Fortigate Firewall’da Policy Route İşlemi Nasıl Yapılır?

By | 27 Kasım 2014

Merhaba,

Bu makalemizde Fortigate firewall cihazında Policy Route konusunu anlatacağım.

Öncelikle Policy Route işlemini ne zaman kullanmalıyız, bunu bilmeliyiz.

Networkümüzde birden fazla Wan link (Internet) kullandığımızı varsayalım. Local networkümüzde sunucu ve clientlarımızı ya da başka cihazlarımızı vlanlar ile farklı networkler üzerinde tanımlayabilir ve her birini farklı Wan link üzerinden internete çıkarabiliriz. İşte Policy Route bu aşamada devreye girer. Policy Route birden fazla Wan link olduğunda, belirlediğimiz cihazların istediğimiz Wan link üzerinden internete çıkmasını sağlar. Firewall cihazları Policy Route (diğer marka cihazlarda bu isim değişmektedir) tanımları olmazsa, kullanacağı Wan linkini routing table üzerinde tanımlı olan Static Route’ların (Juniper’da Destination Routing olarak geçer) Metric ( ya da Distance, Priority) değerine göre belirler.

Policy Route Juniper firewall cihazlarındaki Source Base Routing ya da Source NAT ile aynı işlevi görür.

Fortigate firewall cihazlarında Policy Route konfigürasyonunu ya ara yüzden ya da CLI üzerinden yapabilmekteyiz. Fortigate ürünlerinde modele göre bu değişmektedir.

Konuyu lab ortamında inceleyelim;

Gördüğünüz gibi Fortigate 110C model firewall cihazımızda 3 adet WAN link var (Şuan kullanılan GsHDSL ve MetroEthernet).

Resim-1

Resim-1

Şimdi ise Policy Route tanımlamamızı yapalım. Resimde de göreceğiniz gibi gayet basit bir işlem.

Resim-2

Resim-2

Dikkat edilecek husus gateway bölümüne firewall’un interface IP adresini yazmamamız gerektiği. Bu bölüme Wan linkinizde tanımlı olan gateway IP adresini yazmamız gerekmekte. Bu bilgi size public IP aldığınız ISP tarafından verilecektir.

Policy Route’tan önce Wan linkini kullanmak için yapmamız gereken ayarlar olacak. Bunlar konumuz dışında olduğu için sadece başlıklar olarak yazıyorum.

  • Wan linklerimiz için Static Route Ekleme
  • Incoming to Outgoing Policy oluşturma

Fortigate firewall cihazlarında eğer arayüz ile policy route ayarı yapılamıyorsa, CLI üzerinden yapabiliriz.

Firewall cihazımıza login olduktan sonra Dashboard (İsterseniz SSH-Telnet ile de bağlanabilirsiniz) üzerinde CLI Console üzerinden işlem yapabilirsiniz.

Resim-3

Resim-3

  • Show router policy bu komut ile firewall cihazında tanımlı Policy Route’ları görebilirsiniz.
Resim-4

Resim-4

  • Config router policy bu komut ile policy route konfigürasyonumuza başlıyoruz.
Resim-5

Resim-5

  • Edit 9 bu Komut ile table value no’su 9 olan bir route policy oluştururuz. İsterseniz resimde de görüldüğğü üzere var olan route policy tanımlamalarınıda edit’leyebilirsiniz.
Resim-6

Resim-6

  • Set input-device “internal”   bu komutta firewall cihazınızdaki local networkünüzün bağlı olduğu interface ismini yazmanız gerekmekte.
Resim-7

Resim-7

Resim-8

Resim-8

  • Set src 192.168.2.0 bu komut ile local networkünüzü subnet mask değeri ile beraber yazacaksınız.
  • Set gateway x.x.x.x bu komut ile Wan linkinizin kullandığı gateway adresini yazacaksınız.
  • Set output-device “wan1” bu komut ile internete çıkış için kullanacağınız interface ismini yazacaksınız.
Resim-9

Resim-9

Eğer policy route’lar ile ilgili öncelik tanımlamak isterseniz. Move komutu ile belli bir sıralama oluşturabilirsiniz. Bunun için:

  • Config router policy
  • Move 3 before 1 bu komut ile table value değeri 3 olan Policy Route tanımını table value 1 olan policy route’un önüne çekmiş oluruz.
  • Move 4 after 5 bu komut ile table value değeri 4 olan Policy Route tanımını table value 5 olan policy route’un sonrasına çekmiş oluruz.

Bu makalemizde Fortigate firewall cihazında Policy Route konusunu işledik. Bir sonraki makalede görüşmek üzere.

Category: Firewall Etiketler:

About Zafer Işık

1979 İzmir doğumluyum. 2005 yılında Ege Üniversitesinden mezun oldum. Siztek Bilişim Teknolojilerinde Sistem ve Network Uzmanı olarak çalışmaktayım. Sahip olduğum sertifikalar; MCSE Server Infrastructure, MCSE Messaging, MCITP Enterprise Administrator, MCITP Enterprise Messaging Administrator, VCP 5.5, CCNA

2 thoughts on “Fortigate Firewall’da Policy Route İşlemi Nasıl Yapılır?

  1. mahmut

    merhaba zafer hocam elinize sağlık.

    şimdi bende adsl var idi ikinci bir metro internet aldık. wan1 (adsl) wan2 den metro veriyorum. ama bazı kullanıcılar wan1 den bazıları wan2 den nete çıksın istiyorum. Tam olarak static route mı? yoksa policy route mı yazmam gerekiyor. yardımcı olabilirmisiniz?

    teşekkürler

    saygılarımla.

    Reply
  2. Zafer Işık

    Merhaba

    Policy route ile istediğiniz işlemi yapabilirsiniz.

    Reply

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.