Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category KATEGORİ: Firewall

category Fırat Boyan category 19.06.2019 category 0

Exchange Server Kurulum Sonrası Firewall NAT ve POLICY Yapılandırması


Daha önce Exchange Server 2019 Kurulum ve Yapılandırma konulu makalemde sizlere Exchange Server 2019 Kurulumu yapmayı ve kurulum sonrasında temel ayarların yapılandırmasını nasıl yapacağınızdan bahsetmiştim. Bu makalem, Exchange Server 2019 Kurulumu sonrasında SMTP sunucumuzun dış dünyaya e-posta gönderebilmesi ve alabilmesi için firewall üzerinde yapılmsı gereken NAT ve policy yapılandırma, oluşturma işlemlerinden bahsediyor olacağım.

Exchange Server kurulum işlemlerinin bu noktasında, SMTP sunucumuzu iç network'te e-posta gönderimi ve alımı için kullanabiliriz ancak dış dünyaya e-posta gönderimi ve alımı için DIŞ DNS üzerinde bir takım işlemlerin yapılarak, firewall üzerinde de bir takım yapılandırmaları yapmanız gerekmektedir.

Exchange Server için NAT ve Firewall Policy Yapılandırması

NAT ve Policy yapılandırma işlemlerimi FORTIGATE firewall cihazı üzerinden yapıyor olacağım.

1- 25 Port'unun ISP (Internet Service Provider-Internet Servis Sağlayıcı) üzerinden açılması

Bilgilendirme!: Firewall üzerinde NAT ve policy yapılandırması işlemini gerçekleştirmeden önce, 25 port'unuzun açık olduğundan emin olmanız gerekmektedir. 25 nolu port, ISP (Internet Service Provider)'nız (TTNET, Superonline vb.) tarafından kapatılmış olacaktır. Öncelikle bu port'u, ISP'niz ile iletişime geçerek açtırmanız gerekecektir. Bu port açılmadan, dış dünyaya e-posta dönerimi yapamaz, yine aynı şekilde e-posta alamazsınız!

Açtırdıktan sonra, 25 port'tunun açık olduğunu TELNET komutu ile kontrol edin.
Ör. Komut satırından (CMD) telnet 31.210.76.98 25  komutunu çalıştırdığınızda port'unuzun açık olup olmadığını test edebilirsiniz.

Bu kontrolü server ya da client üzerinden yapakcasanız, bunun için Telnet Client'ı yüklemeniz gerekecektir.

1.1- Firewall üzerinde NAT ve policy yapılandırması uygulanacak port'lar

Exchange Server’ın dış dünyaya e-posta atabilmesi ve yine dış dünyadan e-posta alabilmesi için Firewall üzerinde aşağıda belirttiğim port'lar için NAT ve policy yapılandırma işlemleri yapılması gerekmektedir.

• 25 Port'u
• 587 Port'u
• 80 Port'u
• 443 Port'u
• 143 port'u (SSL/TSL olmayan IMAP)
• 993 port'u (SSL/TSL IMAP)
• 110 port'u (SSL/TSL olmayan POP)
• 995 port'u (SSL/TSL POP)


NOT: Exchange Server üzerinde IMAP ve POP yapılandırması yapmayacaksanız, IMAP ve POP port'ları için policy yapılandırması içine dahil etmenize gerek yoktur.
25,80,443,587 port

exchange Server NAT

NOT: mailbox user'lar; iç network dışında bir ortamdan e-posta gönderimi yaparken gönderilen e-postalar, 587 port'u üzerinden bizim exchange server'ıza iletilir. Buradan da 25 Port'u üzerinden içeriye alınır. 

NOT: mailbox user'lar, iç network'ten dışarıya e-posta gönderimi yaparken, gönderilen e-postalar 587 port'u üzerinden exchange server'a iletilir. Buradan da 25 port'u üzerinden dış dünyaya iletir.

1.2- Exchange Server için Firewall NAT yapılandırması
Exchange Server’ın dış dünyaya e-posta atabilmesi ve yine dış dünyadan e-posta alabilmesi için Firewall üzerinde yukarıda belirttiğim port'lar için öncelikle Inbound-Outbound ve Outbound-Inbound yönünde NAT yapılandırma işlemleri yapılması gerekmektedir.

NOT: Şunu belirtmek isterim ki, bu NAT ayarlarında tek seferde her iki yönde de açmış oluyorum. Yani, ayrı ayrı hem Inbound-Outbound hem de Outbound-Inbound açmanıza gerek yoktur.

1.2.1- 25 Port'u için NAT yapılandırması
Port25NAT

1.2.2- 80 Port'u için NAT yapılandırması
Port80NAT

1.2.3- 443 Port'u için NAT yapılandırması
Port443NAT

1.2.4- 587 Port'u için NAT yapılandırması
Port587NAT

2- Exchange Server için Firewall Outbound-Inbound Policy Yapılandırması
Firewall NAT yapılandırma işlemlerimizi tamamladıktan sonra sıra, policy hazırlama işlemine geldi. Policy hazırlamadan yani sadece NAT yapılandırarak bırakmak olmaz. 
İlk olarak dışarıdan, içeriye yani Outbound-Inbound yönünde bir policy hazırlıyorum.

2.1- Policy&Object bölümünde IPv4 içindeyken Create New butonuna tıklıyorum.

ExchangeNAT01

2.2- İlk policy yapılandırmamı, 80,443 ve 587 port'ları için yapıyorum. Açılan alanda, ilgili alanlar için aşağıdaki gibi girişleri yapıyorum.
Burada;
Incoming Interface: WAN Interface'iniz yani dış dünyaya bakan firewall port'umuzu tanımlıyoruz.
Outgoing Interface: LAN Interface'iniz yani iç local network'e bakan firewall port'umuzu tanımlıyoruz.
Destination: 80, 443 ve 587 port'ları için NAT yapılandırması yaptığımız grupları tanımlıyoruz. (En önemli bölüm burasıdır.)

ExchangeNAT02

2.3- Policy yapılandırma işlemimiz bittikten sonra, WAN->LOKAL grubu altına oluştuğunu görüyorum.

ExchangeNAT03

2.4- İkinci Policy yapılandırmamı 25 port'u için yapıyorum. Açılan alanda, ilgili alanlar için girişleri yapıyorum.

Burada;
Incoming Interface: WAN Interface'iniz yani dış dünyaya bakan firewall port'umuzu tanımlıyoruz.
Outgoing Interface: LAN Interface'iniz yani iç local network'e bakan firewall port'umuzu tanımlıyoruz.
Destination: 25 port'u için NAT yapılandırması yaptığımız grubu tanımlıyoruz. (En önemli bölüm burasıdır.)

ExchangeNAT04

2.5- Policy yapılandırma işlemimiz bittikten sonra, WAN->LOKAL grubu altına oluştuğunu görüyorum.

ExchangeNAT05

Buraya kadar olan bölümde, iç network'ten (LAN) dış dünyaya (WAN) e-posta gönderimi için gerekli olan tüm firewall ayarları yapılandırışmış oldu.

3- Exchange Server için Firewall Inbound-Outbound Policy Yapılandırması

Outbound-Inbound yönünde gerekli policy yapılandırmalarımı tamamlandıktan sonra sıra, sadece 25 port'u için Inbound-Outbound yönünde policy yapılandırma işlemine geldi.

3.1- Policy&Object bölümünde IPv4 içinde LOCAL -> WAN bölümünde daha önceden oluşturmuş olduğum INTERNET adında bir policy'im bulunuyor.

ExchangeNAT06

3.2- Bu policy'de Destination alanındaki tüm port'lara all seçeneğini tanımladığım ve 25 port'u da bunun içinde olduğu için, 25 port'u için ekstra bir policy tanımlaması yapadım.

ExchangeNAT07

3.3- Bu policy'de, LOCAL -> WAN yönündeki diğer policy'ler beraberindeki kısıtlamalar ile local kullanıcılar için uygulandıktan sonra, en sondaki bu policy'im uygulanacak. 

Burada;
Incoming Interface: LAN Interface'iniz yani iç local network'e bakan firewall port'umuzu tanımlıyoruz.
Outgoing Interface: WAN Interface'iniz yani dış dünyaya bakan firewall port'umuzu tanımlıyoruz.
Destination: all
NAT:  Bu policy'de 25 port'u için daha önceden oluşturuduğum NAT yapılanmadırma tanımlamadığım için aktif durumda. 

ExchangeNAT08

Bu şekilde tüm Exchange Server için firewall NAT ve policy yapılandırma işlemlerimi tamamlamış oluyorum. Artık e-posta sunucusu (SMTP Server) tamamen kullanıma hazır ve dış dünyaya e-posta atabilir, dış dünyadan e-posta alabilir durumda.

Faydalı olması dileğiyle...
 


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Bu İçeriğe Tepkin Ne Oldu?

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


YAZAR HAKKINDA:

Microsoft Certified Trainer-MCT.
Microsoft Certified Solution Expert-MCSE: Cloud Platorm and Infrastructure.

Adım Fırat Boyan. Bilgi Teknolojileri Sistem ve Ağ Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilişim Teknolojileri sektöründeyim.

2003 yılında lise eğitimimden sonra bir bilgisayar teknik servisinde önce stajyer, sonrasında ise teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, IT Sistem Sorumlusu ve IT Sistem Yöneticisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.

JP. Morgan Chase Bank'ta Sistem Uzmanı ve Analisti olarak görev yapıyor, Uzun yıllardır da, Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Bilgi Teknolojileri Eğitimleri (ağırlıklı olarak MCSA & MCSE Eğitimleri) veriyor, kurumsal firmalara Bilişim Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:

MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019 - 2019/2020
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye henüz yorum yapılmadı!
İlk yorum yapan sen ol.


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.
   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.