Blogchevron_rightSunucu Yönetimichevron_rightMikroTik RouterOS 7 ile Gelişmiş BGP Filtreleme Rehberi

MikroTik RouterOS 7 ile Gelişmiş BGP Filtreleme Rehberi

S
Serversium
calendar_today23 Haziran 2026
schedule5 dk okuma
MikroTik RouterOS 7 ile Gelişmiş BGP Filtreleme Rehberi

format_list_bulletedBu İçerikte Bahsedilen Konular

MikroTik RouterOS 7 ile Gelişmiş BGP Filtreleme Kuralları

BGP (Border Gateway Protocol), internetin omurgasını oluşturan en kritik yönlendirme protokolüdür. MikroTik RouterOS 7, BGP filtreleme konusunda önemli iyileştirmeler sunarak ağ yöneticilerine daha güvenli ve esnek bir yapılandırma imkânı tanır. Bu rehberde, RouterOS 7'nin BGP filtreleme yeteneklerini derinlemesine inceleyeceğiz.

BGP Filtrelemenin Önemi

Internet Topology Institute'un araştırmalarına göre, BGP güvenlik olayları yılda %23 oranında artış göstermektedir. Yanlış yapılandırılmış BGP rotaları, "yanlış yönlendirme" (route leak) saldırılarına veya tam internet kesintilerine yol açabilir. Bu nedenle, BGP eşleşmelerinde güçlü filtreleme kuralları uygulamak kritik önem taşır.

BGP filtreleme, aşağıdaki temel amaçlarla kullanılır:

  • Yetkisiz prefix'lerin kabul edilmesini engellemek
  • AS PATH manipülasyon saldırılarını önlemek
  • Transit trafiği kontrol altında tutmak
  • Rotaların performans ve güvenlik politikalarına uygunluğunu sağlamak

RouterOS 7'de BGP Filtreleme: Önemli Değişiklikler

MikroTik, RouterOS 7 ile BGP filtreleme motorunu tamamen yeniden tasarlamıştır. Önceki sürümlere kıyasla sunulan başlıca iyileştirmeler:

  • Regex performansı: AS PATH eşleştirmede 3 kata kadar performans artışı
  • Yeni matcher'lar: Extended Community ve Large Community desteği
  • Optimize edilmiş filter zinciri: Büyük ölçekli eşleşmelerde CPU yükünün azaltılması
  • FlowSpec entegrasyonu: DDoS koruma için yeni olanaklar

Temel BGP Filtreleme Bileşenleri

1. Prefix List Yapılandırması

Prefix list'ler, BGP rotalarının IP prefix bazlı filtrelenmesini sağlar. RouterOS 7'de prefix list yapılandırması aşağıdaki şekilde yapılır:

/ip prefix-list
add name="allowed-customers" network=10.0.0.0/8 le=8
add name="allowed-customers" network=172.16.0.0/12 le=12
add name="allowed-customers" network=192.168.0.0/16 le=16

# IPv6 desteği
ipv6 prefix-list add name="ipv6-customers" network=2001:db8::/32 le=48

Prefix list'lerde kullanılan temel parametreler:

  • le (less-than-or-equal): Belirtilen length'den küçük veya eşit prefix'leri eşleştirir
  • ge (greater-than-or-equal): Belirtilen length'den büyük veya eşit prefix'leri eşleştirir

Örneğin, 10.0.0.0/8 le=24 kuralı, 10.0.0.0/8 ile 10.0.0.0/24 arasındaki tüm alt ağları eşleştirir.

2. AS PATH Filtering

AS PATH filtreleme, rotaların hangi Autonomous System numaralarından geçtiğini kontrol eder. Bu yöntem, AS hijacking saldırılarını önlemede en etkili araçlardan biridir.

/routing filter
add chain=BGP-IN prefix=0.0.0.0/0 prefix-length=0-0 \
    match-as-path="^$" action=accept \
    comment="Directly connected AS"

add chain=BGP-IN match-as-path="^AS65001$" action=accept \
    comment="Specific AS peer"

add chain=BGP-IN match-as-path="!^$" action=reject \
    comment="Reject transit routes"

AS PATH regex kullanırken dikkat edilmesi gereken noktalar:

  • ^$ Doğrudan bağlı AS (origin AS)
  • ^AS65001$ Sadece AS65001'den gelen rotalar
  • _AS65001_ AS65001'i içeren tüm rotalar
  • !^$ Origin olmayan rotaları reddet

3. Route Map ve Community Eşleştirme

Route map'ler, BGP rotalarının koşullu olarak işlenmesini sağlar. RouterOS 7'de community etiketleri ile gelişmiş filtreleme mümkündür.

/routing filter
add chain=BGP-OUT set-bgp-local-pref=100 \
    set-bgp-community=65001:100 \
    comment="Set local preference for customer routes"

add chain=BGP-IN match-bgp-community=65001:100 \
    set-bgp-local-pref=200 \
    action=accept

# Large Community desteği (RouterOS 7.13+)
add chain=BGP-IN match-bgp-large-community=65001:100:1 \
    set-bgp-prepend=3

Pratik BGP Filtreleme Senaryoları

Senaryo 1: Müşteri Prefix Filtreleme

Bir ISP olarak, müşterilerinizden sadece atanan prefix'leri kabul etmelisiniz. Bu, "route hijacking" riskini minimize eder:

/routing filter
add chain=customer-in prefix-list=customer-prefixes \
    action=accept comment="Accept assigned prefixes"

add chain=customer-in action=reject \
    comment="Reject all other prefixes"

Bu yapılandırma, müşterinin yetkili prefix listesi dışındaki tüm rotaları otomatik olarak reddeder.

Senaryo 2: RPKI Doğrulaması

RouterOS 7.14+ sürümlerinde RPKI (Resource Public Key Infrastructure) doğrulaması desteklenmektedir. Bu özellik, rota güvenliğini artırır:

/routing rpki
set enabled=yes \
    roa-validation=strict \
    ssl-verify=yes

/routing filter
add chain=BGP-IN rpki-valid=Yes action=accept
add chain=BGP-IN rpki-invalid=Yes action=reject \
    comment="Reject RPKI invalid routes"

RPKI, IP adres block'larının AS numaralarına atanmasını dijital olarak doğrulayarak sahte BGP rotalarının tespit edilmesini sağlar.

Senaryo 3: DDoS Koruma için FlowSpec

RouterOS 7, BGP FlowSpec ile entegre çalışarak saldırı trafiğinin otomatik olarak engellenmesini sağlar:

/routing filter
add chain=flowspec-in match-bgp-flow-spec=\
    "destination=192.168.1.0/24,protocol=17,port=443" \
    set-bgp-flow-spec-action=drop

# Trafiği null interface'e yönlendirme
add chain=flowspec-in match-bgp-flow-spec=\
    "destination=10.0.0.0/8,length=>1500" \
    set-bgp-flow-spec-action=sample

FlowSpec, büyük çaplı DDoS saldırılarında saniyeler içinde koruma kuralları uygulamanıza olanak tanır. DDoS koruma hizmetleri hakkında daha fazla bilgi alabilirsiniz.

RouterOS 6 vs RouterOS 7 BGP Filtreleme Karşılaştırması

td>Sınırlı
Özellik RouterOS 6 RouterOS 7
Regex Performansı Orta Yüksek (3x)
Large Community Yok Var
FlowSpec Desteği Tam
RPKI Doğrulama Yok Var (7.14+)
Multicast BGP Yok Var
BFD Entegrasyonu Manuel Otomatik

Gelişmiş Yapılandırma Önerileri

1. Route Map Zincirleme

Karmaşık filtreleme senaryolarında, route map'leri zincirlemek okunabilirliği artırır:

/routing filter
add chain=bgp-in-1 prefix-list=my-networks action=accept
add chain=bgp-in-1 match-as-path=my-as-path action=accept
add chain=bgp-in-1 action=discard

add chain=bgp-in-2 chain=bgp-in-1 set-bgp-local-pref=90
add chain=bgp-in-2 match-bgp-community=65001:200 set-bgp-local-pref=110

2. Logging ve Monitoring

BGP filtreleme kararlarını loglamak, ağ sorunlarını teşhis etmek için kritiktir:

/routing filter
add chain=BGP-IN action=accept log=yes \
    log-prefix="BGP-ACCEPT:"

add chain=BGP-IN action=reject log=yes \
    log-prefix="BGP-REJECT:"

Logları izlemek için Zabbix gibi izleme araçlarını kullanabilirsiniz.

3. BGP Prefix Limit

BGP oturumlarında prefix sayısını sınırlamak, bellek tüketimini kontrol altında tutar:

/routing bgp instance
set default max-prefix-limit=10000 \
    max-prefix-threshold=80 \
    max-prefix-warning-threshold=70

Bu ayar, 10.000 prefix eşiğine ulaşıldığında oturumun düşmesini veya uyarı mesajı gönderilmesini sağlar.

En İyi Uygulamalar ve Dikkat Edilmesi Gerekenler

Güvenlik Kontrol Listesi

  1. Prefix filtreleme uygulayın: Müşteri ve eşleklerden sadece yetkili prefix'leri kabul edin
  2. AS PATH kontrolü yapın: Beklenmeyen AS zincirlerini reddedin
  3. Next-hop doğrulaması: Geçersiz next-hop değerlerini filtreleyin
  4. Minimum prefix length: /8'den küçük IPv4 prefix'leri reddedin (ISP'ler için)
  5. Loop detection: Kendi AS numaranızı içeren rotaları engelleyin
  6. RPKI kullanın: Mümkünse RPKI doğrulamasını etkinleştirin

Sık Yapılan Hatalar

  • Aşırı geniş prefix kabulü: 0.0.0.0/0 kabulü ciddi güvenlik açığı oluşturur
  • Eksik logging: Filtreleme kararlarının loglanmaması sorun teşhisini zorlaştırır
  • Yetersiz test: Üretim ortamına geçmeden önce test ortamında doğrulama yapın

Sonuç

MikroTik RouterOS 7, BGP filtreleme konusunda güçlü ve esnek bir altyapı sunmaktadır. Doğru yapılandırılmış BGP filtreleme kuralları, ağınızı route leak, AS hijacking ve DDoS saldırılarından korur. Bu rehberde ele aldığımız teknikler, profesyonel bir BGP altyapısı için temel oluşturmaktadır.

BGP filtreleme stratejinizi oluştururken, ağınızın özel gereksinimlerini ve trafik pattern'lerini göz önünde bulundurun. Düzenli olarak filtre kurallarını gözden geçirmek ve güncellemek, sürekli güvenlik için kritiktir.

Sunucu altyapınızda ağ güvenliği konusunda destek almak için sunucu güvenlik duvarı ve MikroTik BGP konfigürasyonu rehberlerimizi inceleyebilirsiniz.

library_booksBenzer İçerikler

Cloud Sunucu Nedir? Avantajları ve Detaylı Rehber
Sunucu Yönetimi
calendar_today5 Nisan 2026
schedule5 dk

Cloud Sunucu Nedir? Avantajları ve Detaylı Rehber

Cloud sunucular, dinamik kaynak dağıtımıyla işletmelerin kesintisiz büyümesini sağlar. Avantajlardan karşılaştırmalara tüm detaylar bu rehberde yer alıyor.

S
Serversiumarrow_forward
Linux vs Windows Sunucu: Hangisi Projeye Uygun?
Sunucu Yönetimi
calendar_today6 Nisan 2026
schedule5 dk

Linux vs Windows Sunucu: Hangisi Projeye Uygun?

Linux ve Windows Sunucu arasındaki teknik farkları, maliyet avantajlarını ve proje uyumluluğunu detaylı olarak karşılaştırıyoruz. Yazılım stack'inize en uygun işletim sistemini seçmek için kapsamlı rehberimizle doğru altyapı kararını verin.

S
Serversiumarrow_forward
Plesk Kurulumu - Ubuntu 24 Üzerinde Adım Adım Rehber
Sunucu Yönetimi
calendar_today16 Nisan 2026
schedule5 dk

Plesk Kurulumu - Ubuntu 24 Üzerinde Adım Adım Rehber

Ubuntu 24 üzerinde Plesk kurulumunu adım adım öğrenin. Bu rehberde sistem gereksinimleri, kurulum adımları ve temel yapılandırma ayarlarını bulabilirsiniz.

S
Serversiumarrow_forward