Cisco Router İnternet Konfigürasyonu

Bu yazıda Cisco router cihazda internet konfigürasyonunun nasıl yapılacağını anlatacağım.

1-) Örnek yapımız aşağıdaki gibidir. Yapımızda modem bulunmaktadır. Modemde gerekli internet ayarları yapılmıştır. Modemi, Cisco router cihaza bağladım. İnternet konfigürasyonu için router üzerinden yapılması gereken ayarlar şu şekildedir;

2-) İlk olarak router cihazın modeme bağlı olan bacağının (GigabitEthernet0/0/0) konfigürasyonunu yapıyorum;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
ip nat outside
exit

Burada ilk olarak interface i açtım ve ip tanımlaması yaptım. Bu bacak modeme bağlı olduğu için ip nat outside komutunu uyguladım.

3-) Şimdi iç ağa bağlı olan arayüzü (Gigabitethernet 0/0/1) yapılandıracağım;

int gig0/0/1
no shutdown
ip address 10.0.0.1 255.0.0.0
ip nat inside
exit

4-) İzin vereceğim network için (10.0.0.0/8) access list yazıyorum ve daha sonra pat işlemini yapıyorum. Burada access list i any olarak yazdım. Vlan lı bir yapımız olursa bu şekilde farklı networklere de izin vermiş oluruz. Pat işleminden sonra internet için route işlemini yapıyorum. 0.0.0.0 .0.0.0.0 değeri internet için hedef route adresidir. 192.168.1.1 ip adresi ise internete gitmek için bu ip adresini kullan demektir. Bu modemin ip adresidir.

ip access-list standard 1
permit any
exit
ip nat inside source list 1 interface gig0/0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1

5-) Son olarak ağdaki cihazların otomatik olarak ip alıp, internete çıkabilmesi için router üzerinde dhcp servisini yapıladıracağım;

ip dhcp pool dagitim
network 10.0.0.0 255.0.0.0
default-router 10.0.0.1
dns-server 8.8.8.8

Evet artık switche bağlı bilgisayarlarımız internete çıkabilecektir. Router üzerinde internet konfigürasyonu bu şekildedir.

Ping Değerlerini Metin Dosyasına Kaydetme

Bir cihazın bağlantı durumunu kontrol etmek için genel olarak ping işlemi yapmaktayız. Cihazın belirli bir zaman aralığında bağlantı durumunu kontrol etmek istediğimizde ping değerlerini bir metin dosyasına kaydedebiliriz. Bu durumda yapmamız gereken işlemler şu şekidedir;

1-) Bilgisayarımızda arama bölümüne Metin Belgesi Yazıyoruz. Yeni metin belgesi yazan yere tıklıyoruz.

2-) Metin belgesine aşağıdaki değerleri giriyoruz ve dosyayı .bat uzantılı olarak kaydediyoruz. Son olarak oluşturduğumuz bat dosyasına çift tıklıyoruz. Pingleme işlemi başlayacaktır ve metin dosyasına otomatik olarak kaydetmeye başlayacaktır. Çalıştırdığımız dosyayı kapatana kadar kaydetme işlemi devam edecektir.

ping 192.168.1.100 -t > c:\ping\pingkayit.txt

Not: Burada 192.168.1.100 değeri bağlantı durumunu kontrol etmek istediğimiz cihazın ip adresi olacaktır. Ayrıca c:/ konumunda ping isimli dizinli oluşturmamız gerekmektedir. pingkayit.txt dosyası kendisi oluşacaktır.

Cisco Extended ACL (Access List) Yapılandırma

Bir önceki yazıda Cisco router ve L3 switchlerde standart access list’lerin nasıl yazılacağını anlatmıştık. Bu yazıda extended acl’lerin nasıl yazılacağını anlatacağız. Extended access list’leri yazarken belirli kurallar vardır. Bu kurallar şu şekildedir;

  • Extended access list’ler sadece 100-199 arasında bir değer alabilir.
  • Extended access list’ler kaynağa yakın cihazda yazılmalıdır.
  • Extended access list’ler ile port bazlı detaylı kurallar yazmamız mümkündür.

1-) Bu yazıda extended access list ile ilgili bir örnek uygulama yapacağız. Örnek yapımız aşağıdaki görselde gözükmektedir. Aşağıdaki görseldeki gibi tüm cihazların ip tanımları yapılmıştır ve iki network birbirleriyle sorunsuz haberleşebilmektedir (route tanımlamaları yapılmıştır). 192.168.1.11 ip adresli sunucuda web, dns server servisleri aktiftir ve bu sunucu üzerinde bilgialnet.com web sitesi yayınlanmaktadır. Tüm bilgisayarlar bu web sitesine erişebilmektedir.

2-) Bu örnekte 10.0.0.10 ip adresli bilgisayarın 192.168.1.11 sunucunun web server servisine (80 numaralı porta) erişimini engelleyeceğiz. Yani bilgialnet.com adresine erişemeyecek. Sunucudaki diğer servislere erişebilecek.

Not: Burada bilgisayarların ip adresi ayarlarında dns adresini 192.168.1.11 yapmamız gerekmektedir. İsim çözümleme işlemini de bu sunucu yaptığı için bu işlemi yapmamız gerekmektedir.

3-) 10.0.0.10 ip adresli bilgisayardan bilgialnet.com adresine giriş yapmayı deneyelim. Evet görselde de gözüktüğü gibi erişim sorunsuz olarak gerçekleşmektedir.

4-) Şimdi Router1 üzerinden aşağıdaki komutları yazalım;

enable
conf term
access-list 101 deny tcp host 10.0.0.10 host 192.168.1.11 eq 80
access-list 101 permit ip any any
int gig0/0/0
ip access-group 101 out

5-) Yukarıdaki komutları uyguladıktan sonra ile olarak 10.0.0.11 ip adresli cihazdan web siteye erişmeyi deneyelim.

Erişim sorunsuz olarak gerçekleşti. Çünkü bu cihaz için bir engelleme yapmadık.

6-) Şimdi 10.0.0.10 ip adresli bilgisayardan web sitesini açmaya çalışalım.

Evet görselde de gözüktüğü gibi web site açılmadı. Kuralımız doğru olarak çalışıyor. Bilgisayarımızdan web sunucusuna ping atmayı denersek iletişim sorunsuz olarak gerçekleşecektir. Çünkü sadece 80 numaralı portu engelledik. Cisco ile ilgili konularımıza devam edeceğiz.

Cisco Standart ACL (Access List) Yapılandırma

Cisco router ve L3 switchlerde access listler ile network kuralları oluşturabilmemiz mümkündür. Cisco cihazlarda iki çeşit access list bulunmaktadır. Bunlar standart ve extended’dir. Standart access listler basit kurallar oluşturmamıza olanak tanımaktadır. Extended access listler ise gelişmiş network kuralları oluşturmamızı sağlar. Bu yazıda standart access listler ile ilgili örnekler yapacağız.

Konumuza başlamadan önce standart access listler ile ilgili aşağıdaki iki kurala dikkat etmemiz gerektiğini hatırlatmak isterim.

  • Standart access listler hedef networke yakın cihazda yazılmalıdır.
  • Standart access listler 1-99 arasında değer almaktadır.

Örnek1;

1-) Örnek network yapımız aşağıdaki görselde gözükmektedir. iki farklı networkümüz bulunmaktadır. Örnek yapımız için routerlarda interface lere ve bilgisayarlara görseldeki gibi ip tanımlaması yapılmıştır ve iki networkün birbirleriyle haberleşebilmesi için gerekli route tanımlamaları yapılmıştır. İki network birbirleriyle sorunsuz olarak haberleşebilmektedir. İlk olarak yazacağımız standart access list kuralı ile 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engelleyeceğiz. Bunun için hedefe yakın router (Router0) üzerinden işlem yapacağız. Hedef network (192.168.1.0/24) bu router üzerinde olduğu için bu şekilde işlem yapmamız gerekmektedir.

2-) 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engellemek için aşağıdaki komutları uygulamamız yeterli olacaktır;

enable
conf term
access-list 1 deny host 10.0.0.10
access-list 1 permit any
int gig0/0/1
ip access-group 1 out

Burada ilk olarak deny ile 10.0.0.10 ip adresini yasaklamış olduk. Kalan ip adreslerin networke erişebilmeleri için permit any komutunu uyguladık. Daha sonra Router0 cihazın gigabit0/0/1 portuna bu kuralı out olarak tanımladık.

3-) İlk olarak 10.0.0.10 ip adresinden 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Görselde de gözüktüğü gibi erişim yok.

4-) Şimdi 10.0.0.11 ip adresli cihazdan 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Ping işlemi başarılı. Kuralımız doğru olarak çalışıyor.

Örnek2;

İlk örneğimizde network ortamında sadece bir cihazı engellemek için yazmamız gereken access list kuralını öğrendik. Bu örnekte ise bir networkün farklı bir networke erişimini engellemeyi anlatacağız. Bu işlem için tekrar yukarıda kurduğumuz örnek yapıda işlem yapacağız. Bu sefer 10.0.0.0/24 networkünden 192.168.1.0/24 networküne erişimi engelleyeceğiz. Bu işlem için uygulamamız gereken komutlar aşağıdaki gibidir;

access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
int gig0/0/1
ip access-group 2 out

Evet bu işlemden sonra 10.0.0.0/24 networkündeki hiçbir cihaz 192.168.1.0/24 networküne ulaşamayacaktır.

Ubuntu SSH Portu Değiştirme

Ssh, Linux sistemlere uzaktan bağlantı yapılmasına olanak sağlayan bir servistir. Bu servisin portu varsayılan olarak 22’dir. Güvenlik için bu portu değiştirmek gerekmektedir. Bu yazıda bu işlemi Ubuntu işletim sisteminde nasıl yapacağımızı anlatacağım.

1-) İlk olarak sistemimize root hesabımızla bağlantı yapıyoruz.

2-) Aşağıdaki komutu uygulayıp sistemimizde bulunan sshd_config dosyasını açıyoruz;

sudo nano /etc/ssh/sshd_config

3-) Açılan dosyanın içinde #22 değerini buluyoruz ve başındaki # işareti kaldırıyoruz. Daha sonra 22 değerini istediğimiz numara ile değiştiriyoruz (örnek: 2298). Yaptığımız değişikliği kaydetmek için ctrl + x tuşlarına birlikte basıyoruz ve daha sonra y tuşuna basıp enter yapıyoruz.

4-) Son olarak yaptığımız değişikliğin aktif olması için aşağıdaki komutu uyguluyoruz;

sudo systemctl restart ssh

Evet artık sunucumuza ssh bağlantısı yapmak istediğimizde 2298 portunu kullanmamız gerekecektir.

Temel Linux Eğitimi

Linux işletim sistemlerine hakim olabilmemiz için bu işletim sistemlerinin yönetiminde kullanılan temel komutları iyi bir şekilde öğrenmemiz gerekmektedir. Bende bu doğrultuda sizler için faydalı olabilecek bir kaynak hazırladım. Aşağıdaki link üzerinden hazırladığım e-kitabı indirerek Linux İşletim sistemlerinde kullanılan temel komutları detaylı olarak öğrenebilirsiniz;

Temel Linux komutları e-kitabını indirmek için tıklayın…

İçerikte bulunan konular ile ilgili sorularınızı yorum bölümünden yazabilirsiniz. En kısa sürede dönüş yapmaya çalışacağım.