Linux Güvenlik Duvarı: iptables ve firewalld Yapılandırması
Linux sunucunuzu güvenlik duvarı ile nasıl korursunuz? iptables ve firewalld ile port engelleme, IP izin verme, DDoS koruma kuralları ve sunucu güvenliği rehberi.
Linux Güvenlik Duvarı: iptables ve firewalld Yapılandırması
Bir Linux sunucusunu internete açtığınızda, güvenlik duvarı olmadan binlerce port tarama ve saldırı girişimiyle karşılaşırsınız. iptables ve firewalld, Linux sunucularını korumak için kullanılan temel güvenlik duvarı araçlarıdır. Bu rehberde temel güvenlik duvarı yapılandırmasını ele alıyoruz.
iptables Nedir?
iptables, Linux çekirdeğinin Netfilter altyapısına arayüz sağlayan güvenlik duvarı aracıdır. Kural tabanlı çalışır: her paket kurallara göre izin verilir (ACCEPT), düşürülür (DROP) veya reddedilir (REJECT).
Zincirler (Chains)
- INPUT: Sunucuya gelen trafiği filtreler
- OUTPUT: Sunucudan çıkan trafiği filtreler
- FORWARD: Sunucu üzerinden geçen trafiği filtreler
Tablolar (Tables)
- filter: Güvenlik duvarı kuralları (varsayılan)
- nat: Adres çevirisi
- mangle: Paket değiştirme
iptables Temel Komutlar
# Mevcut kuralları listele
iptables -L
iptables -L -v -n # Detaylı, sayısal
# Tüm kuralları temizle
iptables -F
# Kural ekle
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH izin ver
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP izin ver
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS izin ver
# Kural sil
iptables -D INPUT -p tcp --dport 8080 -j ACCEPT
# Politika değiştir (varsayılan eylem)
iptables -P INPUT DROP # Gelen trafiği varsayılan olarak engelle
Kayıtlı Bağlantılara İzin Verme
# Kurulmuş bağlantılara izin ver
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Loopback arayüzüne izin ver
iptables -A INPUT -i lo -j ACCEPT
Temel Güvenlik Duvarı Yapılandırması
#!/bin/bash
# Temel güvenlik duvarı scripti
# Tüm kuralları temizle
iptables -F
iptables -X
# Varsayılan politikalar
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Loopback
iptables -A INPUT -i lo -j ACCEPT
# Kurulmuş bağlantılar
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SSH (sadece belirli IP'den)
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j ACCEPT
# HTTP ve HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# MySQL (sadece localhost)
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
# ICMP (ping)
iptables -A INPUT -p icmp -j ACCEPT
echo "Güvenlik duvarı yapılandırıldı"
Kuralları Kaydetme
# AlmaLinux/CentOS
service iptables save
# veya
iptables-save > /etc/sysconfig/iptables
# Ubuntu/Debian
apt install iptables-persistent
iptables-save > /etc/iptables/rules.v4
firewalld (CentOS 7+ / AlmaLinux)
firewalld, iptables'ın üzerinde çalışan daha kullanıcı dostu bir güvenlik duvarı yönetim aracıdır.
Temel Komutlar
# Durum kontrol
firewall-cmd --state
systemctl status firewalld
# Zone'ları listele
firewall-cmd --list-all
firewall-cmd --get-active-zones
# Servis listesi
firewall-cmd --get-services
Servis Bazlı Kurallar
# Servislere izin ver
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=smtp
# Servis izni kaldır
firewall-cmd --permanent --remove-service=telnet
# Değişiklikleri uygula
firewall-cmd --reload
Port Bazlı Kurallar
# Port aç
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --permanent --add-port=3000/tcp
# Port kapat
firewall-cmd --permanent --remove-port=8080/tcp
# Reload
firewall-cmd --reload
IP Bazlı Kurallar
# Belirli IP'ye izin ver
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="1.2.3.4" accept'
# Belirli IP'yi engelle
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="5.6.7.8" drop'
# Belirli IP'ye belirli porta izin ver
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="1.2.3.4" port protocol="tcp" port="22" accept'
ufw (Ubuntu/Debian)
# Durum
ufw status verbose
# Aktive et
ufw enable
# Kural ekle
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
# IP bazlı kural
ufw allow from 1.2.3.4 to any port 22
ufw deny from 5.6.7.8
# Kural sil
ufw delete allow 8080/tcp
# Sıfırla
ufw reset
DDoS Temel Koruması
# SYN flood koruması
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
# Aynı IP'den fazla bağlantıyı engelle
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
# Port taraması tespiti
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
Büyükweb Veri Merkezi Güvenliği
Büyükweb hosting ve VDS sunucular, Bursa Pendc Tier 3 veri merkezinde ağ düzeyinde DDoS koruması ile donatılmıştır. VDS kullanıcıları ek olarak kendi uygulama düzeyinde güvenlik duvarı yapılandırabilirler.
Sonuç
Linux güvenlik duvarı yapılandırması, sunucu güvenliğinin temel taşıdır. Minimal kural prensibi (yalnızca gerekli portları aç, geri kalanını kapat) uygulayın. firewalld veya ufw, iptables'a kıyasla daha kullanıcı dostu bir deneyim sunar. Düzenli kural gözden geçirmesi ve güvenlik denetimi, sunucunuzu korumanın anahtarıdır.
Pratik Linux Komutlari
Dosya Yonetimi
find ile kriterlere gore arama yapin. du -sh ile dizin boyutu, ncdu ile interaktif analiz. locate ile hizli dosya bulma. rsync ile dosya senkronizasyonu.
Surec Yonetimi
ps aux ile surecleri goruntuleyin. kill -9 ile sonlandirin. nohup ile arka planda calistirin. screen/tmux ile coklu terminal. systemctl ile servis yonetimi.
Metin Isleme
grep -r ile arama, sed ile toplu degisiklik, awk ile sutun cikarma. jq ile JSON isleme. tail -f ile canli log takibi. wc ile satir/kelime sayma.
Ag Komutlari
ss -tulpn ile portlar, curl ile HTTP istekleri, mtr ile traceroute, tcpdump ile trafik yakalama. dig ile DNS sorgulari. wget ile dosya indirme.
Zamanlama
crontab -e ile zamanlanmis gorevler. Yedekleme, temizlik otomasyonu. systemd timer ile gelismis zamanlama.
Disk Yonetimi
df -h ile kullanim, lsblk ile diskler. LVM ile esnek yonetim. RAID yapilandirmasi.
Sik Sorulan Sorular
Nereden baslamaliyim?
Temel komutlar (ls, cd, cp, mv, rm), editior (nano/vim), izinler (chmod) ve paket yonetimi (apt/dnf) ile baslayin.
Bash script nasil yazilir?
#!/bin/bash ile baslayin. Degiskenler, kosullar, donguler ogrenin. chmod +x ile calistirin.
Sonuc
Linux komut satiri sunucu yonetiminin vazgecilmez aracidir. Pratik yaparak becerilerinizi gelistirin.
En Sik Kullanilan Linux Komutlari
| Komut | Aciklama | Ornek |
|---|---|---|
| ls -la | Detayli dosya listesi | ls -la /var/www |
| grep -r | Icerik arama | grep -r "error" /var/log |
| find | Dosya bulma | find / -name "*.conf" |
| chmod | Izin degistirme | chmod 755 dosya.sh |
| chown | Sahiplik degistirme | chown www-data /var/www |
| systemctl | Servis yonetimi | systemctl restart nginx |
| journalctl | Log goruntuleme | journalctl -u nginx -f |
| df -h | Disk kullanimi | df -h / |
| free -m | Bellek kullanimi | free -m |
| ss -tulpn | Ag baglantilari | ss -tulpn |
Shell Scripting Temelleri
Bash script ile tekrarli gorevleri otomatiklestirin:
Yedekleme Scripti
Otomatik yedekleme ile veritabani ve dosyalarinizi duzenli yedekleyin. mysqldump ile veritabani, tar ile dosya arsivi olusturun.
Disk Izleme
Disk kullanimini izleyen ve esik degerini astiginda bildirim gonderen script yazin.
Log Analiz
Apache/Nginx loglarini analiz ederek en cok ziyaret edilen sayfalar ve supheli IP adresleri raporlayan script olusturun.
Turkiye'de Hosting Sektoru 2025-2026
Sektorel Trendler
Turkiye hosting pazari hizla buyumektedir. E-ticaretin genislemesi, dijitallesme calismalarI ve uzaktan calisma trendi hosting talebini artirmaktadir. NVMe SSD, HTTP/3 ve edge computing gibi teknolojiler hosting performansini yeni seviyelere tasimaktadir.
Dikkat Edilmesi Gerekenler
Hosting sektoru rekabetci bir pazardir. Dusuk fiyat vaat eden ancak altyapı kalitesinden odun veren firmalardan kacinin. Gizli maliyet, yenileme fiyat artisi ve yetersiz destek en sik karsilasilan sorunlardir.
Hosting Firmasi Secim Kriterleri
- Veri merkezi lokasyonu: Turkiye'de veri merkezi olan firmalari tercih edin
- Uptime garantisi: Minimum %99.5, ideal %99.8+
- Teknik destek: 7/24 Turkce destek zorunlu
- Guvenlik: DDoS korumasi, SSL, WAF dahil olmali
- Yedekleme: Gunluk otomatik yedekleme olmali
- Olceklenebilirlik: Ihtiyac artiginda kolayca yukseltme yapilabilmeli
- Musteri yorumlari: Gercek kullanici deneyimlerini arastirin
Buyukweb 2009'dan beri bu kriterlerin tumunu karsilayarak 5.200+ musteriye guvenilir hosting hizmeti sunmaktadir. Sorulariniz icin 0850 302 60 70 numarasini arayabilir veya destek@buyukweb.com adresine yazabilirsiniz.
Etiketler:
