Gateway Mod - Arpspoof

Hakkında

Gateway Modu, TR7 Load Balancer'ın gelen ve giden trafiği yönlendiren bir ağ geçidi olarak görev yaptığı bir moddur. Bu modda, tüm istemci istekleri önce TR7 üzerinden geçerek Kurum Servislerine iletilir ve geri dönen cevaplar yine TR7 aracılığıyla istemciye ulaştırılır. Böylelikle TCP seviyesindeki uygulamalarda yani X-Forwarded-For başlık bilgisi kullanılamayan durumlarda İstemci IP adresinin korunmasını ve Kurum Servisine iletilmesini sağlar.

Ancak Gateway Modunun çalışabilmesi için Kurum Servislerinin gateway adreslerinin manuel olarak değiştirilmesi gerekmektedir. Bu operasyonel sürecin manuel olarak konfigüre edilmemesi adına TR7 üzerinde Arpspoof aktif edilerek herhangi bir değişliğe gerek kalmamakla birlikte süreçleri hızlandırmakta ve kolay yönetim sunmaktadır.

Örnek Topoloji

LOGO

Örnek Gateway Mod Arpspoof Topolojisi üzerinde, TR7 tarafından kullanılan 10G ağ arayüzünün VLAN 102 route tablosu üzerinde olduğu görüntülenir. 10G ağ arayüzü üzerinde tanımlı 172.16.102.113 IP adresi yani VIP adresi, vService IP adresi olarak tanımlanmıştır. Kurum Servisinin default gateway adresi manuel olarak değiştirilmeden Arpspoof devreye alınmıştır. Böylelikle ilgili servis özelinde Gateway Mod Arpspoof aktif edilmiş olup İstemci IP adresinin korunması sağlanmıştır.

Arayüz

Adım > 1

"Network > Route Tables" adımları takip edilerek yeni bir route tablosu eklenmiştir.

Adım > 2

"Network > Interfaces" adımları takip edilerek 10G ağ arayüzü, eklenen Route Tablosuna dahil edilmiş ve IP adresleri eklenmiştir. 172.16.102.111 ve 172.16.102.112 IP adresleri "Interface IP", 172.16.102.113 IP adresi ise "VIP" adresi olarak tanımlanmıştır.

Adım > 3

"Traffic Manager > Backend Services" adımları takip edilerek ilgili sunucunun Route Tablosu VLAN 102 olarak seçilmiştir. Details aktif edilerek SNAT üzerinden "Use Client IP" seçilmiştir. Ardından Spoofing devreye alınmış ve ilgili konfigürasyonlar yapılmıştır.

Uyarı

Bu noktada sunucu üzerinde örnek olarak güncelleme işlemi yapılması gerektiğinde veya farklı bir network'e erişmek istediğinde gateway adresi TR7 olduğu için erişim sağlayamayacaktır. "Network > Firewall" adımları takip edilip VLAN 102 üzerinde Forward kuralı oluşturularak sunucunun farklı network'ler ile olan iletişimi sağlanmış olur.

Adım > 4

Son olarak vServices ekranı üzerinden 172.16.102.113 VIP adresi ile vService oluşturulmuş Default Backend Services olarakta ilgili Kurum Servisi seçilmiştir.