Giris Ayarlari
Firmware Güncellemesi
Routeri ilk aldiginizda hic bir ayar yapmadan onclikle firmware guncellemesini yapmanizi tavsiye ederim. Buradan download page modelinize uygun firmware guncellemesini indirin.Su anda en son firmware v1.8.0
Bilgisayarinizi eth0 portundan routera baglayin ve ethernet kartiniza 192.168.1.x grubundan bir ip adresi atayin.Routerin web yönetim adresi https://192.168.1.1, ama burada herseyi Putty programi ile CLI uzerinden yapacagiz.
indirdiginiz firmware routeriniza transfer edin.(varsayilan kullanici ismi ve sifresi ubnt/ubnt).
scp ER-e100.v1.8.0.4853089.tar ubnt@192.168.1.1:~
Next, SSH into the ERL.
ssh ubnt@192.168.1.1
Hangi versiyona sahip oldugunuzu gorun (Bana v1.2.0 firmware ile gelmisti).
show version
System imajini yükleyin.
add system image ~/ER-e100.v1.8.0.4853089.tar
Asagidaki komut ile yuklu olan sistem imajlarini görün.
show system image
Ayarlarin etkili olmasi icin yeniden baslarin.
reboot
En son imajin yüklendigini kontrol edin.
show system image
Sadece emin olmak icin hangi versiyon uzerinden acildigini kontrol edin.
show version
Bu size kalmis bir secenek ama isterseniz eski imaji silebilirsiniz.
show system image storage delete system image
Router Ismini Degistirmek
Firmware yüklendigine gore bazi özellestirmelere baslayabiliriz..
configure set system host-name <name> commit save
Hatirlatma- enter ile configure moduna girin ve isim verdikten sonra commit ve save yazmayi unutmayin.exit yazarak oerasyon moduna dönebilirsiniz.
Saat Dilimini Degistirmek
configure set system time-zone US/Eastern commit save
NTP
Edge Routerlarin donanimsal bir saati olmadigi icin saati NTP servisleri ile senkronize etmenisi gerekir .Ama acik olarak gelir ve birsey yapmaniza gerek yoktur.Sadece firewaldan 123 numarali porta izin vermeyi unutmayin.
configure show system ntp
interfaces Ayarlari
Ilk eth0 uzerinde olan WAN interface ayarini yapalim. Modeminiz ip dagitiyor ise(DHCP) modemden gelen ip ayarina göre yapacagiz.
configure delete interfaces ethernet eth0 address 192.168.1.1/24 set interfaces ethernet eth0 address dhcp set interfaces ethernet eth0 description "WAN" set interfaces ethernet eth0 duplex auto set interfaces ethernet eth0 speed auto
Sonra, eth1 uzerinde olan LAN interface duzenlemesi yapin eth1. Ben 10.10.2.x IP araligini kullaniyorum, Ama gerekli hesaplamalari buradan yapabilirsiniz. calculator (ipucu – /24 size 254 ip adresi kullanma imkani verir).
set interfaces ethernet eth1 address 10.10.2.1/24 set interfaces ethernet eth1 description "LAN" set interfaces ethernet eth1 duplex auto set interfaces ethernet eth1 speed auto commit
Burada commit sonrasi , SSH oturumunuz kapanacaktir. Artik eth0 DHCP client olarak kullandigimiz icin. PC’nizin IP addresini 10.10.2.x araligina alin, (mesela., 10.10.2.2), Ethernet kablonuzu eth1 portuna baglayin. Bundan sonra tekrar SSH oturumunuza devam edebilirsiniz, Ama commit ve save komutlarindan sonra ayarlarin etkin olduguna emin olun. Eger konsol kablonuz varsa ve reouteriniz da konsol girisi varsa bu islemlerin hicbirine gerek kalmadan diren konsol port uzerinden baglanip interface duzenlemelrini yapabilirsiniz.
configure commit save
Simdi eth1 DHCP serveri etkinlestirelim .
configure set service dhcp-server disabled false set service dhcp-server shared-network-name LAN authoritative enable set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 start 10.10.2.100 stop 10.10.2.199 set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 default-router 10.10.2.1 set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 dns-server 10.10.2.1 set service dhcp-server shared-network-name LAN subnet 10.10.2.0/24 lease 86400
Burada, hangi DNS servisini kullanacagimiz ve cache boyutunuve hangi interface bu DNS servisini kullanacak secebiliriz.
set service dns forwarding listen-on eth1
set service dns forwarding cache-size 400
set service dns forwarding name-server 1.1.1.
set service dns forwarding name-server 8.8.8.8
Buradan DNS serverinizi test edebilirsiniz here.
Firewall Ayarlari
Su ana kadar ERL route etmeye basladi, ama firewallimiz yok. Kural yaratmak sizin bakis aciniza gore degisebilir. Ama en az iki kural setine ihtiyaciniz var: Bir tanesi Internetten (yani modeminizden) LAN”a gelen trafik icin ,ERL’nin hedefine yönelik İnternet’ten gelen trafik için . Eger gözünüzde canladirmakta zorlandiysaniz bu link size yardimci olacaktir, buradan
Genel secenek ayarlari ile baslayalim.
configure set firewall all-ping enable set firewall broadcast-ping disable set firewall receive-redirects disable set firewall ipv6-receive-redirects disable set firewall ip-src-route disable set firewall ipv6-src-route disable set firewall log-martians enable
Simdi, LAN”i korumak icin kural yaratalim. Genel hareketimiz drop olacak LAN, gecerli durumlari kabul edip. Gecerli olmayan durumlarda drop ediyoruz(Drop: paketin dusurulmesi durumunda istemciye cevap gitmedigi icin drop “u sectim.ama pinglerinize cevap almak istiyorsaniz reject yani red etmeniz gerekir.Bu durumda karsi tarafa paketin rededildigi mesaji gidecektir..
set firewall name WAN_IN default-action drop set firewall name WAN_IN description "WAN to internal" set firewall name WAN_IN enable-default-log set firewall name WAN_IN rule 10 action accept set firewall name WAN_IN rule 10 description "Allow established/related" set firewall name WAN_IN rule 10 state established enable set firewall name WAN_IN rule 10 state related enable set firewall name WAN_IN rule 20 action drop set firewall name WAN_IN rule 20 description "Drop invalid state" set firewall name WAN_IN rule 20 state invalid enable set firewall name WAN_IN rule 20 log enable
Sonra, ERL routerinizi korumak icin kural yaratalim itself. Yukaridaki durumlar gecerli olmakla beraber pingleri limitleyecegiz.
set firewall name WAN_LOCAL default-action drop set firewall name WAN_LOCAL description "WAN to router" set firewall name WAN_LOCAL enable-default-log set firewall name WAN_LOCAL rule 10 action accept set firewall name WAN_LOCAL rule 10 description "Allow established/related" set firewall name WAN_LOCAL rule 10 state established enable set firewall name WAN_LOCAL rule 10 state related enable set firewall name WAN_LOCAL rule 20 action drop set firewall name WAN_LOCAL rule 20 description "Drop invalid state" set firewall name WAN_LOCAL rule 20 state invalid enable set firewall name WAN_LOCAL rule 20 log enable set firewall name WAN_LOCAL rule 30 action accept set firewall name WAN_LOCAL rule 30 description "Limit pings" set firewall name WAN_LOCAL rule 30 limit burst 1 set firewall name WAN_LOCAL rule 30 limit rate 50/minute set firewall name WAN_LOCAL rule 30 log enable set firewall name WAN_LOCAL rule 30 protocol icmp
Simdi, Simdi firewali eth0 interface icin uygulayalim.
set interfaces ethernet eth0 firewall in name WAN_IN set interfaces ethernet eth0 firewall local name WAN_LOCAL commit save
NAT Ayarlari
NAT sayesinde,Bir dis IP bir cok ic Ip”ye yonlendirilir. Aşağıdaki kural, eth0’dan çıkan tüm trafiğin, kaynak adresini eth0’ın genel adresine değiştirmesi için gereklidir.(masquerade) (10.10.2.x’te asla geri dönüşü kalmayacak şekilde).
configure set service nat rule 5000 description "Masquerade for WAN" set service nat rule 5000 outbound-interface eth0 set service nat rule 5000 type masquerade commit save
Bu kadar ,bunlari yaptiysaniz kendinizi biraz da olsa güvende hissedebilirsiniz.
SSH port degistirmek
Guvenlik nedeni ile SSH portunu degistirmeniz yerinde olur.
configure set service ssh port 1234 commit save
GUI port degistirmek
Guvenlik nedeniyle GUI portunu degistirmeniz yerinde olur.
configure set service gui https-port 8443 commit save