pfSense Firewall ve Router Eğitimi

Ozan UÇAR
ozan.ucar@bga.com.tr
Bilgi Güvenliği Akademisi
İstanbul 2012

Eğitim Hakkında
pfSense Firewall ve Router eğitimi; paket filtreleme sistemlerinin
çalışma yapısı, network trafiğinin yönlendirilmesi, vpn
ağlarının kurulması konularında bol teorik ve gerçek sistemler
üzerinde bu işlemlerin nasıl yapıldığını uygulamalı olarak
içeren bir eğitimdir.
Ülkemizdeki yer sağlayıcıları, erişim sağlayıcıları ve içerik
sağlayacıları ilgilendiren 5651 kanunu ve pfSense üzerinde
uygulama senaryolarını içermektedir.

Bu eğitim, FreeBSD ve TCP/IP eğitimi değildir.
www.bga.com.tr

2

Amaç ve Hedefler









Güvenlik duvarları ve çalışma prensiplerinin anlaşılması
Ağ tabanlı saldırıların tespitini ve engellenmesini sağlamak
İnternet ve yerel ağ trafiğini yönetmek ve raporlamak
Web trafiğinin filtrelenmesi ve raporlanmasını sağlamak
Anlık iletişim araçlarının kontrolü
VPN ile uzak ağları birleştirmek, güvenli iletişim kanalları
oluşturmak
Güvenli kablosuz ağlar yaratmak ve yönetmek
Kimlik doğrulamalı sınır kapısı oluşturmak
Yük dengeleme, yük aktarma ve yedekli çalışma stratejileri
Trafik şekillendirme
www.bga.com.tr

3

Parola: ?

Ezber değil MANTIK !

www.bga.com.tr

4

Sertifikasyon • Eğitim sonrası katılım sertifikası verilecektir.tr 5 . www.com.bga.

win2k3. • Tüm uygulamalar.Notlar • Network şemaları www. yazılımların pfSense’e port edilmesi için FreeBSD 8. xp. • Senaryolar.tr 6 .bga.gliffy.com. Network şemaları özel olarak isimlendirilmiştir. vmware sanallaştırma platformunda test edilecektir. www. freebsd. linux ve pfSense kuruludur.2 işletim sistemi kullanılmıştır. • Cisco switch ve router gereksinimi için gns3lab kullanılmıştır. • Ek modül ve geliştirmeler. gerçek dünyadan kurumsal networklerin ihtiyaçları göz önüne alınarak oluşturulmuştur.com adresinden oluşturulmuştur.

PF Aktif Edilmesi ve Kontrolü 3. Wireless 11.com. Konfigürasyon 9.Eğitim İçeriği 1. pfSense Giriş 6. Firewall 13.bga. PF Tabanlı Firewall Dağıtımları 5. Interfaces 10.conf Konfigürasyon Dosyası 4. NAT (Network Address Translation) 14. OpenBSD PF Packet Filter Giriş 2. Kurulum ve Yükseltme 8. Servisler 12. Routing www. pf. Donanım 7.tr 7 .

CARP. Captive Portal 22.com. Paket Sistemi 24. Bridging 16. HAVP Antivirus 28. SquidGuard 27. pfsync 19. Redundancy Firewall. Squid 26. Multiple Wan 17.tr 8 . Sistem Monitör 23. VPN 20.bga. Cron www.Eğitim İçeriği | Devam 15. Incoming Server Load Balancing 18. Snort 25. Trafik Şekillendirme (Traffic Shaper) 21.

Eğitim İçeriği | Devam 29.com. BandwidhD 30. Pfsense ile Özelleştirilebilir Güvenlik Duvarı Oluşturmak 35. 5651 Sayılı Kanuna Göre Log Toplama ve İmzalama 33. IMSpector 31. Uygulama Senaryoları www. Geliştiriciler İçin pfSense 34. Yedekleme ve Kurtarma 32.bga.tr 9 .

bga. Ders 11:30 – 12:15 III. Gün 09:30 – 10:15 I.tr 10 . Ders 13:14 – 14:00 IV. Ders 14:15 – 15:00 V. Ders 16:15 – 17:30 VII. Ders 10:30 – 11:15 II.Zaman Yönetimi 1. Ders 09:30 – 10:15 I. Ders 11:15 – 11:30 ARA 11:15 – 11:30 ARA 11:15 – 11:30 ARA 11:30 – 12:15 III. Ders www. Ders 14:15 – 15:00 V. Ders 10:15 – 10:30 ARA 10:15 – 10:30 ARA 10:15 – 10:30 ARA 10:30 – 11:15 II. Ders 16:15 – 17:30 VII. Ders 14:00 – 14:15 ARA 14:00 – 14:15 ARA 14:00 – 14:15 ARA 14:15 – 15:00 V. Gün 3. Ders 13:14 – 14:00 IV. Ders 09:30 – 10:15 I. Ders 11:30 – 12:15 III.com. Ders 15:15 – 16:00 VI. Ders 12:15 – 13:15 Yemek Arası 12:15 – 13:15 Yemek Arası 12:15 – 13:15 Yemek Arası 13:14 – 14:00 IV. Ders 16:00 – 16:15 Ara 16:00 – 16:15 Ara 16:00 – 16:15 Ara 16:15 – 17:30 VII. Ders 10:30 – 11:15 II. Gün 2. Ders 15:15 – 16:00 VI. Ders 15:00 – 15:15 Ara 15:00 – 15:15 Ara 15:00 – 15:15 Ara 15:15 – 16:00 VI.

.com.tr 11 .4 BSD Lite tabanlı “Özgür” bir UNIX çeşidi. www..bga.Bölüm 1: OpenBSD Projesi  ’95 yılında Theo De Raadt başkanlığında 4.  2011: 16 Yaşında  Güvenlik ve Kararlılık öncelikli bir proje  Ne yaptığını bilen bir ekip  Çoğu popüler güvenlik ürünlerinde bileşenleri var  Dhcp  Pf  ssh vs.

yük aktarma. www.Bölüm 1: OpenBSD Packet Filter OpenBSD PF’in güvenlik duvarı olarak sağladığı özellikler piyasada bulunabilecek herhangi bir güvenlik duvarından oldukça farklıdır.tr 12 . Bu yönü ile hem ticari hem de özgür yazılımlar arasında parmak ile gösterilebilecek bir konuma sahiptir.com.bga. synproxy özellikleri ile gelişmiş bir firewall uygulamasıdır. yük dengeleme. Yedekli çalışma.

local FreeBSD için #kldload pf #pf_enable=YES > /etc/rc.conf Parse et.conf yüklemek #pfctl -f /etc/pf.tr 13 .bga. fakat yükleme #pfctl -nf /etc/pf.com.conf Sadece NAT kurallarını yükle #pfctl -Nf /etc/pf.conf PF Kontrol Edilmesi pf kaptılması #pfctl -d pf. www.Bölüm 2: PF Aktif Edilmesi ve Kontrolü PF Aktif Edilmesi PF Kontrolü OpenBSD için # pf=YES > /etc/rc.conf Geçerli Filtreleme kurallarını listele #pfctl -sr Durum tablosunu listele #pfctl –ss Not:Daha falza bilgi için pfctl(8) man sayfasına bakınız.conf.

değişlik yapar veya geçişine izin verir.conf dosyası yedi seçenekten ve sıralamadan oluşur.Bölüm 3: pf.conf dosyası pf.tr 14 . Options Scrub Queueing Translation Filter Rules www. pf. Makro Tables packet filter (pf).bga.com.conf dosyasındaki kurallara veya seçeneklere göre paketleri dururur.

scrub in all Queueing Trafik şekillendirme ve bandwidth yönetimi altq on em0 cbq bandwidth 2MB queue {ssh. Örneğin.tr 15 .bga.ftp} www.Bölüm 3: pf.2. Table <spamciler> persist {1.5. ext_if= “em0” Tables Tablolar.0/24} Options PF sahip olduğu çeşitli seçenekler.6.com.4.conf dosyası Macro Makroları.0/24. Anormal trafiği düzenler ve parçalanmış paketleri birleştirir. IP adresi gruplarıdır. iz sürmeleri engelle set fingerprints file Scrub Paket normalleştirme. programlama dilindeki değişkenlere benzetebiliriz.3.

tr 16 . PAT.Bölüm 3: pf.bga. 1:1NAT işlemlerini tanımlar nat on $ext_if from $lan_net to any ->($ext_if) Filter Rules Paket filtreleme kurallarını içerir block in on $ext_if proto tcp from any to any port ssh www.conf dosyası Translation NAT.com.

bga. • M0n0wall tabanlı bazı dağıtımlar .m0n0wall’dan bağımsız bir ekip tarafından geliştirilmektedir.com.Paket sistemi ile opensour bir çok uygulamayı desteklemektedir. www.  pfSense  AskoziaPBX  FreeNAS pfSense M0n0wall temel alınarak geliştirilmiş firewall ve router dağıtımıdır.Bölüm 4: PF Tabanlı Firewall Dağıtımları m0n0wall FreeBSD işletim sistemi ve PF güvenlik duvarını kullanan ilk açık kaynak kodlu güvenlik duvarı dağıtımıdır.tr 17 .

bga.Bölüm 5: pfSense Giriş Neden pfSense  FreeBSD sağlamlığını taşıyor  OpenBSD PF güvenlik duvarı  Kararlı ve Ne Yaptığını Bilen Bir Ekip  Hızlı Destek  Mail Listesi  Forum Sayfası (13 Dilde Destek )  IRC Kanalı  Ticari Destek  Yerel.CVSWeb. Yerinde Destek  CVS Server. CVSTrack ticket desteği www.tr 18 .com.

security. support-subscribe@pfsense.firewalls.pfsense.comp.com.org/gmane.Bölüm 5: pfSense Destek ve Yardım Seçenekleri Mail Listesi pfSense Support Listesi.com eposta adresine boş bir eposta göndermeniz yeterli.gmane.support  MARC http://marc.com/a3j3kp www.  Gmane http://dir. pfsense-tr+subscribe@googlegroups.com adresine boş bir eposta göndermeniz ve gelen onay mailini doğrulamanız yeterli.tr 19 .com http://tinyurl.info/?l=pfsense-support  Mail-archive.bga. pfsense-tr türkçe mail listesi. Liste Arşivi Bu liste birden fazla yerde arşivleniyor.

org/index.pfsense.pfsense.php/Category:Troubleshooting Eğitim videoları www.bga.com/videolar/pfsense www.php/Main_Page http://doc.tr 20 .org/index.php/Tutorials Sorun Giderme Klavuzları http://doc.Bölüm 5: pfSense Destek ve Yardım Seçenekleri Döküman ve Özel Dersler http://doc.cehturkiye.com.pfsense.org/index.

pfsense.org/wiki/IRC Ticari Destek pfSense geliştiricilerinden direkt destek alabileceğiniz ücretli bir hat. http://forum.Ortalama 100 kişi sürekli aktif oluyor. IRC kullanımını bilmiyorsanız.com.php/support-subscription sayfasından kayıt olup size uygun destek paketini seçmelisiniz.bga.pfsense. https://portal.Bölüm 5: pfSense Destek ve Yardım Seçenekleri Forum Sayfası Arasında “Türkçe” nin bulunduğu 13 dilde destek formu. #pfsense adında bir kanal bulunuyor. www.tr 21 . http://tr.Bu kanala dahil olup. sorunuzu yöneltebilirsiniz.com IRC Kanalı Freenode irc servisi üzerinde.wikipedia.org/index.

Bölüm 5:
pfSense Destek ve Yardım Seçenekleri
CVS Server
Kaynak kodlar, ayar dosyaları ve script dosyalarına ulaşabilirsiniz,
http://cvs.pfsense.com/cgi-bin/cvsweb.cgi/
CVS Track
http://cvstrac.pfsense.org/
Bug’lar ve düzenlemeler hakkında rapor gönderebilirsiniz
Bug Listesi
http://redmine.pfsense.org/

www.bga.com.tr

22

Bölüm 6:
Donanım Seçimi
Desteklediği Donanımlar
Gömülü
(Embedded )
Sistemler
Tak çalıştır USB
aygılar

CF Kartlar

Kurulum
gerektirmeksizin
çalışan CD’ler

www.bga.com.tr

23

Bölüm 6:
Minimum Donanım Gereksinimleri
pfSense 1.2.x sürümü için minimum donanım gereksinimleri;
CPU - 100 MHz Pentium
RAM - 128 MB
Diğer Platformlar
Live CD
CD-ROM drive
USB flash sürücü, ayarları saklamak için
Hard drive installation
CD-ROM, kurulum başlangıcı için
1 GB hard disk
Embedded
512 MB Compact Flash card
Seri port, yönetim için

www.bga.com.tr

24

Bölüm 7:
Full Kurulum
Symmetric Multiprocessing Kernel
Çok çekirdekli veya çok işlemcili donanımları destekler

Uniprocessor Kernel
Yalnızca tek çekirdekli donanımları destekler
Embedded Kernel
Gömülü anakartlar.VGA konsolu ve klavye kapalı,seri porttan yönetilir.
Developers Kernel
Debug seçeneklerinin aktif edildiği, geliştiriciler için

www.bga.com.tr

25

bga.Bölüm 7: Embedded Kurulum Embedded iso imajları http://pfsense.com.tr 26 .5.5 gerekli www.NET Framework 3.phoenixkv.net/downloads/  Windows’dan Kurulum physdiskwrite 0.2 + PhysGUI (188 KB) – .

1-RELEASE-2g-i386-nanobsd.gz # dd if=pfSense-2.bga.1-RELEASE-2g-i386-nanobsd.1-RELEASE-2g-i386-nanobsd.0.com.img. USB veya SCSI diskler /dev/sdX olarak isimlendirilir.tr 27 .Bölüm 7: Embedded Kurulum Embedded iso imajları http://pfsense.0.img.  FreeBSD üzerinden kurulum # gunzip pfSense-2.gz of=/dev/adX obs=64k www.gz | dd of=/dev/hdX bs=16k Not: CF kart veya IDE diskler /dev/hdX olarak isimlendirilir.phoenixkv.img.net/downloads/  Linux üzerinden kurulum # gunzip –c pfSense-2.0.

bga. diskler eklenebilir) Sanal makinayı başlat Full veya Embedded kurulum için yönergeleri tamamla www.tr 28 .com.  • • • • vmware imajı oluşturularak aşağıdaki adımlarla full kurulum yapılır Yeni bir vm imajı oluştur Fiziksel disk ekle (usb dönüştürücü ile IDE/SATA vb.Bölüm 7: Alternatif Kurulum Teknikleri USB dönüştürücü aygıtlar aracılığıyla IDE. SATA disklere ve CF kartlara kurulum Vmware player veya workstation sürümleri ile yapılabilir.

01F0 Master 044A CF Card Phys C/H/S 7745/16/63 Log C/H/S 968/128/63 1 FreeBSD 2 FreeBSD Boot: 1 Boot error PC Engines ALIX.Bölüm 7: Kurulum Aşamalarında Sorun Giderme Gömülü anakartlarda boot hatası alıyorsanız.2 v0.99h 640 KB Base Memory 261120 KB Extended Memory 01F0 Master 044A CF Card Phys C/H/S 7745/16/63 Log C/H/S 968/128/63 1 FreeBSD 2 FreeBSD Boot: 1 Boot error www.com.tr 29 .bga.

tr 30 .bga. BIOS Ayarları aşağıdaki gibi olmalıdır: *9* 9600 baud (2) 19200 baud (3) 38400 baud (5) 57600 baud (1) 115200 baud *C* CHS mode (L) LBA mode (W) HDD wait (V) HDD slave (U) UDMA enable (M) MFGPT workaround (P) late PCI init *R* Serial console enable (E) PXE boot enable (X) Xmodem upload (Q) Quit www.com.Bölüm 7: Kurulum Aşamalarında Sorun Giderme Gömülü anakartlarda boot hatası alıyorsanız.

Bölüm 7: Kurulum Aşamalarında Sorun Giderme Disk mount problemi. www. Mountroot> ? ile sistemdeki mevcut diskler listelenir ve mount edilecek disk ufs:/dev/adXs1a ile mount edilir.bga.tr 31 . pfSense kurulu disk. bir başka donanımda farklı disk adını alabilir. Ayarların kalıcı olması için “/etc/fstab” dosyasındaki disk adı düzenlenir.com.

Bölüm 7: Kurtarma Operasyonu  Config.xml kurtarma operasyonu  pfSense config.tr 32 .bga.com.xml dosyasına erişim  Backup config dosyalarına erişim # mount /dev/da0s1a /mnt # ls –lah /mnt/cf/conf/ www.

FreeBSD komut satırının gücünü ve esnekliğini kullanmamız için geçiş sağlar. gelişmiş bir yönetim arabirimi.Bölüm 8: Konfigurasyon | Yönetim Arabirimleri pfSense firewall.Servis ve sistem ayarlarını web tabanlı yönetir. Web arabirimi. işlevselliği yükse ve sade.bga. Konsol arabirimi. www. sade bir menü yapısına sahiptir.com. iki farklı yönetim arabirimine sahiptir.tr 33 . Temel ayarlar ve kurtarma operasyonları için seçenekler sunar.

Bölüm 8: Konfigurasyon | Yönetim Arabirimleri Konsole Arabirimi Web Arabirimi 0) Logout (SSH only) 1) Assign Interfaces 2) Set LAN IP address 3) Reset webConfigurator password 4) Reset to factory defaults 5) Reboot system 6) Halt system 7) Ping host 8) Shell 9) PFtop 10) Filter Logs 11) Restart webConfigurator 12) pfSense Developer Shell 13) Upgrade from console 14) Disable Secure Shell (sshd) System Interfaces Firewall Services VPN Status Diagnostics Help www.tr 34 .bga.com.

tr 35 .bga.com.Bölüm 8: Konfigurasyon | Konsol Arabirimi 9 ) pfTop www.

bga.Bölüm 8: Konfigurasyon | Konsol Arabirimi Web parolasını sıfırla Sistem Yükseltme www.tr 36 .com.

düzenlemeler yapabilirsiniz.Bölüm 8: Konfigurasyon | Konsol Arabirimi 8 ) Komut satırına geçişi sağlar.tr 37 . Dosya oluşturup.com. Sistem komutları veya bir uygulama çalıştırabilir. www.bga.

com.tr 38 .bga.Bölüm 8: Konfigurasyon | Web Arabirimi www.

com.Bölüm 8: Konfigurasyon | Genel Ayarlar www.tr 39 .bga.

– Static – DHCP – PPoE/PPTP – Özel IP Adresleri – Wireless www.com.tr 40 .bga. • Herhangi bir ağ arabirimi için atanacak IP türleri.Bölüm 9: Ağ Ayarları • Ağ ayarları menüsü. değişik ağ arabirimlerine göre farklılık gösterebilir.

bga. • PPoE/PPTP PPoE ve PPTP arabirimlerine kullanıcı adı ve parola. dial and demon. opsiyonel olarak servis adı. • DHCP IP adresi otomotik olarak ortamdaki bir DHCP sunucudan alınır.tr 41 . gateway adreside tanımlanmalıdır. DHCP sunucunun hostname adresi ve ailas olarka ikinci bir ip adresi girilebilir. boş zaman aşımı değerleri ve opsiyonel olarak periyodik reset ( yalnızca PPoE için ) ayarları set edilir.com. www.Bölüm 9: Ağ Ayarları | IP Türleri • Static IP adresi ve CIDR mask sabit olarak set edilir. Eğer WAN arabirimine ip atanıyorsa.

WPA ) değerleri tanımlanmalıdır. • Wireless Diğerler seçeneklerden farklı olarak.tr 42 . yerel ağlarda kullanılmak üzere ayrılmış ip adresleri ve atanmamış networkler.Bölüm 9: Ağ Ayarları | IP Türleri • Özel IP Adresleri RFC1918 standardına göre.bga. SSID ve Encryption ( WEP.com.Wireless ağ arabirimi. www. istemcilere hizmet vermek için Access Point olarak kullanılabilir veya bir başka Access Point bağlantısı kurabilir.

spoofing saldırılarına karşı koruma sağlar.com.bga. Ağ Geçidi www.tr 43 .Bölüm 9: Ağ Ayarları| WAN | Static WAN arabirimi için statik MAC kaydı tanımalamak.

Opsiyonel olarak. DHCP sunucunun hostname adresi www.tr 44 .bga.Bölüm 9: Ağ Ayarları| WAN | DHCP DHCP sunucudan ikinci ip adresi istenebilir.com.

com. www.tr 45 .Bölüm 9: Ağ Ayarları| WAN | DHCP Kirası Status > Interfaces DHCP sunucudan alınan ağ ayarları.bga.

bga.com.tr 46 .Bölüm 9: Ağ Ayarları| WAN | PPoE PPoE erişim sağlayıcısı bilgileri www.

tr 47 .bga.Bölüm 9: Ağ Ayarları| WAN | PPP PPP 3G Bağlantı Ayarları www.com.

www. butonuna tıklayarak yeni ağ arabirim eklenir.tr 48 . Interface > OP1 ile yeni arabirim yapılandırılır.Bölüm 9: Ağ Ayarları| Arabirim Eklemek • Interfaces > Assign sekmesinden yeni ağ arabirimi eklenebilir ve kaldırılabilir.com.bga.

com.bga.tr 49 .Bölüm 10: Wireless www.

tr 50 .com.bga.Bölüm 10: Wireless | Arabirim Ayarları Access Point Olarak Yapılandırmak Yayın yapacağı isim Gizli SSID ile yayın yapılabilir www.

tr 51 .Bölüm 10: Wireless | Arabirim Ayarları Şifreleme Türleri www.bga.com.

1x www.Bölüm 10: Wireless | Arabirim Ayarları 802.bga.com.tr 52 .

tr 53 .bga.Bölüm 10: Wireless | Arabirim Ayarları Wireless ağ arabirimi için DHCPD www.com.

güvenli hotspot ağı DNS Forwarder DNS isteklerinin iletimi DHCP Relay DHCP paketlerinin aktarımı DHCP Server IP dağıtımı Dynamic DNS Dinamik DNS sunucularının kullanımı Load Balancer Yük dengeleme ve yük aktarma servisi OLSRD Kablosuzlar arası neti dağıtmak PPPoE Server RIP Router Information Protocol SNMP Snmp servisinden bilgi alma UPnP OpenNTPD Zaman sunucusu kurulumu Wake on LAN Ağ üzerinden bilgisayar açmak www.com.tr 54 .Bölüm 11: Servisler Captive Portal Hizmet portalı.bga.

• NTP server. • Tanımlanmamış ip aralığı ve ip-mac listesi dışındaki istemcilerin ağa erişimini engeller. • DHCP kiralarını görtüleme ve yönetme arabirimi mevcuttur. • MAC adresine göre statik ip ataması yapılabilir. • Ağ üzerinden işletim sistemi yüklemeyi sağlayabilir. • DNS ve Gateway tanımı yapılabilir.tr 55 .com.bga.Bölüm 11: Services | DHCP Server • İç ağa ip adresi dağıtmak için kullanılır. Dynamic DNS bilgileri dhcp istemcilerine iletilebilir. • DHCP kira süreleri tanımlanabilir. • DHCP sunucunun hizmet verdiği ağ arabiriminin statik ip adresine sahip olması gerekir.Bu özelliği ile diğer dhcp sunucular’dan en büyük farkını yansıtır. www.

bga.tr 56 .Bölüm 11: Services | DHCP Server Birden fazla ağ arabirimini destekler Dağıtılacak IP aralığı www.com.

com. Statik dhcp kiraları www.Bölüm 11: Services | DHCP Server Cluster yapısı için kullanılır.tr 57 .bga.

tr 58 .bga.com.Bölüm 11: Services | DHCP Server | Kayıtların İncelenmesi www.

Çözüm.bga. Servisimiz çalışıyor olacak.Bölüm 11: Services | DHCP Server | Sorun Giderme DHCP servisi IP dağıtmıyor. pid dosyası silinmemiş yeni çalışacak olan proccess bir kopyasının çalıştığını düşünüyor.pid Komut satırından veya arayüzden tekrar servisi başlatın. Servis restart ettiğinizde aşağıdaki (zaten servi çalışıyor) mesajı alıyorsanız.tr 59 . # rm /var/dhcpd/var/run/dhcpd. # ps ax |grep dhcp 1433 ?? Ss 0:00.00 /usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /var/dhcpd/etc/dhcpd. Oct 4 23:21:28 dhcpd: There's already a DHCP server running Aslında dhcp servisi çalışmıyor.com.conf vr0 www.

Bölüm 11: Services | DHCP Relay DHCP istekleri broadcast olarak iletirilir.bga.Router’lar DHCP isteklerini geçirmezler.com. DHCP isteklerini wan ağından. Bu ip adresinden gelen dhcp istekleri lan ağına iletilecektir. www. lan ağına aktarması (relay) için DHCP Relay servisi kullanılır. DHCP Broadcast'lerini yakalayarak bunları Unicast'e çevirip yetkili DHCP Server'a gönderir.tr 60 . Yetkili DHCP sunucunun ip adresi.

Ayrıca. yerel ağda bilgisayar adlarını çözmeyi sağlayabilirsiniz.Bölüm 11: Services | DNS Forwarder pfSense üzerinde DNS Sunucu bulunmaz.tr 61 . www. DNS Forwarder olarak hizmet verir. Kendisine gelen dns isteklerini “System > General Setup” sayfasında belirttiğiniz DNS sunuculardan çözerek istemciye iletir.com. domainler için yetkili dns sunucuları veya bir host adresi için dns kaydı eklenebilir.bga. DHCP servisinden ip alan istemcilerin ip adresi ve hostnamelerini dns forwarder’a ekleyerek.

bga.16.Bölüm 11: Services | DNS Forwarder qmail. pf.16 dns sunucusuna sorulacaktır.16.fabrikam.fabrikam. www.100 ip adresini döndür.com alan adını soranlara yanıt olarak 172.com adı sorulduğunda.com.16. dns isteği 172.tr 62 .16.

dinamik ip adresiniz her değiştiğinde bunu DNS sunucuya bildirip otomotik olarak DNS kaydınızı güncelleyen servistir.com.Bölüm 11: Services | Dynamic DNS DynDNS servisi Services > Dynamic DNS menüsünde bulunur. www.tr 63 .bga.

Host Resources Sunucunun uptime. donanım bilgisi. MibII Network ve ağ arabirimleri hakkında bilgi verir. durum tablosu. ağ arabirimleri. SnmpWalk.Ağ arabirimlerinin durumu.Bölüm 11: Services | SNMP Uzak ağları . pfSense SNMP modüllerinin sağladığı bilgiler . IP adresleri ve gelen/giden verinin miktarı gibi bilgiler sunar. bağlı sistem aygıtları ve kurulu yazılımlar hakkında detay bilgi sağlar.bga. Netgraph Bağlantı kurulan noktalar hakkında.tr 64 . Snmpcheck www. processes. sistemleri monitor etmek için kullanılır. Nagios. disk kullanımları.load average. tablolar ve ALTQ queues verileri elde etmekte kullanılır. SNMP Araçları Cacti. bu noktaların durumları ve oluşan hatalar hakkında bilgi verir.com. Bir endüstri standartıdır. PF pf kuralları.

bga.tr 65 .Bölüm 11: Services | SNMP www.com.

com www.Bölüm 11: Services | SNMP Araçları Nagios = http://www.bga.nagios.com.tr 66 .

com.tr 67 .Bölüm 11: Services | SNMP SNMP Check www.bga.

tr 68 .com. ntp istemcilerine sunar.bga.. www.nasa. ntp. Zaman bilgisini.Bölüm 11: Services | OpenNTPD OpenNTPD. bir NTP (Network Time Protocol) servisidir.gov misali ..

Ağ üzerinden açılacak bilgisayarın sahip olduğu ethernet kartının “wake on lan“ özelliğini desteklemesi ve BIOS ayarlarından bu özelliğin aktif olması gerekir.Bölüm 11: Services | Wake on Lan Bilgisayarı ağ üzerinden açmayı sağlar.bga.com. Özel hazırlanmış bir paketi ethernet kartına göndererek kapalı bilgisayarın açılmasını sağlar. www.tr 69 .

bga.tr 70 .com. www.Bölüm 11: Services | OLSRD Kablosuz cihazlar arası kablo çekmeden atlama yaparak neti dağıtmak için kullanılır.

tr 71 .bga.com.Bölüm 11: Services | OLSRD www.

com.tr 72 .Bölüm 12: Firewall www.bga.

Bölüm 12: Firewall | Rules I www.tr 73 .com.bga.

Aliase. Disabled: Kuralı pasif yap. Subnet vb. –Source port range: Kaynak port aralığı www.bga.Network. – Pass: Paketin geçişine izin ver.Ağ arabirimi. IP.Bölüm 12: Firewall | Rules I Action : Pakete uygulanacak kriter. Interface: Kuralın uygunalacağı ağ arabirimi Protocol: Kullanılacak IP protokolü Source: Kaynak türü.tr 74 . –Block: Paketi engelle (drop et) –Reject: TCP paketlerine TCP RST.com. UDP için ICMP port unreachable yanıtını döndür.

Bölüm 12: Firewall | Rules II www.bga.tr 75 .com.

–Destination port range: Hedef port aralığı. Log: Kural için kayıt tut.Network.com. Aliase. www.tr 76 .Ağ arabirimi.Bölüm 12: Firewall | Rules II Destination: Hedef türü. Subnet vs. IP.bga. Description: Kuralı tanımlayan hatırlatıcı bir mesaj.

Bölüm 12: Firewall | Rules III www.bga.com.tr 77 .

Advanced Options: PF Gelişmiş Seçenekler –Simultaneous client connection limit: Eşzamanlı istemci bağlantı limit: Limiti –Maximum state entries per host: İstemciye gelecek maksimum baglanti siniri –Maximum new connections / per second: Eşzamanlı maksimum yeni bağlantı –State Timeout in seconds: Saniye içinde zaman aşırımı süresi TCP Flags: TCP bayraklarını set etmek için kullanılır. Yalnızca TCP kuralları için geçerli olur. –none: Bir durum mekanizması kullanma 78 www. paketin kod noktası değerlerine göre önceliğini belirler.bga.Bölüm 12: Firewall | Rules III Source OS: Kuralın geçerli olacağı işletim sistemi.tr .com. State Type: Durum türü –keep state: Tüm IP protokolleri ile çalışır. Diffserv Code Point: Bu mekanizma QOS için geliştirilmiştir. –synproxy state: Proksilerden gelen TCP bağlantıları için sunucuyu Syn Flood ve IP Spoof saldırılarına karşı korunmaya yardımcı olur. Sistemler.

tr 79 . Gateway: Kural tabanlı yönlendirme için hedef belirler.com.bga. Schedule: Kuralın çalışacağı zaman.Bölüm 12: Firewall | Rules III No XMLRPC Sync: CARP yapısındaki diğer firewalla kuralın akarılmasını engeller. zamanlanmış görev. www. In/Out: Virtual interface’ler için trafik şekillendirme Ackqueue/Queue : Trafik şekillendirme Layer 7: Uygulama katmanında trafik şekillendirme kuralları uygular Description: Kuralı tanımlayan hatırlatıcı bir mesaj.

Firewall kurallarında kolaylık sağlar ve geniş ağlar .bga.Bölüm 12: Firewall | Alias IP. port ve network adreslerini gruplamak için kullanılır.tr 80 .com. www. port numaraları ve kaynak/hedef ip adresleri için efor kazandırır.

bga.com.tr 81 .Bölüm 12: Firewall | Alias | Host www.

tr 82 .bga.com.Bölüm 12: Firewall | Alias | Network www.

tr 83 .com.Bölüm 12: Firewall | Alias | Port www.bga.

com.bga.Bölüm 12: Firewall | Alias | Urltable www.tr 84 .

Bölüm 12: Firewall | Schedules Zaman bazlı firewall kuralları yazmayı sağlar.com. www.tr 85 .bga.

tr 86 .com. www.Bölüm 12: Firewall | Schedules | Uygulama fabrikam.com personeli için öğlen saatleri arasında (12:59-13:59) internet açık diğer saatlerde kapalı.bga.

16.bga. Geri kalan herşey yasak.tr 87 . www. 172. 4. Synproxy aktif olsun.1.0/24 subnet’ine yalnızca LAN network’ünden 1.100 ip adresi erişebilsin. 3.16. Arge ve Muhasebe&Finans birimleri yalnızca izinli port’lara erişim kurabilsinler ve bağlantıları kayıt altına alınsın.1. DDOS saldırıları durumunda.0/24 subnet’I internete yalnızca tcp 80 ve 443 portu için izinli olsun. 2.16.16. 172.Bölüm 12: Firewall | Rules | Uygulamalar 1.com. turkiye ip aralığı dışındaki paketleri engelle ve turkiye’den gelen ip adreslerine eş zamanlı maksimum bağlantı sayısını 5 olarak set et ve timeout süresini 6 saniyeye düşür.

Türkiye’den gelen ip adreslerinin eş zamanlı maksimum bağlantı sayısı 5 olsun ve bir tcp oturumun timout süresi 6 saniyeye olsun. Spoof edilmiş ip adreslerine karşı Synproxy koruması da aktif olsun.bga. Internetten gelebilecek DDOS saldırıları durumunda.tr 88 .com. www.Bölüm 12: Firewall | Rules | Uygulama I 1. Türkiye ip aralığı dışındaki ipleri engelle.

com.Bölüm 12: Firewall | Rules | Uygulama I 1 3 2 www.bga.tr 89 .

3. Arge ve Muhasebe&Finans birimleri yalnızca izinli port’lara erişim kurabilsinler ve bağlantıları kayıt altına alınsın. www.0/24 subnet’ine yalnızca LAN network’ünden 1.com. Geri kalan herşey yasak.100 ip adresi erişebilsin.1.bga.16.tr 90 .16.Bölüm 12: Firewall | Rules | Uygulama II & III 2.1. 172.

com.tr 91 .bga.Bölüm 12: Firewall | Rules | Uygulama II www.

172.bga.com.Bölüm 12: Firewall | Rules | Uygulama IV 4.16. www.tr 92 .0/24 subnet’I internete yalnızca tcp 80 ve 443 portu için izinli olsun.16.

Ayrıca failover gibi özellikler içinde kullanılır.tr 93 . Outbound NAT ve 1:1 NAT gibi yönlendirme işlemlerinde kullanılır. www.com. pfSense tarafından NAT port forwarding.0 ile birlikte ağ arabirimine ikinci ip adresi atama özelliğide virtual ip ile desteklenmektedir. ağ arabirimi için tanımlanan ana IP adresi değildir.Bölüm 12: Firewall | Virtual IP pfSense tarafından kullanılan sanal IP adresidir.Virtual IP. pfSense 2.bga.

tr 94 . ICP ping paketlerine yanıt vermez IP Alias pfSense tarafından kullanılabilir.com. www.Bölüm 12: Firewall | Virtual IP Virtual IP Adres Türleri CARP Firewall servisleri veya yönlendirmeler için kullanılır VIP için Layer 2 trafik üretir Clustering işlemi için kullanılabilir. yönlendirme yapılabilir. Gerçek ağ arabiriminin IP adresi ile aynı subnet'de olabilir. ICMP ping paketlerine yanıt verir. ICMP ping paketlerine yanıt vermez Diğer Firewall servisleri için kullanılamaz ama yönlendirmeler için kullanılır VIP için Layer 2 trafik üretir Gerçek ağ arabiriminin IP adresi ile farklı subnet'de olabilir. firewall tarafından izinliyse Proxy ARP Firewall servisleri için kullanılamaz ama yönlendirmeler için kullanılır VIP için Layer 2 trafik üretir Gerçek ağ arabiriminin IP adresi ile farklı subnet'de olabilir.bga.

hayati öneme sahiptir.Bölüm 12: Firewall | Kayıtların İzlenmesi Firewall logları. Action: Pakete uygulanan kriter Time: Logun oluşma tarihi ve saati If: Paketin geldiği ağ arabirimi Source: Kaynak IP adresi ve Port numarası Destination: Hedef IP adresi ve Port numarası Proto: Protokol www.bga. Diagnostics | System logs | Firewall sayfasından şu bilgiler edinilebilir.tr 95 .Gelen-Giden paketleri incelemede ve sorun çözmede sıkça ihtiyaç duyulur.com.

log (logları canlı izlemek için) # clog /var/log/filter.com.bga. Komut Satırından Görüntüleme # clog /var/log/filter.log # tcpdump -n -e -ttt -i pflog0 www.log | php /usr/local/www/filterparser.php Tcpdump ile izleme # tcpdump -n -e -ttt -r /var/log/filter.tr 96 .Bölüm 12: Firewall | Kayıtların İzlenmesi Arayüzde yorumlanan kayıtların yetersiz kalması durumunda veya pratik filtreleme teknikleri uygulamak için komut satırından kayıtlar izlenebilir.log # clog -f /var/log/filter.

tr 97 .Bölüm 13: NAT (Network Address Translation) www.com.bga.

1 terminal server’a yönlendir.bga.com. WAN arabiriminden gelen ve hedef portu 587 olan tcp trafiğini 172.16.172 ip adresi port 3389 a bağlantı isteği gönderirse onu 172. WAN arabiriminden 85.16.16.16. www.16.3 adresinin tcp 25 portuna yönlendir.2 adresinin tcp 80 portuna yönlendir.238.Bölüm 13: NAT | Port Forwarding | Uygulama WAN arabiriminden gelen ve hedef portu 80 olan tcp trafiğini 172.tr 98 .95.16.

Bölüm 13:
NAT | Port Forwarding

www.bga.com.tr

99

Bölüm 13:
NAT | Port Forwarding | Uygulama

www.bga.com.tr

100

Bölüm 13:
NAT | Port Forwarding | Uygulama
• 6.6.6.100 ip adresi rdp yapmak isterse onu
10.0.0.96 ya yönlendir. Bunun dışındaki rdp
bağlantılarını 10.0.0.10 sunucusuna yönlendir.

www.bga.com.tr

101

Bölüm 13:
1:1 NAT

www.bga.com.tr

102

Bölüm 13: 1:1 NAT Belirtilen IP adresine gelen bütün trafiği bir hedef ip adresine iletir.com.tr 103 .bga. Not:Virtual IP ile kullanacağınız internet ip’leri tanımlanmalıdır. www.

com.bga. www.2 ip adresine bire bir yönlendir.48.16.tr 104 .Bölüm 13: 1:1 NAT | Uygulama Wan arabiriminden 88.16.1 ip adresine gelen tüm trafiği 172.125.

Bölüm 13: NAT | Outbound NAT www.tr 105 .com.bga.

Bölüm 13: NAT | Outbound NAT www.com.bga.tr 106 .

48.124.3 ip adresini internet'e çıkarken 88.3 olarak dönüştür.Bölüm 13: NAT | Outbound NAT | Uygulama 172.1 ip adresini internet'e çıkarken 88.124.com. www.tr 107 .16.2 ip adresini internet'e çıkarken 88. 172.48.124.bga.16.16.48. 172.2 olarak dönüştür.16.16.16.1 olarak dönüştür.

Bölüm 13: NAT | Outbound NAT | Uygulama 172.com.106 ip adresi ile yönlendirilsin www.2 olarak yönlendirilsin LAN networkü 6.125.6.16.48.1 ip adresi 88.16.tr 108 .6.bga.

org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_ WAN_IP_from_my_LAN/OPTx_networks%3F www.tr 109 .com.bga.pfsense.Bölüm 13: NAT Reflection Yerel ağda bulunan ip adresleri wan arabirimine ait ip adreslerine bağlanabilsinler ! http://doc.

tr 110 .com.Bölüm 14: Routing www.bga.

Bölüm 14: Routing pfSense aynı zamanda router olarak hizmet verebilmektedir. RIP. www. BGP.tr 111 . Static route.bga.com. OSPF routing protokollerini desteklemektedir.

34.Bölüm 14: Routing | Static Route | Uygulama 192.1 router’ın arkasındadır.bga.168.168. 192.0/24 Bursa ağı.com.1 router biliyor. www.16. 192.0/24 İstanbul ağına erişmek istiyorsan paketleri 172.35. paketler buraya.16.1 router adresine yönlendir.16.168.16.tr 112 .16.0/24 İzmir ağını 172.16.16. 172.

172.Bölüm 14: Routing | Static Route | Uygulama 192.0/24 Bursa ağı. paketleri bu yönlendiriciye gönder.16.tr 113 . Bursa’ya erişmek istiyorsan.bga. www.16. o seni hedefe ulaştıracak.16.1 router’ın arkasındadır.com.168.

bga.com.tr 114 .Bölüm 14: Routing | Route Tablosu www.

Bölüm 14: RIP (Router Information Protokol) RIP Öncesi RIP Sonrası www.tr 115 .com.bga.

tr 116 .Bölüm 14: RIP (Router Information Protokol) www.bga.com.

bga.tr 117 .com. www. Hedefe en kısa varış süresini hesaplar.Bölüm 14: BGP (Border Gateway Protokol) Hosting ve datacenter ağlarında olmazsa olmazlardandır.

bga.com.tr 118 .Bölüm 15: Bridge | Layer 2 Firewall www.

Bölüm 15: Bridge | Layer 2 Firewall İki veya daha fazla ağ arabirimini tek interface olarak Layer 2 network için kullanır.tr 119 . Adım www. Adım 2.bga.com. 1.

com.bga.tr 120 .  RSTP/STP: Spanning Tree Seçenekleri – Protocol – STP Interface – Valid Time – Forward Time – Hello Time – Priority – Hold Count – Interface Priority – Path Cost  Cache Size  Cache Entry Expire Time  Span Port  Edge Ports  Auto Edge Ports  PTP Ports  Auto PTP Ports  Sticky Ports  Private Ports www.Bölüm 15: Bridge | Layer 2 Firewall Gelişmiş Ayarlar.

Broadcast Kontrol 2.Bölüm 15: Vlan Sanal yerel alan ağı (VLAN). kişilere ya da hatta kullanılan uygulamaya ya da protokole göre tanımlanabilir. VLAN’lar ağ üzerinde uygulanarak. VLAN tanımlamaları. 2. VLAN kullanılmasıyla her VLAN sadece kendi broadcast’ini alacağından.com. Esneklik www. Güvenlik 3. broadcast trafiği azaltılarak bant genişliği artırılmış olur.bga. Bunları temel olarak 3 başlık altında toplayabiliriz: 1. bölüme. bulunulan yere. seviye anahtarlamanın getirdiği birçok problem ortadan kaldırılır. bir yerel alan ağı (LAN) üzerindeki ağ kullanıcılarının ve kaynakların mantıksal olarak gruplandırılması ve switch üzerinde port’lara atanmasıyla yapılır.tr 121 .

Bölüm 15: Vlan | Uygulama www.bga.tr 122 .com.

.tr 123 .com. Exiting. www. laye2switch>enable laye2switch#vlan database laye2switch(vlan)#vlan 10 VLAN 10 added: Name: VLAN0010 laye2switch(vlan)#vlan 13 VLAN 13 added: Name: VLAN0013 laye2switch(vlan)#vlan 14 VLAN 14 added: Name: VLAN0014 laye2switch(vlan)#exit APPLY completed.Bölüm 15: Vlan| Switch | Vlan Database Adım 1: Vlan’ların oluşturulması..bga..

Bölüm 15: Vlan| Switch | Interfaces Adım 2 : Interfacelerin vlan’lara üye yapılması. changed state to up www.tr 124 .bga. laye2switch#configure terminal laye2switch(config)#interface FastEthernet 1/0 laye2switch(config-if)#switchport access vlan 10 laye2switch(config-if)#no shutdown laye2switch(config-if)# *Mar 1 00:09:13.com.095: %LINK-3-UPDOWN: Interface FastEthernet1/0.095: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0. changed state to up *Mar 1 00:09:14.

Bölüm 15: Vlan|Switch | Vlan Trunk Adım 3: Trunk port ayarı laye2switch(config-if)#switchport mode trunk laye2switch(config-if)#switchport tr laye2switch(config-if)#switchport trunk enc laye2switch(config-if)#switchport trunk encapsulation dot1q laye2switch(config-if)#no shutdown *Mar 1 00:14:34.com.359: %DTP-5-TRUNKPORTON: Port Fa1/10 has become dot1q trunk www.bga.tr 125 .

bga.1q) Vlan Etiketi www.tr 126 .Bölüm 15: pfSense Vlan Yapılandırması Dot1q (802.com.

Vlan arabirimlerinin bilgileri www.bga.Bölüm 15: pfSense Vlan Yapılandırması Vlan’lar gerçek ağ arabirimleri gibi kullanılabilir.tr 127 .com.

tr 128 .Bölüm 15: pfSense Vlan Firewall Kuralları www.com.bga.

bga.com.Load Balancing ve Failover stratejileri Sorun Giderme www.tr 129 .Bölüm 16: Multiple WAN        Multiwan ve Nat Policy Based Routing Load Balancing Failover Incoming Server Load Balancing Policy Routing.

com.Bölüm 16: Multiple WAN | Policy Based Routing www.tr 130 .bga.

Bölüm 16: Multiple WAN | Load Balancing www.tr 131 .com.bga.

com.Bölüm 16: Multiple WAN | Failover www.tr 132 .bga.

com.Bölüm 17: Incoming Server Load Balancing www.bga.tr 133 .

com. Redundancy Firewall.bga.Bölüm 18: CARP (Cluster ARP).tr 134 . pfsync www.

Redundancy Firewall. pfsync 1. Test ! www.Bölüm 18: CARP (Cluster ARP). pfMaster : Firewall > Virtual Ips 4.bga. SYNC ağ arabirimi için tüm trafiğe izin veren firewall kuralı yazılır.com.tr 135 . Ağ arabirimleri tanımlanır 2. Status > CARP 6. pfMaster : Firewall > CARP Settings 5. 3.

Farklı vpn türleri vardır.com. Destekler OpenVPN TCP Port 1194 www.tr 136 .bga. L2TP.Bölüm 19: VPN (Virtual Private Network) Özel sanal ağlar oluşturmak için kullanılır. PPTP. IPSEC UDP Port 500 ESP/AH protokollerini kullanır PPTP TCP Port 1723 GRE protokolünü kullanır Radius Auth. IPSEC vb.

Bölüm 19: VPN | IPSEC (site2site) www.bga.com.tr 137 .

com.bga.Bölüm 19: VPN | PPTP (Client2site) www.tr 138 .

AltQ kaynak paylaşımı ve QoS kontrolü için başka mekanizmaların kullanılmasına olanak verir.com.tr 139 .Bölüm 20: Traffic Shaper pfsense tarafından Qos yönetimi için AltQ framework'ü kullanılıyor. • Class Based Queuing (CBQ) : Sınıf tabanlı sıralama • Priority Queuing (PRIQ): Önceliğe göre sıralama • Hierarchical Fair Services Curve (HFSC): Yapısal adil hizmet eğrisi AltQ sağladığı bu trafik zamanlayıcılar bir trafik biçimlendirme sihirbazı ile otomatik olarak yapılandırılabilir. AltQ da kullanılabilir trafik zamanlayıcılar.bga. www.

bga.tr 140 . Aslen ağ protokollerini analiz için tasarlanmış olasada. Dummynet.Bölüm 20: Traffic Shaper pfSense 2. ipfw firewall'un bir parçasıdır ama artık pf firewall'da da kullanılabilir. www.com. günümüzde band genişliğini yönetmek içinde kullanılmaktadır.0 ile birlikte gelen bir diğer QoS mekanizmasıda Dummynet'dir.

Single Lan multi Wan Single Wan multi Lan Multiple Lan/Wan Dedicated Links www.Bölüm 20: Traffic Shaper Kısıtlamalar pfSense 1.x sürümlerinde birden fazla WAN veya LAN için filtreleme yapılamaz. Sihirbaz Traffic Shaper sihirbaz profilleri.tr 141 .2.com.bga.

Bölüm 20: Traffic Shaper IP paketi ipfw-classifyd ye giriş-çıkış yaparken www.bga.tr 142 .com.

bga.com.Bölüm 20: Traffic Shaper Layer7 grafik arabirimi Firewall kuralı www.tr 143 .

com.bridge.bridge.pfil_member = 0 net.Bölüm 20: Traffic Shaper Bridge Firewall da Layer7 filtreleme için şu system ayarlarının aktif edilmesi gerekir.bga.tr 144 .link.link.pfil_bridge = 1 www. net.

Bölüm 20: Captive Portal | Kimlik Doğrulamalı Ağ Geçidi www.tr 145 .bga.com.

com.tr 146 .Bölüm 21: Captive Portal Genel Özellikler Maksimum Eş Zamanlı Bağlantı Boş Zaman Aşımı Sabit Zaman Aşımı Logout Popup Penceresi Yönlendirme Adresi Eş Zamanlı Kullanıcı Girişi Mac Filtreleme IP Filtreleme Kimlik Doğrulama – Tanımsız – Yerel – Radius Destekli Auth.bga. www.

Bölüm 21: Captive Portal Genel Özellikler Voucher Desteği Mac Adresine Göre Trafik Limitleme IP Adresine Göre Trafik Limitleme Host Adına Göre Yetkilendirme Özelleştirilebilir Giriş/Hata ve Çıkış Pencereleri www.bga.com.tr 147 .

Bölüm 21: Captive Portal | Özelleştirme Karşılama Sayfası.com.bga. <html> <head> <title>pfSense captive portal</title> </head> <body> <center> <h2>pfSense captive portal</h2> <p> <form method="post" action="$PORTAL_ACTION$"> <input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$"> <table> <tr><td>Username:</td><td><input name="auth_user" type="text"></td></tr> <tr><td>Password:</td><td><input name="auth_pass" type="password"></td></tr> <tr><td>&nbsp.tr 148 .</td></tr> <tr> <td colspan="2"> <center><input name="accept" type="submit" value="Continue"></center> </td> </tr> </table> </center> </form> </body> </html> www.

Bölüm 21: Captive Portal | Özelleştirme Hata Sayfası. <br><br> <a href="javascript:history.back()">Go back</a> </b> </body> </html> www.tr 149 . <html> <head> <title>Authentication error</title> </head> <body> <font color="#cc0000"><h2>Authentication error</h2></font> <b> Username and/or password invalid.bga.com.

com.tr 150 .Bölüm 21: Captive Portal | Güvenli Hotspot Ağı www.bga.

tr 151 .Bölüm 22: Sistem Monitor Sistem monitor araçları “Status“ menüsü altında bulunur.bga. Görüntüleyeceğimiz ve izleyeceğimiz bilgiler.  Sistem Kayıtları  Ağ Arabirimi Durumları  Servis Durumları  RRD Grafikleri  Firewall Durum Tablosu  Sistem Kayıtlarını Uzak SyslogD yazdırmak www.com.

bilgi ve hata mesajlarına ait kayıtlar bu sayfada yer alır. birşeyler düzgün çalışmıyorsa.Bölüm 22: Sistem Monitor | Sistem Kayıtları pfSense servisleri tarafından oluşturulan kayıtlar.bga.tr 152 . Uyarı. www.bir hata durumunda ve/veya sistem aktivitelerini öğrenmek için ziyaret edeceğimiz ilk başvuru kaynaklarından biridir.com.

com.tr 153 .bga.Bölüm 22: Sistem Monitor | Ağ Arabirimi Durumları Wan Arabirimi Adı Durum : IP atama türü: Mac Adres: IP Adres: Alt Ağ Maskesi: Ağ Geçidi: DNS Sunucular: Ethernet Durumu: Gelen/Giden Paketler: Giriş/Çıkış Hataları: Çarpışmalar: www.

Bölüm 22:
Sistem Monitor | Servis Durumları
Servis durumlarını görüntülemek ve start/stop/restart işlemlerini yapmak

Servisi restart eder.
Servisi start eder.
Servisi stop eder.
www.bga.com.tr

154

Bölüm 22:
Sistem Monitor | RRD Grafikleri
RRD Grafikleri, geçmişe yönelik olarak cpu,ram,trafik ve durum tablosu
bilgilerini grafiksel olarak ve sayısal olarak sunar.

www.bga.com.tr

155

Bölüm 22:
Sistem Monitor | Firewall Durum Tablosu
Packet Filter (pf) durum tablosunu görüntüler.
Protokol | Kaynak > Router > Hedef | Bağlanıtı Durumu

www.bga.com.tr

156

Bölüm 22:
Sistem Monitor | Uzak SyslogD
pfSense s,stem kayıtlarını geçmişe yönelik arşivlemez. Kayıtlar, saklanmak,
yorumlanmak ve raporlanmak için uzak bir syslog sunucuya gönderilebilir.
NOT: SyslogD UDP port 514 kullanır.

Uzak SyslogD
IP Adresleri
Syslog sunucuya
gönderilecek log
türleri

www.bga.com.tr

157

Bölüm 22:
Sistem Monitor | pfInfo
• Packet Filter istatistliğini verir

www.bga.com.tr

158

Bölüm 22:
Sistem Monitor | pftop
• Aktif trafik bilgisini verir.

www.bga.com.tr

159

Bölüm 23:
Paket Sistemi
pfSense modüler yapısını paket sistemi ile sağlıyor. Ek servisler ve uygulamalar
paket sisteminden kolayca yönetilebiliyor. Paket sisteminin sağladığı
özellikler;
 Paket Kurulumu
 Paket Yükseltme
 Paket Kaldırma

www.bga.com.tr

160

bga.com.tr 161 .Bölüm 23: Paket Sistemi | Paket Kurulumu Kullanılabilir Paket Listesi Paket kur www.

tr 162 .Bölüm 23: Paket Sistemi | Paket Yükseltme/Kaldırma Paketi yeniden kurmayı sağlar İlgili paketin web arabirimini yeniden kurar Kurulu paketi sistemden kaldırır www.com.bga.

tr 163 .Bölüm 23: FreeBSD Paket Sistemi Paket deposunu tanımlamak setenv PACKAGESITE ftp://ftp.freebsd.bga.tbz Paket kaldırmak pkg_delete -v paket_adı www. pkg_info FreeBSD deposundan paket kurulumu pkg_add -rv nano FreeBSD paketinin kurulumu pkg_add -v dansguardian.com.org/pub/FreeBSD/ports/i386/packages-7stable/Latest/ Kurulu paketlerin listesi.

Bölüm 24: Snort IDS/IPS        Snort Kurulumu ve Genel Ayarlar Snort imzalarının yüklenmesi ve Yönetimi IDS olarak yapılandırmak IPS olarak yapılandırmak Barnyard Kullanımı Logların Mysql'e aktarılması Logların Yorumlanması www.tr 164 .bga.com.

org adresine üye olup oinkmaster code temin etmek gerekir ! www.com.tr 165 .Bölüm 24: Snort IDS/IPS|İmzalar Snort imzalarını güncellemek için snort.bga.

Bunun için Oinkmaster koda ihtiyaç var.bga. 166 .Bölüm 24: Snort IDS/IPS| Genel Ayarlar Kuralları yükle. Kurallar hangi aralıklarla güncellenecek ? Kayıtlar için ne kadar alan kullansın Kayıt türü www.tr Eğer Snort’u sistemden kaldıracak olursam ayarlarını sakla.com.

com.tr 167 .bga.Bölüm 24: Snort IDS/IPS|İmzalar Snort imzaları Emergingthreats imzaları www.

bga. Bu özellik Snort’a IPS özelliği kazandırır www.tr 168 .com. ilgili kurala göre block uygula.Bölüm 24: Snort IDS/IPS| Ağ Ayarları Hafıza için Performans Ayarı Snort bir saldırı girişimi veya anormallik tespit ederse.

rules” olarak kategorilendirilir.bga.tr 169 . www.Bölüm 24: Snort IDS/IPS| Kategori Yönetimi Snort imzaları kategori bazlı tutulur. web tabanlı saldırılar “web-*.com. Performans için ihtiyaç duyulmayan kurallar aktif edilmemelidir. Örneğin.rules” . trojan imzaları ise “trojan.

com.Bölüm 24: Snort IDS/IPS| Kategori Yönetimi Kural pasif durumda. tıklandığında kuralı aktif yapar Kural aktif durumda. tıklandığında kuralı pasif yapar Kuralı düzenle www.bga.tr 170 .

bga.com.tr 171 . tıklandığında kuralı pasif yapar Kuralı düzenle www. tıklandığında kuralı aktif yapar Kural aktif durumda.Bölüm 24: Snort IDS/IPS| Kural Yönetimi UltraSurf İmzası Kural pasif durumda.

com.Bölüm 24: Snort IDS/IPS| Kural Yönetimi www.bga.tr 172 .

Saldırı atlatma tekniklerini (evulation) analiz edip.bga. İhtiyaca göre aktif edilmelidir.tr 173 . Bazı kuralların çalışması bu ön işlemcilere bağlıdır.Bölüm 24: Snort IDS/IPS | Ön İşlemciler Ön işlemciler. www. anormal trafiği normalleştirmek için kullanılır.com. tcp trafiğini analiz etmek için kullanılır.

“barnyard2” kullanılarak bu yük Snort’un üzerinden alınır. www.bga. Böylece Snort ürettiği kayıtları biçimlendirmek için zaman harcamaz ve sadece kendi işi olan saldırı tespit ve engelleme işine daha fazla zaman ayırır.com.tr 174 .Bölüm 24: Snort IDS/IPS | Barnyard2 Snort tespit edilen saldırıları görüntülemeye çalışırken çok fazla zaman ve performans kaybına uğramaktadır.

rules(46) kuralını çalıştırmam için HTTP Inspect ön işlemcisine ihtiyacım var.tr 175 . lütfen bunu aktif et.bga.com.Bölüm 24: Snort IDS/IPS | Sorun Giderme “snort[7923]: FATAL ERROR: /usr/local/etc/snort/snort_37305_em1/rules/emergingscan. www.rules(46) Please enable the HTTP Inspect preprocessor before using the http content modifiers” emerging-scan.

Bölüm 24: Snort IDS/IPS | Son Kontrol www.tr 176 .com.bga.

com. Neden ? www.Bölüm 24: Snort IDS/IPS | Test Port tarama yaparak. Port taraması başarısız oldu.tr 177 . açık hiçbir port bulamadık.bga. snort tarafından bu saldırı girişimini izleyelim.

com. snort tarafından bu saldırı girişimini olarak algılandı ve uyarı sayfasına kayıt düştü.Bölüm 24: Snort IDS/IPS | Test Port tarama.tr 178 . www.bga.

yinede açık port’ları öğrenmemiz gerekmezmiydi ? Snort IDS olarak çalışsaydı EVET ! Fakat IPS özelliğide kazandırdık ve saldırı gelen ip adresini engelledi. www.bga.Bölüm 24: Snort IDS/IPS | Test Peki.com.tr 179 .

www. özgürlük savaşçılarının silahı Ultrasurf.tr 180 .Bölüm 24: Snort IDS/IPS | Test Bilişimcilerin belası.com.bga.

Bölüm 25: Squid Yüksek performanslı web proxy yazılımı.bga.com.tr 181 .  Transparent Proxy olarak yapılandırmak  Upstream Proxy  Önbellek Yönetimi  Erişim Kontrol Listeleri (ACL)  Gelişmiş ACL Yazımı • • MSN Block UltraSurf Block  Trafik yönetimi  Kimlik Doğrulama • • Yerel Kimlik Doğrulama Ldap kullanarak Active Directory ile kimlik doğrulama www.

0. hedef portu 80 olan istekleri squid’e aktarır.1 port 80 Dinlenecek ağ arabirimleri Transparent proxy seçeneği www.com. # pfctl -sn | grep http rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.Bölüm 25: Squid | Transparent Proxy İstemcilere proxy adresi belirtmeden.tr 182 .bga.0.

com.bga.tr 183 .Bölüm 25: Squid | Upstram Proxy www.

Yüksek trafikli ağlarda arttırılması önerilir.Bölüm 25: Squid | Önbellek Yönetimi Önbellek için kullanılacak disk boyutu. Disk cache methodu www.bga.com.tr 184 .

tr 185 .bga.com.Bölüm 25: Squid | Önbellek Yönetimi Şu kaynakları önbelleğe alma www.

bga.168.168.milliyet.tr www. erişim kurallarının uygulanmayacağı adresler.254 Banned host addresses Proxy kullanımı yasaklı ip adresleri 192.16.16.168.16.0/24 gibi gibi Unrestricted IPs Sınırsız izne sahip ip adresleri 192.com. gmail. 192. Hariç tutulanlar.com www.tr 186 .com.Bölüm 25: Squid | Erişim Kontrol Listeleri (ACL) Allowed subnets Proxy kullanımına izin verilen ağlar.200 Whitelist Beyaz liste.

21 70 80 210 280 443 488 563 591 631 777 901 102565535 Örneğin.Bölüm 25: Squid | Erişim Kontrol Listeleri (ACL) Blacklist Erişimi yasaklanmak istenen alan adları facebook. http://www.Ön tanımlı port numaraları. Ön tanımlı portlar 443 563. www. güvenli port numaraları dışındaki web portlarına erişimi engeller.bga.com. acl sslports SSL "CONNECT“ methodu ile bağlantı kurulmasına izin verilen sslportları.bga.com acl safeports Squid.tr:8899 adresine ulaşmanız için “8899” port numarasını güvenli port grubuna eklemeniz gerekir.tr 187 .com.

com gateway.dll acl msnd dstdomain messenger. www.msn.com.txt“ http_access allow izinliler msnd http_access allow izinliler msndll http_access allow izinliler msn1 Not: firewall’dan 1863 portu kapalı olmalıdır.com acl izinliler src "/etc/izinli.Bölüm 25: Squid | Gelişmiş ACL Yazımı MSN ACL acl msn1 rep_mime_type -i ^application/x-msn-messenger$ acl msndll urlpath_regex -i gateway.messenger. Transparent modda filtreleme yapılabilir.tr 188 .hotmail.bga.

com. Ultrasurf kuralı transparent squid ile çalışmaz. www.bga.[0-9]+\.[0-9]+ http_access deny CONNECT ultra_block all Not: Firewall’dan 443. İstemcilerde proxy adresi tanımlı olmalıdır. portunun kapalı olması gerekir.Bölüm 25: Squid | Gelişmiş ACL Yazımı UltraSurf ACL acl CONNECT method CONNECT acl ultra_block url_regex ^[0-9]+\.[0-9]+\.tr 189 .

Trafik limitleri için değerler Trafiğin set edileceği dosya türleri www.com.bga.tr 190 .Bölüm 25: Squid | Trafik Yönetimi Squid proxy ile http trafiği şekillendirilebilir.

com.bga.Bölüm 25: Squid | Kimlik Doğrulama | Yerel Yerel kullanıcı veritabanını kullanarak kimlik doğrulama yapar.tr 191 . Dikkat: Transparent modda kimlik doğrulama yapılamaz ! Kimlik doğrulama methodu “Local” Yerel kullanıcı hesabı oluşturmak Kullanıcı hesaplarını yönetmek www.

com.bga.cn=Users.Bölüm 25: Squid | Kimlik Doğrulama | Ldap Ldap ile uzak bir sistemden kimlik doğrulama yapar.dc=com LDAP password: (administrator hesabının parolası) LDAP base domain: dc=domainadı.dc=com LDAP search filter: sAMAccountName=%s www. Örnek: Microsoft Active Directory Kimlik doğrulama methodu “Ldap” Gerekli Bilgiler Authentication method: LDAP LDAP version: 3 Authentication server: (windows server IP adresi) LDAP server user DN: cn=administrator.dc=domainadı.tr 192 .

Bölüm 25: Squid | Kimlik Doğrulama | Ldap Ldap ile uzak bir sistemden kimlik doğrulama yapar.tr 193 .bga.com. Örnek: Microsoft Active Directory Kimlik doğrulama methodu “Ldap” www.

tr 194 .com.  Genel Ayarlar  Karaliste Güncelleme  Kullanıcı ve Grup Bazlı URL Filtreleme  Uzantı ve kelime bazlı kural tanımlama  Zaman bazlı erişim kuralları tanımlama  squidGuard kayıtlarının yorumlanması www. Squid e yardımcı servis.Bölüm 26: SquidGuard Yüksek performanslı URL Filter yazılımı.bga.

com.Bölüm 26: SquidGuard Servis Durumu Karaliste Kullanımı Karaliste yüklenecek adres www.bga.tr 195 .

shallalist.Bölüm 26: SquidGuard | Karaliste Sık güncellenen karaliste adresleri.de/ http://urlblacklist. http://www.tr 196 .com.com/ www.bga.

ACL sayfalarında “Target Rules Lists” başlığı altında yer alır. Default kuralına baskın gelir. www. Whitelist: Her durumda belirtilen kategorideki adreslere erişim serbest.tr 197 .Bölüm 26: SquidGuard | Karaliste Yüklenen karaliste.bga. Allow kuralına baskın gelir. Deny: Belirilen kategorideki adreslere erişimi engelle. İlerleyen konularda uygulamalı olarak ele alınacaktır. Allow: Seçili kategoriye erişime izin ver.Deny kuralına baskın gelir.com.

‘mail. >> Proxy filter SquidGuard: Target categories: Edit Domains list : Domain adresleri tanımlanır.Bölüm 26: SquidGuard | Hedef Kategori Ekleme Karaliste dışında. İfadeler pipe | işareti ile ayrılır. istenilen url.125/alisa’ Redirect mode: Kurala uygun bir erişim olduğunda.tr 198 .220. Örnek. ‘host.com/xxx 12. domain veya bir düzenli ifadeye göre kategori oluşturulabilir. “Bu sayfaya erişimiz engellenmiştir” gibi gibi www.com 192.1. Örnek.168.exe|\.10. istemcinin yönlendirme türü.php’ URLs list: URL adresleri tanımlanır.tar. istenilen acl tanımında kullanılır.1’ Expressions: İfadeler.google.com. Bu kategoriler. Örnek.com yahoo.gz|\.bga. ‘hack|sex|oyun|\. Örnek.

tr 199 .com.bga.Bölüm 26: SquidGuard | Hedef Kategori Ekleme www.

com. www.com olarak değiştir.tr adresine erişilmek istendiğinde cehturkiye.tr 200 .Bölüm 26: SquidGuard | Yeniden Yönlendirme URL adresinde geçen bir ifadeyi dönüşürmek için kullanılır. Örneğin: bga.bga.com.

Bölüm 26: SquidGuard | Zaman Tanımları Oluşturulan zaman tanımları.bga.com.tr 201 . www. kurallarda zamana göre filtreleme yapmak için kullanılır.

tr 202 . Dikkatli kullanılmalıdır! Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir. Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.Bölüm 26: SquidGuard | Genel ACL “Common ACL” seçenekleri .87. Log: Bu kural için kayıt tut.com adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. http:/google.125. google. Not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak isteniliyorsa erişime izin verme. www.com. Güvenli arama motoru etkinleştirildiğinde bu aramanın sonucunu google.Örneğin.bga. Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et. google.com adresinin ip adresi http://74. Genelde URL filreleme servislerini atlatmak için kullanılır.com listelemeyecektir.104 yazılarak google adresine erişim kurulabilir. Target Rules: Karalisteden seçilen hedef kategoriler.com yasaklı bir siteyse.

tr 203 .com. www.bga.Bölüm 26: SquidGuard | Genel ACL Herhangi bir kuralda tanımlı olmayan tüm kullanıcılara diğer bir deyişle varsayılan kullanıcılara “Common ACL” kuralları uygulanır.

bga. http://www.168.com/rar/wrar393tr.rarlab. Erişiminiz Engellendi” mesajımız ile cevap verildi  www. 192.com. \.1.5 ip adresi.exe url adresine erişmek istediğinde “download_yasak” hedefine göre erişimi engellendi ve ”Yasalı Adres.exe uzantılı bir adrese erişmek istenildiğinde.tr 204 . yönlendirme bilgisi olarak belirttiğimiz içerik çıkacaktır.Bölüm 26: SquidGuard | Genel ACL | Test Ön tanımlı tüm istemcilere “download_yasak” kuralı uygulanacakır.

Not to allow IP addresses in URL: URL adresi olarak bir IP adresine bağlanılmak isteniliyorsa erişime izin verme.1. Dikkatli kullanılmalıdır! www.1-192.com.Bölüm 26: SquidGuard | Kullanıcı/Grup Bazlı ACL Kullanıcı ve guruplara ayrıcalıklı kurallar uygulamak için kullanılır.0. Client (source): Kuralın uygulanacağı kaynak adres(ler). Disabled: Kuralı devre dışı bırakır. Mevcut kuralı diğer kuralların altına-üsüne taşımak için kullanılır.50 yada kullanıcı adı: ‘isim1’ Time: Kuralın geçerli olacağı zaman aralığı.tr 205 .0.com yasaklı bir siteyse. Örnek. Kuralı silmez. google. IP Adresi : 10.125.168.bga. Order: Sıra.0/24 yada ip aralığı: 192.87.0.com adresinin ip adresi http://74. Target Rules: Karalisteden seçili hedef kategoriler. daha sonra tekrar kullanılabilir. http:/google.1.1 yada Subnet: 10.104 yazılarak google adresine erişim kurulabilir. Genelde URL filreleme servislerini atlatmak için kullanılır. Name: Kural adı. Seçenekler.0.168.

Rewrite: Yeniden yönlendirme hedefini bu kurala dahil et. Güvenli arama motoru etkinleştirildiğinde bu aramanın sonucunu google. Redirect info: Yönlendirme şekline göre yazılması gereken mesaj veya url adresi SafeSearch engine: Arama motorlarının güvenli arama özelliğini aktif eder.com.tr 206 .bga. Log: Bu kural için kayıt tut www.com listelemeyecektir.Bölüm 26: SquidGuard | Kullanıcı/Grup Bazlı ACL II Redirect mode: Erişim kısıtlandığında istemciyi yönlendirme şeklidir.com adresinde porn kelimesi aratıldığında yüzlerce adres ve resim çıkmaktadır. google.Örneğin.

“ozan” kullanıcı ile giriş yaptığımda herzaman herşey izinli olsun.56.1. www.1-192.1.com.168.168. Sunucularıma herzaman herşey yasak.33.tr 207 .10.168.100-192.88.200) yalnızca mola saatlerinde (12:30-13:30) internete çıkabilsinler bu saatler dışı herşey yasak.1.1.1.Bölüm 26: SquidGuard | Kullanıcı/Grup Bazlı ACL | Senaryo Senaryo 1: Firmamın “Yönetim Birimi” var.com domainleri izinli.168.168.Yalnızca microsoft. Bu ip aralığına herzaman herşey serbest sadece zaralı içerikli siteler yasak (hacking gibi) Senaryo 2: Sunucu adreslerim 192. Senaryo 4: Sistemimde kimlik doğrulama yapıyorum. 192.168.1. 192. IP aralığı 192.168.bga. Senaryo 3: Üretim grubu (192.

com.1. hacking.tr 208 . www.Bölüm 26: SquidGuard | Kullanıcı/Grup Bazlı ACL | Senaryo Name: uretim Client (source): 192. Herşey yasak = Default: Deny Redirect: Mesai saatlerinde internet yasak ! Log: Kayıt tutulsun.168.168. Target Categories for off-time: mola_saaleri dışında geçerli olacak kurallar.100-192.200 Time: mola_saaleri Target rules: Hedef kural setinde iki farklı alanda işlem yapmalıyız. Herşey izinli olsun istiyoruz.1. Target Categories: mola_saatleri geldiğinde geçerli olacak kurallar.porn kategorileri yasak.bga.

bga.Bölüm 26: SquidGuard | Kayıtların Yorumlanması www.tr 209 .com.

bga.tr 210 . linux ve *BSD sistemlerde zamanlanmış görev tanımları oluşturmamızı sağlar.Bölüm 27: Cron CRON.com. Cron yönetimi için “System | Packages” sayfasından “Cron” paketi kurularak web arabirimi ile cron görevlerinin yönetimini sağlayabiliriz. www. Planlanmış bir işin belirli zaman aralıklarında çalışması için cron servisine görev eklenebilir.

Bölüm 27: Cron Görevleri Cron’u düzenle Cron’u sil Yeni cron tanımı ekle www.bga.tr 211 .com.

www.Bölüm 27: Cron Görevleri Alan Adı İzin Verilen Değerler Minute (dakika) 0-59 Hour (saat) 0-23 Day of month (ayın günü) 1-31 Month (ay) 1-12 Day of week (haftanın günleri) 0-7 (pazar günü için 0 ) Yıldız (*) ile işaretlenmiş bir alan baştan sona (=hepsi) anlamına gelir.com.bga.tr 212 .

bga. UDP.Bölüm 28: BandwidhD TCP.tr 213 .com. ICMP Trafiğinin İzlenmesi www.

tar.tr 214 .gz -C / #/usr/local/sbin/imspector -c /usr/local/etc/imspector/imspector.conf –D www.com.bga.gz #tar zxvf imspector2011.tar.Bölüm 29: IMSpector System > Packages > IMSpector MSN live 2011 destekli sürüm için güncelleme.com/imspector2011. #fetch http://ozanucar.

Ayar dosyasını yedeklemek için. “Restore configuration” browse ayar dosyası www. Diagnostics > Backup/Restore. ve “Download Configuration” Ayarları geri yüklemek için.Bölüm 30: Yedekleme ve Kurtarma pfSense tüm ayarlarını tek bir XML dosyasında tutar.bga.tr 215 .com.

xml içeriği şifrelenebilir. config. tüm ayarlar veya bir servis seçimlik yedek alınabilir.com.xml yedek dosyası bu alandan yüklenir. Backup ve Restore işlemlerinde config.bga. www. Geri yükleme alanı.Bölüm 30: Yedekleme ve Kurtarma Yedek alanı.tr 216 .

bga. Erişim sağlayıcının yükümlülükleri MADDE 15 – (1) Erişim sağlayıcı. c) Yer sağlayıcı trafik bilgisini altı ay saklamakla. bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle… www.tr 217 . bu bilgilerin doğruluğunu.com. erişim sağlayıcı trafik bilgisini bir yıl saklamakla. bu bilgilerin doğruluğunu. bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte muhafaza etmek ve gizliliğini temin etmekle… Yer sağlayıcının yükümlülükleri MADDE 16 – (1) Yer sağlayıcı.Bölüm 31: 5651 Sayılı Kanun İnternet toplu kullanım sağlayıcılarının yükümlülükleri MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır: a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak. Başkanlığın Kanunla verilen görevlerini yerine getirebilmesi için. b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek. b) Sağladığı hizmetlere ilişkin olarak.

tr 218 .Bölüm 31: 5651 Sayılı Kanun Referanslar: . 5070: “Elektronik İmza Kanunu” .K.T.5070 sayılı Elektronik İmza Kanunu” uyarınca yayımlanan “Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” .com.bga.5070 sayılı Elektronik İmza Kanunu” uyarınca yayımlanan “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ” www.C.

OpenSSL ve OpenTSA yazılımları.com.tr 219 .Bölüm 31: Zaman Damgası Standartlar RFC 3161 uyumlu zaman damgası. www.bga.

Bölüm 31: Zaman Damgası Zaman damgası.tr 220 . www.bga. kayıt altına alındıgı tarihte orjinal haliyle var oldugunu. belirli bir zamandan önce var olduğunu kanıtlamak için kullanılır. doküman ve sözleşme gibi elektronik verilerin. sonradan değiştirilmediğini ispatlamak amacıyla zaman damgasından yararlanılabilir.com. Mesela bir log dosyasının. elektronik ortamda log.

Bölüm 31: Yetkili Sertifika Otoriteleri - Tubitak KamuSM Turktrust Globalsing www.bga.com.tr 221 .

http://www. RFC standartlarına uygun tüm protocolleri destekler.Bölüm 31: Sniffing Dinlediği ağ arabirimden giden-gelen trafiği anlık olarak parse eder.wireshark.bga.com.tr 222 .org/docs/dfref/ www.

src -e eth.request.Bölüm 31: HTTP Sniffing .src Kaynak MAC adresi = -e eth.time -e ip.method Ve bunların arasına birer boşluk bırakarak yaz = -E separator=’ ‘ Komut: tshark -nn -i eth0 not arp and port not 53 -d tcp.dst Hedef PORT numarası= -e tcp.host –e http.tr 223 .method -E separator=’ ‘ www.com.src Hedef IP adresi = -e ip.request. Paketin zaman bilgisi = -e frame.http -R http.request.request –T fields -e frame.dstport -e http.uri -e http.istediğimiz HTTP kayıt türü.dstport HTTP HOST adresi = -e http.HTTP Başlık bilgileri.dst -e tcp.port==3128.src -e ip.bga.host İstenilen URL= -e http.time Kaynak IP adresi = -e ip.uri HTTP Method = -e http.request.

com /wp-content/themes/monochrome/comment-style.205 aa:00:04:00:0a:04 188.5.Bölüm 31: HTTP Sniffing | Log - HTTP Başlık bilgileri. 2010 15:15:16.tr 224 .124.css GET www.bga. Oct 11.com.cehturkiye.111690000 192.istediğimiz HTTP kayıt türü.168.106 80 www.8.

request. Paketin oluşturma zamanı = -e frame.dstport -e ftp.request.response.time_relative -e ip.dstport FTP Komutu -e ftp.command -e ftp.request.srcport -e ip.srcport Hedef IP adresi= -e ip.response.request.src Kaynak Port numarası = -e tcp.src Kaynak MAC adresi = -e eth.dst -e tcp.istediğimiz FTP kayıt türü.arg -e ftp.com.arg Ve araya bir boşluk bırakarak yaz -E separator=’ ‘ Komut: tshark -nn -i eth0 not arp and port not 53 -R ftp -T fields -e frame.arg -E separator=’ ‘ www.src -e tcp.dst Hedef Port Numarası= -e tcp.code -e ftp.FTP Başlık bilgileri.tr 225 .arg Yanıt Kodu(başarılı mı değil mi ?) = -e ftp.time Kaynak IP adresi = -e ip.response.code -e ftp.command -e ftp.src -e eth.bga.Bölüm 31: FTP Sniffing .response.

19.205 38026 257 \”/www\” is current directory.464582000 89.155 21 PWD 29.273288000 192.168.19.19.168.25.286747000 89.5.25.5.5.19.19.506212000 89.19.25.25.478353000 89.168.25.25.5.205 38023 230 Logged on 5.tr 226 .205 aa:00:04:00:0a:04 38023 89.19.205 38023 331 Password required forozanucar.Bölüm 31: FTP Sniffing | Log - FTP Başlık bilgileri.5.5.19.155 21 USER 123test123 5.5.478738000 192.464808000 192.168.19.155 00:11:bb:e0:7b:10 21 192.istediğimiz FTP kayıt türü.25.493490000 192.168.5.155 00:11:bb:e0:7b:10 21 192.205 aa:00:04:00:0a:04 38023 89.bga.205 aa:00:04:00:0a:04 38026 89.168.155 00:11:bb:e0:7b:10 21 192.168.25.25. 29.491656000 89.168. 5.25.com.155 21 TYPE I 29.205 38026 200 Type set to I 29.24 beta 5.168.5.205 aa:00:04:00:0a:04 38026 89.205 38023 220 FileZilla Server version 0.155 21 PASV www.205 38023 257 \”/\” is current director 29.9.205 aa:00:04:00:0a:04 38026 89.272723000 89.168.25.168.155 00:11:bb:e0:7b:10 21 192.5.155 00:11:bb:e0:7b:10 21 192.155 21 PWD 5.287069000 192.com 5.5.19.25.168.205 aa:00:04:00:0a:04 38023 89.259827000 192.155 00:11:bb:e0:7b:10 21 192.19.155 21 PASS testtestest 5.19.5.

ip.client -e bootp.txt www.com/tshark-http-ftp-dhcp.cehturkiye.ip.hw.you Script.DHCP Başlık bilgileri.sh. Komut: tshark -i eth0 port not 53 -R bootp -T fields -e bootp.bga.istediğimiz DHCP kayıt türü.mac_addr -e bootp.tr 227 .Bölüm 31: DHCP Sniffing .com. http://www.

..27. a 5651url.cnf Response has been generated.222.tr 228 .847240 sec Using configuration from /usr/local/ssl-1/openssl.der a 5651url.sign. …. Dogrulama tamam.tsq ….sign.sh 14 Oct 08:41:54 ntpdate[6615]: step time server 194.5 offset 0.com.sign a 5651url.Bölüm 31: 5651 İmzalayıcı # /usr/local/ssl-1/imzaci/imzaci.bga. www.

com.xml parser’ları /etc/rc.xml Ayarların tutulduğu dosya /usr/local/etc/rc.tr 229 . /etc/inc/config.d Sistem servisleri /usr/local/captiveportal Captiveportal sayfaları /usr/local/pkg/ Kurulu paketlere ait dosyalar.inc pfsense ayar dosyası www.Bölüm 32: Geliştiriciler için pfSense /usr/local/www Web Dizini /cf/conf/config.inc dosyaları config.d/ Paketler ait servis ve ayar betikleri /etc/inc/ *.bga.

Bölüm 32: Geliştiriciler için pfSense | config.199</to> </range> </lan> </dhcpd> www.tr 230 .bga.1.xml dosyasında tutuluyor. </interfaces> <staticroutes/> <dhcpd> <lan> <range> <from>192.com.168. Bu array üzerinde işlem yaparak ayarlar değiştirilebilir.xml pfSense tarafından tüm ayarlar (sistem ayarları. ) config.100</from> <to>192.1. Örnek config. paket bilgileri vb.168.xml anahtarları. Sistem açılışında bu xml dosyası parse edilip bellekte Arrey olarak tutuluyor.

xml Örnek bir uygulama. <? include("config. $lanip.com. $lanip=$config['interfaces']['lan']['ipaddr'].Bölüm 32: Geliştiriciler için pfSense | config.tr 231 . } ?> www. print $lanif . foreach($config['interfaces'] as $k=>$val){ print "$k adresi :" .bga. $val['ipaddr'] .inc"). $lanif=$config['interfaces']['lan']['if']. echo "<br/>". "<br />". Lan ağ arabirimini ve ip adresini al ardından diğer interface bilgilerini dizi olarak göster.

www. uygulamalar entegre etmek isteyebilirsiniz. sorunlar için yama uygulamak isteyebilirsiniz.com. driver vb. Geliştirdiğiniz yazılımları eklemek isteyebilirsiniz. Özelleştirilmiş konfigurasyon yüklü kurulum oluşturabilirsiniz. Hata.. ….bga.tr 232 .Bölüm 32: Özelleştirilebilir Güvenlik Duvarı Oluşturmak Neden Özelleştirme ? pfSense alt yapısını kullanarak kendi firewall sisteminizi oluşturabilirsiniz ? pfSense kurulumuna ek programlar.

bga.com.Kabuk komutlarını çalıştırarak başlayalım echo "WITHOUT_X11=yo" >> /etc/make.Bölüm 32: Özelleştirilebilir Güvenlik Duvarı Oluşturmak Kurulum FreeBSD 7.0 kurulumu yapmalıyız.conf echo "BATCH=yo" >> /etc/make.conf mkdir -p /home/pfsense/pfSenseGITREPO /home/pfsense/installer /usr/pfSensesrc 2.tr 233 .0 oluşturmak istiyorsak FreeBSD 8. 1. eğer 2.Port ağacını indir ve GIT kur portsnap fetch extract cd /usr/ports/textproc/expat2 && make depends install cd /usr/ports/devel/git && make depends install cd /usr/ports/sysutils/fastest_cvsup/ && make depends install rehash www.2.

git freesbie2 cd /home/pfsense/tools/builder_scripts && chmod a+rx *.com.Bölüm 32: Özelleştirilebilir Güvenlik Duvarı Oluşturmak 3.git tools cd /home/pfsense && git clone http://gitweb.pfsense.GIT Reposunu temin ederek devam edelim cd /home/pfsense && git clone http://gitweb.Bazı portlar /usr/src içinde kaynak koda ihtiyaç duyuyor csup -h `fastest_cvsup -c tld -q` /usr/share/examples/cvsup/standard-supfile 5.Yeni menü sistemini çalıştıralım cd /home/pfsense/tools/builder_scripts .sh www.org/freesbie2/mainline.sh 4.pfsense.bga.tr 234 ./menu.org/pfsense-tools/mainline.

www.Daha sonra menü sisteminden oluşurmak istediğiniz versiyonu seçin Kullanılabilir versiyonlar aşağıdaki gibidir: RELENG_1_2 pfSense RELENG_1_2 + FreeBSD RELENG_7_2 RELENG_2_0 pfSense HEAD (2.Bölüm 32: Özelleştirilebilir Güvenlik Duvarı Oluşturmak 6.bga.0) + FreeBSD RELENG_7_2 RELENG_7_2 pfSense RELENG_1_2 + FreeBSD RELENG_7_2 RELENG_8_0 pfSense HEAD + FreeBSD 8-CURRENT Test aşaması pfSense.iso dosyası /usr/obj.tr 235 . Kurulum dosyasını test edebilirsiniz.com.pfSense dizini altına oluşurulur.