Güvenlik Duvarı Politikası

Güvenlik duvarı (ufw) politikası, makineler üzerinde ufw kuralları belirlenmesini ve belirli IP veya subnetlere seçilen portlardan erişim yetkisi veya yasağı koyulmasını sağlar.

Gereksinimler

Güvenlik duvarı politikalarının uygulanabilmesi için politikanın basılacağı makinelerde ufw paketinin yüklü olması gerekmektedir.

Politika Ayarları

Politikada ayarlanması gereken 4 adet değer bulunmaktadır.

Eylem: Kuralın bağlantıyı reddet veya kabul et seçeneklerinden hangisi olacağını belirler.

Bağlantı Tipi: Kuralın gelen veya giden bağlantılardan hangisine uygulanacağını belirler.

IP Adresi: Kuralın hangi IP adresi veya subnet (blok) üzerinde uygulanacağını belirler.

Port: Kuralın hangi port üzerinde uygulanacağını belirler. Boş bırakılırsa tüm portlar üzerinde uygulanacaktır.

ÖNEMLİ NOT
Yukarıda belirtildiği üzere kurallar belirli bir IP adresi üzerinde uygulanabileceği gibi IP blokları (subnet) üzerinde de uygulanabilir. Bu sebeple IP kuralları subnet kurallarından öncelikli olmalıdır ki bir blok üzerine uygulanan kuralın üzerine o bloktaki özel bir IP'ye verilecek olan izin veya engelleme geçerli olabilsin.
Bu öncelik sıralaması politika makineye uygulanırken Tayfa tarafından otomatik olarak sağlanmaktadır. Öncelik sıralaması şu şekildedir:
Spesifik IP engellemeleri
Spesifik IP izinleri
Subnet engellemeleri
Subnet izinleri
Bu öncelik sıralaması göze alınarak politika ayarlarının verilmesi son derece önem arz etmektedir.

Açıklama

Eylem

Bağlantı Tipi

IP Adresi

Port

Kural, 10.20.30.40 IPsinden 443 portuna gelen bağlantıyı kabul eder.

Kabul Et

Gelen

10.20.30.40

443

Kural, 8.8.4.4 IPsine 8080 portuna giden bağlantıyı reddeder.

Reddet

Giden

8.8.4.4

8080

Kural, 5.10.15.0/24 subnetindeki herhangi bir IP'den 22 portuna gelen bağlantıyı reddeder.

Reddet

Gelen

5.10.15.0/24

Politika Çalışması ve Kontrolü

Politikanın çalışma mantığını ve kural sıralamasını görmek amacıyla aşağıdaki gibi 4 adet kural oluşturulur.

İlk olarak 10.10.10.0/24 subnetinden 22 portuna gelen bağlantılara izin verilmiştir. Fakat sonraki kuralda ise bu subnetteki bir IP'deki bağlantılar reddedilmiştir. Yukarıda belirtilen öncelik sıralamasının önemi işte burada devreye girmektedir. IP'li olan kuralın önceliği daha yüksek olmalıdır ki tüm subneti kapsayan kural bu IP kuralını çiğnemesin. Eğer öncelik sıralaması olmasaydı bu IP'den gelen bağlantılar da kabul edilecekti.
Benzer olarak 3. kuralda 10.10.10.0/24 subnetine 443 portundan giden bağlantılar reddedilmiştir. Hemen sonraki kuralda ise bu subnetteki bir IP'ye aynı bağlantı için izin verilmiştir. Yine IP'li olan kural öncelikli olacak ve subnet kuralına takılıp bağlantılar reddedilmeyecektir.

Politikanın makinelere uygulanması için gpupdate komutu çalıştırılır. Ardından ufw status numbered komutu ile ufw kuralları listelenir.

"numbered" opsiyonu kuralları öncelik sıralamasına göre basmaktadır.

Çıktıda da gözlenebileceği üzere subnetle ilgili olan kurallar en aşağıda, özel IP'lere uygulanan kurallar ise önceliklidir. Bu kurallar 4-3-2-1 şeklinde uygulanacak ve IP kuralları en son verileceğinden subnet kurallarına takılmayacaktır.

PreviousBetikler Politikası NextSSSD Politikası

Last updated 7 months ago

Politika Ayarları

Politikada ayarlanması gereken 4 adet değer bulunmaktadır.

Eylem: Kuralın bağlantıyı reddet veya kabul et seçeneklerinden hangisi olacağını belirler.

Bağlantı Tipi: Kuralın gelen veya giden bağlantılardan hangisine uygulanacağını belirler.

IP Adresi: Kuralın hangi IP adresi veya subnet (blok) üzerinde uygulanacağını belirler.

Port: Kuralın hangi port üzerinde uygulanacağını belirler. Boş bırakılırsa tüm portlar üzerinde uygulanacaktır.

ÖNEMLİ NOT

Yukarıda belirtildiği üzere kurallar belirli bir IP adresi üzerinde uygulanabileceği gibi IP blokları (subnet) üzerinde de uygulanabilir. Bu sebeple IP kuralları subnet kurallarından öncelikli olmalıdır ki bir blok üzerine uygulanan kuralın üzerine o bloktaki özel bir IP'ye verilecek olan izin veya engelleme geçerli olabilsin.

Bu öncelik sıralaması politika makineye uygulanırken Tayfa tarafından otomatik olarak sağlanmaktadır. Öncelik sıralaması şu şekildedir:

Spesifik IP engellemeleri
Spesifik IP izinleri
Subnet engellemeleri
Subnet izinleri

Bu öncelik sıralaması göze alınarak politika ayarlarının verilmesi son derece önem arz etmektedir.

Açıklama

Eylem

Bağlantı Tipi

IP Adresi

Port

Kural, 10.20.30.40 IPsinden 443 portuna gelen bağlantıyı kabul eder.

Kabul Et

Gelen

10.20.30.40

443

Kural, 8.8.4.4 IPsine 8080 portuna giden bağlantıyı reddeder.

Reddet

Giden

8.8.4.4

8080

Kural, 5.10.15.0/24 subnetindeki herhangi bir IP'den 22 portuna gelen bağlantıyı reddeder.

Reddet

Gelen

5.10.15.0/24

Politika Çalışması ve Kontrolü

Politikanın çalışma mantığını ve kural sıralamasını görmek amacıyla aşağıdaki gibi 4 adet kural oluşturulur.

İlk olarak 10.10.10.0/24 subnetinden 22 portuna gelen bağlantılara izin verilmiştir. Fakat sonraki kuralda ise bu subnetteki bir IP'deki bağlantılar reddedilmiştir. Yukarıda belirtilen öncelik sıralamasının önemi işte burada devreye girmektedir. IP'li olan kuralın önceliği daha yüksek olmalıdır ki tüm subneti kapsayan kural bu IP kuralını çiğnemesin. Eğer öncelik sıralaması olmasaydı bu IP'den gelen bağlantılar da kabul edilecekti.

Benzer olarak 3. kuralda 10.10.10.0/24 subnetine 443 portundan giden bağlantılar reddedilmiştir. Hemen sonraki kuralda ise bu subnetteki bir IP'ye aynı bağlantı için izin verilmiştir. Yine IP'li olan kural öncelikli olacak ve subnet kuralına takılıp bağlantılar reddedilmeyecektir.

Politikanın makinelere uygulanması için gpupdate komutu çalıştırılır. Ardından ufw status numbered komutu ile ufw kuralları listelenir.

"numbered" opsiyonu kuralları öncelik sıralamasına göre basmaktadır.