Sunucu Güvenliği İçin Etkili Güvenlik Duvarı Politikası Seçimi
Bu Rehberde Ne Öğreneceksiniz?
Bu içerikte, bir güvenlik duvarını sadece komutlarla değil, doğru politika kararlarıyla nasıl güvenli hâle getireceğinizi öğreneceksiniz.
- Varsayılan politika nasıl seçilir? (ACCEPT vs DROP)
- DROP ve REJECT arasındaki fark ne?
- ICMP (ping, redirect, timestamp) nasıl yönetilir?
- Bağlantı limiti ve hız limiti nasıl eklenir?
- Kural seti tek blok mu yoksa zincir bazlı mı olmalı?
Hepsi sade, uygulanabilir ve SEO uyumlu şekilde açıklanmıştır.
1. Varsayılan Politika: ACCEPT mi DROP mu?
Güvenlik duvarı tasarımının en kritik adımı, kural eşleşmeyen trafiğe ne olacağını belirlemektir.
✅ Varsayılan DROP (Önerilen)
- Açıkça izin verilmeyen her şeyi reddeder.
- En güvenli modeldir.
- “Unutulmuş açık port” bırakma riskini sıfırlar.
❌ Varsayılan ACCEPT (Önerilmez)
- “Kara liste” mantığıyla çalışır.
- Tehlikeli tüm trafik tek tek engellenmelidir.
- Yönetimi zordur, hata payı fazladır.
2. DROP Politikası Nasıl Uygulanmalı?
2.1 Yerleşik DROP Politikası (Daha Güvenli)
- INPUT/FORWARD politikası doğrudan DROP yapılır.
- Firewall resetlenirse sunucu dış dünyaya kapanır.
- Dezavantaj: Yanlış kural yüklenirse erişimin kesilir.
2.2 En Sona DROP Kuralı Ekleme (Daha Esnek)
- Default ACCEPT kalır.
- Kural listesinin en sonuna
-j DROPeklenir. - Reset durumunda hizmetler açık kalır (korumasız olsa bile).
3. DROP vs REJECT: Hangisini Ne Zaman Kullanmalısın?
DROP (Sessiz Engelleme)
- Paket çöpe atılır, yanıt göderilmez.
- Saldırgan port taramasını yavaşlatır.
- Dezavantaj: Meşru kullanıcıda TIMEOUT hissi yaratır.
REJECT (Hata ile Reddetme)
- ICMP hata mesajı gönderilir.
- Meşru kullanıcı “port kapalı” bilgisini anında alır.
- Dezavantaj: Saldırgan port haritasını kolay çıkarır.
Nmap’e Göre Port Davranış Tablosu
| Paket | Politika | Tepki | Durum |
|---|---|---|---|
| TCP | ACCEPT | SYN/ACK | Açık |
| TCP | DROP | Yanıt yok | Filtrelenmiş |
| TCP | REJECT | TCP RESET | Kapalı |
| UDP | ACCEPT/DROP | Yanıt yok | Açık/Filtreli |
| UDP | REJECT | ICMP Unreachable | Kapalı |
4. ICMP Politikası Nasıl Yönetilir?
Engellenebilir ICMP Türleri
- Type 13 – Timestamp Request
- Type 5 – Redirect (güvenilmeyen ağlarda tehlikeli)
Genelde Güvenle Açılabilen Türler
- Type 0 – Echo Reply
- Type 3 – Destination Unreachable
- Type 11 – Time Exceeded
Not: Ping’i tamamen kapatmak sizi “gizlemez”.
5. Bağlantı ve Hız Limitleme
Bağlantı Limiti Örneği
# Aynı IP’nin en fazla 20 bağlantı açmasına izin ver
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT
Hız Limiti Örneği
# Saniyede en fazla 5 istek kabul et
iptables -A INPUT -p tcp --dport 443 -m limit --limit 5/second --limit-burst 15 -j ACCEPT
6. Kural Yönetimi: Tek Zincir mi, Alt Zincirler mi?
Monolitik Model
Tüm kurallar INPUT içinde olur.
Küçük projelerde yeterlidir.
Zincir Bazlı Yönetim (Önerilen)
HTTP_TRAFFIC, SSH_RULES gibi özel zincirler oluşturulur.
Temizlik ve okunabilirlik artar.
SSS – Sıkça Sorulan Sorular
1. DROP mu daha güvenli REJECT mi?
Genelde DROP daha güvenli, REJECT daha kullanıcı dostudur.
2. ICMP tamamen kapatılmalı mı?
Hayır. Modern ağlarda bazı ICMP türleri gereklidir.
3. Varsayılan ACCEPT kullanmak riskli mi?
Evet. Kapamayı unuttuğun port açık kalır.
4. Nmap taramalarını tamamen engelleyebilir miyim?
Tam olarak değil, ama zorlaştırabilirsin: DROP + limit + tarpitting.
5. Zincir bazlı yönetim SEO açısından iyi mi?
Evet. Google teknik rehberlerde “okunabilirlik sinyallerini” dikkate alır.
Sonuç
Bu rehber sayesinde güvenlik duvarı politika kararlarını (varsayılan politika, DROP vs REJECT, ICMP yönetimi, bağlantı limiti) doğru şekilde seçerek sunucunuzun güvenlik seviyesini ciddi şekilde artırabilirsiniz.
Rabisu Bulut üzerinde bu politikaları hemen uygulayarak test edebilirsiniz.