FortiGate Kurulum Ders 2: Firewall ve NAT Temel Mantığı

Merhaba arkadaşlar, ben Cem Zengin.

Siber güvenlik ve ağ yönetimi dünyasına adım attığınızda en sık duyacağınız ve sahada her gün yapılandıracağınız iki kavram vardır: Firewall (Güvenlik Duvarı) ve NAT (Network Address Translation - Ağ Adresi Dönüştürme). Bu iki teknoloji, modern internet mimarisinin hem güvenliğini hem de hayatta kalmasını sağlar.

Bu dersimizde, karmaşık teknik terimlerden uzak durarak, bir firewall’un trafiği nasıl incelediğini ve NAT mekanizmasının paketleri nasıl dönüştürdüğünü en temel mantığıyla öğreneceğiz.

1. Firewall (Güvenlik Duvarı) Nedir?

Güvenlik duvarı, iki farklı ağ segmenti (örneğin güvenli iç ağınız ile güvensiz dış dünya/internet) arasındaki trafiği denetleyen bir bekçidir. Trafiği incelerken iki temel yöntem kullanır:

Paket Filtreleme (Stateless - Durumsuz):

Gelen paketlerin sadece IP adreslerine ve port numaralarına bakar. Paketlerin geçmişini veya bağlantı durumunu takip etmez.

• Örnek: “192.168.1.50 IP adresinden 80 portuna gelen paketleri engelle.”

Durum Bilgili İnceleme (Stateful Inspection - Durumlu):

Modern firewall’ların temel çalışma mantığıdır. Sadece IP ve port numarasına bakmaz; paketin bir oturumun (session) parçası olup olmadığını kontrol eder. İç ağdaki bir kullanıcı internete çıkış isteği yaptığında, firewall bu isteği Oturum Tablosuna (Session Table) kaydeder. Dışarıdan bu isteğe gelen cevap paketleri, ek bir kurala gerek duymaksızın otomatik olarak içeri alınır. Dışarıdan kendi kendine gelen istekler ise engellenir.

2. NAT (Network Address Translation) Nedir ve Neden Gerekir?

İnternet protokolü IPv4’ün tasarımında, dünya üzerindeki IP adresi sayısı yaklaşık 4.3 milyar ile sınırlıdır. İnternete bağlı cihaz sayısı bu sınırı çoktan aştığı için IP adreslerinin tükenmesini engellemek amacıyla Yerel (Private) IP ve Genel (Public) IP kavramları geliştirilmiştir.

• Private IP Sınıfları (Ağ içinde kullanılan, internette yönlendirilemeyen IP’ler):
  • 10.0.0.0 - 10.255.255.255
  • 172.16.0.0 - 172.31.255.255
  • 192.168.0.0 - 192.168.255.255

İç ağdaki binlerce cihaz bu özel IP’leri kullanabilir. Ancak bu cihazların internete çıkabilmesi için bu adreslerin dünya üzerinde geçerli olan tek bir Public IP adresine dönüştürülmesi gerekir. Bu dönüştürme işlemine NAT adı verilir.

3. Sahada En Çok Kullanılan NAT Türleri

Ağ yöneticisi olarak sahada yapılandıracağınız iki ana NAT türü vardır:

A. Source NAT (Kaynak NAT - SNAT / PAT)

İç ağdaki (LAN) kullanıcıların internete çıkarken kullandığı yöntemdir. İstemcinin yerel IP adresi, firewall’un WAN (dış ağ) bacağına tanımlı olan genel IP adresine dönüştürülür.

• PAT (Port Address Translation) Mantığı: Aynı Public IP üzerinden yüzlerce bilgisayarı internete çıkarmak için her bir bilgisayarın bağlantı paketine farklı bir Port Numarası atanır.
• Örnek: 192.168.1.10 IP’li bilgisayar internete çıkarken firewall onu 85.90.100.22:51204 portuna dönüştürür. Dönen paket bu porta geldiğinde, firewall paketin 192.168.1.10‘a ait olduğunu bilir.

B. Destination NAT (Hedef NAT - DNAT / Port Yönlendirme)

Dış ağdaki (İnternetteki) kullanıcıların, iç ağımızda bulunan bir sunucuya (örn: Web sunucusu veya Kamera kayıt cihazı) erişebilmesi için kullanılır. Firewall’a gelen isteklerin hedef IP adresi, iç ağdaki sunucunun yerel IP adresine dönüştürülür.

• Örnek: İnternetten birisi 85.90.100.22:80 adresine gitmek istediğinde, firewall bu trafiği iç ağdaki 192.168.1.200:80 IP’li web sunucusuna yönlendirir.

4. Bir Paket Firewall ve NAT Sürecinden Nasıl Geçer?

İç ağdaki bir bilgisayarın internetteki bir web sayfasına erişim isteğinde paket şu aşamalardan geçer:

1. Paketin Doğuşu (Bilgisayar):

   • Kaynak IP: 192.168.1.10

     Hedef IP: 8.8.8.8 (Google DNS)

2. Firewall Kontrolü:
   • Paket firewall’a gelir. Firewall kuralları (Firewall Policy) kontrol edilir.
   • “İç ağdan dış ağa Google DNS servisine izin var mı?” -> EVET.
3. Source NAT Uygulanması:
   • Firewall paketin Kaynak IP’sini kendi WAN IP’si ile değiştirir ve port atar.

   • Yeni Paket: Kaynak IP: 85.90.100.22:45000

     Hedef IP: 8.8.8.8

4. Oturum Kaydı:
   • Firewall oturum tablosuna yazar: “Ben 192.168.1.10 IP’sini dışarıya 45000 portuyla gönderdim.”
5. Cevap Paketi Dönüşü (Hedef Sunucu):

   • Hedef sunucu cevabı gönderir: Kaynak IP: 8.8.8.8

     Hedef IP: 85.90.100.22:45000

6. Geri Dönüşüm (Firewall):
   • Firewall paketi alır, oturum tablosuna bakar, 45000 portunun sahibinin 192.168.1.10 olduğunu görür.
   • Paketi tekrar dönüştürür ve yerel ağdaki bilgisayara iletir.

Bu temel mantığı anladığınızda, hangi marka firewall (Fortinet, Palo Alto, Cisco ASA vb.) kullanırsanız kullanın, kuralları ve NAT tanımlarını çok rahat yapabilirsiniz.

Bir sonraki dersimizde Wireshark aracıyla paket analizi yapmayı öğreneceğiz.

Ağınız açık ve güvenli olsun!

Cem Zengin Firewall & Network Security Engineer