Daha önceki yazımızda Palo Alto NG Firewall VM’de çalıştırıp web arayüzüne erişmiştik. Bunu hatırlamıyorsan link‘ten o yazıya ulaşabilirsin.
Palo Alto NG Firewall bundan sonra PA diye anılacaktır.
Bu yazımızda PA arkadasındaki bir sanal windows’u internete çıkaracak ayarları yapacağız.
Ortam Hazırlıkları
PA’ üzerindeki 1. network Management Networkü bridge modunda kalıyor.
PA’ üzerindeki 2. network WAN interface olarak kullanacağımız için bridge modunda kalıyor.
PA’ üzerindeki 3. network LAN interface olacağı için Host Only seçili olması gerekiyor.
VMWare’de sanal bir windows ve network’ü Host Only seçili olması gerekiyor.
PA firewall Sophos gibi zone base firewall’dur. Kurallar Zone’lardan Zone’lara doğru yazılır.
PA üzerinde yaptığımız değişikliklerin uygulanması için Commit yapmamız gerekmektedir. Burası biraz yorucu ve dikkat gereken bir durum. Zamanla alışıyorsunuz.
Commit ekranın sağ üst tarafında.
Başlıyoruz !
1- Network>Zones altından Zone’larımı tanımlıyoruz.
PA konfigürasyonunda genel kabul Zone’ları Untrust ve Trust olarak temelde 2’ye bölmektir.
Bizde 2 Zone tanımlayacağız.
* WAN yönü için; UnTrust-WAN
* LAN yönü için; Trust-LAN
Resimdeki gibi Trust-LAN Zone oluşturuyoruz.
Resimdeki gibi UnTrust-WAN Zone oluşturuyoruz.
2- Network>Interfaces üzerinden kullanacağımız interfacelerin ip adreslerini atayacağız ve daha önce oluşturduğumuz zoneların içerisine ekleyeceğiz.
ethernet1/1 bizim wan arayüze bakan bacağımız olduğu için Security Zone olarak UnTrust-WAN’a ekliyoruz ve ipsi’ni kendi bilgisayarımız networkünden, boş olduğuna emin olduğumuz bir ip’yi atıyoruz. Virtual Router olarak default seçiyoruz.
WAN tarafına 192.168.1.41/24 ipsini atıyoruz. ve LAN tarafı için kendimize bir network düşünüyoruz. Ben 10.0.0.0/24 networkünü kullanacağım. PA’ da LAN tarafına 10.0.0.1/24 vereceğim ve sanal windows’a da 10.0.0.100/24 ip’sini vereceğim.
ethernet1/2 bizim lan arayüzüne bakan bacağımız olduğu için Security Zone olarak Trust-LAN Zone seçiyoruz. Virtual Router olarak default seçiyoruz.
ip atamasını yapıyoruz ve LAN Zone daki pclerden PA’yı yönetmek için Management Profile oluşturup interface’e atamamız gerekiyor.
Advanced>Management Profile>New diyerek yeni bir profil oluşturuyoruz.
Management için SSH/Ping/HTTPS yeterli olacaktır.
Management Profile seçerek tamamlıyoruz.
Bu işlemlerden sonra Commit edip sanal windows’umuzun ip’sini atadıktan sonra PA’ya webten ulaşabiliyor olmamız gerekiyor.
Evet ! Erişebiliyoruz.
3- Network>Virtual Routers altından Statik route yazmamız gerekiyor.
Klasik 0.0.0.0/0 yani tüm network’leri WAN arayüzümüzdeki gateway’a route etmemiz gerekiyorki paketlerimiz dış dünyaya çıkabilsin.
4- Internete giden paketlerimiz geri gelmesi için LAN iplerimizi WAN ipmiz ile NAT’lamamız gerekecek. Policies>NAT altından yeni bir NAT rule ekliyoruz.
Kuralımıza bir isim veriyoruz.
Kuralımızı Trust-LAN Zone nundan -> UnTrust-WAN Zone doğru tüm kaynak ve hedef networkler için yazıyoruz.
NAT’lanacağımız interface ve ip’yi ayarlıyoruz.
5- Şimdi bizi internete çıkaracak security rule’da yazıyoruz. Policies>Security
İsim veriyoruz.
Source Zone ve adres belirtiyoruz.
Destination Zone ve adres belirtiyoruz.
Actions kısmından Allow diyerek paketlerin geçişine izin veriyoruz.
Commit diyoruz.
Hepsi bu kadar Artık PA bizim sanal windowsumuzu internete çıkarabilir. 🙂
Teşekkürler.
İlk Yorumu Siz Yapın