Port Nedir? Sunucularda En Çok Kullanılan Portlar
Sunucularda port kavramı, TCP ve UDP port farkları ile HTTP, HTTPS, SSH, FTP, MySQL gibi yaygın kullanılan portların işlevleri açıklanıyor.
Port Nedir? Sunucularda En Çok Kullanılan Portlar ve Port Güvenliği
Port, TCP/IP üzerinde çalışan bir sunucuda hangi servisin hangi iletişimden sorumlu olduğunu belirleyen 16-bit numerik adrestir. IP adresi sunucuya "hangi makine" sorusunu yanıtlarken, port numarası "o makinedeki hangi yazılım" sorusunu yanıtlar. Aynı makinede HTTP (80), HTTPS (443) ve SSH (22) eş zamanlı çalışabilmesinin sebebi her servisin farklı bir port dinlemesidir.
Bu rehber port kavramını, IANA aralıklarını, sysadminin gün içinde gördüğü tüm yaygın sunucu portlarını, port dinleme/açma komutlarını, port tarama araçlarını ve port güvenliğini pratik açıdan ele alır. Cloud firewall, fail2ban, port knocking gibi savunma katmanları da kısa örneklerle gösterilir.
Not: Firewall kuralları için ayrı UFW, firewalld ve iptables rehberlerimiz mevcuttur; bu yazı port kavramı ve servis portlarına odaklanır.
Port Nedir? — IP, Port ve Socket İlişkisi
Bir TCP/IP paketinin başlığında dört kritik alan vardır: kaynak IP, kaynak port, hedef IP, hedef port. Bu dört değerin bileşkesine socket çifti denir ve internet üzerindeki her bağlantıyı eşsiz biçimde tanımlar.
İstemci tarayıcı 203.0.113.45:54321 ←──→ Sunucu 198.51.100.10:443 (HTTPS)
└─ ephemeral port └─ well-known port
Aynı sunucuda paralel:
443 → Nginx (HTTPS)
80 → Nginx (HTTP)
22 → OpenSSH
3306 → MySQL (yalnızca 127.0.0.1)
6379 → Redis (yalnızca 127.0.0.1)
Port numarası 0 ile 65535 arasında bir tamsayıdır. Port 0 rezervdir, üst sınır 16-bit olduğu için 2^16 - 1 = 65535'tir. Bir uygulamanın bir portu dinlemesi (listen) demek, işletim sisteminden o porta gelen paketleri kendisine yönlendirmesini istemesidir.
Multiplex: Tek Sunucu, Onlarca Servis
Modern bir VDS üzerinde aynı anda HTTP, HTTPS, SSH, mail (SMTP/IMAP), MySQL, Redis, izleme ajanları çalışır. Hepsi tek bir IP üzerinden hizmet verir; ayrımı portlar yapar. Bir paket geldiğinde çekirdek (kernel) hedef port numarasına göre paketi doğru sürece teslim eder. Buna port multiplexing denir.
TCP Port ve UDP Port Farkı
Port numaraları TCP ve UDP için bağımsız ad alanlarıdır. TCP/80 ile UDP/80 farklı portlar olarak değerlendirilir; aynı sunucuda farklı uygulamalar bu iki portu eş zamanlı dinleyebilir.
| Özellik | TCP Port | UDP Port |
|---|---|---|
| Bağlantı | Bağlantı kurulur (3-way handshake) | Bağlantısız |
| Güvenilirlik | Paket sırası ve teslimat garanti | Garantisiz |
| Gecikme | Daha yüksek | Daha düşük |
| Tipik kullanım | HTTP/HTTPS, SSH, FTP, SMTP, SQL | DNS, DHCP, NTP, VoIP, oyunlar |
| State (durum) | Var (SYN_SENT, ESTABLISHED, TIME_WAIT...) | Yok (firewall conntrack ile takip eder) |
Pratikte HTTP/3 ve QUIC ile birlikte 443 numaralı port hem TCP hem UDP üzerinde dinlenir hâle geldi; çünkü QUIC, UDP üzerinde çalışan modern bir taşıma protokolüdür.
IANA Port Aralıkları — 3 Tier Sınıflandırma
Internet Assigned Numbers Authority (IANA), port numaralarını üç aralığa böler:
0 1023 1024 49151 49152 65535
│ │ │ │ │ │
│ Well- │ │ Registered │ │ Dynamic / │
│ known │ │ Ports │ │ Ephemeral │
│ (System) │ (User) │ │ (Private) │
│ │ │ │ │ │
Well-known Ports (0-1023) — Sistem Portları
Standart servislerin rezerv portları. Çoğu Unix/Linux sistemde bu aralıkta dinleme yapmak için root yetkisi (veya CAP_NET_BIND_SERVICE capability) gerekir. Bu kural Nginx/Apache gibi servislerin neden root tarafından başlatılıp sonra alt kullanıcıya düşürüldüğünü açıklar.
Linux'ta kuralı düşürmenin yolu (Nginx olmayan custom servis için):
# 1024 altı portu yetkisiz kullanıcıya açmak
setcap 'cap_net_bind_service=+ep' /usr/local/bin/my-service
# veya systemd unit dosyasında
[Service]
AmbientCapabilities=CAP_NET_BIND_SERVICE
Registered Ports (1024-49151) — Kullanıcı Portları
Belirli yazılımlar IANA'ya başvurarak bu aralıktan port tescil eder: MySQL 3306, PostgreSQL 5432, RDP 3389, Redis 6379 gibi. Tescil zorunlu değildir; herhangi bir uygulama bu portları kullanabilir, ancak çakışma riskini azaltmak için IANA listesine bakmak yaygın pratiktir.
Dynamic / Ephemeral Ports (49152-65535) — Geçici Portlar
İstemci uygulamalar dış sunuculara bağlanırken çekirdek bu aralıktan rastgele bir port seçer ve kaynak port olarak atar. Tarayıcı www.example.com:443 adresine bağlandığında kendisi 54321 gibi bir ephemeral port kullanır. Bağlantı kapanınca port serbest kalır; ancak TIME_WAIT durumu nedeniyle 60 saniye kadar tekrar kullanılamaz.
Linux'ta ephemeral aralığını görmek ve değiştirmek:
# Mevcut aralık
cat /proc/sys/net/ipv4/ip_local_port_range
# 32768 60999
# Kalıcı genişletme (yoğun outbound trafik için)
echo 'net.ipv4.ip_local_port_range = 10240 65535' >> /etc/sysctl.d/99-port-range.conf
sysctl --system
Pratik not: Linux varsayılan ephemeral aralığı 32768-60999'dur; IANA standardının altında kalır. Yoğun istemci yapan sunucularda (örneğin yüzlerce eşzamanlı dış API çağrısı) aralığı genişletmek port tükenmesini engeller.
Sunucularda En Çok Kullanılan Portlar — Geniş Referans Tablo
Aşağıdaki tablo bir Linux/Windows sunucu yöneticisinin gün içinde karşılaştığı portları kapsar. L sütunu "Listen" eden tipik servisi, P sütunu protokolü gösterir.
Web ve Uzak Erişim
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 22 | TCP | SSH | Uzak shell, SFTP, SCP |
| 23 | TCP | Telnet | Şifrelenmemiş — modern sunucularda kapatılı olmalı |
| 80 | TCP | HTTP | Düz web (HTTPS'e yönlendirilmeli) |
| 443 | TCP/UDP | HTTPS / QUIC | TLS web; HTTP/3 ile UDP de aktif |
| 3389 | TCP | RDP | Windows uzak masaüstü |
| 5900 | TCP | VNC | Açık metin; tünelleme önerilir |
| 8080 | TCP | HTTP-alt | Genelde reverse-proxy arkası uygulama portu |
| 8443 | TCP | HTTPS-alt | Plesk web arayüzü dahil |
Dosya ve Transfer
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 20 | TCP | FTP-data | Aktif modda veri kanalı |
| 21 | TCP | FTP-control | Kontrol kanalı (SFTP/FTPS tercih) |
| 69 | UDP | TFTP | PXE boot, ağ cihazı imaj indirme |
| 115 | TCP | SFTP (eski) | Pratikte SSH/22 üzerinden SFTP kullanılır |
| 445 | TCP | SMB/CIFS | Windows dosya paylaşımı; internete açık olmamalı |
| 2049 | TCP/UDP | NFS | Linux dosya paylaşımı |
Mail (E-posta)
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 25 | TCP | SMTP | Sunucudan sunucuya teslimat |
| 110 | TCP | POP3 | Açık metin POP — POP3S tercih |
| 143 | TCP | IMAP | Açık metin IMAP — IMAPS tercih |
| 465 | TCP | SMTPS | Implicit TLS SMTP |
| 587 | TCP | Submission | İstemci → sunucu gönderim (STARTTLS) |
| 993 | TCP | IMAPS | TLS üzeri IMAP |
| 995 | TCP | POP3S | TLS üzeri POP3 |
Veritabanı
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 1433 | TCP | MSSQL | Microsoft SQL Server |
| 1521 | TCP | Oracle DB | Oracle Listener |
| 3306 | TCP | MySQL/MariaDB | Yalnızca localhost veya iç ağda bind edilmeli |
| 5432 | TCP | PostgreSQL | Aynı şekilde dış IP'ye açılmamalı |
| 6379 | TCP | Redis | Kimlik doğrulamasız modda asla internete açılmamalı |
| 9200 | TCP | Elasticsearch | Açık metin REST API; firewall ardına konmalı |
| 11211 | TCP/UDP | Memcached | UDP, DDoS amplifikasyon riski — UDP kapatın |
| 27017 | TCP | MongoDB | bindIp mutlaka kısıtlanmalı |
Ad Çözümleme, Zaman, Ağ Hizmetleri
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 53 | TCP/UDP | DNS | Çoğu sorgu UDP, zone transferi TCP |
| 67/68 | UDP | DHCP | Sunucu/istemci |
| 123 | UDP | NTP | Zaman senkronizasyonu |
| 161/162 | UDP | SNMP / SNMP Trap | Ağ izleme |
| 389 | TCP/UDP | LDAP | Açık metin dizin |
| 636 | TCP | LDAPS | TLS üzeri LDAP |
| 514 | UDP | Syslog | Merkezi log toplama |
Hosting Panelleri ve VPN
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 2082 / 2083 | TCP | cPanel | HTTP / HTTPS |
| 2086 / 2087 | TCP | WHM | HTTP / HTTPS yönetici paneli |
| 2095 / 2096 | TCP | Webmail | cPanel webmail HTTP/HTTPS |
| 2222 | TCP | cPanel SSH | Kullanıcıya açık SSH portu (Buyukweb dahil yaygın) |
| 8443 | TCP | Plesk | Web yönetim paneli |
| 9090 | TCP | Cockpit | Linux web tabanlı sunucu yönetim arayüzü |
| 1194 | UDP | OpenVPN | Varsayılan UDP; TCP de yapılandırılabilir |
| 51820 | UDP | WireGuard | Modern VPN; düşük overhead |
| 500 / 4500 | UDP | IPSec IKE / NAT-T | IPSec VPN sinyalleşme |
Diğer Sık Görülenler
| Port | P | Servis | Açıklama |
|---|---|---|---|
| 179 | TCP | BGP | Yönlendirici eşleşmesi |
| 3128 | TCP | Squid | HTTP proxy |
| 5060 / 5061 | TCP/UDP | SIP | VoIP sinyalleşme |
| 5672 | TCP | AMQP | RabbitMQ |
| 9092 | TCP | Kafka | Apache Kafka broker |
| 25565 | TCP | Minecraft | Oyun sunucusu varsayılanı |
Bu liste IANA'nın tüm tescilini içermez; günlük sysadmin pratiğinde gördüğünüz çoğunluğu kapsar. IANA'nın tam listesi /etc/services dosyasında da yerel olarak bulunur.
Bir Sunucuda Hangi Portlar Dinleniyor? — Komutlar
Yeni bağlandığınız bir sunucuda saldırı yüzeyini görmek, gereksiz dinleyen servisleri kapatmak için en temel beceri. Modern Linux ss, eski netstat, dosya/process eşleştirmesi için lsof, Windows için netstat -ano.
Linux — ss (Modern Yöntem)
# Tüm dinleyen TCP+UDP portları, port-numara, process eşleştirmesi
ss -tulpn
# t=TCP, u=UDP, l=listen, p=process, n=numeric (DNS çözme yok)
Örnek çıktı:
Netid State Local Address:Port Peer Address:Port Process
tcp LISTEN 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=812,fd=3))
tcp LISTEN 0.0.0.0:80 0.0.0.0:* users:(("nginx",pid=1024,fd=6))
tcp LISTEN 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=1024,fd=8))
tcp LISTEN 127.0.0.1:3306 0.0.0.0:* users:(("mysqld",pid=910,fd=22))
tcp LISTEN 127.0.0.1:6379 0.0.0.0:* users:(("redis-server",pid=875,fd=6))
udp UNCONN 0.0.0.0:53 0.0.0.0:* users:(("named",pid=801,fd=21))
Local Address kolonuna dikkat: 0.0.0.0 tüm arayüzlerde dinler (internete açık olabilir), 127.0.0.1 yalnızca localhost'tur. MySQL'i 0.0.0.0 görüyorsanız ve dış erişime ihtiyacınız yoksa bind-address = 127.0.0.1 ile kapatın.
netstat (Eski/Klasik)
netstat -tulpn # Linux
netstat -ano # Windows (process ID kolonu)
lsof (Dosya/Process Açısından)
# Belirli porta bakan tüm açık dosyalar/processler
lsof -i :443
lsof -i tcp:22
lsof -iUDP # tüm UDP
# Belirli IP/portu kim açtı
lsof -i @192.0.2.10:8080
fuser
fuser 80/tcp # 80 numaralı portu hangi process tutuyor
Windows PowerShell
# Dinleyen tüm TCP portları
Get-NetTCPConnection -State Listen | Sort-Object LocalPort | Format-Table -AutoSize
# Belirli portu hangi process tutuyor
Get-Process -Id (Get-NetTCPConnection -LocalPort 80).OwningProcess
Port Açma/Kapama — Firewall Üzerinden (Özet)
Detaylı UFW, firewalld ve iptables rehberlerimiz ayrı yazılarda; burada yalnızca port işletme bağlamında özet:
# UFW (Ubuntu/Debian)
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 22/tcp
ufw enable
ufw status numbered
# firewalld (RHEL/Rocky/AlmaLinux)
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload
# iptables (klasik)
iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
İyi pratik: default deny inbound, default allow outbound. Yalnızca dinleyen servisleriniz için inbound izin verin; outbound'u sıkmak istiyorsanız uygulama trafiğine göre kural ekleyin.
Port Forwarding — NAT ve SSH Tüneli
"Port forwarding" iki ayrı bağlamda kullanılır; karıştırılmamalı:
1. NAT Port Forwarding (Router/Cloud Firewall)
Tek bir genel IP arkasındaki bir iç IP'ye gelen trafiği iletmek. Ev/küçük ofis router'larında en yaygın örnek; cloud tarafında load balancer yerine genellikle güvenlik grupları ile çözülür.
İnternet → PublicIP:5555 → iç ağ 10.0.0.20:22
(router NAT kuralı)
Linux'ta iptables ile:
iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to 10.0.0.20:22
iptables -A FORWARD -p tcp -d 10.0.0.20 --dport 22 -j ACCEPT
sysctl -w net.ipv4.ip_forward=1
2. SSH Port Forwarding (Tünelleme)
SSH üç tür tünel destekler:
# Local forward — yerel portu uzak hedefe taşı
ssh -L 8080:database.internal:3306 user@gateway
# yerel 8080 → SSH → gateway → database.internal:3306
# Remote forward — uzaktaki portu yerel hedefe taşı
ssh -R 9000:localhost:8080 user@public-server
# public-server:9000 → SSH → bizim localhost:8080
# Dynamic forward — SOCKS5 proxy oluştur
ssh -D 1080 user@gateway
# yerel SOCKS proxy → SSH → internet
Detaylı tünelleme senaryoları için ayrı tünelleme rehberimizi inceleyebilirsiniz.
Ephemeral Port Tuning ve TIME_WAIT
Yoğun outbound bağlantı yapan uygulamalarda (örneğin reverse proxy, scraping işçisi, API gateway) ephemeral port havuzunun tükenmesi yaygın bir prodüksiyon sorunudur. ss -s ile özet, ss -tan state time-wait | wc -l ile TIME_WAIT sayımı görülür.
# Hızlı reuse (sadece outbound) — Linux 4.12+ tw_reuse
sysctl -w net.ipv4.tcp_tw_reuse=1
# Aralık genişletme
sysctl -w net.ipv4.ip_local_port_range="10240 65535"
# conntrack tablosu büyüt (NAT/firewall sunucu)
sysctl -w net.netfilter.nf_conntrack_max=524288
Uyarı:
tcp_tw_recycleparametresi NAT arkasındaki istemcileri patlatır ve Linux 4.12+ ile kaldırılmıştır. Hâlâ eski rehberlerde görülebilir; kullanmayın.
Port Tarama — Sysadmin Perspektifi
Port tarama bir saldırgan aracı olduğu kadar sistem yöneticisi araç kutusunun da temel parçasıdır. Kendi varlıklarınızı tarayarak ne dinlediğinizi dışarıdan görmek, firewall kurallarınızı doğrulamak, asset envanteri çıkarmak için kritiktir.
Yasal not: İzinsiz üçüncü taraf sistemleri taramak Türkiye'de ve uluslararası alanda suç teşkil eder. Yalnızca yetkili olduğunuz, sahibi olduğunuz veya yazılı izin aldığınız sistemleri tarayın.
Nmap — Tarama İsviçre Çakısı
# Hızlı TCP SYN tarama (root gerekir)
nmap -sS -p 1-1024 198.51.100.10
# Tüm 65535 portu tara
nmap -p- 198.51.100.10
# UDP tarama (yavaştır)
nmap -sU --top-ports 50 198.51.100.10
# Servis ve sürüm tespiti
nmap -sV -p 22,80,443 198.51.100.10
# Agresif mod: servis + OS tespit + script + traceroute
nmap -A 198.51.100.10
# Ping atlama (hedef ICMP'ye yanıt vermiyorsa)
nmap -Pn -p- 198.51.100.10
# Çıktıyı 3 formatta birden kaydet (.nmap, .gnmap, .xml)
nmap -A -oA tarama-202x 198.51.100.10
Masscan — Büyük Blok Hızlı Tarama
Tek bir /16 veya /8 bloğu dakikalar içinde tarayabilir; çıktı detayı Nmap kadar zengin değildir, hızlı keşif için kullanılır.
masscan -p80,443,22 198.51.100.0/24 --rate=10000 -oX result.xml
Hızlı Kontroller — netcat / curl
# Tek port açık mı? (TCP)
nc -zv 198.51.100.10 443
# HTTP yanıtı geliyor mu?
curl -I --connect-timeout 3 https://198.51.100.10
# UDP port (yanıt almak protokole bağlıdır)
nc -uvz 198.51.100.10 53
Trafik Analizi — Wireshark / tcpdump
Açık portlara gelen-giden trafiği canlı incelemek için:
# 443 portunu izle
tcpdump -i any -nn 'tcp port 443'
# 53 (DNS) sorgu trafiği
tcpdump -i any -nn 'udp port 53'
GUI tarafında Wireshark aynı yakalamayı görsel olarak detaylandırır.
Port Güvenliği — Pratik Önlemler
1. Gereksiz Dinleyen Servisleri Kapatın
Saldırı yüzeyinin en hızlı azaltma yolu. ss -tulpn ile listeyi alın, kullanmadığınız her servisi durdurun ve disable edin:
systemctl stop snmpd
systemctl disable snmpd
apt purge snmpd # gerekirse paket kaldır
2. Bind Adresini Kısıtlayın
Veritabanı, cache, mesaj kuyruğu gibi backend servisleri dış arayüzde dinlememeli. MySQL örneği:
# /etc/mysql/mysql.conf.d/mysqld.cnf
bind-address = 127.0.0.1
Redis için bind 127.0.0.1 + protected-mode yes + requirepass <güçlü-parola>. MongoDB için bindIp: 127.0.0.1 artı security.authorization: enabled.
3. Firewall ile Allowlist
Sadece bilinen IP'lerin admin portlarına (SSH, panel) erişebilmesi:
# UFW örneği
ufw allow from 203.0.113.0/24 to any port 22 proto tcp
ufw deny 22/tcp
4. fail2ban ile Brute-force Kalkanı
SSH, FTP, panel girişlerine art arda başarısız deneme yapan IP'leri otomatik banlamak için. SSH için temel jail:
# /etc/fail2ban/jail.local
[sshd]
enabled = true
port = 22
maxretry = 5
findtime = 10m
bantime = 1h
5. Port Knocking (İleri Seviye)
Belirli bir sırayla kapalı portlara TCP/UDP paketi gönderildiğinde SSH portunu açma tekniği. knockd aracı yaygın kullanılır. Tek başına savunma değildir, derinlemesine savunma katmanlarından biridir.
# /etc/knockd.conf
[openSSH]
sequence = 7000,8000,9000
seq_timeout = 5
command = /sbin/ufw allow from %IP% to any port 22
tcpflags = syn
6. SSH Portunu Değiştirmek — Gerçek Koruma mı?
Klasik tartışma. Port 22 yerine Port 22022 yapmak:
- Gerçek bir koruma değildir (security through obscurity).
- Ancak otomatik bot trafiğini ve log gürültüsünü ciddi şekilde azaltır.
- fail2ban olay sayısı düşer, izleme sinyali temizlenir.
Doğru yaklaşım: port değişikliği + key authentication + PasswordAuthentication no + fail2ban + Allowlist.
# /etc/ssh/sshd_config
Port 22022
PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yes
Değişiklikten önce firewall'da yeni portu açın; eski portu kapatmadan SSH'ı yeniden başlatın, yeni porttan bağlandıktan sonra eski portu kapatın.
7. TLS / Şifreli Alternatifler
Mümkün her serviste şifreli portu tercih edin: 21 → 22 (SFTP), 110 → 995, 143 → 993, 25 (içeri) → 587/465 (gönderim), 80 → 443, 389 → 636. Açık metin protokoller ağda tcpdump'la kolayca okunur.
Buyukweb cPanel Paylaşımlı Hostingte Portlar
Paylaşımlı cPanel hosting modelinde port yönetimi sunucu sağlayıcıdadır; siz firewalld veya iptables çalıştıramazsınız. Standart açık portlar:
| Port | Servis |
|---|---|
| 80 / 443 | Web siteniz (HTTP/HTTPS) |
| 2082 / 2083 | cPanel arayüzü |
| 2095 / 2096 | Webmail |
| 2222 | SSH (kullanıcıya özel, isteğe bağlı açılır) |
| 21 | FTP (FTPS tercih edilmeli) |
| 25 / 465 / 587 | Mail gönderim |
| 110 / 995 | POP3 / POP3S |
| 143 / 993 | IMAP / IMAPS |
cPanel paneli içerisinden uygulama düzeyinde IP engelleme (Block IP Addresses ve .htaccess) yapabilirsiniz; ağ katmanı kuralları için VDS veya dedicated sunucuya geçmek gerekir.
cPanel hizmetimiz: cPanel Web Hosting paketleri.
Buyukweb VDS'te Tam Port Kontrolü
VDS üzerinde root erişiminiz olduğundan tüm port yönetimi sizdedir; üzerine isterseniz Buyukweb cloud firewall ile dış katman bir koruma ekleyebilirsiniz (iki katman daha sağlıklı):
# Tipik VDS başlangıç sertleştirmesi
ufw default deny incoming
ufw default allow outgoing
ufw allow 22022/tcp # özelleştirilmiş SSH
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
# fail2ban kur
apt install fail2ban -y
systemctl enable --now fail2ban
Veri merkezimiz Bursa lokasyonunda Tier 3 standardında çalışır; ağ tarafında Cloudflare gibi CDN/WAF servisleriyle entegrasyon yaparak 80/443 üzerinde uygulama katmanı koruması da ekleyebilirsiniz.
VDS sayfamız: VDS Sunucu. Hizmetlerinizi karşılaştırmak için: Paket Karşılaştırma.
Sık Sorulan Sorular
Aynı portu iki uygulama dinleyebilir mi?
Standart koşulda hayır; bind() çağrısı çakışırsa ikinci uygulama EADDRINUSE hatası alır. SO_REUSEPORT socket seçeneği ile çekirdek aynı portu birden fazla sürecin paralel dinlemesine izin verir (Nginx worker'ları, modern load balancing). Yine de iki farklı uygulama aynı portu paylaşamaz, aynı uygulamanın çoklu instance'ı paylaşabilir.
80 ve 443 dışında web servisi 8080'de mi çalıştırmalıyım?
Tipik mimari: 80/443'ü reverse proxy (Nginx/Apache/Caddy) tutar; backend uygulama 8080 veya başka yüksek bir portta localhost'a bind olur. Reverse proxy TLS sonlandırması, HTTP/2-HTTP/3, sıkıştırma, statik dosya servisi gibi işleri üstlenir; uygulamanız ardında çalışır.
Port 22'yi başka portla değiştirmek güvenliği artırır mı?
Mutlak güvenlik artışı değil; gürültü azaltır. Otomatik bot trafiği büyük oranda 22'yi tarar. 22022 gibi bir porta taşımak fail2ban uyarılarınızı ve log boyutunuzu azaltır, anlamlı uyarılar daha görünür olur. Asıl güvenlik kimlik doğrulamada: SSH key, root login kapalı, parola yok.
UDP portları nasıl güvende tutulur — handshake yok ki?
UDP bağlantısız olduğu için "saldırı" davranışı farklıdır: amplifikasyon (DNS, NTP, memcached), flood. Kurallar: gereksiz UDP servislerini kapatın, açık olanları rate-limit edin (iptables -m limit), DNS açıksa response rate limiting (RRL) açın, memcached'in UDP'sini mutlaka kapatın (-U 0).
Bir sunucuda port 80 açık ama dışarıdan erişemiyorum, neden?
Sırasıyla kontrol edin: (1) ss -tulpn | grep :80 — servis dinliyor mu? (2) Local Address 0.0.0.0 mı yoksa 127.0.0.1 mi? (3) Sunucu üstü firewall (ufw status, firewall-cmd --list-all, iptables -L). (4) Sağlayıcı tarafı cloud firewall / security group. (5) Routing — ip route. (6) ISP / kurumsal ağ tarafında istemcinin 80'i bloklaması (kurumsal proxy). Her katmanı sırayla doğrulamak gerekir.
Sonuç
Port, modern ağın "kapı numaralandırma sistemi"dir: 0-65535 arasında 16-bit bir sayı, IANA'nın well-known / registered / dynamic üç dilimi, TCP ve UDP için ayrı ad alanları. Sunucu yöneticisinin günlük araç kutusunda ss -tulpn, lsof -i, nmap, tcpdump ve seçilen firewall (UFW/firewalld/iptables) yer alır. Güvenlik tarafında "kullanılmayanı kapat, kullanılanı en az ayrıcalıkla bind et, doğru protokol/şifreleme seç, allowlist ve fail2ban ile derinlemesine savun" prensibi yeterli temeli sağlar.
Buyukweb tarafında paylaşımlı cPanel paketlerinde standart hosting portları sizin için yönetilir; tam port kontrolü gerektiren senaryolar için Bursa Tier 3 veri merkezimizden VDS veya dedicated sunucularımıza geçiş yapabilirsiniz.
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
İlgili Büyükweb Hizmetleri
Ağ altyapısı, hosting ve sunucu ihtiyaçlarınız için:
Ağ & Network İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler: