Mikrotik Kullanarak Dışardan İçeriye NAT-PAT İşlemleri

Mikrotik ile ilgili daha önceden hazırlamış olduğum Mikrotik Nedir.? Mikrotik Kurulumu ve Temel Ayarlamaları yazısını okuyarak gerekli bilgilendirmeyi edinebilir ve temel ayarlamaları hakkında bilgi sahibi olabilirsiniz. Bu yazımızda ise NAT-PAT hakkında bilgi sahibi olacağız ve Mikrotik bir cihaz üzerinden dış dünyadan içeriye yönlendireceğimiz hizmetlerin kullanılmasını sağlayacağız. Bu işlemler sınırlı olup, dışardan içeriye tüm networke erişim değil sadece port yönlendirmesi araclığı ile belirdeğimiz hizmetlerin kullanılmasını sağlayacağız. Nedir.? bu hizmetler derseniz NAT-PAT yardımıyla bu yazımızda dışardan içeriye HTTP ve RDP hizmetlerinin kullanılmasını sağlayacağız. Fakat HTTP servisini default olarak belirli 80 portu üzerinden, RDP hizmetini ise 3389 değilde 3344 portu üzerinden kullanılmasını sağlayacağız. Bunu böyle yapmamım sebebi ise konuyu biraz daha iyi anlayıp, daha çok hakim olup kavramaktır. İşlemlere başlamadan önce NAT-PAT kavramlarına bir göz atalım.

NAT : Network Address Translation (Ağ Adresi Dönüştürme) demektir. Yani iç bacak interface ve o ağdaki ip’lerin internete çıkarken dış bacak interface’deki ip adresine dönüşüp nete çıkması diyebiliriz. Daha geniş bilgiye viki adresinden ulaşabilirsiniz.

PAT : Port Address Translation (Port Yöndendirme) demektir. NAT ile birlikte kullanılır ama PAT dış ağdan gelen portu iç ağa aynı port olarak yada değişime uğratarak yönlendirme işlemidir. Daha geniş bilgiye viki adresinden ulaşabilirsiniz.

Şimdi senaryomuzda Mikrotik cihazımızın arkasında IIS servisi çalışan bir Windows Sunucu bulunsun ve bu sunucu sadece iç (private) ağ içerisini dahil olsun ama dış dünyaya hizmet verebilsin. Yani dış dünyadan gelen requestlere cevap dönüp, IIS hizmetinin sonucu olan yapıyı kullanıcıya sunsun. Yani Mikrotik’in dış dünyaya açık olan IP sine 80 sorgusu gelecek ve biz o sorguyu alıp ilk önce iç ağa çevireceğiz fakat iç ağa çevirirkende tüm network değil sadece port yönlendirmesi yapıp ordan IIS sunucusuna atıp, geri dönüş olarak tam tersi işlemlerle index sayfasını kullanıcıya ulaştıracağız.

Teknik olarak işlemlere başlamadan önce default’ta gelen Mikrotik’in Konfigürayon erişiminin sağlandığı 80 servisini Servisler kısmından aşağıdaki gibi kapatalım.

mikoNatPat1

Ardından IP-Firewall-NAT sekmesinden + işaretine basın ve aşağıdaki gibi konfigüre edin.

mikoNatPat2

Daha sonra görünüm bu şekilde olacak.

mikoNatPat3

Telnet yada Ssh üzerinden de aşağıdaki komutu çalıştırarak yapabilirsiniz.

> ip firewall nat add chain=dstnat in-interface=pppoe-out1 protocol=tcp dst-port=80 action=dst-nat to-addresses=YOUR SERVER ADDRESS to-ports=80 comment=””  disabled=no

Şimdi Mikrotik’in dış bacağına sorgu göndererek, test edip başarılı bir şekilde sonuç aldığımızı görelim.

mikoNatPat4

Şimdi RDP senaryosunu gerçekleşrirelim. IIS senaryosuyla aynı olmakla beraber tek farkı RDP portu 3389 değil 3344 olarak hizmet verecek. Yani dışardan sorgu gelince 3389 olarak alacağız fakat RDP hizmetini veren sunucuya 3344 olarak ileteceğiz. Geri dönüş olarak aynı işlemleri tersi olarak hizmet verecek.

Bunun için sunucu üzerinde ki default RDP portunu 3344 ile değiştirmeniz gerekli. Bununla alakalı olarak Windows Server RDP 2012 portu değiştirme yazıma göz atabilirsiniz. Bu işlemi yaptıktan sonra tekrar Mikrotik’te IP-Firewall-NAT sekmesinden + işaretine basın ve aşağıdaki gibi konfigüre edin. Buradaki fark gördüğünüz gibi 3389 ile gelen port isteğini arkada hizmeti veren sunucu için 3344 olarak belirleyip yönlendiriyoruz.

mikoNatPat5

Ve kurallar tablosundaki son görünüm aşağıdaki gibi olacaktır.

mikoNatPat6

Şimdi Mikrotik’in dış bacağına RDP için sorgu göndererek, test edip başarılı bir şekilde sonuç aldığımızı görelim.

mikoNatPat7

 

Mikrotik Nedir, Mikrotik Kurulumu ve Temel Ayarlamaları

Mikrotik Linux çekirdeği üzerinde geliştirilen, lisans gerektiren bir RouterOs (Router İşletim Sistemi) dur. Bu işletim sistemi ile pc tabanlı bilgisayarınızı modern bir yönlendirici ye (router), bir vpn sunucusuna veya yüksek özellikleri olan bir ateş duvarına (firewall) çevirebilirsiniz.Ülkemizde bu ürün genelde web hosting firmaları, orta ölçekli işletmeler ve trafiği az olan ağlarda tercih ediliyor. Daha detaylı olarak türkçe destekli wiki adresinden okuyabilirsiniz.

Mikrotik’i yazılımsal yada donamınsal olarak kurup kullanabilirsiniz. Ben işlemleri sistemi kurduğum vm makine üzerinden ve ayrıca hem kod hem görsel grafikler aracılığı ile göstereceğim. Görsel arayüze ulaşmak için Mikrotik Winbox uygulamasını indirmelisiniz. Onun aracılığı ile cihaza ulaşıp gerekli konfigürasyonu yapabilirsiniz. Donanımsal olarak elinizde buluna cihazın elektrik prizini takıp, lan kablosunu pc’nize bağladıktan sonra aşağıdaki screenshot’tanda anlaşılacağı üzere Winbox uygulamasını çalıştırıyoruz ve ardından sarı şerit olan yere cihazın bilgileri düşüyor, tıklayıp login olacağız. Default’ta gelen kullanıcı adı Admin‘dir ve ayrıca şifresi yoktur.

miko1

Tabi uyarı gelecektir. Sistem ayarlarını resetlensin mi.? gibisinden resetlemenizi tavsiye ederim. Yazılımsal olarak’ta aşağıdaki kod yardımıyla reset’leme işlemini gerçekleştirebilirsiniz.

> system reset-configuration

miko2

Ardından onaylamanız için y/n uyarısı gelecektir, y(yes) bastıktan sonra sistem ayarlarını reset’leyip sistemi yeniden başlatacaktır. Açıldıktan ve login olduktan sonra aşağıdaki bir uyarı alacaksınız. Defaultta gelen ayarları görmek için “v” silmek için ise “r” tuşuna basmanızı bekleyecektir. Biz yeni ve düzgün bir konfigürasyon yapmak için “r” tuşuna basıp siliyoruz.

miko3

Network Ayarları (IP, Route ve Gateway)

Herşeyden evvel interface’leri görüntüleyelim, kaç interface var ve public(dış bacak), private(iç bacak) olduğunu anlayalım. Bunun için aşağıdaki komutu çalıştırabilirsiniz.

> interface print

miko4

Garafiksel olarak aşağıdaki gibidir.

miko16

Bende, dış bacak yani dünyaya açılan interface “ether2” iç bacak yani local ağ’ım “ether1”dir. Tüm işlemleri buna göre yapacağım.

Hemen Ip yapılandırmasına dış bacak ile başlayalım, bunun için aşağıdaki komutu kullanabilirsiniz.

> ip address add dışbacakipsi/subnet interface=ether2

miko5

Görsel olarak aşağıdaki gibi.

miko19

Şimdi iç network için iç bacak ip’sini yapılandıralım.

> ip address add içbacakipsi/subnet interface=ether1

miko7

Ardından internete ulaşabilmek için Yani 0.0.0.0/0 (tanımsız tüm network) route yani gateway eklememiz gereklidir. Bunun için aşağıdaki komutu çalıştırabilirsiniz.

> ip route add gateway=gatewayipsi

miko6

Görsel olarak aşağıdaki gibi.

miko17

miko18

Ardından DNS adres tanımlamasını yapmalısınız ki domainlere ping atabilesiniz.

miko15

Şimdi işlemlerimiz doğrulama niteliğinde bir kaç işlem yapalım. İlk önce ip adreslerimiz doğru interface’lere atandığını anlamak için aşağıdaki kodu çalıştıralım.

> ip address print

miko8

Eğer yanlış olduğunu düşündüğünüz bir ayar varsa aşıdaki komut ile silme işlemini gerçekleştirebilirsiniz.

> ip address remove numbers=(# işaretinin altındaki sıralama numarası yazılacaktır)

miko14

Ardından Route(Gateway) tablosuna erişmek için aşağıdaki kodu çalıştırın.

> ip route print

miko9

Şimdi buraya kadar önemli olan ip, gateway, dns atama gibi işlemleri yaptık. Son olarak önemli ve püf nokta olan bir işlem daha kaldı. O işlem ise local ağımın, yerel ip’lerin yani iç interface’nin, dış interface üzerinden internete ve dış dünyaya erimesi için(evinizdeki adsl modem gibi) NAT işlemidir. Mikrotik’te bu işleme Masquerade denir. Kısaca Nat’ı açıklamak gerekirse Network Address Translation (Ağ Adresi Dönüştürme) demektir. Yani iç bacak interface ve o ağdaki ip’lerin internete çıkarken dış bacak interface’deki ip adresine dönüşüp nete çıkması diyebiliriz. Daha geniş bilgiye viki adresinden ulaşabilirsiniz.

Bu işlemi yapabilmek için aşağıdaki kodu çalıştırmanız yeterlidir.

> ip firewall nat add chain=srcnat src-address=YOUR NETWORK ADDRESS/MASK action=masquerade comment=”” \disabled=no

Görsel olarak,

mikomas20

mikomas21

Şifre Belirleme, Hostname Atama ve Yararlı Komutlar

Admin kullanıcısına şifre belirlemek için,

> /password

miko10

Hostname atamak için,

> system identity set name=Hostname

miko11

Sistemi yeniden başlatmak için,

> system reboot

miko12

Sistemi kapatmak için,

> system shutdown

miko13

Bandwidth Sınırı Belirleme

Mikrotik üzerinde kullanıcılar için bandwidth sınırlaması yapabilirsiniz. Aşağıdaki kullanıcının 2mb olarak sınırlandırılmış örneğini görebilirsiniz.

mikobandwith

Ayrıca Mikrotik’i İp atama işinden sonra web(80) üzerinden de yönetebilirisiniz.

mikrotikweb