Ağ & Güvenlik Temelleri19 Mayıs 20266 dakika okuma

Virtual IP (VIP) Nedir? Firewall'da NAT ve Port Yönlendirme Rehberi

Virtual IP (VIP), FortiGate ve diğer firewall'larda internetten gelen bağlantıları iç ağdaki sunuculara yönlendirmek için kullanılan NAT mekanizmasıdır. DNAT, port yönlendirme ve VIP havuzlarını detaylıca anlatıyoruz.

Virtual IPVIPNATPort YönlendirmeDNATFortiGate

Virtual IP (VIP) Nedir?

Virtual IP (Sanal IP), FortiGate ve kurumsal firewall'larda kullanılan ve internetten gelen bağlantıları iç ağdaki özel IP adresli sunuculara yönlendiren Destination NAT (DNAT) mekanizmasıdır.

Örnek senaryo: Şirketin tek bir genel (public) IP adresi var — 203.0.113.10. Bu IP'ye gelen HTTPS bağlantılarının (port 443) iç ağdaki web sunucusuna (192.168.1.50) iletilmesi gerekiyor. Bunu VIP sağlar.

NAT Türleri

  • SNAT (Source NAT): İç ağdan dışarı giden trafikte kaynak IP'yi firewall'ın WAN IP'siyle değiştirir. İnternet erişimi için standart NAT budur.
  • DNAT (Destination NAT): Dışarıdan gelen trafikte hedef IP'yi iç sunucunun özel IP'siyle değiştirir. VIP budur.
  • Full NAT (Bire-bir NAT): Hem kaynak hem hedef IP değiştirilir. Farklı IP aralıkları arası iletişimde kullanılır.

FortiGate'de VIP Oluşturma

GUI üzerinden:

  • Policy & Objects → Virtual IPs → Create New
  • External IP/Range: Dışarıdan erişilecek genel IP (WAN IP veya farklı genel IP)
  • Mapped IP/Range: İç ağdaki gerçek sunucu IP'si (192.168.1.50)
  • Port Forwarding etkin: Belirli port(lar) için yönlendirme
  • External Port: Dışarıdan gelen port (443)
  • Mapped Port: Sunucunun dinlediği port (443 veya farklıysa 8443)

CLI üzerinden:

  • config firewall vip
  • edit "WEB-SUNUCU-HTTPS"
  • set extip 203.0.113.10
  • set mappedip 192.168.1.50
  • set extintf "wan1"
  • set portforward enable
  • set extport 443
  • set mappedport 443
  • next
  • end

VIP Firewall Politikasına Eklenmesi

VIP oluşturduktan sonra mutlaka bir firewall politikasına eklenmesi gerekir, aksi hâlde trafik geçmez:

  • Kaynak: WAN arayüzü, Kaynak adres: all (veya kısıtlamak istediğiniz IP)
  • Hedef: İlgili VIP nesnesi
  • Servis: HTTPS (veya özel port)
  • Aksiyon: Accept
  • NAT: VIP'te zaten tanımlı olduğu için politikada ayrıca NAT etkinleştirmeye gerek yoktur.

Yaygın VIP Senaryoları

  • Web Sunucusu Yayımlama: Dışarıdan 80/443 → iç web sunucusu
  • Mail Sunucusu: 25/587 → iç Exchange veya Postfix
  • RDP Erişimi: 3389 (veya farklı port) → Terminal Server. Güvenlik için RDP'yi VPN arkasına almak çok daha güvenlidir.
  • SIP / VoIP: 5060/5061 → IP santral
  • Özel Uygulama Portu: Herhangi bir TCP/UDP port eşlemesi

VIP Havuzu (VIP Pool / IP Pool)

Tek WAN IP yerine birden fazla genel IP kullanıldığında VIP havuzu devreye girer:

  • One-to-One NAT: Her iç IP'ye ayrı bir dış IP eşlenir. Tam bire bir çeviri.
  • Overload (PAT): Çok sayıda iç IP → tek dış IP; port numarasıyla ayırt edilir. Standart SNAT budur.
  • Fixed Port Range: Her kullanıcıya belirli bir port aralığı ayrılır; log takibi kolaylaşır.

VIP Güvenlik Önerileri

  • VIP üzerinde gereksiz portları açmayın; yalnızca zorunlu portları yönlendirin.
  • Yayımlanan sunucular DMZ VLAN'ında olmalı; iç ağdan izole edilmelidir.
  • Web sunucuları için VIP'e ek olarak WAF (Web Application Firewall) profili ve IPS imzaları etkinleştirin.
  • RDP ve SSH gibi yönetim portlarını doğrudan internete açmayın; VPN üzerinden erişim sağlayın.
  • Kaynak IP kısıtlaması: Belirli ülkelerden veya IP aralıklarından erişime izin verin.

Sonuç

Virtual IP, iç ağdaki sunucuları internete güvenli biçimde açmanın standart yöntemidir. Doğru konfigürasyon ve ek güvenlik katmanlarıyla sunucu maruziyeti minimize edilir. Lider Network, FortiGate VIP yapılandırması ve sunucu yayımlama güvenliği konularında hizmetinizdedir.

İlgili Makaleler

Ağ & Güvenlik Temelleri

LAN, WAN, VLAN Nedir? Ağ Temelleri Kapsamlı Rehberi

Oku Ağ & Güvenlik Temelleri

MAC Adresi Nedir? Fiziksel Adres ve Ağ Kimliği Rehberi

Oku Ağ & Güvenlik Temelleri

VPN Nedir? IPSec VPN ile SSL VPN Arasındaki Farklar

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi