search

NACL (Network Access Control List)

NACL Ve SG ilişkisini anlatan bir Diyagram

  • NACL, trafiği subnet düzeyinde yöneten bir tür güvenlik duvarıdır

  • Her subnet için bir NACL vardır, yeni subnet'lere varsayılan NACL atanır

  • NACL Kurallarını siz tanımlarsınız:

    • Kuralların numarası olur (1–32766), daha düşük numaralar daha yüksek önceliğe sahiptir

    • İlk eşleşen kural uygulanır

    • Örnek: #100 ALLOW 10.0.0.10/32 ve #200 DENY 10.0.0.10/32 varsa, 100 daha yüksek öncelikli olduğu için IP adresine izin verilir

    • Son kural genellikle * (yıldız) olur ve hiçbir kural eşleşmezse isteği reddeder

    • AWS, kuralların 100’er artarak eklenmesini önerir

  • Yeni oluşturulan NACL’ler varsayılan olarak tüm trafiği reddeder

  • NACL, belirli bir IP adresini subnet düzeyinde engellemenin harika bir yoludur

  • Bağlı olduğu subnet'lerle tüm gelen (inbound) ve giden (outbound) trafiği kabul eder

  • Varsayılan NACL’i değiştirmeyin, onun yerine özel NACL’ler (custom NACLs) oluşturun

hashtag
Açıklamalı Not:

IPv4 destekleyen bir VPC için varsayılan NACL

hashtag
Giriş Kuralları (Inbound Rules)

Kural No
Tür
Protokol
Port Aralığı
Kaynak IP
İzin/Reddet

100

Tüm IPv4 Trafiği

Tümü

Tümü

0.0.0.0/0

ALLOW

*

Tüm IPv4 Trafiği

Tümü

Tümü

0.0.0.0/0

DENY

hashtag
Çıkış Kuralları (Outbound Rules)

Kural No
Tür
Protokol
Port Aralığı
Hedef IP
İzin/Reddet

100

Tüm IPv4 Trafiği

Tümü

Tümü

0.0.0.0/0

ALLOW

*

Tüm IPv4 Trafiği

Tümü

Tümü

0.0.0.0/0

DENY

Hedef CIDR ile uyumlu NACL Oluşturma. İşlemler sonunda bu tip bir diyagram oluşturabilmeliyiz.

hashtag
Security Group vs. NACL (Karşılaştırma Tablosu)

Çalışma Düzeyi

Instance (örneğin EC2) seviyesinde çalışır

Subnet seviyesinde çalışır

Desteklenen Kurallar

Sadece "izin ver" (allow) kurallarını destekler

Hem "izin ver" (allow) hem de "reddet" (deny) kurallarını destekler

Durum Bilgisi (Statefulness)

Durumlu (Stateful): Gelen trafiğe cevap otomatik olarak izin verilir

Durumsuz (Stateless): Geri dönüş trafiğine açıkça izin verilmelidir

Kural Değerlendirme Sırası

Tüm kurallar değerlendirilir, sonra karar verilir

Kurallar sırayla değerlendirilir (küçükten büyüğe), ilk eşleşen kazanır

Uygulama Biçimi

Belirtilen bir EC2 instance’a özel atanır

İlgili subnet’e bağlı tüm EC2 instance’lara otomatik uygulanır

PreviousNAT ve Bastion Host KavramıNextEphemeral Ports

Last updated