Firewalld ile Linux Güvenlik Duvarı Yönetimi: Zone ve Servis Yapılandırması
Firewalld ile Linux güvenlik duvarı zone yapılandırması, servis ve port yönetimi, rich rule yazma ve NAT/masquerade ayarları.
Firewalld ile Linux Güvenlik Duvarı Yönetimi
Firewalld, RHEL/Rocky Linux/AlmaLinux ve modern Linux dağıtımlarında varsayılan güvenlik duvarı yönetim aracıdır. Zone tabanlı mimarisi ile esnek yapılandırma sunar.
Firewalld Kurulumu ve Temel Kullanım
# Kurulum (genellikle varsayılan kurulu)
dnf install firewalld # RHEL türevleri
apt install firewalld # Ubuntu/Debian
# Başlat ve etkinleştir
systemctl enable --now firewalld
# Durum kontrolü
systemctl status firewalld
firewall-cmd --state
Zone Kavramı
Firewalld, ağ arayüzlerini "zone" adı verilen güven bölgelerine atar:
| Zone | Açıklama |
|---|---|
| drop | Tüm gelen bağlantıları sessizce düşür |
| block | Tüm gelen bağlantıları reddet |
| public | Güvenilmez ağlar için (varsayılan) |
| external | Masquerade etkin dış ağ |
| internal | İç ağ, daha fazla güven |
| trusted | Tüm bağlantılara izin ver |
# Mevcut zone listesi
firewall-cmd --get-zones
# Aktif zone'lar
firewall-cmd --get-active-zones
# Varsayılan zone
firewall-cmd --get-default-zone
# Varsayılan zone değiştir
firewall-cmd --set-default-zone=public
Servis Yönetimi
# Mevcut servisler
firewall-cmd --get-services
# Zone'daki servisleri listele
firewall-cmd --list-services
firewall-cmd --zone=public --list-services
# Servis ekle (geçici - yeniden başlatmayla kaybolur)
firewall-cmd --add-service=http
# Kalıcı ekle
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=ssh
# Servisi kaldır
firewall-cmd --permanent --remove-service=telnet
# Değişiklikleri uygula
firewall-cmd --reload
Port Yönetimi
# Port aç
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --permanent --add-port=3306/tcp
# Port aralığı
firewall-cmd --permanent --add-port=10000-10100/udp
# Port kapat
firewall-cmd --permanent --remove-port=8080/tcp
# Açık portları listele
firewall-cmd --list-ports
# Tüm kuralları listele
firewall-cmd --list-all
IP Adresi Yönetimi
# Belirli IP'yi engelle
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.50" reject'
# Belirli IP'ye özel servis izni
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="mysql" accept'
# IP aralığını engelle
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" drop'
Rich Rules (Gelişmiş Kurallar)
# SSH brute force koruması (saatte 3 bağlantı)
firewall-cmd --permanent --add-rich-rule='
rule family="ipv4"
service name="ssh"
limit value="3/m"
accept'
# Belirli port için rate limit
firewall-cmd --permanent --add-rich-rule='
rule family="ipv4"
port protocol="tcp" port="80"
limit value="25/s"
accept'
# Log ile reddet
firewall-cmd --permanent --add-rich-rule='
rule family="ipv4"
source address="10.10.10.0/24"
log prefix="BLOCKED: " level="warning"
reject'
NAT ve Masquerade
# Masquerade etkinleştir (NAT/yönlendirici için)
firewall-cmd --permanent --zone=external --add-masquerade
# Port yönlendirme (80 → 8080)
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
# Farklı IP'ye yönlendirme
firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.10:toport=80
Arayüz Zone Ataması
# Arayüzü zone'a ata
firewall-cmd --permanent --zone=internal --add-interface=eth1
firewall-cmd --permanent --zone=public --add-interface=eth0
firewall-cmd --reload
iptables ile Karşılaştırma
# Firewalld kurallarını iptables ile görüntüle
iptables -L -n -v
# Gerekirse doğrudan iptables kullanın
# (firewalld devre dışı iken)
systemctl stop firewalld
systemctl disable firewalld
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Güvenlik Duvarı Kontrol Listesi
# Tüm zone'ları kontrol et
firewall-cmd --list-all-zones
# Açık servisleri doğrula
firewall-cmd --list-services
# Logları izle
journalctl -u firewalld -f
Büyükweb VDS sunucularında firewalld ile güvenlik duvarı tam kontrolü sizde. Ek olarak datacenter seviyesinde DDoS koruması ile çift katmanlı güvenlik sağlanır.
Firewalld ile Zone Tabanli Guvenlik
Firewalld'in zone yapisi farkli ag arayuzlerine farkli guvenlik politikalari uygulamanizi saglar. Public zone harici trafik icin, internal zone yerel ag icin, dmz zone ise yari-guvenilir servisler icin kullanilir. Bir arayuzu belirli bir zone'a atamak icin firewall-cmd --zone=internal --change-interface=eth1 komutunu kullanabilirsiniz. Rich rule'lar ile IP bazli erisim kontrolleri tanimlayabilirsiniz. Log mekanizmasi ile engellenen baglantilari izleyerek guvenlik analizi yapabilirsiniz. Buyukweb.com VDS sunucularda firewalld on yuklu olarak gelir ve tam yapilandirma ozgurlugu sunar.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Profesyonel Hosting icin Onemli Kriterler
Veri Merkezi Kalitesi
Veri merkezinin tier seviyesi, sunucu barindirma kalitesini dogrudan etkiler. Tier 3 veri merkezleri yedekli guc, soğutma ve ag altyapisi ile %99.982 uptime garantisi sunar. Buyukweb'in Bursa Pendc Tier 3 veri merkezi bu standartlari karsilamaktadir.
Teknik Destek Kalitesi
7/24 ulasılabilir, Turkce ve teknik bilgi sahibi destek ekibi hosting hizmetinin vazgecilmez parcasidir. E-posta, canli destek ve telefon kanallarindan hizli yanit almak ozellikle is surekliligi acisından kritiktir.
Olceklenebilirlik
Isletmeniz buyudukce hosting ihtiyaclariniz da degisir. Paylasimli hostingten VDS'e, VDS'den dedicated sunucuya sorunsuz gecis yapabilmek uzun vadeli planlamaniz icin onemlidir. Buyukweb tum bu gecis sureclerini ucretsiz olarak yonetir.
Yedekleme ve Felaket Kurtarma
Gunluk otomatik yedekleme, tek tikla geri yukleme ve uzak yedekleme secenekleri veri guvenliginiz icin sart. JetBackup ile profesyonel yedekleme cozumu tum Buyukweb hosting paketlerinde standarttir.
Guvenlik Katmanlari
SSL sertifikasi, WAF korumasi, malware tarama, DDoS korumasi ve guvenlik duvari - tum bu katmanlar birlikte calisiarak web sitenizi korur. Buyukweb bu guvenliklerin hepsini standart olarak sunar.
Uygulama ve Proje Ornekleri
Hosting ve sunucu hizmetleri farkli sektorlerde farkli ihtiyaclara karsilik gelir:
Kurumsal Web Sitesi
Sirket tanitim sitesi, blog, kariyer sayfasi ve iletisim formu icin paylasimli hosting yeterlidir. SSL, e-posta ve yedekleme dahil. cPanel ile kolay yonetim.
E-Ticaret Magaza
WooCommerce veya PrestaShop ile online magaza kurmak icin VDS oneriyoruz. Urun gorselleri, siparis yonetimi ve odeme entegrasyonu icin daha fazla kaynak gerekir.
SaaS Uygulamasi
Kendi yaziliminizi barindirmak icin dedicated sunucu veya VDS idealdir. Tam root erisim, ozel yapilandirma ve yuksek performans gerektirir.
Oyun Sunucusu
Multiplayer oyunlar icin dusuk gecikme suresi ve yuksek CPU performansi sart. GPU VDS ile grafik islem gerektiren oyun sunuculari calistirabilirsiniz.
Gelistirme Ortami
Test, staging ve CI/CD icin uygun fiyatli VDS paketleri kullanin. Docker ile gelistirme ortamlarinizi standartlastirin.
Her senaryo icin en uygun cozumu belirlemek icin Buyukweb teknik ekibine danisin: 0850 302 60 70.
Etiketler:
