Virtual IP Nedir? IP adresleri sanal veya fiziksel olarak bir ağ arayüzüne bağlıdır ve gelen taleplere cevap vermektedir. Vırtual IP genelde ağ arayüzüne ikincil bir IP adresi olarak atanır.
Biz fortigate firewall üzerinde Virtual IP kullanarak bir RDP yönlendirmesi yapacağız. Bunun içi aşağıda örnek bir topoloji oluşturdum.
Burada kullanıcı evde bağlanmış olduğu ağdan şirketteki bilgisayarına RDP yapmak istediğini varsayalım. Burada asıl yapılması gereken aslında port yönlendirme veya diğer bir tabir ile port açmak değildir. Bu işlem aslında güvenlik zaafiyeti oluşturabilmektedir. Yapılması gereken vpn tunnel oluşturmaktır. Ama konumuz gereği böyle bir senaryo varsayalım ve devam edelim.
Burada kullanıcı şirket bilgisayarına RDP yapacağından burada dikkat etmemiz gereken konu WAN bacağından gelecek isteklere iç networkünde kullanıcının bilgisayar IP adresine yönlendireceğimizden iki tarafı bilmemiz yeterlidir.
Şimdi sırasıyla işlemi yapalım. Bu işlemi Fortigate firewall ‘da yapacağız.
Policy & Objects > Virtual IPs kısmına giriyoruz.
Burada bilmemiz gereken şu şekildedir;
Name : Bir isim tanımlıyoruz. Genelde “Userxx_to_RDP” vs. gibi açıklayıcı bir isim oluşturmanızda yarar vardır.
External IP : WAN tarafı, yani isteğin geleceği IP adresi girilir. (Wan tarafı)
Mapped IP : Yönlendirilecek IP adresi girilir. (User tarafı)
Port Forwarding : Port yönlendirmesi yapacağımızdan bu seçeneği etkin etmemiz gerekmektedir.
External Service Port : Dışarıdan gelecek port talebi.
Map to port : Yönlendirilecek port.
Temel olarak bu parametreleri bilmemiz yeterli olacaktır. Zaten Vırtual IP oluşturuken mantık daha iyi oturacaktır.
Vırtual IP oluşturduk. Burada 10.10.10.1 IP adresine gelen 3389 port numaralı istekleri 50.50.50.100 IP adresinin 3389 numaralı portuna yönlendirmesini istedik.
Peki bu işlemi yaptıktan sonra işlem tamam mıdır? Hayır, firewall tarafında herşey kuralla çalışır. Yaptığımız işlem ile ilgili herhangi bir kural yazmadığımız için işlemi tamamlamadık.
Kuralımızı yazalım.
Burada ise yukarıda bahsetmiş olduğumuz gibi aynı mantıkla ilerliyoruz. Wan tarafından geliyorsa ve iç bacağımıza gidiyorsa hedef olarak oluşturduğumuz Virtual IP ismini belirtiyoruz, ve “NAT” bölümünü kapatıp action olarak “Accept” diyerek izin veriyoruz.
Kuralımızıda oluşturduktan sonra test için erişimi deneyebilirsiniz.