Uygulama katmanında firewall yapmak biraz daha sistem kaynağı tüketsede port bazlı olmadığı için çok daha güvenlidir.
şöyle ki siz ofis bulunduğunuz ofis içerisinden dışarıya telnet bağlantısı kurulmasını istemiyorsunuz ve firewall üzerinden 23. portu kapadınız.Peki bağlantı ya başka portlar üzerinden açılırsa? işte burda layer7 firewall devreye giriyor. Kuralları uygulamaya göre yaptığınız için portun değişmiş olması kuralın çalışmasını etkileyemez.
mikrotik layer 7 firewall bağlantının ilk 10 paketini veya ilk 2kb lık datayı
inceler ve pattern e uyup uymadığına bakar. eğer pattern uyuyorsa kural işlenir uymuyorsa veri akışına
izin verir ve aynı bağlantı için daha fazla incelemede bulunmaz.
layer 7 firewall için örnek pattern leri ;
http://l7-filter.sourceforge.net/protocols
http://www.mikrotik.com/download/l7-protos.rsc
gelelim layer 7 firewall için mikrotik ayarlarına;
öncelikle konsol komutlarından gidelim daha sonra winbox üzerinden yapılışına bakarız.
Öncelikle yukarıda bahsettiğimiz durum için telnet yasaklayalım.
ilk olarak pattern i mikrotik e ekleyelim;
/ip firewall layer7-protocol add comment="" name=telnet regexp="^\xff[\xfb-\xfe].\xff[\xfb-\xfe].\xff[\xfb-\xfe]"
Şimdi bu pattern için uygulanacak kuralı ekleyelim;
ip firewall filter add action=drop chain=forward disabled=no layer7-protocol=telnet protocol=tcp
bu kuralla beraber router üzerinden geçen hiç bir telnet uygulamasına izin verilmeyecektir.
Farklı bir örnek;
/ip firewall layer7-protocol add comment="" name=video regexp="http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(content-type: video)"
yukarıda ki örnekte video için bir pattern ekledik.
şimdi bu pattern için uygulanacak kuralı ekleyelim;
ip firewall filter add action=drop chain=forward disabled=no layer7-protocol=video protocol=tcp
Bu kuralla beraber ki favorimdir, video sitelerinde ki hiç bir video çalışmayacaktır.kullanıclar youtube,facebook gibi sitelere erişebilecek
fakat videoları oynatmak istediklerinde video yüklenmeyip hata verecektir.
10 Nisan 2011 Pazar
PC üzerine RouterOS Kurulumu
Bildiğiniz gibi routerOS mikrotik tarafından geliştirilen ve kendi boardları üzerinde çalışan bir işletim sistemidir. İşletim sisteminin en güzel yanı mikrotik.com adresinden download edilebilmesi ve herhangi bir i386 pc üzerine kurabilmemizdir.
Peki neden RouterOS işletim sistemini bir pc üzerine kuralım ki ?
Bunun cevabını şöyle düşünelim, mikrotik ile network üzerinde bir çok işlem yapabiliyoruz. Herhangi bir board almadan eski bir çalışan pc üzerine kurup ofis içerisinde router, firewall, vpn server, proxy server olarak kullanabiliriz. Oldukça iyi değilmi?
Maaliyet açısından baktığımız zaten level 4 lisansın bedeli pc üzerine kurduğunuz zaman sadece 45$.
Mikrotik Board haricinde bu şekilde kullandığım hali hazırda 4-5 adet pc var ve hepsi ortalama büyüklükte şirketlerde 1 seneyi aşan bir süredir "0" sorun ile çalışmakta. Kurulan pc ler hepsi 1gb ram altı ve PIII makinalardan oluşuyor. Aslında pc kurulumunda en çok dikkat etmeniz gereken nokta HDD çünkü mikrotik lisansı disk e göre yapıyor ve disk tamamen kullanılmaz olduğu zaman lisansınızı yeniden almanız için 10$ gibi bir ücret istiyorlar.
Yapabildikleriniz ve maaliyeti düşündüğümüz zaman oldukça mantıklı bir çözüm oluyor. Sözü fazla uzatmadan kurulum aşamalarına geçelim isterseniz. Öncelikle mikrotik.com adresinden kurulum dosyasını indirmemiz lazım bunun için;
http://www.mikrotik.com/download.html adresinden " Select System Type" bölümünden PC / X86 seçin, tüm versiyonları aratın ve iso olarak routerOS u indirin.
ISO dosyasını cd e çektikten sonra gelelim kuruluma. Cd den boot ettiğiniz zaman ekrana aşağıda ki gibi bir görüntü gelecektir.
Bu ekran kurulacak modülleri seçmeniz gerekiyor. Her modülün üzerine geldiğinizde aşağıda açıklamasını görebilirsiniz ve seçmek için space tuşunu kullanabilirsiniz.
Bir pc üzerine kurulumu aşağıda ki örnekte görebilirsiniz.
Kurmak istediğiniz modülleri seçtikten sonra "ı" tuşuna basarak kurulumu başlatabilirsiniz. RouterOS otomatik olarak disk i formatlayıp modüllerin kurulmasını bitirecektir.
Evet tüm modüllerin kurulumu bitti ve enter ile reboot etme zamanı geldi...
Kurulum bittiksen sonra routerOS otomatik olarak açılacak ve size kullanıcı adı şifre soracaktır. ilk kurulumda default password username : admin password: boş olarak girmeniz gerekiyor. Bilgileri doğru girdikten sonra;
Mikrotik Karşımızda !!! Dikkat ettiyseniz " Router has no software key" diye bir hata var. Lisanslama yapmadığınız sürece mikrotik 24 saatlik lisans ile gelir. Bu süre içerisinde testlerinizi bitirip en son hali ile lisans dosyanızı alabilirsiniz.
http://wiki.mikrotik.com/wiki/Manual:License_levels adresinden lisans karşılaştırma tablosunu görebilirsiniz. Bir sonra ki konuda RouterOS üzerine demo key alalım mikrotik.com adresinden ve onu PC üzerinde Çalıştırdığımız RouterOS a ekleyelim.
Şimdilik bu kadar routerOS la testlerinize devam edebilirsiniz...
Peki neden RouterOS işletim sistemini bir pc üzerine kuralım ki ?
Bunun cevabını şöyle düşünelim, mikrotik ile network üzerinde bir çok işlem yapabiliyoruz. Herhangi bir board almadan eski bir çalışan pc üzerine kurup ofis içerisinde router, firewall, vpn server, proxy server olarak kullanabiliriz. Oldukça iyi değilmi?
Maaliyet açısından baktığımız zaten level 4 lisansın bedeli pc üzerine kurduğunuz zaman sadece 45$.
Mikrotik Board haricinde bu şekilde kullandığım hali hazırda 4-5 adet pc var ve hepsi ortalama büyüklükte şirketlerde 1 seneyi aşan bir süredir "0" sorun ile çalışmakta. Kurulan pc ler hepsi 1gb ram altı ve PIII makinalardan oluşuyor. Aslında pc kurulumunda en çok dikkat etmeniz gereken nokta HDD çünkü mikrotik lisansı disk e göre yapıyor ve disk tamamen kullanılmaz olduğu zaman lisansınızı yeniden almanız için 10$ gibi bir ücret istiyorlar.
Yapabildikleriniz ve maaliyeti düşündüğümüz zaman oldukça mantıklı bir çözüm oluyor. Sözü fazla uzatmadan kurulum aşamalarına geçelim isterseniz. Öncelikle mikrotik.com adresinden kurulum dosyasını indirmemiz lazım bunun için;
http://www.mikrotik.com/download.html adresinden " Select System Type" bölümünden PC / X86 seçin, tüm versiyonları aratın ve iso olarak routerOS u indirin.
ISO dosyasını cd e çektikten sonra gelelim kuruluma. Cd den boot ettiğiniz zaman ekrana aşağıda ki gibi bir görüntü gelecektir.
Bu ekran kurulacak modülleri seçmeniz gerekiyor. Her modülün üzerine geldiğinizde aşağıda açıklamasını görebilirsiniz ve seçmek için space tuşunu kullanabilirsiniz.
Bir pc üzerine kurulumu aşağıda ki örnekte görebilirsiniz.
Kurmak istediğiniz modülleri seçtikten sonra "ı" tuşuna basarak kurulumu başlatabilirsiniz. RouterOS otomatik olarak disk i formatlayıp modüllerin kurulmasını bitirecektir.
Evet tüm modüllerin kurulumu bitti ve enter ile reboot etme zamanı geldi...
Kurulum bittiksen sonra routerOS otomatik olarak açılacak ve size kullanıcı adı şifre soracaktır. ilk kurulumda default password username : admin password: boş olarak girmeniz gerekiyor. Bilgileri doğru girdikten sonra;
Mikrotik Karşımızda !!! Dikkat ettiyseniz " Router has no software key" diye bir hata var. Lisanslama yapmadığınız sürece mikrotik 24 saatlik lisans ile gelir. Bu süre içerisinde testlerinizi bitirip en son hali ile lisans dosyanızı alabilirsiniz.
http://wiki.mikrotik.com/wiki/Manual:License_levels adresinden lisans karşılaştırma tablosunu görebilirsiniz. Bir sonra ki konuda RouterOS üzerine demo key alalım mikrotik.com adresinden ve onu PC üzerinde Çalıştırdığımız RouterOS a ekleyelim.
Şimdilik bu kadar routerOS la testlerinize devam edebilirsiniz...
9 Nisan 2011 Cumartesi
Exchange 2010 Send Connector portunu değiştirmek
Exchange 2010 üzerinde mail göndermek için send connector oluşturduğumuzda default olarak portu 25 olarak ayarlar. Eğer 25. porttan dışarda ki mail server ulaşamıyorsanız, send connector olarak yaptığınız ayarlar doğru bile olsa exchange mail server a bağlanamayacağı için tüm mailler kuyrukta kalacaktır. Smtp portunu değiştirmek için maalesef management console üzerinden herhangi bir bölüm bulunmuyor bunun için shell üzerinden bazı komutlar yürütmemiz gerekecektir. Öncelikle hangi portu kullandığından emin olmak için ;
Get-SendConnector | ft Id*,Sm*s,po*
komutunu kullanın. Komut yürütüldükten sonra ekranda aşağıdaki gibi bir bilgi ekranı gelmesi gerekiyor.
Burda dikkat ederseniz en solda connector ismi ve en sağda port numarası 25 olarak gözüküyor. Bu connectore ait portu değiştirmek için,
Set-SendConnector smtp -port 587
olarak girmemiz gerekiyor. Yukarıda ki komuttan sonra belirtmiş olduğunuz connector e ait port 587 olarak değiştirilmiş olacaktır.
Get-SendConnector | ft Id*,Sm*s,po*
komutunu kullanın. Komut yürütüldükten sonra ekranda aşağıdaki gibi bir bilgi ekranı gelmesi gerekiyor.
Set-SendConnector smtp -port 587
olarak girmemiz gerekiyor. Yukarıda ki komuttan sonra belirtmiş olduğunuz connector e ait port 587 olarak değiştirilmiş olacaktır.
Kaydol:
Kayıtlar (Atom)