Kablosuz ağlarda aynı SSID’ye bağlı kullanıcıların birbiriyle iletişim kurabilmesi çoğu zaman gereklidir. Dosya paylaşımı, yazıcı erişimi veya belirli uygulamaların çalışması için intra‑SSID trafik tamamen kapatılamaz. Ancak bazı senaryolarda, sadece belirli hedef IP adreslerine veya protokollere erişimin engellenmesi gerekebilir.
Bu yazıda, FortiGate ve FortiAP kullanarak SSID içindeki kullanıcılar arası trafiği tamamen kapatmadan, yalnızca kritik hedeflere giden trafiği nasıl engelleyebileceğimizi adım adım anlatacağız.
SSID İçinde Trafik Kontrolü Neden Gerekli?
FortiAP üzerinde oluşturulan bir SSID’ye bağlanan istemciler, varsayılan olarak birbirleriyle Layer‑2/Layer‑3 seviyesinde iletişim kurabilir. Bu durum bazı riskleri beraberinde getirir:
- Aynı SSID’deki bir kullanıcının kritik bir sunucuya erişmesi
- Test veya yönetim amaçlı IP’lere ping atılması
- Belirli uygulamaların (örneğin yönetim arayüzleri) erişime açık kalması
Bu noktada amaç şudur:
SSID içindeki genel kullanıcı trafiği serbest kalsın, sadece istenmeyen hedeflere olan trafik engellensin.
Neden “Block Intra‑SSID Traffic” Kullanmıyoruz?
FortiAP SSID ayarlarında yer alan Block Intra‑SSID Traffic seçeneği etkinleştirildiğinde:
- SSID’ye bağlı tüm istemciler arasındaki trafik tamamen kesilir
- Kullanıcılar birbirlerini hiç göremez
Bu yöntem güçlü bir izolasyon sağlar ancak:
- Yazıcı, dosya paylaşımı, özel uygulamalar gibi ihtiyaçları bozar
- Fazla kısıtlayıcıdır
Bu nedenle daha esnek ve seçici bir yönteme ihtiyaç duyulur.
Çözüm: L3 Firewall Profile ile Seçici Engelleme
Fortinet’in sunduğu çözüm, SSID’ye Layer‑3 Firewall Profile (Access Control List) atamaktır. Bu sayede:
- SSID içi trafik devam eder
- Sadece tanımlanan hedef IP / protokol engellenir
- Granüler güvenlik kontrolü sağlanır
Adım 1 – L3 Firewall Profile Oluşturma
FortiGate arayüzünden aşağıdaki menüye gidin:
WiFi & Switch Controller → Protection Profiles → L3 Firewall Profiles
Yeni bir profil oluşturun ve içerisine kural ekleyin.
Örnek Senaryo
SSID içindeki kullanıcıların 192.168.30.25 IP adresine hiç bir şekilde erişmesin istiyoruz.
Kural Mantığı:
- Kaynak: SSID’ye bağlı istemciler
- Hedef: 192.168.30.25
- Protokol: ICMP,TCP,UDP (En çok kullanılan)
- Aksiyon: Deny
CLI Örneği
config wireless-controller access-control-list
edit "Block_L3"
config layer3-ipv4-rules
edit 1
set comment "Block Ping to 192.168.30.25"
set dstaddr 192.168.30.25/255.255.255.255
set protocol 1
set action deny
next
edit 2
set comment "Block TCP to 192.168.30.25"
set dstaddr 192.168.30.25/255.255.255.255
set protocol 6
set action deny
next
edit 3
set comment "Block UDP to 192.168.30.25"
set dstaddr 192.168.30.25/255.255.255.255
set protocol 17
set action deny
next
end
next
endAdım 2 – L3 Firewall Profile’ı SSID’ye Atama
Oluşturduğunuz profili SSID’ye bağlamak için:
WiFi & Switch Controller → SSIDs menüsüne gidin ve ilgili SSID’yi düzenleyin.
Advanced Settings bölümünde L3 Firewall Profile alanından oluşturduğunuz profili seçin.
config wireless-controller vap
edit "Personel"
set access-control-list Block_L3
next
endBu işlemden sonra SSID aktif kullanıcıları için kural geçerli olacaktır.
Bu Yapılandırma ile Ne Kazanıyoruz?
Bu yöntem sayesinde:
- ✅ SSID içindeki kullanıcılar birbirleriyle iletişim kurmaya devam eder
- ✅ Sadece kritik IP veya servisler korunur
- ✅ Gereksiz izolasyon uygulanmaz
- ✅ Daha kontrollü ve güvenli bir kablosuz ağ elde edilir
Özetle, SSID içi seçici trafik engelleme, hem güvenlik hem de kullanıcı deneyimi açısından ideal bir çözümdür.
Hangi Senaryolarda Kullanılmalı?
- Ofis içi Wi‑Fi ağları
- Ortak SSID kullanılan katlar
- Test / yönetim IP’lerinin korunması
- Misafir ağına bağlı ama sınırlı erişim istenen cihazlar
Sonuç
FortiAP ve FortiGate altyapısında, SSID içindeki trafiği tamamen kapatmadan sadece istenmeyen hedeflere giden trafiği engellemek mümkündür. L3 Firewall Profile kullanımı, klasik intra‑SSID bloklamaya kıyasla çok daha esnek ve profesyonel bir yaklaşımdır.
Bu yapılandırma ile kablosuz ağınızda güvenliği artırırken, kullanıcıların günlük ihtiyaçlarını da kesintiye uğratmamış olursunuz.
Diğer FortiAP paylaşımlarıma buradan erişebilirsiniz.
