Linux Sunucuyu Ping Erişimine Kapatma
Linux sunucularda ICMP ping yanıtlarını devre dışı bırakarak ağ keşif saldırılarına karşı sunucu görünürlüğünü azaltma yöntemleri.
Linux Sunucuyu Ping Erişimine Kapatma: Pratik Güvenlik ve Riskleri (2026 Rehberi)
ICMP echo-request (ping) trafiği, kötü niyetli aktörler için sunucu keşfinin en hızlı yoludur: bir IP aralığını taradığınızda yanıt verenler "canlı host" listesine girer. Bu yüzden uzun yıllardır sunucu yöneticileri "ping'i kapatın" tavsiyesini paylaşır. Ama 2026'da gerçek manzara biraz daha karmaşık: ping'i kapatmak güvenliği marjinal artırır, ama monitoring ve sorun giderme süreçlerini zorlaştırır. Bu rehberde Buyukweb VDS müşterileri için pratik bir karar çerçevesi sunuyor; her iki yöntemi (engelleme + akıllı rate limit) kod örnekleriyle anlatıyoruz.
Buyukweb perspektifi: VDS müşterilerimizin %85'i ping'i kapatmıyor, çünkü kapatmak siber saldırıyı durdurmaz — saldırganın bilmediği port veya servis zaten dinleyen sunucuda. Asıl güvenlik CSF (ConfigServer Firewall) + Fail2ban + güçlü SSH yapılandırması + güncel OS kombosuyla sağlanır. Yine de kurumsal güvenlik politikası veya ICMP flood saldırısı sonrası ping kapatma anlamlıdır. Bu yazı ikisini de tarafsızca anlatıyor.
ICMP Nedir, Neden Filtrelemek İstersiniz?
ICMP (Internet Control Message Protocol), IP paketleriyle ilgili yardımcı mesajları taşıyan protokol. ping, traceroute, MTU discovery gibi araçların temelidir. ICMP'nin alt tipleri var; en sık kullanılanlar:
| ICMP Type | Kod | Anlamı |
|---|---|---|
| 0 | Echo Reply | Ping yanıtı |
| 3 | Destination Unreachable | Hedef erişilemez (port unreachable, host unreachable) |
| 8 | Echo Request | Ping isteği |
| 11 | Time Exceeded | TTL süresi dolmuş (traceroute kullanır) |
| 30 | Traceroute | Traceroute mesajı |
Ping'i Kapatmanın Faydaları (Sınırlı)
- Network keşif zorlaşır:
nmap -sn 1.2.3.0/24ile yapılan ping-sweep yanıt almaz - Bazı amatör DDoS scriptlerini boşa çıkarır: ICMP flood'lar (ping of death, smurf attack) hedef yanıt vermediği için etkisiz kalır
- Kurumsal güvenlik audit'leri "ping kapalı" maddesini ister (PCI-DSS, ISO 27001 dolaylı tavsiye)
Ping'i Kapatmanın Sakıncaları (Önemli)
- Monitoring kırılır: Nagios, Zabbix, UptimeRobot ICMP check yapamaz
- Traceroute sorunu: Müşteriniz "siteme ulaşamıyorum" dediğinde sorun teşhisi zorlaşır
- MTU Path Discovery bozulabilir: ICMP type 3 code 4 paketleri filtrelenirse bağlantı sorunları yaşanabilir
- Yanlış güvenlik hissi: Sadece port 80 ve 443'ünüz açıksa, atak yüzeyi onlar; ping kapatmak değiştirmez
Pragmatik tavsiye: Ping'i tamamen kapatmak yerine rate limit koymak daha akıllı. Saniyede 10 ping geçerken normal monitoring çalışır, flood ataklar otomatik düşer.
Yöntem 1: sysctl ile Kernel Seviyesi Engelleme (En Hızlı)
Tek komutla tüm ICMP echo-request'i ignore eder:
# Geçici olarak (anlık etkili, reboot sonra kaybolur)
sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
# Kalıcı yapmak için /etc/sysctl.conf'a ekle
echo "net.ipv4.icmp_echo_ignore_all = 1" | sudo tee -a /etc/sysctl.conf
# Veya /etc/sysctl.d/99-icmp.conf dosyası oluştur (önerilen)
sudo tee /etc/sysctl.d/99-icmp.conf > /dev/null <<EOF
net.ipv4.icmp_echo_ignore_all = 1
net.ipv6.icmp.echo_ignore_all = 1
EOF
# Yeniden yükle
sudo sysctl --system
Sadece Broadcast Ping Engelleme (Smurf Attack Korunması)
Tüm ping'i kapatmak istemiyorsanız, en azından broadcast ping'leri (smurf attack zinciri) engelleyin:
# Broadcast'lere yanıt vermesin
sudo sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
# Hatalı ICMP yanıtlarını yoksay
sudo sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1
Bu iki ayar zaten modern Linux dağıtımlarında default olarak açık; sysctl net.ipv4.icmp_echo_ignore_broadcasts ile kontrol edebilirsiniz.
Yöntem 2: iptables ile Filtreleme (Klasik Yöntem)
# Tüm gelen ping'i drop et
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Belirli IP'lerden gelen ping'e izin (monitoring sunucusu)
sudo iptables -A INPUT -s 192.168.1.10 -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Kuralları kaydet (Debian/Ubuntu)
sudo apt install iptables-persistent
sudo netfilter-persistent save
# Kuralları kaydet (CentOS/RHEL/AlmaLinux)
sudo iptables-save | sudo tee /etc/sysconfig/iptables
sudo systemctl enable iptables
Daha İyisi: Rate Limit ile Akıllı Engelleme
Tamamen drop yerine saniyede 10 ping kabul, fazlasını drop:
# Saniyede 10 ping, üzerini drop
sudo iptables -A INPUT -p icmp --icmp-type echo-request \
-m limit --limit 10/sec --limit-burst 20 -j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Veya hashlimit ile per-IP limit (kaynak başına)
sudo iptables -A INPUT -p icmp --icmp-type echo-request \
-m hashlimit \
--hashlimit-name PINGLIMIT \
--hashlimit 5/sec \
--hashlimit-burst 10 \
--hashlimit-mode srcip \
-j ACCEPT
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Bu yöntemle monitoring servisleriniz çalışmaya devam eder, flood ataklar otomatik düşer.
Yöntem 3: firewalld ile (CentOS / RHEL / AlmaLinux / Rocky)
# Aktif zone'u bul
sudo firewall-cmd --get-active-zones
# echo-request bloklarını ekle (default zone "public")
sudo firewall-cmd --permanent --add-icmp-block=echo-request
sudo firewall-cmd --permanent --add-icmp-block=echo-reply
sudo firewall-cmd --reload
# Mevcut blokları görüntüle
sudo firewall-cmd --list-icmp-blocks
# Geri açmak için
sudo firewall-cmd --permanent --remove-icmp-block=echo-request
sudo firewall-cmd --reload
Yöntem 4: nftables (Modern Standart)
iptables yerine nftables, RHEL 8+ ve Debian 11+ ile default. Hem IPv4 hem IPv6 tek tabloda:
# Mevcut kuralları gör
sudo nft list ruleset
# Tablo ve chain yoksa oluştur
sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0 \; policy accept \; }
# IPv4 + IPv6 ping engelleme
sudo nft add rule inet filter input icmp type echo-request drop
sudo nft add rule inet filter input icmpv6 type echo-request drop
# Rate limit alternatifi
sudo nft add rule inet filter input icmp type echo-request limit rate 10/second accept
sudo nft add rule inet filter input icmp type echo-request drop
# Kalıcı yap
sudo nft list ruleset > /etc/nftables.conf
sudo systemctl enable nftables
Yöntem 5: UFW (Ubuntu)
UFW arayüzü ICMP'yi default kabul eder; engellemek için /etc/ufw/before.rules düzenlenir:
sudo nano /etc/ufw/before.rules
Şu satırları bulun:
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Son satırı DROP'a değiştirin:
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
sudo ufw reload
Yöntem 6: CSF (Buyukweb VDS Müşterilerinde En Yaygın)
ConfigServer Firewall (CSF) cPanel sunucularında neredeyse standart. ICMP yapılandırması:
sudo nano /etc/csf/csf.conf
Aşağıdaki ayarları arayın:
# Drop incoming ICMP echo requests
ICMP_IN = "0" # 0 = ping yok, 1 = ping var (default)
# Drop outgoing ICMP
ICMP_OUT = "1" # 1 = giden ping var (önerilir, traceroute için)
# Rate limit (önerilen alternatif)
ICMP_IN_RATE = "1/s" # saniyede 1 ICMP kabul; üstü drop
CSF'i yeniden başlat:
sudo csf -r
IPv6 Ping'i Unutmayın
IPv4 engellerken IPv6'yı atlamak yaygın hata. Sunucunuzun AAAA kaydı varsa IPv6 üzerinden ping çalışır:
# ip6tables
sudo ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
# Kaydet
sudo ip6tables-save | sudo tee /etc/iptables/rules.v6
# Veya sysctl
echo "net.ipv6.icmp.echo_ignore_all = 1" | sudo tee -a /etc/sysctl.d/99-icmp.conf
sudo sysctl --system
Dikkat: IPv6'da bazı ICMPv6 mesajları kritik (Neighbor Discovery, Router Advertisement).
echo-requestdışındaki tipleri drop etmeyin. Yanlış IPv6 filtreleme bağlantıyı tamamen koparır.
Kapatmadan Önce: "Ping Açık" mı Test Et
# Başka bir Linux'tan
ping -c 3 SUNUCU_IP
# Yanıt geliyorsa "ping açık", gelmiyorsa "ping kapalı"
# nc ile TCP testi (alternatif)
nc -vz SUNUCU_IP 80 # port açıksa "succeeded"
Kapattıktan Sonra: Doğrulama
# Başka sunucudan ping at
ping -c 5 -W 2 SUNUCU_IP
# "100% packet loss" → başarıyla engellendi
# nmap ile aktif tarama
nmap -sn SUNUCU_IP
# "Host seems down" → ping kapalı
# nmap -Pn ile ping atlamadan port tarama
nmap -Pn -p 80,443 SUNUCU_IP
# Port 80 açık görüyorsanız → sunucu hâlâ erişilebilir, sadece ping kapalı
Monitoring Sistemleri Nasıl Etkilenir?
ICMP check'i ping'e bağlı izleme araçları sunucunuzu "down" raporlayacak. Çözüm tablosu:
| Araç | Default check | Alternatif |
|---|---|---|
| UptimeRobot | HTTP(s) keyword | "Keyword Monitoring" zaten ICMP yerine HTTP |
| Nagios | check_ping | check_http, check_tcp, check_https |
| Zabbix | ICMP item | Zabbix Agent (TCP 10050) ile metric pull |
| Prometheus Blackbox | icmp probe | http_2xx, tcp_connect probe |
| Pingdom | ICMP veya HTTP | HTTP/HTTPS check seçin |
| Datadog | Network monitor | HTTP synthetic test |
| CSF kendi içindeki LFD | Fail2ban + log analiz | ICMP'siz çalışır |
Pratik öneri: Ping kapatıyorsanız mutlaka HTTP veya HTTPS keyword check ekleyin. "Sunucu yanıyor" bilgisi için sadece port-açık değil, gerçek HTML response içerik doğrulaması yapan check kullanın.
Buyukweb VDS Müşterileri İçin Pratik Tavsiye
Sıfırdan VDS aldıktan sonra güvenlik adımları:
1. SSH güçlendirme
- Port 22 → 2222 veya başka değiştir
- Password authentication kapat, sadece SSH key
- root direkt giriş kapat (PermitRootLogin no)
2. Otomatik güncelleme
- apt: unattended-upgrades
- dnf: dnf-automatic.timer
3. Firewall + Fail2ban
- CSF + LFD (cPanel sunucularda)
- Veya ufw + Fail2ban (genel)
4. Rate limit (ping yerine)
- iptables hashlimit
- CSF ICMP_IN_RATE = "1/s"
5. Log monitoring
- /var/log/auth.log (SSH attemptleri)
- /var/log/secure (RHEL)
- logwatch günlük rapor
6. Backup
- JetBackup (cPanel sunucularda)
- Veya R1Soft / Restic (VDS'de manuel)
7. Ping kapatma KARAR:
- Public web sunucusu → AÇIK BIRAK + rate limit
- Database / internal sunucu → KAPATABILIRSINIZ (zaten public DNS yok)
- Compliance (PCI-DSS, ISO 27001) → kapatın, audit istiyor
Sık Sorulan Sorular
Buyukweb VDS'de default ping açık mı kapalı mı?
Açık. Müşteri sunucu IP'sini test edebilsin diye default'ta ping yanıtı veriyoruz. Müşteri kendi VDS'inde root yetkisi ile yukarıdaki yöntemlerden birini uygulayabilir.
Ping kapatınca sitem yavaşlar mı?
Hayır, web trafiği TCP üzerinden (port 80/443). Ping ICMP, ayrı protokol. Site hızı veya TTFB değeri etkilenmez.
CDN (CloudFlare) kullanıyorsam ping kapatmamla ilgili dikkat edilmesi var mı?
CloudFlare zaten orijin IP'inizi gizliyor; rakip ziyaretçi sizinle ping ile etkileşim kuramaz. CloudFlare datacenter'lardan ping geliyorsa onlara izin verin. Origin IP doğrudan biliniyorsa CloudFlare'ın orijin IP koruma kılavuzunu uygulayın (orijin IP whitelist + Authenticated Origin Pulls).
Ping kapattım, monitoring çalışmıyor — geri açmak için?
# sysctl ile kapatmıştıysanız
sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
sudo sed -i 's/net.ipv4.icmp_echo_ignore_all = 1/net.ipv4.icmp_echo_ignore_all = 0/' /etc/sysctl.conf
sudo sysctl --system
# iptables ile kapatmıştıysanız
sudo iptables -D INPUT -p icmp --icmp-type echo-request -j DROP
sudo netfilter-persistent save
Sadece DDoS koruma için ping kapatmak yeterli mi?
Hayır. ICMP flood DDoS'ların küçük bir bölümü; gerçek tehditler TCP SYN flood, UDP amplification (DNS, NTP), HTTP flood (layer 7). Profesyonel DDoS koruma için CloudFlare Pro/Business veya Buyukweb'in upstream DDoS koruma servisi gerekir. Ping kapatmak amatör scriptleri durdurur, gerçek atakta etkisiz.
Ping kapatmak SEO'mu etkiler mi?
Hayır. Google bot ICMP ping kullanmaz; HTTP(s) ile içerik tarar. Site erişilebilir olduğu sürece ping yanıtı verme/vermeme önemli değil.
Ping yerine hping3 veya nmap -sP ile sunucu canlılığı tespit edilebilir mi?
Evet. Saldırgan ping kapalıysa TCP SYN, UDP, veya http istek gönderir. Yani ping kapatma sunucunun "tamamen gizli" olmasını sağlamaz. Asıl güvenlik açık portlardan kaynaklanır; gereksiz portları kapatmak ping kapatmaktan daha etkilidir.
Buyukweb destek ekibi sunucum kapatınca ping atamazsa nasıl tanı koyar?
Buyukweb destek ekibi VDS'inize SSH ile (siz izin verdiğiniz takdirde) doğrudan bağlanır. Ping yerine sunucu konsoluna VPS panel'den (Virtualizor, SolusVM) erişim de mevcut. Ping kapatmanız destek hizmetine engel değildir.
nmap -Pn ile ping atlamadan tarama yaparsa kapatmanın anlamı?
Anlamı, ping-sweep'le canlı host tespit eden otomatik scanner'lara karşı. nmap -Pn zaten "ping yapma, direkt port tara" demek; uzman saldırgan zaten bunu kullanır. Yani ping kapatma "lazy attacker" ve "wide-net scanner"'ları engeller, hedefli atağı durdurmaz.
Sonuç
Linux sunucusunda ping kapatmak teknik olarak basit, pratik faydası sınırlı bir adım. 2026'da kurumsal compliance (PCI-DSS, ISO 27001) gerektirmiyorsa veya ICMP flood saldırısı altında değilseniz rate limit (saniyede 10 ping geçer, üstü drop) çoğu zaman daha akıllı bir çözüm: monitoring çalışmaya devam eder, flood ataklar düşer. Ping kapatma kararı firewall + güçlü SSH + güncel OS + Fail2ban kombosunun parçası olarak değerlendirilmeli; tek başına güvenlik vermez. Buyukweb VDS müşterileri root yetkisi ile yukarıdaki yöntemlerden birini özgürce uygulayabilir.
Soru ve teknik destek için: 0850 302 60 70.
İlgili Büyükweb Hizmetleri
Linux güvenlik ve yönetim için altyapı paketleri:
- VDS Sunucu — root yetki, tam firewall kontrolü
- E5 v4 VDS — Xeon E5 v4 + NVMe + güçlü ağ
- Türkiye VDS — Bursa Tier 3 datacenter
- Linux Hosting — paylaşımlı, firewall sağlayıcı tarafında
- Linux Web Hosting — cPanel + LiteSpeed
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
Linux & Komut Satırı İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler:
