Index

Transparent Firewall

Normal Firewall: Bir yol ayırıcı (router) gibi çalışır. Kendi IP adresi vardır. Ağdaki cihazlar, internete çıkmak için bu firewall'un IP adresini "geçit (gateway)" olarak bilir. Paketler buraya gelir, firewall kuralları uygulanır, sonra hedefe yönlendirilir. Ağ topolojisini değiştirir. Transparent Firewall (Görünmez/Köprü Firewall): Bir köprü (bridge) veya görünmez switch gibi çalışır. Kendine ait bir IP adresi YOKTUR (sadece yönetim için var). İki ağ segmenti arasına, kablo kesip araya takılır. Elektrik prizleri arasına takılan bir "filtreli uzatma kablosu" gibi düşün. Ağdaki hiçbir cihaz onun varlığından haberdar değildir. ping atılamaz, traceroute ile görünmez. Paketler ona gelmez, sadece içinden geçer. O da bu geçen paketlere bakar ve kuralları uygular. Ağ topolojisini DEĞİŞTİRMEZ. Mevcut IP adresleri, geçit ayarları hiç bozulmaz. "OPNsense'e özel bir şey mi?" Sorusunun Cevabı: Hayır, OPNsense'e özel değil. Bu, bir firewall çalışma modu/modelidir. Cisco'nun ASA'sı, Palo Alto, pfSense ve birçok güvenlik duvarı bu modu destekler. Ancak, okuduğun metin OPNsense'in bu modu NASIL ve NE KADAR uyguladığını anlatıyor. Yani: OPNsense'de bu özellik "Layer 2 Firewall" veya "Transparent Mode" olarak geçer. Metinde bahsedilen artıları (multicast'ın kolay geçmesi, IP dışı protokolleri taşıyabilmesi) teorik olarak bu modelin genel artılarıdır. Metinde bahsedilen eksileri (VPN, QoS, routing protokolleriyle çalışamaması) de bu modelin genel kısıtlamalarıdır. OPNsense'e özel kısım şu: Metnin sonunda "OPNsense ... jenseits von IP nur erlauben oder verwerfen" (OPNsense, IP ötesinde sadece izin ver veya reddet seçeneği sunar) deniyor. Yani, OPNsense Transparent Firewall modunda IP (IPv4/IPv6) dışındaki protokolleri (IPX, MPLS gibi) derinlemesine inceleyemez, içeriğine göre filtreleyemez. Sadece "Bu Ethernet paketini geçir" ya da "geçirme" şeklinde kabaca karar verebilir. Neden Kullanılır? Avantajları & Dezavantajları (Basit Örneklerle) Kullanım Senaryosu & Avantajı: "Dokunma, bozarsın!" denilen ağlarda idealdir. Örnek: Şirketinizde 192.168.1.0/24 diye bir ağ var. Tüm sunucular, yazıcılar burada. Hepsinin gateway'i 192.168.1.1. Araya transparent firewall koyarsınız. Hiçbir sunucunun IP'sini, gateway'ini değiştirmeniz gerekmez. Sadece kabloyu kesip firewall'u araya takarsınız ve filtremele başlarsınız. Ağ şeması aynı kalır. Dezavantajları (Metindeki "Manko"lar): Görünmezlik Sorunu: Bir ağ sorunu olduğunda, "acaba firewall mu engelliyor?" diye direkt anlayamazsınız. Çünkü görünür bir IP'si yok, ping atıp kontrol edemezsiniz. Loglara bakmanız gerekir. Üst Düzey Özellikler Çalışmaz: VPN tüneli kurmak, gelişmiş QoS (trafik önceliklendirme) yapmak, OSPF/BGP gibi dinamik routing protokollerini çalıştırmak IP adresi ve routing (yönlendirme) gerektirdiği için bu modda çalışmaz. Bu mod sadece basit "geçir/geçirme" filtrelemesi yapar. Özetle: Transparent Firewall, bir çalışma şeklidir, OPNsense'e özel değildir. Görünmez bir köprü gibidir. Araya takılır, kimse fark etmez. En büyük faydası, mevcut ağı hiç değiştirmeden güvenlik eklemektir. En büyük dezavantajı, sorun gidermeyi zorlaştırması ve üst düzey (L3/L4) özellikleri desteklememesidir. OPNsense, bu modda çalışırken IP dışı protokolleri sadece siyah/beyaz listeyle (geçir/geçirme) yönetebilir, akıllı filtreleyemez. Somut Örnek: Oturduğunuz odadaki internet kablosunu düşünün. Normal firewall, bu kabloyu kesip araya bir yönlendirici (router) takmak gibidir. Transparent firewall ise, bu kabloyu kesip araya sadece trafiği izleyen ve durduran bir cihaz takmaktır. Elektrik akışı aynı devam eder, ama kötü trafiği engellersiniz.