Linux tabanlı sunucuların güvenliği, sistem yöneticileri için her zaman öncelikli konulardan biridir. İnternet üzerinden gelen istenmeyen trafik ve saldırılara karşı sunucunuzu korumanın temel yollarından biri güvenlik duvarı yapılandırmasıdır. Bu noktada, Linux dünyasında yaygın olarak kullanılan iki güvenlik duvarı aracı vardır: iptables ve nftables.
Bu yazıda, iptables ile nftables arasındaki temel farkları, kullanım avantajlarını, hangi senaryolarda tercih edileceğini ve güncel güvenlik duvarı kurallarının nasıl oluşturulacağını detaylıca inceleyeceğiz.
İçindekiler
Linux Güvenlik Duvarı Nedir?
Güvenlik duvarı (firewall), bir bilgisayar ağı üzerindeki gelen ve giden ağ trafiğini belirli kurallar dahilinde kontrol eden yazılım veya donanımdır. Linux sistemlerde bu genellikle çekirdek seviyesinde çalışan paket filtreleme araçlarıyla sağlanır.
Amaç:
Yetkisiz erişimi engellemek
Kötü niyetli trafik ve saldırıları azaltmak
Sunucu kaynaklarının korunması
iptables Nedir ve Nasıl Çalışır?
iptables, Linux çekirdeği ile etkileşim kurarak ağ trafiğini kontrol eden klasik paket filtreleme aracıdır. 1998’den beri Linux güvenlik duvarlarında standart araçtır.
Temel kavramlar:
Chain (Zincir): INPUT, OUTPUT, FORWARD gibi trafik yönlerini tanımlar.
Table (Tablo): filter, nat, mangle gibi farklı işlem kümelerini içerir.
Rule (Kural): Her zincirde paketlerin nasıl işleneceğini belirten koşullar.
iptables komutları ile elle veya script aracılığıyla kurallar oluşturulur. Örnek bir kural:
1 | iptables -A INPUT -p tcp --dport 22 -j ACCEPT |
Bu kural, gelen TCP trafiğinde 22 numaralı portu (SSH) açar.
nftables Nedir ve Nasıl Çalışır?
nftables, Linux çekirdeğinde iptables’in yerini almak üzere 2014 yılında tanıtılan, daha modern ve esnek bir paket filtreleme framework’üdür. Linux çekirdeği 3.13 sürümü ve sonrası ile uyumludur.
Özellikleri:
Tek bir araçla (nft) hem filtreleme hem NAT işlemleri yapılabilir.
Kurallar daha okunabilir ve yönetilebilir bir dilde yazılır.
Daha düşük kaynak tüketimi ve performans avantajı.
Örnek kural:
1 | nft add rule inet filter input tcp dport 22 accept |
iptables ve nftables Arasındaki Temel Farklar
| Özellik | iptables | nftables |
|---|---|---|
| Yayın Tarihi | 1998 | 2014 |
| Komut Seti | Birden çok farklı komut (iptables, ip6tables, arptables) | Tek araç: nft |
| Performans | Daha yüksek CPU kullanımı | Daha düşük CPU, daha optimize |
| Kural Yönetimi | Karmaşık, zincir ve tablo bazlı | Daha sade ve yapılandırılabilir |
| Scripting | Zor ve karmaşık | Daha kolay ve esnek |
| IPv4/IPv6 | Ayrı araçlarla yönetilir | Aynı araçta birlikte desteklenir |
| Sürdürme ve Gelişim | Artan karmaşıklık nedeniyle yavaş gelişiyor | Aktif geliştirme devam ediyor |
Güncel Güvenlik Duvarı Kuralları Nasıl Yazılır?
Temel Güvenlik Duvarı Kuralları Örneği (nftables)
1 2 3 4 5 6 | nft add table inet filter nft add chain inet filter input { type filter hook input priority 0 \; } nft add rule inet filter input ct state established,related accept nft add rule inet filter input iif lo accept nft add rule inet filter input tcp dport 22 accept nft add rule inet filter input drop |
Bu kurallar:
Yerel loopback trafiğine izin verir
Daha önce kurulan bağlantıları kabul eder
SSH (22) portunu açar
Diğer tüm gelen trafiği engeller
Temel Güvenlik Duvarı Kuralları Örneği (iptables)
1 2 3 4 | iptables -P INPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT |
Performans ve Yönetilebilirlik Açısından Değerlendirme
nftables, iptables’a göre daha az kaynak kullanımıyla yüksek performans sağlar.
Tek komut seti ile tüm protokolleri yönetme imkanı, karmaşıklığı azaltır.
Büyük ve karmaşık kural setlerinde daha kolay yönetim ve hata ayıklama sunar.
Günümüz dağıtımları (Ubuntu 20.04+, CentOS 8+, Debian 10+) nftables’i varsayılan olarak tercih etmektedir.
Burtinet Linux Sunucularında Güvenlik Duvarı Önerileri
Güncel Linux sürümlerinde nftables kullanımı önerilir.
Sunucu ihtiyaçlarına göre özelleştirilmiş güvenlik duvarı kuralları oluşturulur.
Otomatik saldırı tespiti ve IP engelleme için Fail2Ban gibi araçlar entegre edilir.
Düzenli yedekleme ve kuralların test edilmesi ile kesintisiz koruma sağlanır.
Sonuç ve Öneriler
Linux sunucuların güvenliği için doğru güvenlik duvarı aracı seçimi kritik önem taşır. İptables uzun yıllar boyunca güçlü bir seçenek olmuş olsa da, günümüzde nftables daha modern, esnek ve performanslı bir alternatiftir. Burtinet olarak, müşterilerimizin altyapılarında nftables kullanımı ile maksimum güvenlik ve minimum kaynak kullanımı hedeflenmektedir.
Eğer halen iptables kullanıyorsanız, 2025 yılı itibarıyla nftables’a geçiş planlamanızı öneririz. Böylece hem yönetim kolaylığı sağlar hem de güvenlik seviyenizi yükseltirsiniz.
Burtinet ile Linux Sunucularınızı Güvende Tutun
Profesyonel altyapı, güncel güvenlik önlemleri ve 7/24 destek için bizimle iletişime geçin!
