OpenBSD’de Ağ Köprüsü Kurulumu

Dextroit

OpenBSD’de ağ köprüsü kurulumu
Bir veya daha fazla ağı birleştiren bağlantı noktasına köprü denir. Yönlendiricinin (router) aksine, üzerinden iletilen paketler açısından köprü “görünmez”dir; yani mantıksal olarak, köprünün her iki tarafındaki ayrı ağ bölümlerinde (segment) bulunan noktalar için, bu ağ tek bir bölümden oluşuyormuş gibi görünür. Bir köprü, sadece bir ağ bölümünden bir diğerine geçmesi gereken paketleri gerekli bölüme iletir; bu şekilde hem ağdaki trafiği azaltma işini kolaylaştıran bir yöntem sağlar hem de gerekli durumlarda bir noktanın bir diğerine ulaşmasına izin verir.
Bu “görünmez” doğasından ötürü, köprünün üzerindeki bir ağ arayüzü IP adresine sahip olabilir ya da olmayabilir. Eğer bir adrese sahipse, arayüzün hazır olduğu iki çalışma modu var demektir; bir tanesi köprünün bir parçası olarak çalıştığı köprü modu, diğeri normal ağ arayüzü modu. Eğer hiçbir arayüzünde IP adresi yoksa köprü ağ verisini iletecek, ancak dışarıdan bakım vs. amaçlı olarak yönetilmesi mümkün olmayacaktır ( ki bu iyi bir özellik olabilir ).
Örnek bir köprü uygulaması
Bilgisayar raflarımdan birinde, yerleşik (built-in) 10BASE-TX ağ arayüz kartına sahip olmayan birkaç tane eski sistem var. Hepsinde AUI veya AAUI tipinde bağlayıcı (connector) bulunduğu için taşıma ortamım koaksiyel kablo. Bu rafta bulunan sistemlerden bir tanesi yüksek hızlı ağa bağlı ve kesintisiz çalışan OpenBSD tabanlı bir terminal sunucusudur. Bu sisteme koaksiyel portu bulunan bir ağ arayüz kartı eklemek, sistemi koaksiyel tabanlı ağıma ulaşmamı sağlayacak bir köprü olarak kullanmama izin verir.
Şimdi bu sistem üzerinde iki tane ağ kartı var: bir tane Intel EtherExpress/100 (fxp0) ve koaksiyel port için de bir 3c590-Combo kartı (ep0). fxp0 ağımın geri kalan kısmına ulaşacağım bağlantı noktasıdır ve bir IP adresine sahip olması gerekir; ep0 ise sadece köprülemede (bridging) kullanılacağı için IP adresi olmayacak. Köprüleme ile koaksiyel tabanlı ağ bölümünde bulunan sistemlerim sanki diğer taraftalarmış gibi iletişim kurabilecekler. Peki bunu nasıl yapacağız?
fxp0 kartının konfigürasyonu hostname.fxp0 dosyasında bulunur. Bu arayüzde DHCP ayarlaması yapıldığı için dosya aşağıdaki gibidir:
$ cat /etc/hostname.fxp0
dhcp NONE NONE NONE NONE

Buraya kadar şaşılacak bir şey yok.
Tahmin edeceğiniz üzere, ep0 kartı için durum biraz farklı:
$ cat /etc/hostname.ep0
up media 10base2

Burada sisteme, arayüzü ifconfig(8) yardımıyla aktif etmesini ve 10BASE-2 (yani koaks) olarak kurmasını söylüyoruz. Bu arayüz için herhangi bir IP adresi falan belirlemeye gerek yok. ep kartına ait geçerli seçenekler hakkında detaylı bilgiyi kartın man sayfasından öğrenebilirsiniz. Şimdi köprüyü kurmamız gerekiyor. Köprüler, bridgename.bridge0 ‘a benzer isimli bir dosya yardımıyla ilklendirilirler (initialize). Buradaki duruma uyan bir örnek aşağıdadır:
$ cat /etc/bridgename.bridge0
add fxp0
add ep0
up

Bu şekilde sisteme, iki arayüzden – fxp0 ve ep0 – oluşan bir köprü kurmasını ve aktif hale getirmesini söylüyoruz. Kartların yazılış sırası önemli mi? Hayır, unutmayın ki köprü gayet simetrik bir yapıdır – paketler her iki yönde de içeri ve dışarı akabilir.
İşte bu kadar! Sistemi yeniden başlattıktan sonra çalışan bir köprüye sahip olacaksınız
Köprü üzerinde paket süzme
Bunun gibi basit bir köprü kurmanın yanında, muthemelen üzerindeki trafiği de kontrol edebilmek istersiniz. Tahmin ettiğiniz üzere, Paket Filtresi (PF) köprü üzeriden geçen trafiği sınırlamak için kullanılabilir.
Unutmayın ki, köprünün doğası gereği her iki ağ arayüzünden de aynı trafik geçer; öyleyse sadece bir arayüz üzerinde süzme yapmak yeterlidir. Varsayılan “hepsine izin ver” pf kurallarınız aşağıdaki gibidir:
pass in on ep0 all
pass out on ep0 all
pass in on fxp0 all
pass out on fxp0 all
Şimdi diyelim ki, eski makinelerime giden trafiği sınırlamak ve sadece Web ve SSH trafiğinin onlara erişimine izin vermek istiyorum. Böyle bir durumda, ilk olarak ep0 arayüzünden içeri ve dışarı gidecek tüm trafiğe izin veriyoruz; ama fxp0 arayüzünde süzme işlemi yapıyoruz. Yanıt verisini algılaması için de “durum bilgisini sakla” (“keep state”) özelliğini kullanıyoruz.
# Pass all traffic through ep0
pass in quick on ep0 all
pass out quick on ep0 all
# Block fxp0 traffic
block in on fxp0 all
block out on fxp0 all
pass in quick on fxp0 proto tcp from any to any port {22, 80} \\
flags S/SA keep state

Oluşturduğumuz bu kurallar kümesi, gelen HTTP ve SSH istekleri haricindeki her türlü trafiğin hem köprünün kurulu olduğu sisteme hem de köprünün “arkasında” bulunan sistemlere ulaşmasını engeller. Diğer arayüzde süzme yapılarak istenilen başka sonuçlar elde edilebilirdi.
Yarattığınız köprüyü kontrol etmek ve durumunu izlemek için brconfig(8) komutunu kullanabilirsiniz. Ayrıca bu komutu sistemi tekrar başlatmadan köprü kurmak için de kullanabilirsiniz.
Köprüleme ipuçları
Sadece bir arayüzde trafik süzme işlemini gerçekleştirmeniz KESİNLİKLE tavsiye edilir. Her iki arayüzde aynı anda süzme yapmak mümkün olsa da, ne yaptığınızı gerçekten biliyor olmanız gerekir.
blocknoip seçeneğini brconfig(8) komutuna parametre olarak veya bridgename.bridge0 dosyasında kullanarak IP protokolü haricindeki (örneğin IPX veya NETBEUI) trafiğin filtrenizden kaçmasını engelleyebilirsiniz.
Köprüleme yapılan ağ arayüz kartları “promiscuous mod” da çalışırlar – yani yalnız kendilerine gelen trafiği değil BÜTÜN ağ trafiğini dinlerler. Bu durum hem işlemcide hem de ortak yolda (bus) yük yaratır. Bazı ağ arayüz kartları bu modda düzgün şekilde çalışamazlar; TI ThunderLAN çipi (tl(4)) köprünün parçası olarak çalışamayacak çiplere bir örnektir.

janeozlem

paylaşım için teşekkürler