PORT YÖNLENDİRME(SERVER HOSTING)
Kullanıcıların en
çok yapmak istedikleri uygulamaların başında router arkasındaki bir bilgisayara
web server, mail server kurmak ve bunu Internet’e
açmak gelir. Veya içerideki bir bilgisayarın masaüstüne ulaşmak istenir. Web server için 80 nolu portu, mail server için 25 ve 110 nolu
portu, uzak masaüstü bağlantısı için 3389 nolu portu arkadaki PC’ye
yönlendirmek gerekir. 192.168.1.2 IP adresli bilgisayarda web server, 192.168.1.8 IP adresli bilgisayarda mail server,
192.168.1.15 IP adresli bilgisayarda da Terminal server (uzak masaüstü
bağlantısı yapmak için) olduğunu farzedelim. Bunlar bizim kabul ettiğimiz örnek
değerlerdir.
Cihaza web
arayüzünden bağlanın. Advanced Setup altındaki NAT linkine tıklayın. SUA Only
seçeneğinin karşısındaki “Edit Details” linkine tıklayın. Açılan pencerede
yönlendirmek istediğimiz port numaralarının başlangıç değerini Start Port No,
bitiş değerini End Port No, portların yönlendirileceği lokal
IP adresini IP Address yazan alana yazın. Başlangıç ve bitiş değerleri aynı ise
her iki alana da aynı değeri yazın. Eğer bütün portları arkadaki tek bir PC’ye
yönlendirmek veya 2.3.4... satırlarında yazan portların haricindeki portları
tek bir PC’ye yönlendirmek istiyorsak 1. satırdaki IP adres kısmına bu PC’nin
IP adresini yazın. “Save” butonuan basarak ayarları kaydedin. Bizim örneğimizin
bu sayfaya yazılışı aşağıdaki gibidir.
Paket seviyeli
firewall olan modellerde (650R-31, 660R-61) fabrika ayarlarında var olan
kısıtlamaları kaldırmak gerekir. Web arayüzünden cihaza bağlanın. Advanced Setup altındaki “Security” linkine
tıklayın. Aşağıda görüldüğü üzere dışarıdan içeriye Telnet, FTP, TFTP, Web,
SNMP trafiği engellenmektedir. Gerekli kısıtlamaları, yönlendirme yapmak istediğimiz portların onay
kutusunu temizleyerek kaldırmalıyız.
Statefull Packet
Inspection Firewall özelliği olan modellerde dolayı dışarıdan içeriye gelen
isteklere izin verilmez. Yalnızca içeriden dışarıya yapılan isteklere cevap
olarak gelen paketlere izin verilir. Buna Statefull özelliği denir.
Dışarıdan içerideki server’lara ulaşmak için
WAN to LAN yönünde uygun kuralları tanımlamak gerekir.
Advanced Setup
altındaki Firewall linkine tıklayın. Açılan penceredeki Rule Summary linkine
tıklayın. Packet Direction bölümünden WAN to LAN
seçin. Görüldüğü üzere bu yönde tanımlanmış bir kural yoktur ve “Default
Policy: Block” görülür. Bu ayar, yazılan kural(lar)a uymayan paketlerin
bloklanacağı anlamına gelir. Yeni bir kural eklemek için “Append” butonuna
basın. İlk kural web server’a gelen isteklere izin verilmesi için oluşturulacaktır. Source Address List
kısmında “Any” kalsın. Çünkü web server’a kimin
erişeceği belli değildir. Destination Address List kısmındaki “Any” ‘e
tıkladıktan sonra “Delete” butonuyla silinmelidir. Burada sadece 192.168.1.2
olmalıdır. Destination Address kısmında Address Type olarak “Single Address”
seçildikten sonra “Start IP Address” kısımda 192.168.1.2 yazılır. “Add”
butonuna basılarak bu adres Destination Address List bölümüne atılır. Aynı
şekilde Selected Services kısmındaki Any(TCP) ve Any(UDP) değerleri
silinmelidir(Remove butonuna basarak) Available Services kısmından HTTP(TCP:80)
seçilip sağ tarafa atılmalıdır. Sayfanın en yukarısında Action for Matched Packets:Forward seçilidir. Bunu değiştirmiyoruz, çünkü bu
şartlara uyan paketi forward etmek istiyoruz.
Sayfanın altındaki “Apply” butonuna basarak kuralı onaylıyoruz.
Firewall - Rule
Summary ekranına döndüğümüzde 1 no’lu kuralın oluştuğunu görürüz.
Mail server’a erişilmesi için benzer şekilde “Append” butonuna
basarak 2 nolu kuralı oluşturuyoruz. Bu sefer IP adresi olarak 192.168.1.8
yazıyoruz. Available Services kısmından POP3(TCP:110) ve SMTP(TCP:25) seçip sağ
tarada atıyoruz.
Terminal Server’a
erişilmesi için 3 nolu kuralı oluşturuyoruz. Bu kuralı oluştururken IP adresi olarak
192.168.1.15 yazıyoruz. Available Services kısmında 3389 portunun olmadığını
görürüz. Available Services listesinde sık kullanılan(bilinen) servisler
vardır. Edit Customized Services linkine tıklayarak yeni bir servis
oluşturmamız gerekiyor. Firewall - Customized Services sayfasında 10 adet
servis oluşturulabiliyor. 1 nolu linke basıyoruz. Service Name bölümüne
hatırlatıcı olması açısından “Terminal Service” yazabiliriz. Service Type
olarak TCP, UDP, TCP/UDP
seçeneklerinden birini seçiyoruz. Bu seçim, servisin hangi
protokolü kullandığına bağlıdır. Port Configuration bölümünde Single seçersek
tek bir port numarası, Range seçersek aralık gireriz. “Apply” butonuna basarak
yaptıklarımızı kaydederiz. “Back” butonuyla kural oluşturma sayfasına geri
döneriz. Artık Available Services listesinde “Teminal Service” diye bir servis
olduğunu görürüz.Sonradan oluşturulan servislerin
isimlerinin sol üst kısmında “*” vardır.
Sağ tarafta Any(TCP) ve Any(UDP) değerleri geri dönmüşse bunları
kaldırın. Yeni oluşturduğumuz servisi sağ tarafa atın. “Apply” butonuna basarak
kuralı saklayın. Firewall - Rule Summary ekranında oluşturduğumuz 3 kuralın
özet görüntüsü aşağıdaki gibi olmalıdır.
Kural tanımlama
bitmiştir. Diğer kuralları bu şekilde oluşturabiliriz. Sayfanın en üst
solundaki “Main Menu” linkine tıklayıp diğer ayarlara geçebiliriz.
Not:
ZyXEL ADSL routerlarda port yönlendirmesi yaptıktan sonra lokaldaki PC’ye(port
yönlendirmesi yapılmış PC’ye) dış ip adresini (veya domain adını) yazarak içeriden
erişmezsiniz. Örneğin 80 portunu web server’a
yönlendirdikten sonra içeriden web server’a erişmeye çalıştığınız ZyXEL
router’un WEB arayüzü gelir. Bunu aşmak için;
Menu 24.8’e gidin.
“sys edit
autoexec.net” yazın. Seçenekler çıkacaktır
“i”
harfine basın. Daha sonra “ip nat loopback on” yazın. “x” tuşuna basıp save
edin.
“sys view
autoexec.net” yazıp yazdığımız komutun eklendiğini görürsünüz. Değişikliklerin
aktif olması için cihazı kapatıp açın.