pfSense Ultimate Rehberi: Sıfırdan Zirveye Ağ Yönetimi (2025)

Yayınlanma Tarihi: 6 Temmuz 2025 | Yazar: Erkam Kaya

Merhaba teknoloji savaşçıları,Bugün sizlerle, küçük işletmelerden büyük kurumsal ağlara kadar her ölçekte kullanılabilecek, açık kaynak kodlu ve kaya gibi sağlam bir güvenlik duvarı (firewall) ve yönlendirici (router) çözümü olan pfSense‘i masaya yatırıyoruz. Bu rehber, basit bir kurulum anlatımının çok ötesine geçerek, sıfırdan bir pfSense makinesi kurmaktan, onu kurumsal düzeyde bir ağın beyni haline getirmeye; reklam ve zararlı yazılım engellemeden, misafirler ve çalışanlar için ayrı ağlar oluşturmaya; uzaktan erişimden farklı ofisleri birbirine bağlamaya kadar aklınıza gelebilecek tüm süreçleri kapsayan nihai bir kaynaktır.

Bu yazıyı tamamladığınızda, ağınızın kontrolünü tamamen elinize almış, güvenliği en üst seviyeye çıkarmış ve bunu yaparken tek kuruş lisans ücreti ödememiş olacaksınız. Kemerlerinizi bağlayın, bilişim dünyasının en güçlü açık kaynak projelerinden birinin derinliklerine dalıyoruz!

İçindekiler Tablosu

Bölüm 1: Temeller ve Kurulum
Bölüm 2: İç Ağ Yönetimi ve DHCP
Bölüm 3: pfBlockerNG ile Zırhları Kuşanmak
Bölüm 4: VLAN’lar ile Ağları Dilimlere Ayırmak
Bölüm 5: VPN ile Sınırsız Erişim
Bölüm 6: Sonuç ve SEO Paketi

Bölüm 1: Temeller ve Kurulum

Donanım ve Hazırlık

Her şeyden önce, pfSense’i kurmak için en az iki adet ağ kartına (NIC) sahip bir cihaza ihtiyacımız var. Biri WAN (İnternet), diğeri LAN (İç Ağ) olacak. Unutmayın, pfSense ağınızın ana kapısı olacak.

Modem Ayarları: “Bridge Mode” Neden Hayat Kurtarır?

Servis sağlayıcınızın verdiği modemler genellikle router modundadır. pfSense’i en verimli şekilde kullanmak için modeminizi “Bridge Mode” (Köprü Modu)‘na almalısınız. Bu sayede genel IP adresiniz doğrudan pfSense’e ulaşır ve “Double NAT” gibi baş belası sorunlardan kurtulursunuz.

Diyagram: Bridge Modu Bağlantı Akışı

[İNTERNET]--->[MODEM (Köprü Modu)]--->[pfSense WAN (Genel IP)]--->[pfSense LAN]--->[İÇ AĞINIZ]

Kurulum ve Arayüz Atamaları

pfSense’in resmi sitesinden indirdiğiniz ISO dosyasını bir USB belleğe yazdırıp kurulumu başlatın. Kurulum adımları oldukça basittir:

Lisansı kabul edin ve “Install” seçeneğiyle ilerleyin.
Klavye düzenini Turkish, disk bölümlemeyi “Auto (UFS)” olarak seçin.
Kurulum bitince sistemi yeniden başlatın ve USB’yi çıkartın.
İlk açılışta pfSense size hangi ağ kartını WAN, hangisini LAN yapacağınızı soracaktır. Modeme bağlı olanı WAN, iç ağınıza (switch) bağlı olanı LAN olarak atayın.

Bu adımların sonunda tarayıcınızdan http://192.168.1.1 (varsayılan LAN IP) adresine giderek arayüze ulaşabilirsiniz. (Kullanıcı Adı: admin, Şifre: pfsense).

Bölüm 2: İç Ağ Yönetimi ve DHCP

İlk kurulum sihirbazını tamamladıktan sonra (hostname, DNS, şifre değişikliği vb.), iç ağımızı yönetmeye başlayabiliriz.

DHCP Sunucusu: Otomatik IP Dağıtımı

Cihazların ağa bağlandığında otomatik IP alması için DHCP sunucusunu yapılandıracağız.

Services > DHCP Server menüsüne gidin ve LAN sekmesini seçin.
“Enable DHCP server on LAN interface” kutucuğunu işaretleyin.
Range kısmına dağıtmak istediğiniz IP aralığını girin. Örneğin, 192.168.1.100 ile 192.168.1.200 arası. Bu, sunucu gibi sabit IP alması gereken cihazlara yer bırakmanızı sağlar.

Statik DHCP Atamaları (Sabit IP Vermek)

Ağınızdaki yazıcı, sunucu veya NAS gibi cihazların IP adreslerinin hiç değişmemesini istersiniz. Bunun için o cihazın MAC adresine özel bir IP ataması yapacağız.

DHCP Server sayfasının en altına inin ve “Add” butonuna tıklayın.
Cihazın MAC adresini, atamak istediğiniz IP adresini (örn: 192.168.1.10), ve bir açıklama girerek kaydedin. Artık o cihaz ağa ne zaman bağlanırsa bağlansın hep aynı IP’yi alacaktır.

Bölüm 3: pfBlockerNG ile Zırhları Kuşanmak

pfBlockerNG, pfSense’i sıradan bir firewall’dan, reklamları, zararlı yazılımları, casus yazılımları ve hatta istemediğiniz ülkelerden gelen bağlantıları daha size ulaşmadan engelleyen bir canavara dönüştüren efsanevi bir pakettir.

Diyagram: pfBlockerNG Çalışma Mantığı

[İNTERNET (Reklamlar, Tehditler, Spam)]
     |
     V
[pfBlockerNG KALKANI 🛡️] ---> (Zararlı içerik engellendi ❌)
     |
     V (Sadece Temiz Trafik ✅)
     |
[AĞINIZDAKİ CİHAZLAR]

Kurulum ve Yapılandırma

System > Package Manager > Available Packages menüsünden pfBlockerNG-devel paketini aratıp kurun.
Kurulumdan sonra Firewall > pfBlockerNG menüsüne gidin ve ilk kurulum sihirbazını çalıştırın.
IP Sekmesi: Burada GeoIP (ülke bazlı engelleme) ve çeşitli tehdit listelerini aktif hale getirebilirsiniz. Başlangıç için **”PRI1″** gibi temel tehdit listelerini seçmek iyi bir fikirdir.
DNSBL Sekmesi: Burası reklam engellemenin kalbidir. **”Enable DNSBL”** kutucuğunu işaretleyin. **Feeds** bölümünde, **”EasyList”** ve **”StevenBlack”** gibi popüler reklam ve takipçi engelleme listelerini aktif hale getirin.
Ayarları kaydedip Update > Reload All diyerek listelerin indirilip kuralların uygulanmasını sağlayın.

Tebrikler! Artık ağınızdaki tüm cihazlar (telefonlar, TV’ler dahil) reklamsız bir internet deneyimi yaşayacak ve bilinen binlerce zararlı adresten korunmuş olacak.

Bölüm 4: VLAN’lar ile Ağları Dilimlere Ayırmak

VLAN (Virtual LAN), tek bir fiziksel ağı, mantıksal olarak birden fazla, birbirinden izole alt ağa bölmenizi sağlar. Güvenlik için bu inanılmaz önemlidir.

Senaryo: Çalışanların kullandığı ana ağ (LAN) ile misafirlerin veya IoT (Akıllı TV, kamera vb.) cihazların bağlandığı ağları birbirinden ayıralım.

Diyagram: VLAN Güvenlik Duvarı Kuralları

Gelen Trafik Kaynağı: MİSAFİR AĞI (VLAN 20 - 192.168.20.0/24)
  |
  +--> Kural 1: HEDEF -> ANA AĞ (LAN - 192.168.1.0/24) ---> [BLOKE EDİLDİ ❌]
  |
  +--> Kural 2: HEDEF -> İNTERNET (WAN) ------------------> [İZİN VERİLDİ ✅]

VLAN Oluşturma ve Yapılandırma

Interfaces > Assignments > VLANs sekmesine gidin ve “Add” butonuna tıklayın.
Parent Interface olarak LAN (em1 gibi) arayüzünü seçin. VLAN Tag olarak benzersiz bir numara verin (örn: 20). Açıklama olarak “Misafir_WIFI” yazıp kaydedin.
Şimdi Interfaces > Assignments ana sekmesine geri dönün. “Available network ports” kısmında yeni VLAN20’yi göreceksiniz. Onu da “Add” ile ekleyin.
Listeye OPT1 gibi eklenen yeni arayüzün ismine tıklayın. **”Enable interface”** kutucuğunu işaretleyin, ismini “MISAFIRAGI” olarak değiştirin ve **IPv4 Configuration Type** olarak “Static IPv4” seçin.
Bu yeni ağ için farklı bir IP bloğu atayın. Örneğin, 192.168.20.1 /24. Kaydedin.
Services > DHCP Server > MISAFIRAGI sekmesine gidin ve bu yeni ağ için de bir DHCP aralığı (örn: 192.168.20.100 – 192.168.20.200) tanımlayın.

VLAN için Güvenlik Duvarı Kuralları

Şimdi en kritik kısım. Misafir ağının internete çıkmasına izin vereceğiz ama bizim ana ağımıza (LAN) erişmesini engelleyeceğiz.

Firewall > Rules > MISAFIRAGI sekmesine gidin.
Kural 1 (Anti-Lockout – ÖNEMLİ): pfSense’in web arayüzüne erişimi engellemek için bir kural ekleyin.
- Action: Block, Protocol: Any, Source: MISAFIRAGI net, Destination: This Firewall (self)
Kural 2 (LAN’a Erişimi Engelle):
- Action: Block, Protocol: Any, Source: MISAFIRAGI net, Destination: LAN net
Kural 3 (İnternete İzin Ver):
- Action: Pass, Protocol: Any, Source: MISAFIRAGI net, Destination: Any

Önemli: Firewall kuralları yukarıdan aşağıya doğru işler. Engelleme kurallarının, izin verme kuralından önce geldiğinden emin olun!

Son olarak, bu VLAN’ı kullanabilmek için VLAN destekli (managed) bir switch ve access point üzerinde de VLAN ID 20 için ayar yapmanız gerekmektedir.

Bölüm 5: VPN ile Sınırsız Erişim

Bu bölümde hem dışarıdan ofis ağına güvenli bir şekilde bağlanmayı (OpenVPN) hem de iki farklı ofisi birbirine bağlamayı (IPsec Site-to-Site) ele alacağız.

Uzaktan Erişim için OpenVPN Sunucusu

Bu kurulum, çalışanların evden veya seyahatten ofis ağına sanki oradaymış gibi güvenle bağlanmasını sağlar. Kurulum için rehberin önceki kısımlarında anlatılan adımları takip edebilirsiniz: Sertifika Otoritesi oluşturma, Sunucu Sertifikası, OpenVPN sihirbazı ile temel ayarlar (Farklı bir tünel ağı, örn: 10.0.8.0/24) ve openvpn-client-export paketi ile kullanıcı yapılandırma dosyalarını oluşturma.

Ofisleri Birleştirme: Site-to-Site VPN (IPsec)

İki farklı lokasyondaki pfSense’i birbirine bağlayarak tek ve büyük bir ağ oluşturacağız. İki ofisin LAN IP bloklarının farklı olması gerektiğini unutmayın (Ofis A: 192.168.1.0/24, Ofis B: 192.168.50.0/24 gibi).

Diyagram: Site-to-Site VPN Mimarisi

[OFİS A (LAN)]<--->[pfSense A]<===(Güvenli IPsec Tüneli)===<[pfSense B]<--->[OFİS B (LAN)]
      192.168.1.0/24             |                           |              192.168.50.0/24
                                 +------> [İNTERNET] <------+

İki pfSense’te de VPN > IPsec menüsüne gidin.
Add P1 ile Phase 1’i oluşturun. Karşı ofisin genel IP adresini ve iki tarafta da aynı olacak güçlü bir “Pre-Shared Key” parolasını girin. Şifreleme algoritmalarının iki tarafta da aynı olduğundan emin olun.
Add P2 ile Phase 2’yi oluşturun. “Local Network” olarak kendi LAN ağınızı, “Remote Network” olarak karşı ofisin LAN ağını belirtin.
Son olarak, Firewall > Rules > IPsec sekmesine giderek iki ofis arasındaki trafiğe izin veren bir “Pass” kuralı ekleyin.

Artık bir ofisteki bilgisayardan diğer ofisteki bir yazıcıya veya sunucuya sanki yanındaymış gibi erişebilirsiniz!

Sonuç

Tebrikler! Bu rehberdeki adımları tamamladıysanız, artık sadece interneti kullanan değil, kendi kurumsal düzeydeki ağını tasarlayan, yöneten ve koruyan bir bilişim profesyonelisiniz. pfSense’in gücü ve esnekliği sayesinde, ağınızın sınırları artık sadece sizin hayal gücünüze bağlı. Bu sağlam temel üzerine artık istediğiniz her türlü servisi ve güvenlik katmanını inşa edebilirsiniz.