Index

sophos > opnsense migration -- farklar - mantik

Sophos (özellikle XG/XGS serisi) ile OPNsense arasında, sadece menü yerleri değil, güvenlik duvarının "düşünme biçimi" (mantığı) tamamen farklıdır. Bu farkları bir ağ yöneticisi olarak arkadaşına şöyle açıklayabilirsin: 1. Bölge (Zone) vs. Arayüz (Interface) Mantığı Bu en büyük kafa karışıklığı sebebidir. Sophos Mantığı (Zone-Based): Sophos, kuralları "Bölgeler" arası yazar. Örneğin, LAN Bölgesi -> WAN Bölgesi kuralı yazarsın. Bu bölgeye hangi portun (Port1, Port2) dahil olduğu kuralı ilgilendirmez. Daha soyut ve üst seviyeden bakar. ​ ​ OPNsense Mantığı (Interface-Based): OPNsense (ve pfSense), kuralları doğrudan Arayüz (Interface) üzerine yazar. Kuralı yazarken "LAN arayüzüne gelen trafik" diye düşünmek zorundasın. Trafiğin sisteme girdiği ilk kapıda (ingress) kural işlenir. Sophos'taki gibi "Şuradan şuraya" mantığından ziyade, "Bu kapıdan içeri ne girebilir?" mantığı vardır. ​ ​ 2. "Hepsi Bir Arada" Kural vs. Modüler Yapı Sophos ticari bir "Next-Gen Firewall" (NGFW) olduğu için her şeyi tek kuralda bitirir. OPNsense ise modülerdir. Sophos: Bir firewall kuralı oluşturursun ve aynı pencere içinde "Web Filtreleme aç", "Uygulama Kontrolü (Facebook engelle)", "IPS taraması yap" kutucuklarını işaretlersin. Kural hem izin verir hem de güvenliği sağlar. ​ OPNsense: Firewall kuralı (Rules) sadece trafiğe izin verir veya engeller (Layer 3/4). Eğer web filtreleme (Layer 7) istiyorsan, gidip ayrıca Squid Proxy veya Zenarmor eklentisini kurup yapılandırman gerekir. Antivirüs taraması istiyorsan, trafiği ClamAV servisine yönlendirmen gerekir. Yani Sophos'ta tek tıkla yapılan iş, OPNsense'te 2-3 farklı servisi ayağa kaldırmayı gerektirir. ​ 3. NAT (Ağ Adresi Çevirisi) Farkı Sophos kullanıcıları genellikle NAT'ın kural içinde otomatik halledilmesine alışkındır (v18 öncesi "Masquerading" otomatikti, v18 sonrası "Linked NAT" var). OPNsense: NAT ve Firewall kuralları birbirinden tamamen ayrıdır. Port Forwarding (DNAT): Dışarıdan içeriye port açmak için ayrı menüye gidersin. Outbound NAT (SNAT): İçeriden dışarıya çıkarken IP maskelemek için ayrı menüye gidersin (Genelde "Hybrid" moda alıp elle kural yazmak gerekir). Sophos'tan gelen biri, "Kuralı yazdım, neden internete çıkamıyorum?" der çünkü Outbound NAT ayarını yapmayı unutmuştur veya yanlış anlamıştır. ​ 4. Nesne (Object) Yönetimi Sophos: Nesne tabanlıdır. Bir IP listesi, bir MAC listesi veya bir web filtresi "nesne" olarak sürükle-bırak yapılabilir. Görseldir. OPNsense: "Alias" (Rumuz) mantığı vardır ama Sophos kadar görsel ve sürükle-bırak değildir. Daha çok metin ve liste tabanlıdır. ​ Özetle Neden Zorlanıyor? Arkadaşın muhtemelen "Traffic Policy" (Trafik Politikası) yazmaya çalışıyor ama OPNsense ondan "Packet Filtering" (Paket Filtreleme) yapmasını istiyor. Tavsiye: Ona OPNsense'i bir "Linux sunucu yönetir gibi" düşünmesini, her servisi (Firewall, DNS, Proxy, IDS) ayrı ayrı yapılandırması gerektiğini söyle. Sophos'taki "tek ekranda her şeyi hallet" konforunu ararsa bulamaz, ama OPNsense ona trafiğin kontrolü üzerinde çok daha detaylı ve şeffaf bir güç verecektir.