Cloudflare DNS Yönetimi, CDN ve DDoS Koruması: Hosting ile Pratik Rehber

Cloudflare DNS Yönetimi, CDN ve DDoS Koruması: Hosting ile Birlikte Pratik Rehber (2026)

Sitenizin DDoS saldırısıyla yavaşladığını veya tamamen erişilemez hale geldiğini düşünün. Sabah 8'de müşteri siparişleri geliyor, öğlen 10'da saldırı başlıyor ve siteniz kapanıyor. Böyle bir senaryoyla karşılaşmak istemiyorsanız DNS yönetimi + CDN + DDoS koruması üçlüsünü doğru kurmanız gerekiyor.

Bu rehberde Buyukweb cPanel hosting altyapısını Cloudflare ile nasıl kullanacağınızı adım adım açıklıyoruz. Temel ilke şu: orijin sunucunuz Buyukweb'deki hosting, edge katmanı Cloudflare. İkisi birbirini tamamlar, biri diğerinin yerine geçmez.

Buyukweb perspektifi: cPanel hosting paketlerimizin hepsinde DNS Zone Editor dahil. A, AAAA, CNAME, MX, TXT, SRV kayıtlarını doğrudan cPanel'den yönetebilirsiniz — ek bir araç gerekmez. Cloudflare, ek katman: orijin IP'nizi gizler, trafiği edge'den filtreler, CDN cache ekler. VDS ve dedicated sunucu paketlerimizde ise L3+L4+L7 DDoS koruması standarttır — Cloudflare olmadan da sunucu seviyesinde koruma aktif. Cloudflare bu korumanın üstüne fazladan bir kalkan ekler.

cPanel DNS Zone Editor ile Cloudflare Arasındaki Fark

Önce temel ayrımı netleştirelim:

Özellik	Buyukweb cPanel DNS Zone Editor	Cloudflare DNS (Proxy modunda)
Kapsam	Orijin sunucu kayıtları	Edge/proxy + orijin yönetimi
IP gizleme	Hayır (A kaydı doğrudan IP gösterir)	Evet (orijin IP gizlenir)
CDN cache	Hayır	Evet (edge PoP'lardan teslim)
DDoS filtresi	Sunucu L3+L4+L7 var	Edge'de ek WAF + L7 filtresi
TTL kontrolü	Tam (1 sn - 86400 sn)	Proxy modunda otomatik (30 sn)
DNSSEC	Destekli (RFC 4033)	Destekli + otomatik
Ücretsiz mi?	Hosting paketine dahil	Ücretsiz plan mevcut

Buyukweb hosting alıyorsunuz, cPanel'de DNS Zone Editor açık geliyor. Cloudflare eklemek istiyorsanız domain'inizin NS kayıtlarını Cloudflare'ın nameserver'larına yönlendiriyorsunuz. Artık DNS yönetimi Cloudflare dashboard'undan yapılıyor, ama asıl sunucu (hosting, VDS) hâlâ Buyukweb'de.

Cloudflare'ı Kurmanın Doğru Adımları

Adım 1: Cloudflare'a Site Ekle ve DNS Tarama

Cloudflare hesabınızda "Add a Site" diyorsunuz, domain adını giriyorsunuz. Cloudflare mevcut DNS kayıtlarınızı otomatik tarar — cPanel'deki Zone Editor'da ne varsa büyük çoğunluğu otomatik içe aktarır.

Eksik kayıt varsa elle ekleyin. Özellikle özel subdomain'ler (mail, ftp, webdisk, cpanel gibi) taramada atlanabilir; kontrol edin.

Adım 2: Nameserver Değişikliği

Domain'inizin kayıtlı olduğu panel üzerinden NS kayıtlarını Cloudflare'ın atadığı nameserver'larla değiştiriyorsunuz. Propagasyon genellikle 24-48 saat sürer; bu süre içinde hem eski hem yeni NS yanıt verebilir — normaldir.

# Propagasyon durumunu kontrol et
dig NS siteniz.com @8.8.8.8
# Cloudflare NS'leri (örnek) görünüyorsa aktif

Adım 3: Proxy Modu — Turuncu Bulut vs. Gri Bulut

Cloudflare DNS panelinde her kayıt yanında bulut ikonu var:

Turuncu Bulut (Proxied):  Trafik Cloudflare edge üzerinden geçer
                          → CDN + DDoS filtresi + WAF + SSL edge
                          → Orijin IP gizlenir

Gri Bulut (DNS Only):     Sadece DNS çözümleme, Cloudflare bypass
                          → Orijin IP doğrudan görünür
                          → CDN/DDoS filtresi yok

Hangi kayıtlar turuncu, hangileri gri olmalı?

Kayıt	Proxy modu	Neden
A (web, www, root)	Turuncu	CDN + DDoS koruması için
CNAME (web subdomain)	Turuncu	CDN için
MX	Gri (zorunlu)	Mail proxy üzerinden gidemez
mail subdomain A	Gri	SMTP portu 25/587/465 proxy'den geçmez
ftp subdomain	Gri	FTP proxy desteklenmez
cpanel / whm subdomain	Gri	cPanel panel erişimi doğrudan gerekir

Dikkat etmeyin: Mail subdomain'ini turuncu yapmak sık yapılan hata. mail.siteniz.com A kaydını turuncu yaparsanız SMTP portu 25/587/465 Cloudflare proxy üzerinden geçemez, mail gönderim/alım çalışmaz. mail ve webmail subdomain'lerini mutlaka gri bulut (DNS Only) bırakın.

DNS Kayıt Tipleri: Cloudflare'da Ne Nedir

Cloudflare'a geçince DNS yönetimi buradaki dashboard'dan yapılıyor. Kayıt tipleri aynı — standart DNS:

Kayıt	Kullanım	Örnek
A	Domain → IPv4	siteniz.com → 95.85.100.50
AAAA	Domain → IPv6	siteniz.com → 2a01::1
CNAME	Alias (başka domain)	www → siteniz.com
MX	E-posta sunucusu	@ → mail.siteniz.com (öncelik 10)
TXT	SPF, DKIM, DMARC	v=spf1 a mx ~all
SRV	Servis keşfi	VoIP, SIP için
CAA	SSL kısıtlama	Hangi CA sertifika basabilir
NS	Yetkili DNS delegasyonu	Subdomain zone delegasyonu

TTL Değerleri

Cloudflare proxy modunda TTL otomatik olarak 30 saniye ayarlanır — propagasyon hızlıdır. DNS Only modundaki kayıtlarda TTL'i kendiniz belirliyorsunuz:

TTL 60    (1 dk)    → Failover-ready, DNS yük artar
TTL 300   (5 dk)    → Failover-friendly, dengeli seçim
TTL 3600  (1 sa)    → Standart, stabil siteler için
TTL 86400 (24 sa)   → Çok stabil, değişiklik planlanmıyor

Sunucu/IP değişikliği öncesi TTL'i 300'e indirin, değişimi yapın, sonra normale çekin.

DNSSEC

Cloudflare DNSSEC'i (RFC 4033) hem ücretsiz hem ücretli planlarda destekler. DNSSEC DNS yanıtlarını kriptografik olarak imzalar; "DNS spoofing" veya "DNS poisoning" saldırılarına karşı kayıtların doğruluğunu garanti eder. Etkinleştirmek için Cloudflare dashboard'dan tek tıkla açılıyor; ardından DS kaydını domain registrar'ınıza eklemeniz gerekiyor.

Cloudflare CDN: Edge Cache Nasıl Çalışır

Cloudflare'ın Anycast ağında 300+ PoP (Point of Presence) var. Turuncu bulut aktif olduğunda sitenizin statik içerikleri (görsel, CSS, JS, font) bu edge noktalarına dağıtılır. İstanbul'daki bir ziyaretçi, İstanbul'a yakın bir edge'den içeriği alır — Bursa Pendc veri merkezimize kadar gitmesine gerek kalmaz.

Cloudflare Cache olmadan:
[İstanbul kullanıcı] → Buyukweb Bursa Pendc → Origin sunucu → Yanıt

Cloudflare Cache ile (HIT):
[İstanbul kullanıcı] → Cloudflare PoP (İstanbul edge) → Cache'den yanıt
                        (Buyukweb sunucusuna gidilmedi)

Pratik fark: İlk istek (cache MISS) yine orijine gider. Sonraki istekler (cache HIT) edge'den saniyenin küçük bir kesimiyle gelir, orijin yüklenmez.

Cache Durumunu Kontrol Etmek

# Bir URL'nin cache durumuna bak
curl -I https://siteniz.com/resim.jpg | grep cf-cache-status

# CF-Cache-Status: HIT     → Edge cache'den geldi (iyi)
# CF-Cache-Status: MISS    → Orijinden çekildi (ilk istek)
# CF-Cache-Status: BYPASS  → Belirli kural/cookie nedeniyle atlandı
# CF-Cache-Status: EXPIRED → TTL doldu, yeniden çekilecek

WordPress + Cloudflare Cache

WordPress kullanıyorsanız dikkat edilmesi gereken nokta: Cloudflare varsayılanda HTML'yi cache'lemez. wp-admin ve giriş yapan kullanıcılara özel sayfa göstermesi bu yüzden sorun yaratmaz. Ama statik cache istiyorsanız "Cache Everything" Page Rule ekleyip wp-admin ve wp-login.php için bypass kuralı koymanız gerekiyor.

Cloudflare'ın resmi WordPress eklentisi yüklüyse post güncellediğinizde otomatik cache purge yapar.

# API ile belirli URL'leri purge etmek
curl -X POST   "https://api.cloudflare.com/client/v4/zones/ZONE_ID/purge_cache"   -H "Authorization: Bearer API_TOKEN"   -H "Content-Type: application/json"   --data '{"files":["https://siteniz.com/blog/yazi"]}'

Argo Smart Routing (Ücretli)

Cloudflare'ın Argo Smart Routing özelliği standart internet rotası yerine Cloudflare'ın özel ağ omurgasını kullanarak orijin sunucuya en hızlı yolu bulur. Ortalama %30 TTFB iyileşmesi raporlanıyor. Bu özellik ücretli (kullanım bazlı); büyük trafik hacmine sahip siteler için anlamlı.

DDoS Koruması: Cloudflare + Buyukweb L3+L4+L7

DDoS (Distributed Denial of Service) saldırısı farklı katmanlarda gelir:

Katman	Saldırı Tipi	Örnek	Buyukweb + Cloudflare
L3 (Ağ)	UDP/ICMP flood, volumetrik	100 Gbps UDP flood	Buyukweb altyapısı L3 filtreler; Cloudflare Anycast absorbe eder
L4 (Taşıma)	SYN flood, TCP exhaustion	Yarı-açık bağlantı tüketimi	Buyukweb L4 koruması var; Cloudflare ek katman
L7 (Uygulama)	HTTP flood, slowloris, bot	Saniyede 1M HTTP GET	Cloudflare WAF + rate limiting birincil filtre

Kritik not: Buyukweb VDS ve dedicated sunucu paketlerinde L3+L4+L7 DDoS koruması standarttır — Cloudflare olmadan da etkin. Cloudflare proxy açıldığında bu koruma üstüne edge katmanında ek bir filtre ekleniyor: saldırı trafiği Buyukweb sunucusuna ulaşmadan Cloudflare'ın Anycast ağında dağıtılarak absorbe ediliyor.

Cloudflare Free Plan DDoS Koruması

Cloudflare ücretsiz planda temel DDoS mitigasyonu otomatik açık:

- L3/L4 volumetrik saldırı otomatik filtresi
- HTTP flood için "Under Attack Mode" (manuel açılır)
- Bot yönetimi (temel)
- WAF managed rules (sınırlı)

"Under Attack Mode" Ne Zaman Açılır?

Aktif saldırı varsa Cloudflare'ın "Under Attack Mode"unu açabilirsiniz. Bu mod her ziyaretçiye JavaScript challenge gönderir — gerçek tarayıcılar geçer, botlar takılır. Kullanıcı deneyimini bir miktar etkiler; sürekli açık bırakmayın, sadece aktif saldırı sırasında kullanın.

Cloudflare Dashboard → Güvenlik → Ayarlar → Güvenlik Seviyesi:
- Esasen Kapalı   → Minimum koruma
- Düşük           → Bilinen botları filtrele
- Orta (Varsayılan) → Dengeli
- Yüksek          → Şüpheli trafiği challenge
- Saldırı Altında → Tüm ziyaretçilere challenge

SSL: Cloudflare + Let's Encrypt (Buyukweb) Birlikte

Buyukweb hosting paketlerinde Let's Encrypt SSL otomatik kurulur. Cloudflare eklediğinizde iki SSL katmanı oluşur:

Tarayıcı ──HTTPS──> Cloudflare Edge (Cloudflare sertifikası)
                        ↓
                  Cloudflare ──HTTPS──> Buyukweb Origin (Let's Encrypt)

SSL modunu doğru ayarlamak kritik:

Mod	Açıklama	Buyukweb için
Off	HTTPS yok	Kullanmayın
Flexible	Tarayıcı-CF arası HTTPS, CF-Origin HTTP	Kullanmayın (şifreli değil)
Full	Uçtan uca HTTPS, self-signed sertifika kabul	Geçici kullanılabilir
Full (Strict)	Uçtan uca HTTPS, geçerli sertifika zorunlu	Doğru seçim

"Flexible" modunu seçmeyin: tarayıcı-Cloudflare arası şifrelenmiş görünür ama Cloudflare-Buyukweb sunucusu arası HTTP kalır — güvenlik açığı. Buyukweb'de Let's Encrypt zaten var, Full (Strict) doğru çalışır.

Cloudflare Gerçek IP'yi Sunucuya İletmek

Cloudflare proxy devredeyken sunucunuzun gördüğü IP Buyukweb origin'e ulaşan Cloudflare edge IP'sidir, ziyaretçi IP'si değil. WordPress, log dosyaları, güvenlik eklentileri yanlış IP görür.

Çözüm: CF-Connecting-IP header'ını orijin ziyaretçi IP'si olarak okumak.

Nginx'te Cloudflare Gerçek IP

# /etc/nginx/conf.d/cloudflare-realip.conf

# Cloudflare IPv4 aralıkları (güncel liste için Cloudflare dökümantasyonu)
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;

real_ip_header CF-Connecting-IP;

cPanel'de bu ayarı Nginx Reverse Proxy yapılandırmasından veya .htaccess yöntemiyle de uygulayabilirsiniz.

Cloudflare WAF (Web Application Firewall) Temel Kurallar

Cloudflare ücretsiz planda sınırlı, Pro/Business planda tam WAF var. Temel kullanım:

Firewall Rules ile:
- /wp-admin/* adresine yalnızca belirli IP'lerden erişime izin ver
- Belirli ülkelerden gelen bot trafiğini engelle
- Rate limiting: /login'e dakikada 5'ten fazla istek engelle

WordPress için pratik kural: wp-admin'e kendi IP'nizden erişime izin verin, diğerlerini challenge edin. Bu brute-force saldırılarını keser.

Cloudflare Plan Karşılaştırması

Özellik	Free	Pro	Business
CDN / Edge Cache	Var	Var	Var
DDoS (L3/L4)	Var	Var	Var
DDoS (L7 otomatik)	Temel	Gelişmiş	Tam
WAF Managed Rules	Yok	Var (OWASP)	Var + özel
Page Rules	3	20	50
Image Optimization	Yok	Var (Polish)	Var
Analytics	Temel	Gelişmiş	Tam
Argo Smart Routing	Ücretli ek	Ücretli ek	Dahil değil
SLA	Yok	%100	%100
Aylık ücret	Ücretsiz	~$20/ay	~$200/ay

Buyukweb cPanel hosting müşterilerinin büyük çoğunluğu için Free plan fazlasıyla yeterlidir. Pro, yüksek bot trafiği ve özel WAF kuralları gerektiren siteler için anlamlıdır.

Sık Sorulan Sorular

Buyukweb cPanel hosting'de DNS Zone Editor ücretsiz mi?

Evet, tüm cPanel hosting paketlerinde DNS Zone Editor dahildir. A, AAAA, CNAME, MX, TXT, SRV kayıtlarını ek ücret ödemeden yönetebilirsiniz. Cloudflare ise bu yapının üzerine eklenen isteğe bağlı bir katmandır.

Cloudflare proxy açıkken cPanel'e nasıl erişirim?

cpanel.siteniz.com ve whm.siteniz.com subdomain'lerini Gri Bulut (DNS Only) yapın. Cloudflare proxy üzerinden cPanel portlarına (2083, 2087) erişim desteklenmez; doğrudan IP veya gri bulut subdomain gerekir.

Mail kayıtlarımı Cloudflare'a taşıdım, mail çalışmıyor — neden?

mail.siteniz.com A kaydı veya MX kaydına bağlı subdomain Turuncu Bulut (Proxied) yapılmış olabilir. SMTP portu 25/587/465 Cloudflare proxy üzerinden geçemez. mail subdomaini her zaman Gri Bulut (DNS Only) olmalı. MX kaydı zaten proxy desteklemez — sorun büyük ihtimalle mail subdomain A kaydında.

SSL modu Flexible bırakınca sorun olur mu?

Evet, güvenlik açığı oluşur. Buyukweb hosting paketlerinde Let's Encrypt SSL otomatik gelir. Full (Strict) modunu seçin: hem tarayıcı-Cloudflare arası hem Cloudflare-sunucu arası şifrelenir. Flexible sadece birinci bacağı şifreler; orijin sunucuya HTTP gider.

Cloudflare olmadan da DDoS koruması var mı?

Evet. Buyukweb VDS ve dedicated sunucu paketlerinde L3+L4+L7 DDoS koruması standarttır. cPanel hosting altyapısında da ağ seviyesi koruma aktif. Cloudflare bu korumanın üstüne edge katmanında ek absorpsiyon ekler — özellikle yüksek hacimli L7 HTTP flood saldırılarında anlamlı fark yaratır.

DNSSEC aktif etmeli miyim?

Genel olarak evet, özellikle güvenlik kritik siteler için. DNSSEC DNS yanıtlarının sahte olmadığını kriptografik olarak kanıtlar. Cloudflare DNSSEC'i tek tıkla etkinleştiriyor; ardından domain registrarınıza DS kaydını eklemeniz gerekiyor. Aktivasyon propagasyon süresi 24-48 saat.

Cloudflare cache sitenin güncel halini göstermiyor — ne yapayım?

Statik dosyalar edge'de cache'lenmiş olabilir. Cloudflare dashboard'dan "Purge Cache" → "Purge Everything" ile tüm edge cache temizlenir. WordPress kullanıyorsanız Cloudflare eklentisi post güncellemede otomatik purge yapar. Sık güncellenen sayfalarda Page Rules ile o URL'lerin TTL'ini düşürün veya bypass edin.

Sonuç

DNS yönetimi, CDN ve DDoS koruması birbirinden kopuk üç konu değil — aynı altyapının üç katmanı. Buyukweb hosting alıyorsunuz, cPanel'de DNS Zone Editor dahil geliyor: temel DNS yönetimini buradan yapabilirsiniz. Cloudflare eklemek istiyorsanız NS kayıtlarını değiştirin, proxy modunu doğru ayarlayın (mail subdomain'lerini gri bulut bırakın, web kayıtlarını turuncu yapın), SSL modunu Full (Strict) seçin.

Sonuç: orijin sunucunuz Buyukweb Bursa Pendc Tier 3 veri merkezinde güvende, DDoS koruması zaten aktif; Cloudflare ise edge'de ekstra bir kalkan ve cache katmanı olarak çalışıyor.

Kurulum sırasında takıldığınız adımlar için 0850 302 60 70 numaralı Buyukweb teknik destek hattını arayabilirsiniz. 7/24 Türkçe destek.

---

İlgili Büyükweb Hizmetleri

DNS yönetimi ve güvenli hosting altyapısı için:

• cPanel Web Hosting (DNS Zone Editor dahil)
• VDS Sunucu (L3+L4+L7 DDoS koruması standart)
• E5 v4 VDS
• WordPress Hosting
• Tüm Paketler — Karşılaştırma

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.