Fortigate Firewall’da Policy Route İşlemi Nasıl Yapılır?
Bu makalemizde Fortigate firewall cihazında Policy Route konusunu anlatacağım.
Öncelikle Policy Route işlemini ne zaman kullanmalıyız, bunu bilmeliyiz.
Networkümüzde birden fazla Wan link (Internet) kullandığımızı varsayalım. Local networkümüzde sunucu ve clientlarımızı ya da başka cihazlarımızı vlanlar ile farklı networkler üzerinde tanımlayabilir ve her birini farklı Wan link üzerinden internete çıkarabiliriz. İşte Policy Route bu aşamada devreye girer. Policy Route birden fazla Wan link olduğunda, belirlediğimiz cihazların istediğimiz Wan link üzerinden internete çıkmasını sağlar. Firewall cihazları Policy Route (diğer marka cihazlarda bu isim değişmektedir) tanımları olmazsa, kullanacağı Wan linkini routing table üzerinde tanımlı olan Static Route’ların (Juniper’da Destination Routing olarak geçer) Metric ( ya da Distance, Priority) değerine göre belirler.
Policy Route Juniper firewall cihazlarındaki Source Base Routing ya da Source NAT ile aynı işlevi görür.
Fortigate firewall cihazlarında Policy Route konfigürasyonunu ya ara yüzden ya da CLI üzerinden yapabilmekteyiz. Fortigate ürünlerinde modele göre bu değişmektedir.
Konuyu lab ortamında inceleyelim;
Gördüğünüz gibi Fortigate 110C model firewall cihazımızda 3 adet WAN link var (Şuan kullanılan GsHDSL ve MetroEthernet).
Şimdi ise Policy Route tanımlamamızı yapalım. Resimde de göreceğiniz gibi gayet basit bir işlem.
Dikkat edilecek husus gateway bölümüne firewall’un interface IP adresini yazmamamız gerektiği. Bu bölüme Wan linkinizde tanımlı olan gateway IP adresini yazmamız gerekmekte. Bu bilgi size public IP aldığınız ISP tarafından verilecektir.
Policy Route’tan önce Wan linkini kullanmak için yapmamız gereken ayarlar olacak. Bunlar konumuz dışında olduğu için sadece başlıklar olarak yazıyorum.
- Wan linklerimiz için Static Route Ekleme
- Incoming to Outgoing Policy oluşturma
Fortigate firewall cihazlarında eğer arayüz ile policy route ayarı yapılamıyorsa, CLI üzerinden yapabiliriz.
Firewall cihazımıza login olduktan sonra Dashboard (İsterseniz SSH-Telnet ile de bağlanabilirsiniz) üzerinde CLI Console üzerinden işlem yapabilirsiniz.
- Show router policy bu komut ile firewall cihazında tanımlı Policy Route’ları görebilirsiniz.
- Config router policy bu komut ile policy route konfigürasyonumuza başlıyoruz.
- Edit 9 bu Komut ile table value no’su 9 olan bir route policy oluştururuz. İsterseniz resimde de görüldüğğü üzere var olan route policy tanımlamalarınıda edit’leyebilirsiniz.
- Set input-device “internal” bu komutta firewall cihazınızdaki local networkünüzün bağlı olduğu interface ismini yazmanız gerekmekte.
- Set src 192.168.2.0 bu komut ile local networkünüzü subnet mask değeri ile beraber yazacaksınız.
- Set gateway x.x.x.x bu komut ile Wan linkinizin kullandığı gateway adresini yazacaksınız.
- Set output-device “wan1” bu komut ile internete çıkış için kullanacağınız interface ismini yazacaksınız.
Eğer policy route’lar ile ilgili öncelik tanımlamak isterseniz. Move komutu ile belli bir sıralama oluşturabilirsiniz. Bunun için:
- Config router policy
- Move 3 before 1 bu komut ile table value değeri 3 olan Policy Route tanımını table value 1 olan policy route’un önüne çekmiş oluruz.
- Move 4 after 5 bu komut ile table value değeri 4 olan Policy Route tanımını table value 5 olan policy route’un sonrasına çekmiş oluruz.