Bazı durumlarda pfSense’i varolan ağ yapısında herhangi bir ip değişikliği yapmadan köprü modunda çalıştırmamız gerekebiliyor.Bunun en büyük örneği’de Veri Merkezlerinden Co Location hizmeti alan müşterilerin donanımsal firewall yerine pfsense seçmek istediği zamanlar olabiliyor.Bu durum’da siz normal bir şekilde pfSense kurulumu yaptığınız zaman istemcilerinize pfSense’in lan bacağına tanımladığınız network’ten bir ip vermelisiniz ve gateway olarak pfSense’i göstermelisiniz.
Bu olayı daha iyi anlayabilmeniz için aşağıdaki şekilde iki tane diyagram hazırladım. Birisi Gateway Mod, diğeri ise Transparent modunda pfSense Ağ diyagramı.
Gateway olarak çalışan pfSense Ağ Diyagramı :
Transparent olarak çalışan Bridge portumuzun ağ diyagramı ;
İkisi arasındaki en büyük fark istemciler 1.grafik’te gateway olarak pfSense görmekteler.2.Grafik’te yani Transparent modda ise varolan network yapısını ellemeden direk router gateway olarak görülmektedir.Bu durum’da router ve istemci arasında yerleştirdiğimiz pfsense sonrasında istemci tarafında herhangi bir network değişikliği yapmadan pfsense devreye almış olduk.
pfSense üzerindeki interface listem şu şekildedir.
WAN -> em0
LAN -> le0
BRIDGE -> le2
Yukarıdaki interface listeme göre 2 tane ağ arayüzüm bulunmaktadır.Bizi asıl ilgilendiren kısım BRIDGE olduğu için diğer LAN arayüzü kafanızı karıştırmasın.
Bridge Interface Ayarları
Öncelikle Interface -> Assign-> Bridges menüsüne gelin ve WAN(em0) arayüzünü BRIDGE(le2) arayüzüne bridge duruma getirelim.
+ Butonuna tıklayın ve yenı bir bridge segmenti olusmasını saglayın.
WAN arayüzünün hangi arayüze bridge olacağını seçiniz ve kaydediniz.
pfSense -> Advanced Settings -> System Tunables -> Sarıya çizili olan Enable filtering bridge girdisinin value değerini 1 yaparak aktif hale gelmesini sağlayın.
BRIDGE arayüzüne bakan istemcilere router networkünden bir ip adresi verdiğinizde Firewall üzerinden internete eriştiğinizi göreceksiniz.
Test etmek için tcpdump ile BRIDGE portunu dinleyelim
tcpdump -i bridge0
tcpdump çıktısı
01:41:12.926692 IP 192.168.1.18.ntp > 194.27.44.56.ntp: NTPv4, Client, length 48
01:41:12.961970 IP 194.27.44.56.ntp > 192.168.1.18.ntp: NTPv4, Server, length 48
01:41:46.695587 IP6 fe80::4120:8bd3:5dd1:8ed.58842 > ff02::1:3.5355: UDP, length 24
01:41:46.695754 IP 192.168.1.7.53706 > 224.0.0.252.5355: UDP, length 24
01:41:46.795535 IP6 fe80::4120:8bd3:5dd1:8ed.58842 > ff02::1:3.5355: UDP, length 24
01:41:46.795595 IP 192.168.1.7.53706 > 224.0.0.252.5355: UDP, length 24
01:41:46.996073 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
01:41:47.754963 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
01:41:48.495770 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
01:42:15.157319 ARP, Request who-has 192.168.1.16 tell 192.168.1.7, length 46
01:42:40.672442 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
01:42:41.421635 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
01:42:42.171669 IP 192.168.1.7.netbios-ns > 192.168.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC AST
Eğer dışarıdan erişilmesini isterseniz bildiğiniz veya tahmin ettiğiniz üzere WAN tarafında kendinize göre kurallar oluşturmalısınız.Örneğin ben dışarıdan gelecek bütün isteklere aşağıdaki şekilde bir kural yazdım.
BRIDGE arayüzünde aşağıdaki şekilde full Allow kuralı yazdım.Siz tabi aynısını yapmayıp sadece kullanacağınız portlardan çıkışlara izin verirseniz daha güvenlikli ve sağlıklı bir yapı elde etmiş olursunuz.
Umarım bu konu hakkında kafanızda oluşan bütün soru işaretlerini bu makale ile bir nebze olsun bitirebilmişimdir. Başka bir makale’de görüşmek üzere.