Bu rehberde gerçekleştirilecek konfigürasyon adımları Configuration -> Firewall -> Rule arayüzünden gerçekleştirilecektir. Bu arayüzle ilgili dokümantasyona aşağıdaki sayfadan ulaşabilirsiniz.
NAT Nedir?
NAT (Network Address Translation), ağdaki cihazların dış dünyayla iletişimini yönetmek için kullanılan bir teknolojidir. Bu teknoloji sayesinde birden fazla cihazın tek bir IP adresi üzerinden internete bağlanması mümkün hale gelir. NAT, internete çıkan trafikteki kaynak IP adreslerini değiştirerek, gelen trafiklerin doğru cihaza yönlendirilmesini sağlar.
NAT, birçok avantaja sahiptir. Öncelikle, ağ yöneticilerinin IP adreslerini kontrol etmelerine izin verir. Aynı zamanda, birden fazla cihazın tek bir IP adresi üzerinden internete bağlanabilmesi sayesinde IP adreslerinin daha verimli kullanılmasına olanak tanır. NAT ayrıca, ağdaki cihazların internete doğrudan erişimini engelleyerek güvenlik açısından da faydalıdır.
Bu rehberde, NAT konfigürasyonu için gerekli adımlar hakkında bilgiler verilecektir.
NAT Firewall Kuralı
NAT konfigürasyonu, Targitas web arayüzündeki Configuration -> Firewall -> Rule -> New Rule menüsünden gerçekleştirilebilir.
Konfigürasyon öncesinde, NAT'ın kullanılacağı ağlar ve IP adresleri belirlenmelidir. Bu belirleme süreci, hangi ağlardan gelen trafiğin NAT'lanacağını, NAT'ın hangi IP adresi kullanılarak gerçekleştirileceğini ve hangi durumlarda NAT'ın gerçekleştirileceğini kararlaştırmayı içermektedir. NAT'ın doğru yapılandırılması, ağ güvenliği açısından önemlidir.
Senaryo:
Örnek senaryomuzda 1/1/1 Interface'de 91.191.174.222 IP adreine sahip WAN Interface bulunmaktadır. 1/1/2 ve vlan 10 interface'ler ise yerel ağ içerisinde internet erişimi sağlanması istenilen kullanıcıların yer aldığı ağlardır. TRUST, WAN_Zone ve WAN_IP objeleri için Configuration -> Network -> Zone ve Object -> IP Address arayüzlerinde aşağıdaki temel konfigürasyonlar gerçekleştirilmiştir.
1- TRUST ve WAN_Zone Konfigürasyonları:
2- WAN_IP konfigürasyonu:
3- Firewall NAT Kuralı
TRUST Zone'da bulunan IP adreslerinin internete erişimini sağlamak için NAT işlemi gerekmektedir. Bu işlem, TRUST Zone'da yer alan cihazlardan dış ağa gönderilen paketlerin, sahip olunan WAN_IP adresi ile değiştirilerek internet erişimine olanak tanır. Bu değişim sayesinde, paketlerin kaynağı, sahip olunan WAN_IP adresi ile değiştirilir ve internete yönlendirilir. Böylece, TRUST Zone'daki cihazlar dış ağa erişebilir hale gelir ve internet hizmetlerinden yararlanabilir.
NAT Firewall Kuralı oluşturulmasında aşağıdaki parametreler göz önüne alınmıştır:
Name
Firewall kuralının görevini ifade eden bir isim verilmiştir.
Type
NAT kuralı hem Access hem de Port Forwarding modları için oluşturulabilir.
Source Zone
İç ağımızda tanımladığımız TRUST zone için bu yönlendirme işlemini gerçekleştiriyoruz.
Destination Zone
İnternet'e erişimi sağlayan interface WAN_Zone objesi içerisinde seçilmiştir.
Source IP
Source Zone seçimi ardından TRUST.network otomatik oluşturulmuştur. TRUST.network içerisinde ethernet 1/1/2 interface ve vlan 10 interface içerisindeki IP adresleri yer almaktadır.
Bu bölümde Configuration -> Object arayüzünde oluşturulan IP adresi objeleri seçilebilir. Bu sayede sadece belirlenen IP adreslerinin NAT ile internete çıkması sağlanabilir.
NAT
Network Address Translation gerçekleştirilmek isteniyorsa aktifleştirilmelidir. Eğer NAT aktifleştirilirse hangi IP adresi ile NAT işlemi gerçekleştirileceğini belirlemek için yeni bir form oluşacaktır. Örneğimizde oluşturulan WAN_IP adresi objesi seçilmiştir. Eğer interface'de 1 IP adresi bulunuyor ise interface seçimi de gerçekleştirilebilir.
Yukarıda oluşturulan Firewall Kuralının CLI karşılığı aşağıdaki gibidir.
!
security firewall
enable
zone TRUST
zone-members 1/1/2 vlan10
zone WAN_Zone
zone-members 1/1/1
rules
fw-rule 1
name "TRUST_Access_Internet_with_NAT"
type access
action allow
source-zone TRUST
destination-zone WAN_Zone
service-in any
source-ip TRUST.network
destination-ip any
nat-ip WAN_IP
log
enable
Yerel alan ağındaki cihazların NAT ile internet erişimi sağlanan Firewall kurallarında Security Policy kısmında bulunan DPI seçeneğinin aktifleştirilmesi önerilir. Bu sayede internet erişim trafiğinde L7 düzeyinde filtreleme ve loglama gerçekleştirilebilecektir. Bu konuyla ilgili ayrıntılara sayfasından ulaşabilirsiniz.
