Blogchevron_rightSiber Güvenlikchevron_rightMikroTik Firewall ile DDoS ve Port Tarama Engelleme

MikroTik Firewall ile DDoS ve Port Tarama Engelleme

S
Serversium
calendar_today17 Temmuz 2026
schedule5 dk okuma
MikroTik Firewall ile DDoS ve Port Tarama Engelleme

MikroTik'te Firewall Kuralları ile DDoS ve Port Tarama Engelleme

MikroTik router'ları, işletmelerin ağ güvenliğini sağlamak için en popüler çözümlerden biridir. Özellikle küçük ve orta ölçekli işletmelerde, uygun fiyatı ve güçlü özellikleri sayesinde tercih edilmektedir. Ancak, modern internet ortamında DDoS saldırıları ve port tarama girişimleri artmış durumda. 2023 yılında yapılan araştırmalara göre, dünya genelindeki tüm internet trafiğinin yaklaşık %30'u kötü niyetli botnet trafiğinden oluşmaktadır. Bu nedenle MikroTik firewall kurallarını doğru yapılandırmak kritik öneme sahiptir.

Bu rehberde, MikroTik cihazlarınızda DDoS koruması ve port tarama engelleme için kapsamlı firewall kurallarını adım adım inceleyeceğiz.

MikroTik Firewall'ın Temel Yapısı

MikroTik RouterOS,三层 güvenlik duvarı mantığı ile çalışır. Filter, NAT ve Mangle tabloları üzerinden paket işleme gerçekleştirilir. DDoS ve port tarama engelleme için filter table bölümünde çalışacağız.

MikroTik'in yerleşik güvenlik duvarı, donanım hızlandırmalı işlem (hardware offloading) desteği sunar. Bu sayede yüksek throughput değerlerinde bile düşük CPU kullanımı ile koruma sağlanabilir.

DDoS Saldırı Türleri ve Koruma Stratejileri

DDoS saldırıları genellikle üç ana kategoride incelenir:

  • Volumetrik Saldırılar: Bant genişliğini tüketmeye yönelik UDP/ICMP sel saldırıları
  • Protokol Saldırıları: SYN flood, Ping of Death gibi protokol zayıflıklarını kullanan saldırılar
  • Uygulama Katmanı Saldırıları: HTTP/HTTPS Flood saldırıları

Her saldırı türü için farklı firewall yaklaşımları gerekmektedir. MikroTik'in RouterOS yapılandırma rehberi detaylı inceleme için faydalı olacaktır.

MikroTik Firewall Kuralları - Adım Adım Yapılandırma

1. Bağlantı Takibi (Connection Tracking) Ayarları

Firewall kurallarının etkin çalışması için bağlantı takibini etkinleştirmek gerekir:

/ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s udp-timeout=1m udp-stream-timeout=3m

Bu ayarlar, yarım kalmış TCP bağlantılarını hızlıca temizler ve kaynak tüketimini önler.

2. SYN Flood Koruması

SYN flood saldırıları, TCP three-way handshake sürecini manipüle eder. Aşağıdaki kural, saniyede belirli sayıdan fazla SYN paketini engeller:

/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn connection-state=new \
action=add-src-to-address-list address-list=syn-flood \
address-list-timeout=30s comment="SYN Flood Tespit"

add chain=input protocol=tcp tcp-flags=syn connection-state=new \
src-address-list=syn-flood action=drop comment="SYN Flood Engelleme"

Bu kurallar, 10 saniye içinde 20'den fazla SYN paketi gönderen IP'leri otomatik olarak kara listeye alır.

3. ICMP (Ping) Flood Koruması

ICMP sel saldırıları ağ bant genişliğini tüketmek için kullanılır:

/ip firewall filter
add chain=input protocol=icmp icmp-options=8:0-255 \
action=add-src-to-address-list address-list=icmp-flood \
address-list-timeout=30s comment="ICMP Flood Tespit"

add chain=input protocol=icmp icmp-options=8:0-255 \
src-address-list=icmp-flood action=drop comment="ICMP Flood Engelleme"

4. UDP Flood Koruması

UDP protokolünün stateless yapısı, saldırganlar tarafından sıklıkla istismar edilir:

/ip firewall filter
add chain=input protocol=udp connection-state=new \
action=add-src-to-address-list address-list=udp-flood \
address-list-timeout=30s comment="UDP Flood Tespit"

add chain=input protocol=udp src-address-list=udp-flood \
action=drop comment="UDP Flood Engelleme"

Port Tarama (Port Scanning) Engelleme

Port tarama, saldırganın hedef sistemdeki açık portları keşfetmek için kullandığı tekniktir. Bu aşamayı tamamladıktan sonra saldırı başlatılır. MikroTik'te port taraması tespit etmek için çeşitli yöntemler mevcuttur.

1. TCP Flags Tabanlı Tarama Engelleme

Farklı tarama teknikleri farklı TCP flag kombinasyonları kullanır:

/ip firewall filter
# Xmas Scan engelleme
add chain=input protocol=tcp tcp-flags=fin,psh,urg \
action=drop comment="Xmas Scan Engelleme"

# Null Scan engelleme
add chain=input protocol=tcp tcp-flags=!syn,!rst,!ack \
action=drop comment="Null Scan Engelleme"

# SYN+FIN Scan engelleme
add chain=input protocol=tcp tcp-flags=syn,fin \
action=drop comment="SYN-FIN Scan Engelleme"

2. Bağlantı Denemesi Sayacı ile Tarama Tespiti

Belirli bir süre içinde çok sayıda bağlantı denemesi yapan IP'leri engelleyen kurallar:

/ip firewall filter
add chain=input protocol=tcp dst-port=21,22,23,25,80,443,3389 \
connection-state=new action=add-src-to-address-list \
address-list=port-scan address-list-timeout=1h comment="Port Tarama Tespit"

add chain=input src-address-list=port-scan action=drop \
comment="Port Tarama Engelleme"

Bu kural, yaygın kullanılan portlara (21, 22, 23, 25, 80, 443, 3389) kısa sürede çok sayıda bağlantı denemesi yapan IP'leri 1 saat boyunca engeller.

3. Service Detection Önleme

Saldırganlar genellikle servisin versiyonunu tespit etmeye çalışır. Bu bilgi, bilinen güvenlik açıklarının istismarı için kullanılır:

/ip firewall filter
# Aşırı hızlı bağlantı denemelerini engelle
add chain=input protocol=tcp connection-rate=50+ \
action=add-src-to-address-list address-list=rate-limit \
address-list-timeout=15m comment="Aşırı Bağlantı Hızı Tespit"

add chain=input src-address-list=rate-limit action=drop \
comment="Aşırı Bağlantı Hızı Engelleme"

Kara Liste Otomasyonu

Manuel IP engelleme yerine, otomatik kara liste yönetimi daha etkilidir. Aşağıdaki script, saldırı tespit edilen IP'leri kalıcı olarak engeller:

/system script
add name="auto-blacklist" source={
:foreach i in=[/ip firewall address-list find list="syn-flood" \
and timeout!~"0s"] do={
    /ip firewall address-list add list=blacklist \
    address=[/ip firewall address-list get $i address] \
    timeout=1d comment="Auto-blacklisted"
}
}

Bu script, sync flood yapan IP'leri otomatik olarak 1 gün süreyle kara listeye ekler.

Öncelik Sıralaması ve Kurallar Tablosu

Firewall kurallarının etkinliği, sıralama düzenine bağlıdır. En üstte en sık eşleşen kurallar bulunmalıdır:

SıraKuralAmaçÖncelik
1ESTABLISHED,RELATED bağlantılarGeçerli oturumları kabul etEn Yüksek
2localhost trafiğiLocalhost erişimine izin verYüksek
3SYN flood korumaTCP sel saldırılarını engelleYüksek
4ICMP flood korumaPing sel saldırılarını engelleOrta
5UDP flood korumaUDP sel saldırılarını engelleOrta
6Port tarama engellemeTarama girişimlerini engelleOrta
7Belirli portlara izinYasal trafiğe izin verDüşük
8Kalanı dropTüm diğer trafiği engelleEn Düşük

MikroTik'in Yerleşik Koruma Özellikleri

MikroTik, işletim sistemi düzeyinde ek koruma seçenekleri sunar:

/ip settings
set tcp-syncookies=yes icmp-rate-limit=100 \
icmp-rate-limit-timeout=10s \
udp-fragmentation-guard=yes

TCP SYN Cookies: SYN flood saldırılarına karşı etkili bir koruma mekanizması sunar. Sunucu, yarım kalmış bağlantılar için kaynak harcamaz.

ICMP Rate Limit: Saniyede belirli sayıdan fazla ICMP paketini otomatik olarak düşürür.

Test ve İzleme

Firewall kurallarını yapılandırdıktan sonra test edilmesi kritik önem taşır. Aşağıdaki yöntemlerle kuralları doğrulayabilirsiniz:

  1. Log İzleme: /log print where topic="firewall" komutu ile engellenen paketleri görüntüleyin
  2. Bağlantı Sayacı: /ip firewall connection print ile aktif bağlantıları izleyin
  3. Address List Kontrolü: /ip firewall address-list print ile kara listeye alınan IP'leri inceleyin

Periyodik olarak sunucu güvenlik duvarı ve port yönetimi konularını incelemenizi öneririz.

Sonuç ve Öneriler

MikroTik firewall kuralları ile DDoS ve port tarama engelleme, ağ güvenliğinin temel taşlarından biridir. Yukarıda bahsedilen kurallar, çoğu yaygın saldırı vektörüne karşı etkili koruma sağlayacaktır. Ancak, güvenlik sürekli bir süreçtir ve düzenli güncelleme gerektirir.

Önerilerimiz:

  • Kuralları düzenli olarak gözden geçirin ve güncelleyin
  • Logları analiz ederek yeni saldırı pattern'lerini tespit edin
  • IPS/IDS entegrasyonu düşünün
  • Yedek konfigürasyonlar oluşturun

MikroTik'in güçlü RouterOS sistemi, doğru yapılandırma ile profesyonel seviye koruma sağlayabilir. Tüm bu adımları uygulayarak ağ altyapınızı saldırılara karşı çok daha dirençli hale getirebilirsiniz.

library_booksBenzer İçerikler

DDoS Koruması: Yapay Zeka ile Trafik Süzme Rehberi
Siber Güvenlik
calendar_today5 Nisan 2026
schedule5 dk

DDoS Koruması: Yapay Zeka ile Trafik Süzme Rehberi

DDoS saldırıları işletmeler için ciddi hizmet kesintilerine neden olabilir. Yapay zeka destekli trafik süzme teknolojileri sunucularınızı anında güvence altına alır.

S
Serversiumarrow_forward
Sunucu Güvenliği: SSH Key ve 2FA Kurulum Rehberi
Siber Güvenlik
calendar_today7 Nisan 2026
schedule5 dk

Sunucu Güvenliği: SSH Key ve 2FA Kurulum Rehberi

Sunucu güvenliğinde SSH key ve 2FA kullanımı, hesap ele geçirme saldırılarını büyük oranda azaltır. Bu teknik rehber ile erişim kontrollerinizi güvenli şekilde yapılandırın.

S
Serversiumarrow_forward
SSL Sertifikası Rehberi: DV, OV ve EV Türleri ile Seçim Kriterleri
Siber Güvenlik
calendar_today17 Nisan 2026
schedule5 dk

SSL Sertifikası Rehberi: DV, OV ve EV Türleri ile Seçim Kriterleri

DV, OV ve EV SSL sertifikası türlerini detaylı olarak açıklayan kapsamlı rehber. Web siteniz için doğru SSL sertifikası seçimini öğrenin ve güvenliği sağlayın.

S
Serversiumarrow_forward