# Güvenlik Duvarı Politikası Güvenlik duvarı (ufw) politikası, makineler üzerinde ufw kuralları belirlenmesini ve belirli IP veya subnetlere seçilen portlardan erişim yetkisi veya yasağı koyulmasını sağlar. ![](https://776435007-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F2aQBzQZREQeND0rigaHx%2Fuploads%2FXt4wOZ90e6FqAHK0tgds%2F1.png?alt=media\&token=766723d9-961f-4bc8-8738-b770c083e016) ## Gereksinimler Güvenlik duvarı politikalarının uygulanabilmesi için politikanın basılacağı makinelerde **ufw** paketinin yüklü olması gerekmektedir. ## Politika Ayarları Politikada ayarlanması gereken 4 adet değer bulunmaktadır. **Eylem:** Kuralın bağlantıyı **reddet** veya **kabul et** seçeneklerinden hangisi olacağını belirler. **Bağlantı Tipi:** Kuralın **gelen** veya **giden** bağlantılardan hangisine uygulanacağını belirler. **IP Adresi:** Kuralın **hangi IP adresi veya subnet (blok)** üzerinde uygulanacağını belirler. **Port:** Kuralın **hangi port** üzerinde uygulanacağını belirler. **Boş bırakılırsa tüm portlar üzerinde uygulanacaktır.** > **ÖNEMLİ NOT** > > Yukarıda belirtildiği üzere kurallar belirli bir IP adresi üzerinde uygulanabileceği gibi IP blokları (subnet) üzerinde de uygulanabilir. Bu sebeple **IP kuralları subnet kurallarından öncelikli olmalıdır ki** bir blok üzerine uygulanan kuralın üzerine o bloktaki özel bir IP'ye verilecek olan izin veya engelleme geçerli olabilsin. > > Bu öncelik sıralaması politika makineye uygulanırken **Tayfa tarafından otomatik olarak sağlanmaktadır**. Öncelik sıralaması şu şekildedir: > > 1. Spesifik IP engellemeleri > 2. Spesifik IP izinleri > 3. Subnet engellemeleri > 4. Subnet izinleri > > Bu öncelik sıralaması göze alınarak politika ayarlarının verilmesi son derece önem arz etmektedir. | Açıklama | Eylem | Bağlantı Tipi | IP Adresi | Port | | ------------------------------------------------------------------------------------------ | -------- | ------------- | ------------ | ---- | | Kural, 10.20.30.40 IPsinden 443 portuna gelen bağlantıyı kabul eder. | Kabul Et | Gelen | 10.20.30.40 | 443 | | Kural, 8.8.4.4 IPsine 8080 portuna giden bağlantıyı reddeder. | Reddet | Giden | 8.8.4.4 | 8080 | | Kural, 5.10.15.0/24 subnetindeki herhangi bir IP'den 22 portuna gelen bağlantıyı reddeder. | Reddet | Gelen | 5.10.15.0/24 | 22 | ## Politika Çalışması ve Kontrolü Politikanın çalışma mantığını ve kural sıralamasını görmek amacıyla aşağıdaki gibi 4 adet kural oluşturulur. * İlk olarak 10.10.10.0/24 subnetinden 22 portuna gelen bağlantılara izin verilmiştir. Fakat sonraki kuralda ise bu subnetteki bir IP'deki bağlantılar reddedilmiştir. Yukarıda belirtilen öncelik sıralamasının önemi işte burada devreye girmektedir. IP'li olan kuralın önceliği daha yüksek olmalıdır ki tüm subneti kapsayan kural bu IP kuralını çiğnemesin. Eğer öncelik sıralaması olmasaydı bu IP'den gelen bağlantılar da kabul edilecekti. * Benzer olarak 3. kuralda 10.10.10.0/24 subnetine 443 portundan giden bağlantılar reddedilmiştir. Hemen sonraki kuralda ise bu subnetteki bir IP'ye aynı bağlantı için izin verilmiştir. Yine IP'li olan kural öncelikli olacak ve subnet kuralına takılıp bağlantılar reddedilmeyecektir. ![](https://776435007-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F2aQBzQZREQeND0rigaHx%2Fuploads%2FPKeW0Fb2yXeR2U40OKxX%2F2.png?alt=media\&token=e9bba7c8-bec3-408f-8199-645eede7b040) Politikanın makinelere uygulanması için **gpupdate** komutu çalıştırılır. Ardından **ufw status numbered** komutu ile ufw kuralları listelenir. ![](https://776435007-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F2aQBzQZREQeND0rigaHx%2Fuploads%2FPKjswqWdneF62VVfrXVd%2F3.png?alt=media\&token=351e2388-f561-40b8-b0f1-339424a81b58) *"numbered" opsiyonu* kuralları öncelik sıralamasına göre basmaktadır. Çıktıda da gözlenebileceği üzere subnetle ilgili olan kurallar en aşağıda, özel IP'lere uygulanan kurallar ise önceliklidir. Bu kurallar 4-3-2-1 şeklinde uygulanacak ve IP kuralları en son verileceğinden subnet kurallarına takılmayacaktır.