Güvenlik Duvarı Kuralları Nasıl Yapılandırılır: Eksiksiz Teknik Kılavuz

Bir güvenlik duvarı kuralı, bir güvenlik duvarı motoruna kaynak/hedef IP adresi, port numarası, taşıma protokolü ve trafik yönü gibi tanımlanmış kriterlere göre ağ trafiğine izin verme, reddetme veya kaydetme talimatı veren bir politika girişidir. Doğru yapılandırılmış güvenlik duvarı kuralları, altyapınız ile genel internet arasındaki birincil uygulama katmanını oluşturur ve bu da onları herhangi bir sunucu veya ağ cihazındaki en kritik güvenlik kontrolü haline getirir.

Bu kılavuz, güvenlik duvarı kural mimarisini, Linux üzerinde UFW’yi, firewalld, Windows Defender Firewall’u, nftables‘ı ve sağlamlaştırılmış bir ortamı yanlış yapılandırılmış birinden ayıran operasyonel uygulamaları kapsamaktadır.

Güvenlik Duvarı Kurallarının Gerçekte Neyi Kontrol Ettiği

Bir güvenlik duvarı kural kümesindeki her kural, genellikle 5-tuple olarak adlandırılan beş temel paket özelliğine göre değerlendirilir:

• Kaynak IP adresi — başlangıç ana bilgisayarı veya alt ağı (örn., 192.168.1.0/24)
• Hedef IP adresi — hedef ana bilgisayar veya aralık
• Kaynak port — başlatan taraftaki geçici port
• Hedef port — alıcı taraftaki hizmet portu (örn., HTTPS için 443, SSH için 22)
• Protokol — TCP, UDP, ICMP veya protokol numarası

5-tuple’ın ötesinde, durum bilgili güvenlik duvarları aynı zamanda bağlantı durumunu da izler (NEW, ESTABLISHED, RELATED, INVALID); bu sayede her yanıt için açık gelen kurallar yazmadan giden bağlantılar için dönüş trafiğine izin verebilirler.

Durum Bilgili ve Durum Bilgisiz Güvenlik Duvarları

Neredeyse tüm sunucu dağıtımları için — VPS Hosting ve Dedicated Sunucular dahil — durum bilgili ana bilgisayar tabanlı bir güvenlik duvarı doğru varsayılan seçimdir.

Güvenlik Duvarı Kural İşleme: Sıralama Sorunu

Yanlış yapılandırmanın en yaygın kaynaklarından biri, kural sıralamasını yanlış anlamaktır. Çoğu güvenlik duvarı kuralları yukarıdan aşağıya değerlendirir ve ilk eşleşen kuralı uygular, ardından durur. Bu şu anlama gelir:

• Belirli bir DENY kuralının üzerine yerleştirilen geniş kapsamlı bir ALLOW kuralı onu sessizce geçersiz kılar.
• Bir zincirin en üstündeki DENY ALL, ardından gelenlere bakılmaksızın her şeyi engeller.
• Yinelenen veya gölgede kalan kurallar işlem döngülerini boşa harcar ve denetim karmaşası yaratır.

En iyi uygulama: Her zaman genel kurallardan önce özel kuralları yerleştirin. Bilinen kötü kaynaklar için açık DENY kurallarını en üste, ardından güvenilir hizmetler için özel ALLOW kurallarını yerleştirin ve her zinciri varsayılan bir DENY politikasıyla sonlandırın.

Linux’ta UFW ile Güvenlik Duvarı Kurallarını Yapılandırma

UFW (Uncomplicated Firewall), Debian/Ubuntu tabanlı sistemlerde iptables ve nftables için bir ön uçtur. Düşük seviyeli zincir sözdizimini insan tarafından okunabilir komutlara dönüştürürken port, protokol, IP ve arayüz filtrelemesi üzerinde tam kontrolü korur.

Adım 1: UFW’yi Yükleyin ve Etkinleştirin

UFW, Ubuntu’da önceden yüklü olarak gelir. Etkinleştirmeden önce durumunu doğrulayın:

sudo ufw status verbose

Etkin değilse etkinleştirin:

sudo ufw enable

Kritik uyarı: SSH üzerinden bağlıysanız ve henüz 22 portuna izin vermediyseniz, UFW’yi etkinleştirmek sizi dışarıda bırakır. Uzak bir sunucuda güvenlik duvarını etkinleştirmeden önce her zaman SSH’ye izin verin.

Adım 2: Varsayılan Politikaları Ayarlayın

Varsayılan politikalar, açık bir kuralla eşleşmeyen trafiğe ne olacağını tanımlar. Güvenli temel yapılandırma şudur:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Bu, tüm istenmeyen gelen bağlantıları düşürürken tüm giden trafiğe izin verir. Güvenlik politikanız çıkış filtrelemesi gerektiriyorsa (örn., veri sızıntısını veya C2 geri aramalarını önlemek için), giden varsayılanı değiştirin:

sudo ufw default deny outgoing

Ardından yalnızca uygulamanızın ihtiyaç duyduğu giden hedeflere açıkça izin verin.

Adım 3: Belirli Hizmetlere ve Portlara İzin Verin

UFW, /etc/services‘daki hizmet adlarını veya açık port numaralarını destekler:

# Allow SSH by service name
sudo ufw allow ssh

# Allow HTTP and HTTPS
sudo ufw allow http
sudo ufw allow https

# Allow a custom application port
sudo ufw allow 8080/tcp

# Allow a UDP service (e.g., DNS resolver)
sudo ufw allow 53/udp

Bir port aralığına izin vermek için (örn., pasif FTP):

sudo ufw allow 49152:65535/tcp

Adım 4: Erişimi Belirli Kaynak IP’lerle Kısıtlayın

Yönetim portlarını 0.0.0.0/0‘a açmak, kaba kuvvet saldırısıyla ele geçirilmenin başlıca nedenidir. SSH’yi bilinen bir yönetim IP’siyle kilitleyin:

sudo ufw allow from 203.0.113.50 to any port 22 proto tcp

Tüm bir yönetim alt ağına izin vermek için:

sudo ufw allow from 10.0.0.0/8 to any port 22 proto tcp

Adım 5: Belirli IP’lerden veya Alt Ağlardan Gelen Trafiği Reddedin

Bilinen kötü amaçlı bir IP’yi engelleyin:

sudo ufw deny from 198.51.100.77

Tüm bir alt ağı engelleyin (örn., coğrafi bir blok veya kötüye kullanılan bir ASN aralığı):

sudo ufw deny from 198.51.100.0/24

Uç durum: UFW deny kuralları, ana bilgisayarın var olduğunu doğrulayan bir TCP RST veya ICMP port-erişilemez yanıtı gönderir. Paketleri sessizce düşürmek için bunun yerine reject kullanın:

sudo ufw reject from 198.51.100.0/24

Adım 6: Aktif Kuralları İnceleyin

sudo ufw status numbered

numbered bayrağı her kurala bir dizin atar; bu, hedefli silme işlemi için gereklidir:

[ 1] 22/tcp                     ALLOW IN    203.0.113.50
[ 2] 80/tcp                     ALLOW IN    Anywhere
[ 3] 443/tcp                    ALLOW IN    Anywhere

Varsayılan politikalar ve arayüz bağlamaları dahil tam ayrıntılı çıktı için:

sudo ufw status verbose

Adım 7: Kuralları Silin

Kural numarasına göre silin (tercih edilen — belirsizliği önler):

sudo ufw delete 3

Kural belirtimine göre silin:

sudo ufw delete allow 8080/tcp

Adım 8: Kuralları Yeniden Yükleyin ve Kalıcı Hale Getirin

UFW kuralları yeniden başlatmalar arasında otomatik olarak kalıcıdır. Toplu değişikliklerden sonra mevcut bağlantıları kesmeden yeniden yükleyin:

sudo ufw reload

Tüm kuralları sıfırlamak ve sıfırdan başlamak için:

sudo ufw reset

Gelişmiş UFW: Uygulama Profilleri

UFW, /etc/ufw/applications.d/‘da depolanan adlandırılmış uygulama profillerini destekler. Bu, tek bir ad altında çok portlu kurallar tanımlamanıza olanak tanır:

sudo ufw app list
sudo ufw allow 'Nginx Full'
sudo ufw app info 'Nginx Full'

Node.js API’si için özel bir profil oluşturma:

[NodeAPI]
title=Node.js API Server
description=Custom Node.js application
ports=3000,3001/tcp

Ardından uygulayın:

sudo ufw allow NodeAPI

firewalld ile Güvenlik Duvarı Kurallarını Yapılandırma (RHEL/CentOS/Fedora)

firewalld, düz bir kural kümesi yerine bölge tabanlı model kullanır. Her ağ arayüzü bir bölgeye atanır (örn., public, internal, dmz) ve kurallar bölge başına uygulanır. Bu, çok ağlı sunucular için mimari açıdan daha esnektir.

Temel firewalld İşlemleri

# Check status
sudo firewall-cmd --state

# List all active zones and their interfaces
sudo firewall-cmd --get-active-zones

# List rules in the public zone
sudo firewall-cmd --zone=public --list-all

Hizmetlere İzin Verme ve Kaldırma

# Allow HTTPS permanently
sudo firewall-cmd --zone=public --add-service=https --permanent

# Allow a custom port
sudo firewall-cmd --zone=public --add-port=8443/tcp --permanent

# Remove a service
sudo firewall-cmd --zone=public --remove-service=http --permanent

# Reload to apply permanent changes
sudo firewall-cmd --reload

IP’ye Özgü Politikalar için Zengin Kurallar

firewalld zengin kuralları, daha okunabilir bir sözdizimi ile iptables‘nin ayrıntı düzeyini sağlar:

# Allow SSH only from a specific IP
sudo firewall-cmd --zone=public 
  --add-rich-rule='rule family="ipv4" source address="203.0.113.50" service name="ssh" accept' 
  --permanent

# Block all traffic from a subnet
sudo firewall-cmd --zone=public 
  --add-rich-rule='rule family="ipv4" source address="198.51.100.0/24" drop' 
  --permanent

sudo firewall-cmd --reload

nftables ile Güvenlik Duvarı Kurallarını Yapılandırma

nftables, önemli ölçüde daha iyi performans ve atomik kural değiştirme ile IPv4, IPv6, ARP ve köprü filtrelemesi için birleşik bir çerçeve sunan iptables‘in modern halefidir.

Temel nftables Kural Kümesi

# Flush existing ruleset
sudo nft flush ruleset

# Create a basic filtering table
sudo nft add table inet filter

# Add input, forward, and output chains
sudo nft add chain inet filter input { type filter hook input priority 0 ; policy drop ; }
sudo nft add chain inet filter forward { type filter hook forward priority 0 ; policy drop ; }
sudo nft add chain inet filter output { type filter hook output priority 0 ; policy accept ; }

# Allow established and related connections
sudo nft add rule inet filter input ct state established,related accept

# Allow loopback
sudo nft add rule inet filter input iif lo accept

# Allow SSH from a specific IP
sudo nft add rule inet filter input ip saddr 203.0.113.50 tcp dport 22 accept

# Allow HTTP and HTTPS from anywhere
sudo nft add rule inet filter input tcp dport { 80, 443 } accept

Kural kümesini kalıcı hale getirmek için varsayılan yapılandırma dosyasına kaydedin:

sudo nft list ruleset > /etc/nftables.conf
sudo systemctl enable nftables

Windows’ta Güvenlik Duvarı Kurallarını Yapılandırma

Gelişmiş Güvenlik özellikli Windows Defender Firewall, kural yönetimi için hem GUI hem de komut satırı (netsh, PowerShell) arayüzleri sağlar.

GUI Kullanımı

1. wf.msc aracılığıyla Gelişmiş Güvenlik özellikli Windows Defender Firewall‘u açın.
2. Sol panelde Gelen Kurallar veya Giden Kurallar‘ı seçin.
3. Sağ panelde Yeni Kural‘a tıklayın.
4. Kural türünü seçin:

• Port — TCP/UDP port numarasına göre filtrele
• Program — yürütülebilir dosya yoluna göre filtrele
• Önceden tanımlanmış — yerleşik Windows hizmet tanımını kullan
• Özel — tüm parametreler üzerinde tam kontrol

1. Portu veya programı belirtin, İzin Ver veya Engelle‘yi seçin, geçerli profilleri (Etki Alanı, Özel, Genel) seçin ve kurala bir ad verin.

PowerShell Kullanımı (Otomasyon için Önerilir)

# Allow inbound HTTPS
New-NetFirewallRule -DisplayName "Allow HTTPS Inbound" `
  -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

# Allow inbound SSH (Windows OpenSSH)
New-NetFirewallRule -DisplayName "Allow SSH Inbound" `
  -Direction Inbound -Protocol TCP -LocalPort 22 -Action Allow `
  -RemoteAddress 203.0.113.50

# Block inbound traffic from a specific IP
New-NetFirewallRule -DisplayName "Block Malicious IP" `
  -Direction Inbound -RemoteAddress 198.51.100.77 -Action Block

# View all inbound rules
Get-NetFirewallRule -Direction Inbound | Select-Object DisplayName, Enabled, Action

# Remove a rule by name
Remove-NetFirewallRule -DisplayName "Allow HTTPS Inbound"

netsh Kullanımı (Eski ama Yaygın Olarak Desteklenen)

:: Allow inbound port 443
netsh advfirewall firewall add rule name="Allow HTTPS" protocol=TCP dir=in localport=443 action=allow

:: Block a specific IP
netsh advfirewall firewall add rule name="Block IP" dir=in remoteip=198.51.100.77 action=block

:: Delete a rule
netsh advfirewall firewall delete rule name="Allow HTTPS"

Kritik Güvenlik Duvarı Kural Tuzakları ve Uç Durumlar

ESTABLISHED Trafik için Örtük İzin

Durum bilgili güvenlik duvarlarında, giriş zincirinde ESTABLISHED ve RELATED bağlantılarına açıkça izin verilmemesi, çıkış zinciri ACCEPT olarak ayarlanmış olsa bile tüm giden başlatılan oturumları (örn., apt update, curl, DNS aramaları) bozar. Bu, ham iptables veya nftables kurulumlarında en yaygın yanlış yapılandırmadır.

# This rule MUST appear before any DROP rules in the input chain
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

IPv6 Eşliği

Birçok yönetici IPv4 kurallarını titizlikle yapılandırır ve IPv6’yı tamamen unutur. Sunucunuzun bir IPv6 adresi varsa ve UFW’nin IPv6 desteği etkin değilse, bir saldırgan :: üzerinden bağlanarak tüm IPv4 kurallarını atlayabilir. /etc/default/ufw‘ın şunları içerdiğini doğrulayın:

IPV6=yes

Geri Döngü Arayüzü

Her zaman geri döngü arayüzündeki (lo) trafiğe açıkça izin verin. Birçok yerel hizmet (veritabanları, mesaj kuyrukları, dahili API’ler) 127.0.0.1 veya ::1 üzerinden iletişim kurar. Geri döngüyü engellemek, süreçler arası iletişimi sessizce bozar.

sudo ufw allow in on lo
sudo ufw allow out on lo

Kaba Kuvveti Önlemek için Hız Sınırlama

UFW, SSH ve diğer kimlik doğrulama hizmetleri için gerekli olan bağlantı hızı sınırlamayı yerel olarak destekler:

sudo ufw limit ssh

Bu, tek bir IP’den 30 saniye içinde maksimum 6 bağlantı girişimine izin verir ve ardından otomatik geçici bir blok tetikler — temel dağıtımlar için fail2ban‘e hafif bir alternatif.

ICMP ve Tanılama Trafiği

Tüm ICMP’yi engellemek yaygın ancak verimsiz bir uygulamadır. Bu, ping‘ı, traceroute‘ı, MTU yol keşfini ve bazı yönlendirme protokollerini bozar. Doğru yaklaşım, belirli ICMP türlerine izin vermektir:

• Tür 0 (Yankı Yanıtı) ve Tür 8 (Yankı İsteği) — ping için
• Tür 3 (Hedefe Ulaşılamıyor) — yol MTU keşfi için
• Tür 11 (Süre Aşıldı) — traceroute için

Modern meşru kullanımı olmayan Tür 17 (Adres Maskesi İsteği) ve Tür 18‘i (Adres Maskesi Yanıtı) engelleyin.

Güvenlik Duvarı Kuralları ve Barındırma Ortamları

Doğru güvenlik duvarı stratejisi, altyapı katmanınıza büyük ölçüde bağlıdır.

Paylaşımlı Web Barındırma‘da güvenlik duvarı, sağlayıcı tarafından platform düzeyinde yönetilir. Kiracılar genellikle çekirdek düzeyinde paket filtreleri yerine uygulama katmanı erişim kontrollerini yapılandırır.

cPanel ile VPS‘te, cPanel/WHM, iptables‘ı yüksek düzeyli bir arayüz, otomatik kaba kuvvet tespiti ve port çalma desteğiyle saran ConfigServer Security & Firewall (CSF)‘i içerir. CSF, cPanel ortamları için standart güvenlik duvarı çözümüdür ve bu sistemlerde ham UFW’ye tercih edilmelidir.

Yönetilmeyen VPS Hosting veya Dedicated Sunucular‘da çekirdek güvenlik duvarı üzerinde tam kontrole sahipsiniz. UFW, firewalld ve nftables‘ın uygun araçlar olduğu yer burasıdır. Sağlamlaştırma temeli şunları içermelidir:

• Varsayılan-reddet gelen politikası
• Bilinen yönetim IP’leriyle veya VPN ağ geçidiyle kısıtlanmış SSH
• Tüm gerekli olmayan portlar kapalı
• Kimlik doğrulama portlarında hız sınırlama
• Reddedilen trafik için etkin günlük kaydı

GPU Hosting‘de GPU iş yükleri veya ML çıkarım hizmetleri çalıştırıyorsanız, Jupyter not defterleri, TensorBoard ve model sunum API’leri tarafından açılan portlara özellikle dikkat edin — bunlar, açık yüksek numaralı portları tarayan kripto madenciliği botları tarafından sıklıkla hedef alınır.

Güvenlik Duvarı Kural Denetimi ve Bakım Kontrol Listesi

Düzenli kural denetimleri, ilk yapılandırma kadar önemlidir. Kurallar zamanla birikir ve eskir, gereksiz saldırı yüzeyi oluşturur.

Üç ayda bir gerçekleştirilecek denetim görevleri:

• sudo ufw status numbered veya eşdeğerini çalıştırın ve her kuralı mevcut hizmet envanterine göre inceleyin
• Hizmet dışı bırakılan hizmetlere, eski IP adreslerine ve hiç temizlenmemiş geçici istisnalara ait kuralları kaldırın
• Varsayılan politikaların hâlâ deny incoming olduğunu doğrulayın
• IPv6 kurallarının IPv4 kurallarını yansıttığını kontrol edin
• Günlük kaydının etkin olduğunu ve reddedilen trafik günlüklerinin SIEM’iniz veya günlük toplayıcınız tarafından alındığını onaylayın
• Saldırı yüzeyinin amacınızla örtüştüğünü doğrulamak için harici bir ana bilgisayardan nmap ile kuralları test edin

# Scan your own server from an external host to verify exposed ports
nmap -sS -sV -p 1-65535 --open YOUR_SERVER_IP

• ESTABLISHED/RELATED kurallarının mevcut olduğunu ve doğru sıralandığını doğrulayın
• Hız sınırlama kurallarını inceleyin ve gözlemlenen trafik kalıplarına göre eşikleri ayarlayın

Karar Matrisi: Doğru Güvenlik Duvarı Aracını Seçme

Pratik Temel Çıkarımlar

• Herhangi bir izin kuralı yazmadan önce varsayılan-reddet gelen politikasını ayarlayın. Bu, yazmayı unuttuğunuz herhangi bir kuralın açık bir bağlantı yerine engellenmiş bir bağlantıyla sonuçlanmasını sağlar.
• Üretim sunucusunda SSH’yi 0.0.0.0/0‘a asla açmayın. Bunu bir yönetim IP’siyle, VPN alt ağıyla kısıtlayın veya port çalma kullanın.
• İzin kurallarını mümkün olduğunca spesifik yazın. allow 22 yerine from 203.0.113.50 to any port 22 proto tcp‘ı tercih edin.
• IPv4 kurallarını IPv6’da da yansıtın. Yalnızca IPv4’ü filtreleyen bir güvenlik duvarı yarım bir güvenlik duvarıdır.
• Tüm kimlik doğrulama portlarında bağlantı hızı sınırlamasını etkinleştirin — temel kaba kuvvet azaltma önlemi olarak.
• Reddedilen trafiği kaydedin. Günlük kaydı olmayan sessiz düşürmeler, olay müdahalesini neredeyse imkânsız kılar.
• Kuralları bir programa göre denetleyin. Eski kurallar bir güvenlik ağı değil, bir yükümlülüktür.
• Dışarıdan test edin. Etkili saldırı yüzeyini doğrulamak için her önemli kural değişikliğinden sonra nmap veya harici bir port tarayıcısı kullanın.
• Kural güncellemeleri sırasında aktif bağlantıların kesilmesini önlemek için ufw disable && ufw enable yerine ufw reload kullanın.
• nftables ve iptables‘da, giden başlatılan oturumların bozulmasını önlemek için ESTABLISHED/RELATED kabul kuralını her zaman giriş zincirinin en üstüne yerleştirin.

Sıkça Sorulan Sorular

Bulut ortamlarında güvenlik duvarı kuralı ile güvenlik grubu arasındaki fark nedir?

Bir güvenlik grubu (AWS, GCP, Azure), trafik VM’nize ulaşmadan önce hiper yönetici düzeyinde uygulanan durum bilgili, bulut tarafından yönetilen bir paket filtresidir. Ana bilgisayar tabanlı bir güvenlik duvarı kuralı (UFW, firewalld) işletim sistemi çekirdeği içinde çalışır. Derinlemesine savunma için her ikisi de aynı anda kullanılmalıdır — bulut güvenlik grubu dış çevre olarak, ana bilgisayar güvenlik duvarı ise iç uygulama katmanı olarak.

UFW bir kuralı aktif olarak gösteriyor ancak trafik hâlâ engelleniyorsa ne yapmalıyım?

En yaygın neden kural sıralamasıdır. Zincirde daha önce yer alan bir DENY kuralı, ALLOW kuralınızdan önce eşleşiyor olabilir. sudo ufw status numbered‘ı çalıştırın ve sırayı kontrol edin. Ayrıca istemci IPv6 üzerinden bağlanıyorsa IPv6 kurallarının mevcut olduğunu ve sunucu çok ağlıysa doğru arayüzün hedeflendiğini doğrulayın.

Güvenlik amacıyla ICMP’yi tamamen engellemeli miyim?

Hayır. Tüm ICMP’yi engellemek, standart dışı MTU’lara sahip ağlarda TCP oturumlarının takılmasına neden olan yol MTU keşfini bozar. Ayrıca traceroute‘ı bozar ve ağ tanılamayı önemli ölçüde zorlaştırır. Yalnızca meşru operasyonel kullanımı olmayan ICMP türlerini (17 ve 18) engelleyin. Yankı isteği/yanıtına, hedefe ulaşılamazlığa ve süre aşımına izin verin.

UFW’yi yeniden yüklediğimde aktif SSH bağlantılarına ne olur?

sudo ufw reload, mevcut conntrack durum girişlerini temizlemeden kural kümesini yeniden yükler. Çekirdeğin bağlantı izleme tablosu hâlâ ESTABLISHED durumlarını tuttuğundan aktif SSH oturumları bağlı kalmaya devam eder. Yalnızca sudo ufw disable ardından sudo ufw enable durumu temizler ve potansiyel olarak aktif bağlantıları düşürür.

Sistem yeniden başlatıldıktan sonra güvenlik duvarı kurallarının kaybolmasını nasıl önlerim?

UFW, kuralları /etc/ufw/ yapılandırma dosyaları aracılığıyla yeniden başlatmalar arasında otomatik olarak kalıcı hale getirir. firewalld için her kuralda --permanent bayrağını kullanın ve sudo firewall-cmd --reload‘ı çalıştırın. Ham nftables için kural kümesini sudo nft list ruleset > /etc/nftables.conf ile kaydedin ve nftables systemd hizmetinin etkin olduğundan emin olun. iptables için iptables-save > /etc/iptables/rules.v4 kullanın ve iptables-persistent paketini yükleyin.