IPTables Güvenlik Duvarı: Kural Yazma ve Yönetimi
iptables ile Linux güvenlik duvarı kural yazma, zincir yönetimi, NAT yapılandırması ve kalıcı kural kaydetme. Pratik örneklerle kapsamlı iptables rehberi.
IPTables Güvenlik Duvarı: Kural Yazma ve Yönetimi
iptables, Linux çekirdeğindeki Netfilter güvenlik duvarı çerçevesinin kullanıcı arayüzüdür. Düşük seviyeli ağ paketi filtreleme, NAT ve paket düzenleme işlemleri için kullanılır.
Temel Kavramlar
Tablolar:
- filter: Paket filtreleme (varsayılan)
- nat: Adres/port çevirisi
- mangle: Paket düzenleme
- raw: Connection tracking öncesi
Zincirler (Chains):
- INPUT: Sunucuya gelen paketler
- OUTPUT: Sunucudan çıkan paketler
- FORWARD: Yönlendirilen paketler
- PREROUTING: Yönlendirme kararı öncesi
- POSTROUTING: Yönlendirme kararı sonrası
Hedefler (Targets):
- ACCEPT: Paketi kabul et
- DROP: Paketi sessizce düşür
- REJECT: Paketi reddet + hata mesajı gönder
- LOG: Paketi logla
Temel Komutlar
# Mevcut kuralları listele
iptables -L -n -v
iptables -L INPUT -n -v --line-numbers
# Kural ekle (sonuna)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Kural ekle (başına)
iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
# Kural sil (numara ile)
iptables -D INPUT 3
# Tüm kuralları sil
iptables -F
# Varsayılan politika
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Temel Güvenlik Kuralları
# Loopback izin ver
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Kurulu bağlantılara izin ver
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SSH (özel portta)
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
# HTTP ve HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# ICMP (ping)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Geri kalan her şeyi engelle
iptables -A INPUT -j DROP
Rate Limiting (Brute Force Koruması)
# SSH brute force koruması
iptables -A INPUT -p tcp --dport 2222 -m conntrack --ctstate NEW -m recent --set
iptables -A INPUT -p tcp --dport 2222 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
# HTTP flood koruması
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT
NAT ve Masquerade
# İnternet paylaşımı (masquerade)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Port yönlendirme (80 → 8080)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
# Farklı sunucuya yönlendirme
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80
IP Engelleme
# Tek IP engelle
iptables -A INPUT -s 192.168.1.100 -j DROP
# IP aralığı engelle
iptables -A INPUT -s 10.0.0.0/8 -j DROP
# Engellenen IP'leri listele
iptables -L INPUT -n | grep DROP
# IP engelini kaldır
iptables -D INPUT -s 192.168.1.100 -j DROP
Loglama
# Engellenen paketleri logla
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
# Logları izle
tail -f /var/log/kern.log | grep IPTables-Dropped
Kuralları Kalıcı Kaydetme
# Ubuntu/Debian
apt install iptables-persistent
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
# RHEL/Rocky Linux
service iptables save
# veya
iptables-save > /etc/sysconfig/iptables
Başlangıç Scripti
cat > /usr/local/bin/firewall.sh << 'SCRIPT'
#!/bin/bash
# Mevcut kuralları temizle
iptables -F && iptables -X
# Varsayılan politika
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Loopback
iptables -A INPUT -i lo -j ACCEPT
# Kurulu bağlantılar
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SSH
iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
# Web
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
# ICMP
iptables -A INPUT -p icmp -j ACCEPT
echo "Firewall kuralları yüklendi."
SCRIPT
chmod +x /usr/local/bin/firewall.sh
Modern sistemlerde firewalld veya nftables tercih edilir. Ancak iptables hâlâ yaygın kullanımdadır. Büyükweb VDS sunucularında istediğiniz güvenlik duvarı çözümünü özgürce yapılandırabilirsiniz.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Hosting ve Sunucu Terimleri Sozlugu
| Terim | Aciklama |
|---|---|
| VDS | Virtual Dedicated Server - Sanal ozel sunucu |
| NVMe SSD | Non-Volatile Memory Express - En hizli disk teknolojisi |
| LiteSpeed | Yuksek performansli web sunucu yazilimi |
| CloudLinux | Paylasimli hosting icin kaynak izolasyon isletim sistemi |
| cPanel | Populer web hosting kontrol paneli |
| Plesk | Web hosting ve sunucu yonetim paneli |
| KVM | Kernel-based Virtual Machine - Tam sanallastirma teknolojisi |
| DDoS | Distributed Denial of Service - Dagitik hizmet engelleme saldirisi |
| SSL/TLS | Veri iletisimini sifreleyen guvenlik protokolu |
| TTFB | Time to First Byte - Sunucu yanit suresi |
| CDN | Content Delivery Network - Icerik dagitim agi |
| WAF | Web Application Firewall - Web uygulama guvenligi duvari |
| IOPS | Input/Output Operations Per Second - Disk performans olcusu |
| Uptime | Sunucunun kesintisiz calisma suresi yuzdesi |
| Bandwidth | Veri transfer kapasitesi |
Bu terimleri anlamak, hosting ve sunucu hizmetlerini daha bilinçli secmenize yardimci olur. Detayli bilgi icin Buyukweb blog yazilarini takip edin veya teknik destek ekibimize danisIn.
Teknik Destek ve Yardim Kanallari
Buyukweb olarak musterilerimize birden fazla destek kanali sunuyoruz:
Canli Destek (Tawk.to)
Web sitemiz uzerinden 7/24 canli destek ile aninda yardim alin. Teknik sorulariniz, fatura islemleriniz ve genel bilgi talepleriniz icin canli destek ekibimiz hizmetinizdedir.
Telefon Destegi
0850 302 60 70 numarasindan hafta ici ve hafta sonu teknik destek alabilirsiniz. Acil durumlar ve karmasik sorunlar icin telefon destegi en hizli cozum yoludur.
E-posta Destegi
destek@buyukweb.com adresine detayli sorun tanimlamanizi gonderin. Ekran goruntuleri ve hata mesajlari ile birlikte gonderdiginiz talepler daha hizli cozumlenir.
Musteri Paneli
my.buyukweb.com uzerinden destek talepleri olusturun, faturalarinizi yonetin ve hizmetlerinizi kontrol edin. Ticket sistemi ile tum iletisiminiz kayit altindadir.
Bilgi Bankasi
Blog yazilarimiz ve rehberlerimiz ile sik karsilasilan sorunlarin cozumlerini kendiniz bulabilirsiniz. WordPress kurulumu, DNS ayarlari, e-posta yapilandirmasi gibi konularda adim adim rehberler mevcuttur.
Buyukweb teknik ekibi, hosting alaninda 17 yillik tecrubesi ile her turlu sorununuza profesyonel cozum sunar.
Etiketler:
