MikroTik'e İnternetten Güvenli Erişim: Winbox'ı Doğru Açmak
MikroTik'i uzaktan yönetmek için Winbox internete nasıl güvenli açılır? Kısa cevap: açılmaz, VPN kurulur. Yine de gerekiyorsa: kaynak IP kısıtı, ip service ayarları, port knocking ve yapılmaması gerekenler.
Erdem Özyurt
Kısa cevap: “Winbox’ı internete nasıl açarım?” sorusunun profesyonel cevabı açmamaktır: cihaza WireGuard kurar, yönetime tünelin içinden girersiniz. Bu yazıda önce doğru yolu, sonra (mecbursanız) kısıtlı açmanın asgari şartlarını ve asla yapılmaması gerekenleri anlatıyorum.
Bu tavsiye kâğıt üstünde değil: gece 3’te 8291’e gelen deneme dalgalarını firewall yazımda loglarıyla göstermiştim; internete açık yönetim portu, tarama listelerine girmek için saatler bekler, günler değil.
Doğru yol: VPN içinden yönetim (WireGuard)
Mimari basit: cihazda tek bir UDP portu (WireGuard) dinler; kimliksiz pakete hiç cevap vermez, yani port taramasında kapalı görünür. Siz telefon/laptop’taki WireGuard istemcisiyle bağlanır, Winbox’a cihazın iç adresi üzerinden girersiniz. Winbox, SSH, WebFig; hiçbiri internete açılmaz.
Kurulum adımları WireGuard rehberinde hazır (yol farkı: telefon/laptop peer’i, şube yerine). Tamamlayıcı iki ayar:
/ip service set winbox address=192.168.10.0/24,10.10.10.0/24
/ip service disable telnet,ftp,www,api
Winbox artık yalnız LAN’dan ve VPN tünel ağından erişilir; kullanılmayan servisler kapalıdır. Dinamik IP’niz varsa VPN endpoint’i için /ip cloud set ddns-enabled=yes ile ücretsiz DDNS alın.
Orta yol: kaynak IP kısıtıyla açmak (mecbursanız)
Sabit IP’li bir yerden (ofis, veri merkezi) bağlanıyorsanız ve VPN kuramadıysanız, kapıyı yalnız o adrese gösterin. İki katman birden:
/ip service set winbox address=203.0.113.10/32
/ip firewall address-list add list=yonetim-izinli address=203.0.113.10 comment="ofis sabit IP"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 \
src-address-list=yonetim-izinli action=accept comment="winbox yalniz izinli"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 \
action=drop comment="winbox geri kalan herkese kapali"
Asgari şartlar paketi:
- Güçlü, benzersiz şifre ve mümkünse
adminyerine kendi adınızla yeni kullanıcı (admin’i devre dışı bırakın) - Güncel RouterOS (yükseltme rehberi); yönetim arayüzü zafiyetleri en hızlı silahlaşan türdendir
- Log takibi:
/log print where message~"login failure"çıktısını arada kontrol edin; sürekli deneme görüyorsanız zaten cevabınız VPN’dir
Port değiştirmek (8291 → başka) yalnız gürültüyü azaltır; kısıt olmadan güvenlik sayılmaz.
Meraklısına: port knocking
Belirli portlara belirli sırayla “dokunan” kaynak IP’yi dinamik address-list’e alıp yönetim kapısını yalnız ona açan zarif bir tekniktir; firewall’daki add-src-to-address-list aksiyonuyla üç kuralda kurulur. Öğrenme değeri yüksektir ama WireGuard varken üretimde nadiren gerekir; kırılganlığı (sıra unutulur, istemci scripti gerekir) operasyon yüküne dönüşür.
Asla yapılmayacaklar
- 8291/22/80’i kısıtsız internete açmak (“nasılsa şifre var” savunması, tarama çağında savunma değildir)
- Telnet/FTP’yi açık bırakmak (düz metin; kapatın)
adminkullanıcısını varsayılan bırakıp bir de internete açmak- “Geçici açtım” deyip unutmak; geçici kural diye bir şey yoktur, yorum satırına tarih yazın ve silin
Kontrol listesi (5 dakika)
/ip service printile hangi servisler açık, hangi adreslere?- Winbox/SSH
address=kısıtlı mı? - WAN’dan
inputchain’e gelen yönetim portu denemeleri drop’ta sayılıyor mu? admindevre dışı, güçlü şifreli kişisel kullanıcı var mı?- Uzak erişim VPN üzerinden mi? Değilse bu yazıyı baştan okuyun.
Filonuzdaki tüm cihazlara bu standardı tek seferde uygulamak (servis kısıtları + WireGuard yönetim düzlemi + log merkezileştirme) isterseniz MikroTik destek hizmetim üzerinden ulaşabilirsiniz.
Sıkça Sorulan Sorular
Winbox portunu internete açmak neden kötü fikir?
İnternete açık 8291 portu botlarca sürekli taranır ve zayıf şifreler dakikalar içinde denenir; ayrıca yönetim arayüzünde çıkacak herhangi bir zafiyette cihazınız doğrudan hedeftir. Yönetim erişimi saldırı yüzeyi değil, en korunan kapı olmalıdır.
Uzak yönetim için en doğru yöntem hangisi?
WireGuard VPN: cihazda tek bir UDP portu dinler, kimliksiz paketlere hiç cevap vermez (taramada kapalı görünür) ve bağlandıktan sonra Winbox'a iç ağdaymışsınız gibi erişirsiniz. Kurulumu 20 dakikadır ve rehberi sitede mevcuttur.
Sabit IP'm var; sadece ondan erişime izin versem yeterli mi?
Kabul edilebilir bir orta yoldur: ip service'te available-from veya firewall'da src-address-list kısıtıyla yalnız sizin adresiniz kapıyı görür. Yine de şifre gücü, güncel RouterOS ve login denemesi izleme şarttır; kaynak IP kısıtı sizi hedefli saldırıdan değil, toplu taramadan korur.
Winbox portunu değiştirmek güvenlik sağlar mı?
Tek başına hayır; port taramaları tüm aralığı gezer, sadece gürültüyü azaltırsınız. Port değişikliği ancak kaynak IP kısıtı veya VPN ile birlikte anlamlıdır. Güvenliği gizlilik üzerine değil kimlik doğrulama ve erişim kısıtı üzerine kurun.
Port knocking kullanmalı mıyım?
Meraklısı için zarif bir tekniktir: belirli portlara sırayla dokunan kaynak IP geçici olarak izin listesine alınır. Ancak operasyonel yükü ve kırılganlığı nedeniyle üretim ortamında WireGuard varken nadiren gerekir; öğrenme değeri yüksek, pratik ihtiyacı düşüktür.
Yazan: Erdem Özyurt
Bilişim Danışmanı · ISP Altyapı · Siber Güvenlik
Kablo döşemekten kod yazmaya, ağ tasarımından web geliştirmeye; Layer 1'den Layer 7'ye bütünlük içinde çalışıyorum.
Hakkımda daha fazla →