Linux VPS İçin Güvenlik Duvarı (Firewall) Kurulumu

Linux VPS İçin Güvenlik Duvarı (Firewall) Kurulumu

Güvenlik Duvarı (Firewall) Nedir ve Nasıl Çalışır?

Güvenlik duvarı (firewall), bir bilgisayar ağı ile dış dünya arasında bir bariyer görevi gören, ağ trafiğini izleyen ve kontrol eden bir güvenlik sistemidir. Önceden tanımlanmış güvenlik kurallarına göre gelen ve giden ağ trafiğini analiz eder. Belirlenen kurallara uymayan paketleri engellerken, güvenli olarak kabul edilen paketlerin geçişine izin verir. Bu, siber saldırıları, yetkisiz erişimi ve kötü amaçlı yazılımların yayılmasını önlemeye yardımcı olur. Güvenlik duvarları donanım tabanlı veya yazılım tabanlı olabilir. Yazılım tabanlı güvenlik duvarları, genellikle işletim sisteminin bir parçası olarak veya ayrı bir uygulama olarak çalışır. Linux VPS ortamlarında, işletim sistemine entegre edilmiş veya sonradan kurulan yazılım güvenlik duvarları yaygın olarak kullanılır. Sanal özel sunucular (VPS), kendi işletim sistemlerine sahip oldukları için, bu güvenlik katmanını kendi ihtiyaçlarına göre özelleştirme imkanı sunar. Güvenlik duvarının temel amacı, sunucunuzun sadece ihtiyaç duyulan portlara ve servislere erişimini sağlamak, böylece saldırı yüzeyini minimize etmektir. Bu, özellikle VPS gibi paylaşımlı veya özel altyapılarda çalışan sistemler için hayati önem taşır.

Linux İçin Popüler Güvenlik Duvarı Çözümleri

Linux ekosisteminde, güvenlik duvarı yönetimi için çeşitli araçlar ve teknolojiler mevcuttur. Her birinin kendine özgü avantajları, dezavantajları ve kullanım senaryoları bulunur.

• iptables: Linux çekirdeğinde yerleşik olarak bulunan, oldukça güçlü ve esnek bir paket filtreleme aracıdır. Karmaşık kural setleri oluşturulmasına olanak tanır ancak kullanımı başlangıçta zorlayıcı olabilir.
• ufw (Uncomplicated Firewall): Ubuntu tarafından geliştirilen ve iptables'ın üzerine inşa edilmiş, kullanımı kolay bir arayüzdür. Basit komutlarla güvenlik duvarı kurallarını yönetmeyi sağlar, yeni başlayanlar için idealdir.
• firewalld: Red Hat tabanlı dağıtımlar (CentOS, Fedora, RHEL) tarafından kullanılan dinamik bir güvenlik duvarı yönetim aracıdır. Servis ve bölge (zone) tabanlı yapılandırma sunar, çalışma anında kuralları değiştirmeye imkan tanır.
• nftables: iptables'ın yerini alması hedeflenen, daha modern ve esnek bir paket filtreleme çerçevesidir. iptables'a göre daha iyi performans ve daha net bir sözdizimi sunar.

Bu çözümler, farklı seviyelerde karmaşıklık ve yetenek sunar. Bir VPS kullanıcısı, kendi teknik bilgisine, işletim sistemine ve güvenlik ihtiyaçlarına en uygun olanı seçebilir. Örneğin, yeni başlayanlar için ufw, daha deneyimli kullanıcılar veya özel gereksinimleri olanlar için ise iptables veya nftables daha uygun olabilir.

iptables ile Güvenlik Duvarı Kurulumu

iptables, Linux sistemlerinde en yaygın ve güçlü güvenlik duvarı araçlarından biridir. Çekirdekte yerleşik olması sayesinde ek bir kurulum gerektirmez ancak yapılandırması detaylı bilgi gerektirir. Kurulum ve temel yapılandırma adımları aşağıda özetlenmiştir:

1. Temel Kurallar: Öncelikle, tüm gelen bağlantıları varsayılan olarak reddetmek ve belirli portlara izin vermek iyi bir başlangıç noktasıdır.

           # Varsayılan olarak tüm gelen trafiği reddet
           sudo iptables -P INPUT DROP
           # Varsayılan olarak tüm giden trafiğe izin ver
           sudo iptables -P OUTPUT ACCEPT
           # Varsayılan olarak tüm yönlendirilmiş trafiği reddet
           sudo iptables -P FORWARD DROP
           

2. Gerekli Portlara İzin Verme: SSH (varsayılan 22), HTTP (80) ve HTTPS (443) gibi temel servislere erişim izni verilir.

           # SSH (TCP port 22) trafiğine izin ver
           sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
           # HTTP (TCP port 80) trafiğine izin ver
           sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
           # HTTPS (TCP port 443) trafiğine izin ver
           sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
           # Mevcut bağlantıların devamına izin ver
           sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
           

3. Lokalhost Trafiği: Lokalhost (127.0.0.1) üzerindeki iletişime izin vermek sistemin düzgün çalışması için önemlidir.

           sudo iptables -A INPUT -i lo -j ACCEPT
           

4. Kural Kaydetme: iptables kuralları sistem yeniden başlatıldığında kaybolur. Bu nedenle kuralların kalıcı hale getirilmesi gerekir.
   • Debian/Ubuntu tabanlı sistemlerde: sudo apt-get install iptables-persistent komutu ile kurulum yapılıp, sudo netfilter-persistent save ile kurallar kaydedilir.
   • CentOS/RHEL tabanlı sistemlerde: sudo yum install iptables-services komutu ile kurulum yapılıp, sudo service iptables save ile kurallar kaydedilir.

Bu temel yapılandırma, sunucunuzun güvenliğini önemli ölçüde artırır. Ancak daha karmaşık senaryolar için ek kurallar oluşturulması gerekebilir. Örneğin, belirli IP adreslerinden gelen trafiği engellemek veya belirli bir servise erişimi sadece belirli IP aralıklarıyla sınırlamak gibi.

ufw ile Güvenlik Duvarı Kurulumu

ufw (Uncomplicated Firewall), özellikle Ubuntu ve türevlerinde kullanımı kolay bir güvenlik duvarı arayüzüdür. iptables'ın karmaşıklığını soyutlayarak daha anlaşılır bir komut yapısı sunar.

1. ufw Kurulumu: Çoğu Ubuntu sisteminde varsayılan olarak yüklü gelir. Yüklü değilse, aşağıdaki komutla kurulabilir:

           sudo apt update
           sudo apt install ufw
           

2. Varsayılan Politikaları Ayarlama: Gelen trafiği varsayılan olarak engellemek ve giden trafiğe izin vermek iyi bir pratiktir.

           sudo ufw default deny incoming
           sudo ufw default allow outgoing
           

3. Gerekli Servislere İzin Verme: SSH, HTTP, HTTPS gibi temel servislere izin verilir.

           # SSH (varsayılan 22)
           sudo ufw allow ssh
           # HTTP (varsayılan 80)
           sudo ufw allow http
           # HTTPS (varsayılan 443)
           sudo ufw allow https
           # Belirli bir port veya port aralığına izin verme
           # sudo ufw allow 8080
           # sudo ufw allow 6000:7000/tcp
           

4. Güvenlik Duvarını Aktif Etme: Yapılandırma tamamlandıktan sonra ufw etkinleştirilir.

           sudo ufw enable
           

   Bu komut, sistem yeniden başlatıldığında da güvenlik duvarının aktif olmasını sağlar.
5. Durumu Kontrol Etme: Güvenlik duvarının mevcut durumunu ve kurallarını görmek için kullanılır.

           sudo ufw status verbose
           

6. Kuralları Silme: Belirli bir kuralı silmek için numarasını kullanabilirsiniz.

           sudo ufw status numbered
           sudo ufw delete [kural_numarası]
           

ufw, VPS üzerinde hızlı ve etkili bir güvenlik duvarı kurulumu için mükemmel bir seçenektir. Özellikle teknik detaylarla boğuşmak istemeyen kullanıcılar için idealdir.

firewalld ile Güvenlik Duvarı Kurulumu

firewalld, Red Hat tabanlı dağıtımlarda yaygın olarak kullanılan, dinamik ve servis tabanlı bir güvenlik duvarı yönetim aracıdır. Çalışma anında kuralları yeniden yüklemeye gerek kalmadan değiştirmeye imkan tanır. VPS barındıran kullanıcılar için özellikle esneklik sunar.

1. firewalld Kurulumu: Genellikle sistemle birlikte gelir. Eğer yüklü değilse, aşağıdaki komutla kurulabilir:

           sudo yum install firewalld
           # Veya dnf ile:
           # sudo dnf install firewalld
           

2. Servisi Başlatma ve Etkinleştirme:

           sudo systemctl start firewalld
           sudo systemctl enable firewalld
           

3. Varsayılan Bölgeyi (Zone) Anlama: firewalld, farklı güvenlik seviyeleri için bölgeler kullanır. En yaygın kullanılanlar public ve trusted'dır.

           sudo firewall-cmd --get-default-zone
           

4. Gerekli Servislere İzin Verme: Belirli bölgelere servisler eklenerek kurallar oluşturulur. Örneğin, public bölgesine SSH, HTTP ve HTTPS ekleme:

           # SSH servisini public bölgesine kalıcı olarak ekle
           sudo firewall-cmd --zone=public --add-service=ssh --permanent
           # HTTP servisini public bölgesine kalıcı olarak ekle
           sudo firewall-cmd --zone=public --add-service=http --permanent
           # HTTPS servisini public bölgesine kalıcı olarak ekle
           sudo firewall-cmd --zone=public --add-service=https --permanent
           # Değişiklikleri yükle
           sudo firewall-cmd --reload
           

5. Belirli Portlara İzin Verme: Servislerin yanı sıra doğrudan port numaralarına da izin verilebilir.

           # TCP port 8080'e kalıcı olarak izin ver
           sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
           sudo firewall-cmd --reload
           

6. Mevcut Kuralları Listeleme:

           sudo firewall-cmd --list-all
           # Belirli bir bölge için listeleme
           # sudo firewall-cmd --zone=public --list-all
           

firewalld, özellikle dinamik ağ ortamlarında ve servislerin sık sık değiştiği durumlarda kullanışlıdır. VPS üzerinde çalışan uygulamaların ağ erişimini yönetmek için güçlü bir araçtır.

nftables ile Güvenlik Duvarı Kurulumu

nftables, iptables'ın yerini alması hedeflenen, daha modern, esnek ve performanslı bir paket filtreleme çerçevesidir. Tek bir yapılandırma dosyası ile IPv4, IPv6, bridge tabanlı trafiği ve kullanıcı tanımlı zincirleri yönetme imkanı sunar. VPS ortamlarında gelişmiş güvenlik politikaları uygulamak için tercih edilebilir.

1. nftables Kurulumu: Modern Linux dağıtımlarında genellikle varsayılan olarak gelir. Yüklü değilse, dağıtımınıza uygun paket yöneticisi ile kurulabilir.

           # Debian/Ubuntu:
           sudo apt update && sudo apt install nftables
           # CentOS/RHEL/Fedora:
           sudo yum install nftables
           # Veya dnf ile:
           # sudo dnf install nftables
           

2. Varsayılan Yapılandırmayı Yükleme: Sistemle gelen temel nftables kurallarını yükleyebilirsiniz.

           sudo nft -f /etc/nftables.conf
           

   Eğer /etc/nftables.conf dosyası yoksa, mevcut kuralları temizleyip sıfırdan bir yapılandırma oluşturmanız gerekebilir.
3. Temel Kurallar Oluşturma: iptables'a benzer şekilde, gelen ve giden trafiği yöneten temel kurallar tanımlanır.

           # Yeni bir tablo oluştur (varsayılan olarak ip tablosu kullanılır)
           sudo nft add table ip filter
   
           # INPUT, FORWARD, OUTPUT zincirlerini oluştur
           sudo nft add chain ip filter input { type filter hook input priority 0 \; policy drop \; }
           sudo nft add chain ip filter forward { type filter hook forward priority 0 \; policy drop \; }
           sudo nft add chain ip filter output { type filter hook output priority 0 \; policy accept \; }
   
           # Lokalhost trafiğine izin ver
           sudo nft add rule ip filter input iif lo accept
           sudo nft add rule ip filter output oif lo accept
   
           # Mevcut bağlantıların devamına ve ilgili trafiğe izin ver
           sudo nft add rule ip filter input ct state established,related accept
   
           # SSH, HTTP, HTTPS trafiğine izin ver
           sudo nft add rule ip filter input tcp dport 22 accept
           sudo nft add rule ip filter input tcp dport 80 accept
           sudo nft add rule ip filter input tcp dport 443 accept
           

4. Kuralları Kaydetme: nftables kuralları genellikle /etc/nftables.conf dosyasına kaydedilir. Bu dosyanın içeriğini düzenleyerek kalıcı hale getirebilirsiniz.

           # Düzenleme için nano veya vi gibi bir editör kullanın
           sudo nano /etc/nftables.conf
           

   Dosyayı kaydettikten sonra nftables servisini yeniden yükleyin:

           sudo systemctl restart nftables
           

5. Mevcut Kuralları Görüntüleme:

           sudo nft list ruleset
           

nftables, daha modern bir yapı sunarak karmaşık ağ senaryolarında bile verimli bir şekilde çalışır. VPS üzerinde yüksek performanslı ve özelleştirilebilir bir güvenlik duvarı çözümü arayanlar için idealdir.

Satış ve Pahalı Sistemler İçin Ek Güvenlik Önlemleri

VPS üzerinde çalışan uygulamalar veya barındırılan hassas veriler söz konusu olduğunda, temel güvenlik duvarı yapılandırmasının ötesine geçmek önemlidir. Bu, hem sunucunun bütünlüğünü korumak hem de potansiyel veri ihlallerini önlemek açısından kritik öneme sahiptir.

• Port Tarama ve Saldırı Tespit Sistemleri (IDS/IPS): Sunucu üzerindeki ağ trafiğini sürekli izleyerek şüpheli aktiviteleri ve bilinen saldırı desenlerini tespit eden sistemler kurulabilir. Snort veya Suricata gibi IDS/IPS çözümleri, güvenlik duvarına ek bir koruma katmanı sağlar.
• Fail2ban Kurulumu: Kaba kuvvet (brute-force) saldırılarını engellemek için tasarlanmış bir uygulamadır. Belirli bir IP adresinden gelen başarısız giriş denemeleri belirli bir eşiği aştığında, o IP adresini otomatik olarak güvenlik duvarına ekleyerek engeller. SSH, FTP, web sunucuları gibi servisler için etkilidir.
• Güvenlik Açığı Tarama Araçları: Sunucunuzdaki yazılımların güncel olduğundan ve bilinen güvenlik açıklarına sahip olmadığından emin olmak için düzenli olarak güvenlik açığı taramaları yapılmalıdır. Nessus, OpenVAS gibi araçlar bu amaçla kullanılabilir.
• Uygulama Seviyesi Güvenlik Duvarları (WAF): Özellikle web uygulamalarını hedef alan saldırılara karşı koruma sağlar. SQL injection, XSS gibi yaygın web zafiyetlerini engellemek için kullanılır. ModSecurity gibi WAF modülleri, Apache ve Nginx gibi web sunucularıyla entegre edilebilir.
• Yedekleme ve Kurtarma Planları: En iyi güvenlik önlemleri bile %100 koruma sağlamaz. Olası bir güvenlik ihlali veya sistem arızası durumunda verilerinizi ve hizmetlerinizi kurtarabilmek için düzenli ve güvenilir yedekleme stratejileri oluşturulmalıdır.
• Güncelleme Politikaları: İşletim sistemi ve tüm yüklü yazılımların düzenli olarak güncellenmesi, bilinen güvenlik açıklarının kapatılmasının en etkili yoludur. Otomatik güncelleme mekanizmaları veya düzenli manuel kontroller bu süreci kolaylaştırır.

Bu ek önlemler, özellikle kritik veriler barındıran veya yüksek trafik alan VPS'ler için vazgeçilmezdir. Güvenlik, sürekli bir süreçtir ve proaktif yaklaşım gerektirir.

Güvenlik Duvarı Yapılandırma: Sık Yapılan Hatalar ve Çözümleri

Güvenlik duvarı yapılandırması, dikkat gerektiren bir işlemdir. Yaygın hatalar, istenmeyen erişimlere veya hizmet kesintilerine yol açabilir.

• Hata: Tüm Gelen Trafiği Engellemek ve Gerekli Portlara İzin Vermemek. * Sonuç: SSH gibi yönetim portlarına erişim engellenir ve sunucuya uzaktan bağlanılamaz hale gelinir. * Çözüm: Yönetim için SSH (varsayılan 22), web sunucuları için HTTP (80) ve HTTPS (443) gibi temel portlara izin verildiğinden emin olun. Sistem yeniden başlatıldığında kuralların kalıcı olduğundan emin olmak için kaydetme adımlarını atlamayın.
• Hata: Varsayılan Olarak Tüm Gelen Trafiğe İzin Vermek. * Sonuç: Sunucu, internetteki her türlü taramaya ve potansiyel saldırıya açık hale gelir. Saldırı yüzeyi genişler. * Çözüm: Güvenlik duvarının varsayılan politikasını "REDDET" (DROP/REJECT) olarak ayarlayın ve sadece gerekli servislere veya IP adreslerine izin verin. Bu, "en az ayrıcalık prensibi"ni uygular.
• Hata: Kural Sırasını Yanlış Yapılandırmak. * Sonuç: Daha genel kurallar, daha özel kurallardan önce işlenebilir ve istenmeyen sonuçlara yol açabilir. Örneğin, genel bir reddetme kuralı, belirli bir IP'ye izin veren kuralı geçersiz kılabilir. * Çözüm: Kuralların işlenme sırasını dikkatlice gözden geçirin. Genellikle, daha spesifik kurallar (örneğin, belirli bir IP'den gelen SSH trafiğine izin ver) daha genel kurallardan (örneğin, tüm SSH trafiğini reddet) önce tanımlanmalıdır.
• Hata: Güvenlik Duvarı Kurallarını Kaydetmeyi Unutmak. * Sonuç: Yapılandırma değişiklikleri sistem yeniden başlatıldığında kaybolur ve sunucu varsayılan ayarlarına döner, güvenlik açığı oluşur. * Çözüm: Hangi güvenlik duvarı aracını kullanırsanız kullanın (iptables, ufw, firewalld), kurallarınızı kalıcı hale getirmek için ilgili kaydetme komutlarını veya yapılandırma dosyası düzenlemelerini uygulayın.
• Hata: Çok Fazla Servise veya Port'a İzin Vermek. * Sonuç: Gereksiz açık portlar, saldırganlar için potansiyel giriş noktaları oluşturur. * Çözüm: Sadece gerçekten ihtiyaç duyulan portlara ve servislere izin verin. Kullanılmayan servisleri devre dışı bırakın ve ilgili portları kapatın.

Bu yaygın hatalardan kaçınmak, VPS'nizin güvenliğini sağlamak ve kesintisiz hizmet sunmak için önemlidir. Herhangi bir değişiklik yapmadan önce mevcut yapılandırmayı yedeklemek de iyi bir pratiktir.

Teknik Özellikler ve Standartlar

Linux güvenlik duvarları, ağ paketlerini işlemek için çeşitli protokoller ve standartlar kullanır. Bu protokoller, paketlerin nasıl analiz edildiğini ve hangi kurallara göre işleneceğini belirler.

• IP Protokolleri: IPv4 ve IPv6 paketlerinin işlenmesi temeldir. Güvenlik duvarları, paketlerin kaynak ve hedef IP adreslerine göre filtreleme yapar.
• TCP/UDP Portları: Güvenlik duvarları, uygulamaların iletişim kurduğu TCP (Transmission Control Protocol) ve UDP (User Datagram Protocol) portlarını kontrol eder. Varsayılan portlar (örneğin, HTTP için 80, SSH için 22) veya özel olarak belirlenmiş portlar filtrelenebilir.
• Paket Filtreleme: Güvenlik duvarları, paket başlıklarındaki bilgileri (kaynak/hedef IP, port, protokol) analiz ederek paketleri kabul eder (ACCEPT), reddeder (REJECT) veya düşürür (DROP).
• Durum Bilgisi (Stateful Inspection): Modern güvenlik duvarları, ağ bağlantılarının durumunu takip eder. Bu, sadece belirli bir bağlantıya ait olan paketlere izin verilmesini sağlayarak güvenliği artırır. iptables'daki conntrack modülü veya nftables'daki ct state ifadesi bu özelliği kullanır.
• Ağ Adres Çevirisi (NAT): Bazı güvenlik duvarı yapılandırmalarında, ağ adres çevirisi (Network Address Translation) kuralları da yer alabilir. Bu, özel ağlardaki IP adreslerinin internette tek bir genel IP adresi üzerinden görünmesini sağlar.

Bu teknik özellikler, güvenlik duvarlarının nasıl çalıştığını ve hangi seviyede kontrol sağladığını anlamak için önemlidir. VPS yöneticileri, bu prensipleri anlayarak daha etkili güvenlik politikaları oluşturabilir.

2026 Sektör Verileri ve İstatistikler

Siber güvenlik ve ağ altyapısı alanındaki gelişmeler hızla devam etmektedir. Güvenlik duvarlarının önemi, artan siber tehditler ve bulut teknolojilerinin yaygınlaşmasıyla birlikte daha da artmaktadır.

• "W3Techs 2026 verilerine göre, web sunucularının %60'ından fazlası güvenlik duvarı yazılımları kullanmaktadır."
• "Statista 2026 raporuna göre, küresel siber güvenlik pazarının 2026 yılına kadar 300 milyar doları aşması beklenmektedir, bu da güvenlik çözümlerine olan artan talebi göstermektedir."
• "Cloudflare Radar 2026 verilerine göre, web sitelerine yönelik DDoS saldırılarının hacmi ve karmaşıklığı artış göstermiştir, bu da gelişmiş güvenlik duvarı ve tehdit algılama sistemlerinin önemini vurgulamaktadır."
• "Netcraft 2026 araştırmasına göre, bulut tabanlı sunucu kullanımının artmasıyla birlikte, sanal sunucu (VPS dahil) güvenliği, genel sunucu güvenliğinin ayrılmaz bir parçası haline gelmiştir."

Bu veriler, günümüzün dijital ortamında güvenlik duvarlarının sunduğu korumanın ne kadar kritik olduğunu ve sektörün bu alana büyük yatırımlar yaptığını göstermektedir. VPS kullanıcıları için de bu trendleri takip etmek ve güvenlik önlemlerini güncel tutmak hayati önem taşır.

İlgili Konular

VPS'nizin güvenliğini daha da artırmak ve yönetimini kolaylaştırmak için aşağıdaki makalelerimize göz atabilirsiniz. VPS kurulumu sürecinde doğru işletim sistemini seçmek ve kurulum adımlarını takip etmek, güvenli bir temel oluşturmanıza yardımcı olur. Ayrıca, VPS'in sunduğu avantajları ve dezavantajları anlamak, güvenlik stratejinizi belirlemede önemli bir rol oynar.