Güvenlik Duvarı Politikası
Last updated
Last updated
Güvenlik duvarı (ufw) politikası, makineler üzerinde ufw kuralları belirlenmesini ve belirli IP veya subnetlere seçilen portlardan erişim yetkisi veya yasağı koyulmasını sağlar.
Güvenlik duvarı politikalarının uygulanabilmesi için politikanın basılacağı makinelerde ufw paketinin yüklü olması gerekmektedir.
Politikada ayarlanması gereken 4 adet değer bulunmaktadır.
Eylem: Kuralın bağlantıyı reddet veya kabul et seçeneklerinden hangisi olacağını belirler.
Bağlantı Tipi: Kuralın gelen veya giden bağlantılardan hangisine uygulanacağını belirler.
IP Adresi: Kuralın hangi IP adresi veya subnet (blok) üzerinde uygulanacağını belirler.
Port: Kuralın hangi port üzerinde uygulanacağını belirler. Boş bırakılırsa tüm portlar üzerinde uygulanacaktır.
ÖNEMLİ NOT
Yukarıda belirtildiği üzere kurallar belirli bir IP adresi üzerinde uygulanabileceği gibi IP blokları (subnet) üzerinde de uygulanabilir. Bu sebeple IP kuralları subnet kurallarından öncelikli olmalıdır ki bir blok üzerine uygulanan kuralın üzerine o bloktaki özel bir IP'ye verilecek olan izin veya engelleme geçerli olabilsin.
Bu öncelik sıralaması politika makineye uygulanırken Tayfa tarafından otomatik olarak sağlanmaktadır. Öncelik sıralaması şu şekildedir:
Spesifik IP engellemeleri
Spesifik IP izinleri
Subnet engellemeleri
Subnet izinleri
Bu öncelik sıralaması göze alınarak politika ayarlarının verilmesi son derece önem arz etmektedir.
Kural, 10.20.30.40 IPsinden 443 portuna gelen bağlantıyı kabul eder.
Kabul Et
Gelen
10.20.30.40
443
Kural, 8.8.4.4 IPsine 8080 portuna giden bağlantıyı reddeder.
Reddet
Giden
8.8.4.4
8080
Kural, 5.10.15.0/24 subnetindeki herhangi bir IP'den 22 portuna gelen bağlantıyı reddeder.
Reddet
Gelen
5.10.15.0/24
22
Politikanın çalışma mantığını ve kural sıralamasını görmek amacıyla aşağıdaki gibi 4 adet kural oluşturulur.
İlk olarak 10.10.10.0/24 subnetinden 22 portuna gelen bağlantılara izin verilmiştir. Fakat sonraki kuralda ise bu subnetteki bir IP'deki bağlantılar reddedilmiştir. Yukarıda belirtilen öncelik sıralamasının önemi işte burada devreye girmektedir. IP'li olan kuralın önceliği daha yüksek olmalıdır ki tüm subneti kapsayan kural bu IP kuralını çiğnemesin. Eğer öncelik sıralaması olmasaydı bu IP'den gelen bağlantılar da kabul edilecekti.
Benzer olarak 3. kuralda 10.10.10.0/24 subnetine 443 portundan giden bağlantılar reddedilmiştir. Hemen sonraki kuralda ise bu subnetteki bir IP'ye aynı bağlantı için izin verilmiştir. Yine IP'li olan kural öncelikli olacak ve subnet kuralına takılıp bağlantılar reddedilmeyecektir.
Politikanın makinelere uygulanması için gpupdate komutu çalıştırılır. Ardından ufw status numbered komutu ile ufw kuralları listelenir.
"numbered" opsiyonu kuralları öncelik sıralamasına göre basmaktadır.
Çıktıda da gözlenebileceği üzere subnetle ilgili olan kurallar en aşağıda, özel IP'lere uygulanan kurallar ise önceliklidir. Bu kurallar 4-3-2-1 şeklinde uygulanacak ve IP kuralları en son verileceğinden subnet kurallarına takılmayacaktır.