          address: 193.0.174.199
             mask: 255.255.255.0
           uptime: 12433
           global: yes
        defaultgw: yes
         priority: 700
   security-level: public
              mac: 50:ff:20:2d:ed:ea
        auth-type: none

security-level satırı, önceden tanımlanmış güvenlik duvarı politikasının çalıştığı güvenlik seviyesini belirtir.

Arayüz adları ve sistem tanımlayıcılarının listesi şu şekilde görüntülenebilir: show interface komutunu yazın ve ardından klavyenizdeki SEKME tuşuna basın. Önceden ayarlanmış hizmet arayüzleri de dahil olmak üzere, cihazın mevcut tüm arayüzlerinin listesini göreceksiniz.