EdgeOS EdgeRouter Lite Ayarlar

Giris Ayarlari

Firmware Güncellemesi

Routeri ilk aldiginizda hic bir ayar yapmadan onclikle firmware guncellemesini yapmanizi tavsiye ederim. Buradan download page modelinize uygun firmware guncellemesini indirin.Su anda en son firmware v1.8.0

Bilgisayarinizi eth0 portundan routera baglayin ve ethernet kartiniza 192.168.1.x grubundan bir ip adresi atayin.Routerin web yönetim adresi https://192.168.1.1, ama burada herseyi Putty programi ile CLI uzerinden yapacagiz.

indirdiginiz firmware routeriniza transfer edin.(varsayilan kullanici ismi ve sifresi ubnt/ubnt).

scp ER-e100.v1.8.0.4853089.tar [email protected]:~

Next, SSH into the ERL.

ssh [email protected]

Hangi versiyona sahip oldugunuzu gorun (Bana  v1.2.0 firmware ile gelmisti).

show version

System imajini yükleyin.

add system image ~/ER-e100.v1.8.0.4853089.tar

Asagidaki komut ile yuklu olan sistem imajlarini görün.

show system image

Ayarlarin etkili olmasi icin yeniden baslarin.

reboot

En son imajin yüklendigini kontrol edin.

show system image

Sadece emin olmak icin hangi versiyon uzerinden acildigini kontrol edin.

show version

Bu size kalmis bir secenek ama isterseniz eski imaji silebilirsiniz.

show system image storage
delete system image

Router Ismini Degistirmek

Firmware yüklendigine gore bazi özellestirmelere baslayabiliriz..

configure
set system host-name <name>
commit
save

Hatirlatma- enter ile configure moduna girin ve isim verdikten sonra commit ve save yazmayi unutmayin.exit yazarak oerasyon moduna dönebilirsiniz.

Saat Dilimini Degistirmek

configure
set system time-zone US/Eastern
commit
save

NTP

Edge Routerlarin donanimsal bir saati olmadigi icin saati NTP servisleri ile senkronize etmenisi gerekir .Ama acik olarak gelir ve birsey yapmaniza gerek yoktur.Sadece firewaldan 123 numarali porta izin vermeyi unutmayin.

configure
show system ntp

interfaces Ayarlari

Ilk eth0 uzerinde olan WAN interface ayarini yapalim. Modeminiz ip dagitiyor ise(DHCP) modemden gelen ip ayarina göre yapacagiz.

configure
delete interfaces ethernet eth0 address 192.168.1.1/24
set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description "WAN"
set interfaces ethernet eth0 duplex auto
set interfaces ethernet eth0 speed auto

Sonra,  eth1 uzerinde olan LAN interface duzenlemesi yapin eth1. Ben  10.10.2.x IP araligini kullaniyorum, Ama gerekli hesaplamalari buradan yapabilirsiniz. calculator (ipucu – /24 size 254 ip adresi kullanma imkani verir).

set interfaces ethernet eth1 address 10.10.2.1/24
set interfaces ethernet eth1 description "LAN"
set interfaces ethernet eth1 duplex auto
set interfaces ethernet eth1 speed auto
commit

Burada commit sonrasi , SSH oturumunuz kapanacaktir. Artik eth0 DHCP client olarak kullandigimiz icin. PC’nizin  IP addresini 10.10.2.x araligina alin, (mesela., 10.10.2.2), Ethernet kablonuzu  eth1 portuna baglayin. Bundan sonra tekrar SSH oturumunuza devam edebilirsiniz, Ama commit ve save komutlarindan sonra ayarlarin etkin olduguna emin olun. Eger konsol kablonuz varsa ve reouteriniz da konsol girisi varsa bu islemlerin hicbirine gerek kalmadan diren konsol port uzerinden baglanip interface duzenlemelrini yapabilirsiniz.

configure
commit
save

Simdi eth1 DHCP serveri etkinlestirelim .

configure
set service dhcp-server disabled false
set service dhcp-server shared-network-name LAN authoritative enable
set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 start 10.10.2.100 stop 10.10.2.199
set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 default-router 10.10.2.1
set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 dns-server 10.10.2.1
set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 lease 86400

Burada, hangi DNS servisini kullanacagimiz ve cache boyutunuve hangi interface bu DNS servisini kullanacak secebiliriz.

set service dns forwarding listen-on eth1
set service dns forwarding cache-size 400
set service dns forwarding name-server 1.1.1.
set service dns forwarding name-server 8.8.8.8

Buradan  DNS serverinizi test edebilirsiniz here.

Firewall Ayarlari

Su ana kadar ERL route etmeye basladi, ama firewallimiz yok. Kural yaratmak sizin bakis aciniza gore degisebilir. Ama en az iki kural setine ihtiyaciniz var: Bir tanesi Internetten (yani modeminizden) LAN”a gelen trafik icin ,ERL’nin hedefine yönelik İnternet’ten gelen trafik için . Eger gözünüzde canladirmakta zorlandiysaniz bu link size yardimci olacaktir, buradan

Genel secenek ayarlari ile baslayalim.

configure
set firewall all-ping enable
set firewall broadcast-ping disable
set firewall receive-redirects disable
set firewall ipv6-receive-redirects disable
set firewall ip-src-route disable
set firewall ipv6-src-route disable
set firewall log-martians enable

Simdi,  LAN”i korumak icin kural yaratalim. Genel hareketimiz drop olacak LAN, gecerli durumlari kabul edip. Gecerli olmayan durumlarda drop ediyoruz(Drop: paketin dusurulmesi durumunda istemciye cevap gitmedigi icin drop “u sectim.ama pinglerinize cevap almak istiyorsaniz reject yani red etmeniz gerekir.Bu durumda karsi tarafa paketin rededildigi mesaji gidecektir..

set firewall name WAN_IN default-action drop
set firewall name WAN_IN description "WAN to internal"
set firewall name WAN_IN enable-default-log
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 description "Allow established/related"
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 20 action drop
set firewall name WAN_IN rule 20 description "Drop invalid state"
set firewall name WAN_IN rule 20 state invalid enable
set firewall name WAN_IN rule 20 log enable

Sonra,  ERL routerinizi korumak icin kural yaratalim itself. Yukaridaki durumlar gecerli olmakla beraber pingleri limitleyecegiz.

set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL description "WAN to router"
set firewall name WAN_LOCAL enable-default-log
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 description "Allow established/related"
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 description "Drop invalid state"
set firewall name WAN_LOCAL rule 20 state invalid enable
set firewall name WAN_LOCAL rule 20 log enable
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description "Limit pings"
set firewall name WAN_LOCAL rule 30 limit burst 1
set firewall name WAN_LOCAL rule 30 limit rate 50/minute
set firewall name WAN_LOCAL rule 30 log enable
set firewall name WAN_LOCAL rule 30 protocol icmp

Simdi, Simdi firewali eth0 interface icin uygulayalim.

set interfaces ethernet eth0 firewall in name WAN_IN
set interfaces ethernet eth0 firewall local name WAN_LOCAL
commit
save

NAT Ayarlari

NAT sayesinde,Bir dis IP bir cok ic Ip”ye yonlendirilir. Aşağıdaki kural, eth0’dan çıkan tüm trafiğin, kaynak adresini eth0’ın genel adresine değiştirmesi için gereklidir.(masquerade) (10.10.2.x’te asla geri dönüşü kalmayacak şekilde).

configure
set service nat rule 5000 description "Masquerade for WAN"
set service nat rule 5000 outbound-interface eth0
set service nat rule 5000 type masquerade
commit
save

Bu kadar ,bunlari yaptiysaniz kendinizi biraz da olsa güvende hissedebilirsiniz.

 SSH port degistirmek

Guvenlik nedeni ile SSH portunu degistirmeniz yerinde olur.

configure
set service ssh port 1234
commit
save

 GUI port degistirmek

Guvenlik nedeniyle GUI portunu degistirmeniz yerinde olur.

configure
set service gui https-port 8443
commit
save

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.