MikroTik'te Gelişmiş IP Yönetimi ve Güvenlik Duvarı Rehberi

MikroTik'te Gelişmiş IP Yönetimi ve Güvenlik Duvarı

MikroTik routerları, dünya genelinde ağ yöneticileri tarafından en çok tercih edilen çözümlerden biridir. RouterOS işletim sistemi, gelişmiş IP yönetimi ve güvenlik duvarı özellikleriyle hem küçük işletmeler hem de büyük kurumsal ağlar için güçlü bir altyapı sunar. 2023 yılı itibarıyla MikroTik cihazlarının dünya genelinde 200 milyondan fazla aktif kullanıcıya sahip olduğu tahmin edilmektedir.

Bu kapsamlı rehberde, MikroTik platformunda gelişmiş IP yönetimi tekniklerini ve güvenlik duvarı yapılandırmalarını detaylı olarak ele alacağız.

MikroTik IP Adresi Yapılandırması

MikroTik'te IP adresi eklemek için Winbox, WebFig veya terminal arayüzünü kullanabilirsiniz. Temel IP adresi yapılandırması şu adımları içerir:

/ip address add address=192.168.1.1/24 interface=ether1 network=192.168.1.0

Bu komut, ether1 arayüzüne 192.168.1.1 IP adresini ve /24 (255.255.255.0) alt ağ maskesini atar. Birden fazla IP adresi eklemek veya alias oluşturmak için aynı arayüze birden fazla address satırı ekleyebilirsiniz.

IP adreslerini listelemek için /ip address print komutunu kullanın. Bu çıktı, tüm yapılandırılmış IP adreslerini, arayüzleri ve ağları görüntüler.

IP Pool ve DHCP Server Yönetimi

DHCP sunucusu yapılandırması, IP adresi yönetiminin kritik bir parçasıdır. Öncelikle bir IP havuzu oluşturmanız gerekir:

/ip pool add name=DHCP-Pool ranges=192.168.1.10-192.168.1.100

Ardından DHCP sunucusu yapılandırmasını tamamlayın:

/ip dhcp-server add address-pool=DHCP-Pool interface=ether1 lease-time=1d name=DHCP-Server

/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 dns-server=8.8.8.8

Bu yapılandırma, 192.168.1.10 ile 192.168.1.100 arasında IP adresi dağıtır ve 1 günlük lease süresi belirler. Maksimum kullanıcı sayısını kontrol etmek için dhcp-server ayarlarında max-lease-time parametresini ayarlayabilirsiniz.

MikroTik Güvenlik Duvarı Temel Kavramları

MikroTik güvenlik duvarı, paketleri filtrelemek için chain (zincir) yapısını kullanır. Üç ana zincir bulunur:

• input: Router'a yönelik trafiği işler
• forward: Router üzerinden geçen trafiği işler
• output: Router'dan kaynaklanan trafiği işler

Her zincirde paketler sırayla işlenir ve accept (kabul et), drop (reddet), reject (geri reddet) gibi aksiyonlar alınabilir.

Güvenlik Duvarı Kural Yapılandırması

Temel bir güvenlik duvarı kuralı oluşturmak için aşağıdaki yapıyı kullanın:

/ip firewall filter add chain=input protocol=tcp dst-port=22 action=accept src-address-list=ssh-allowed

Bu kural, SSH-allowed adres listesinde bulunan IP'lerden gelen TCP 22 portuna (SSH) izin verir. SSH brute-force saldırılarına karşı koruma için gelişmiş MikroTik güvenlik duvarı kuralları oluşturmanızı öneriyoruz.

Kritik bir güvenlik kuralı olarak, varsayılan olarak tüm gelen bağlantıları reddetmelisiniz:

/ip firewall filter add chain=input action=drop in-interface=wan

Bu kural, WAN arayüzünden gelen tüm istenmeyen trafiği engeller. İç ağdan gelen trafiğe izin vermek için src-address-list=local-network parametresini ekleyebilirsiniz.

Connection Tracking ve Stateful Firewall

MikroTik'in connection tracking özelliği, aktif bağlantıları izler ve güvenlik duvarının durum bilgisiyle çalışmasını sağlar. Connection tracking'i etkinleştirmek için:

/ip firewall connection tracking set enabled=yes

Bağlantı izleme ayarlarını özelleştirebilirsiniz:

/ip firewall connection tracking set established-timeout=1d loose-tcp-tracking=yes

Bu ayarlar, kurulan bağlantıların 1 gün boyunca izlenmesini sağlar ve TCP bağlantılarının daha esnek takibini etkinleştirir. Connection tracking tablosunu görüntülemek için /ip firewall connection print komutunu kullanın.

Address List Kullanımı

Address list'ler, IP adreslerini gruplandırmanın ve toplu işlem yapmanın etkili bir yoludur. Bir adres listesi oluşturmak için:

/ip firewall address-list add list=blacklist address=192.168.100.50

Bu liste, engellemek istediğiniz IP adreslerini içerir. Ardından bu listeyi güvenlik duvarı kurallarında kullanabilirsiniz:

/ip firewall filter add chain=input src-address-list=blacklist action=drop

Blacklist'leri dinamik olarak güncellemek için script'ler veya dış API'ler kullanabilirsiniz. Örneğin, bilinen zararlı IP'leri otomatik olarak eklemek için Scheduler ile düzenli güncellemeler yapabilirsiniz.

NAT (Network Address Translation) Yapılandırması

NAT, özel IP adreslerinin internet üzerinden iletişim kurmasını sağlar. MikroTik'te iki temel NAT türü vardır:

Src-NAT (Masquerade):

/ip firewall nat add chain=srcnat out-interface=wan action=masquerade

Bu kural, dahili ağdan gelen tüm trafiğin WAN IP'si üzerinden internete çıkmasını sağlar.

Dst-NAT (Port Yönlendirme):

/ip firewall nat add chain=dstnat in-interface=wan protocol=tcp dst-port=8080 action=dst-nat to-addresses=192.168.1.10 to-ports=80

Bu kural, WAN IP'sinin 8080 portuna gelen istekleri dahili ağdaki 192.168.1.10 IP'li sunucunun 80 portuna yönlendirir.

Güvenlik Duvarı Filter Action Karşılaştırması

Action	Açıklama	Kullanım Senaryosu
accept	Paketi kabul eder ve işlemeye devam eder	İzin verilen trafiğe izin vermek için
drop	Paketi sessizce reddeder	Güvenlik engelleme kuralları için
reject	Paketi reddeder ve ICMP yanıtı gönderir	Kullanıcıya bilgi vermek gerektiğinde
log	Paketi kaydeder	Debugging ve izleme için
tarpit	TCP bağlantısını yavaşlatır	Zararlı tarama araçlarına karşı

Layer 7 Protocol Filtering

Layer 7 (L7) filtreleme, paketlerin içeriğine göre engelleme yapmanızı sağlar. Öncelikle bir L7 protokolü tanımlayın:

/ip firewall layer7-protocol add name=bitTorrent regexp="^(|.*(bittorrent|btsea|btstack|azureus|vuze|ktorrent)).*$"

Ardından bu protokolü güvenlik duvarı kuralında kullanın:

/ip firewall filter add chain=forward layer7-protocol=bitTorrent action=drop

L7 filtreleme CPU yoğun bir işlemdir. Yüksek trafikli ağlarda dikkatli kullanılmalıdır.

DoS Koruma ve Trafik Kontrolü

MikroTik, SYN flood, ICMP flood ve diğer DoS saldırılarına karşı yerleşik koruma mekanizmaları sunar. Temel koruma kuralları:

SYN Flood Koruma:

/ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=50,32 action=drop

Bu kural, aynı kaynak IP'den 32 saniye içinde 50'den fazla SYN bağlantısı gelirse bunları engeller.

ICMP Flood Koruma:

/ip firewall filter add chain=input protocol=icmp limit=10/5s,50:packet action=accept

Bu kural, her kaynak IP'den saniyede 10 paket ile sınırlı ICMP trafiğine izin verir.

GUI Üzerinden Yapılandırma

Winbox veya WebFig aracılığıyla güvenlik duvarı yapılandırması için:

1. Winbox'ta IP → Firewall menüsünü açın
2. Filter Rules sekmesinde yeni kural oluşturmak için "+" butonuna tıklayın
3. Chain, Protocol, Dst. Port gibi parametreleri ayarlayın
4. Action sekmesinde kabul veya reddetme aksiyonunu seçin
5. Kuralı sürükle-bırak yöntemiyle uygun sıraya yerleştirin

Kuralların sırası önemlidir. İlk eşleşen kural işlem görür ve diğer kurallar atlanır.

Monitoring ve Logging

Güvenlik duvarı etkinliğini izlemek için log'ları kontrol edin:

/log print topic-prefix="firewall"

Real-time izleme için:

/tool traffic-monitor

Trafik izleyici, belirli bir eşik değeri aşıldığında tetikleme yapabilir ve size uyarı gönderbilir.

Best Practices ve Öneriler

MikroTik güvenlik duvarı yapılandırmasında dikkat edilmesi gereken temel noktalar:

• Beyaz liste yaklaşımı kullanın: Varsayılan olarak tüm trafiği engelleyin, sadece gerekli olanlara izin verin
• Kuralları düzenli olarak gözden geçirin: Kullanılmayan kuralları kaldırın
• Yedekleme yapın: Yapılandırmayı düzenli olarak export edin
• Loglama kullanın: Kritik kurallarda log aksiyonunu ekleyin
• Update'leri takip edin: RouterOS güncellemelerini düzenli olarak yükleyin

DNS güvenliği konusunda da bilgi sahibi olmak, kapsamlı bir ağ güvenliği stratejisi için önemlidir.

Sonuç

MikroTik, gelişmiş IP yönetimi ve güvenlik duvarı özellikleriyle güçlü bir ağ altyapısı sunar. Bu rehberde ele aldığımız teknikler, ağınızı güvende tutmanıza ve trafiği etkin bir şekilde yönetmenize yardımcı olacaktır. Başlangıçta basit kurallarla başlayıp, ihtiyaçlarınıza göre kademeli olarak karmaşıklık eklemenizi öneriyoruz.

Güvenlik duvarı kurallarını uygulamadan önce mutlaka test ortamında deneyin ve yedek almayı unutmayın. Yanlış yapılandırılmış bir kural, ağ bağlantısını kesintiye uğratabilir.