CDN arkasındaki gerçek sunucu IP'si nasıl gizlenir?

CDN arkasındaki gerçek sunucu IP’sini gizlemek için DNS, firewall, e-posta ve sunucu erişim ayarlarında dikkat edilmesi gereken pratik adımları öğrenin.

Reklam Alanı

CDN kullanmak yalnızca sayfa hızını artırmak için değil, gerçek sunucu IP adresini doğrudan internete göstermemek için de önemlidir. Ancak CDN’i aktif etmek tek başına yeterli değildir. DNS kayıtları, e-posta yapılandırması, eski alt alan adları ve sunucu güvenlik duvarı doğru ayarlanmadığında saldırganlar origin IP bilgisini kolayca tespit edebilir. Bu nedenle süreç, CDN panelinde bir alan adı eklemekten daha kapsamlı ele alınmalıdır.

Gerçek sunucu IP’si neden gizlenmelidir?

Bir web sitesinin gerçek IP adresi görünür durumdaysa, trafik CDN üzerinden geçse bile doğrudan sunucuya istek gönderilebilir. Bu durum DDoS saldırıları, kaba kuvvet denemeleri, zafiyet taramaları ve kaynak tüketimi açısından risk oluşturur. Özellikle kurumsal sitelerde, e-ticaret projelerinde ve yoğun trafik alan yayınlarda origin IP’nin korunması süreklilik açısından kritik bir gereksinimdir.

CDN katmanı; önbellekleme, SSL sonlandırma, bot filtreleme ve WAF gibi güvenlik avantajları sağlar. Fakat gerçek IP dışarı sızarsa bu katman kısmen devre dışı bırakılmış olur. Sağlam bir hosting altyapısı seçmek kadar, bu altyapıya doğrudan erişimi sınırlandırmak da önemlidir.

DNS kayıtlarını doğru yapılandırın

En sık yapılan hata, ana alan adı CDN arkasındayken bazı alt alan adlarının doğrudan sunucu IP’sine yönlendirilmesidir. Örneğin ftp, mail, cpanel, webmail, dev veya test gibi kayıtlar yanlışlıkla A kaydı olarak origin IP’yi gösterebilir.

Kontrol edilmesi gereken DNS kayıtları

  • A ve AAAA kayıtlarında gerçek IP’nin açıkta kalıp kalmadığını inceleyin.
  • Kullanılmayan alt alan adlarını silin veya erişimini kısıtlayın.
  • CDN üzerinden geçmesi gereken kayıtların proxy durumunu aktif hale getirin.
  • Geliştirme ortamları için tahmin edilmesi zor alt alan adları ve IP kısıtlaması kullanın.

IPv6 kayıtları da unutulmamalıdır. Pek çok ekip IPv4 adresini gizlerken AAAA kaydında gerçek sunucuyu açık bırakır. Bu küçük ayrıntı, tüm koruma planını boşa çıkarabilir.

Sunucu güvenlik duvarında yalnızca CDN IP’lerine izin verin

Origin IP’yi gizlemenin en etkili adımlarından biri, web sunucusuna sadece CDN sağlayıcısının IP aralıklarından gelen trafiğe izin vermektir. Böylece gerçek IP bir şekilde öğrenilse bile 80 ve 443 portlarına doğrudan erişim engellenir.

Bu işlem yapılırken CDN sağlayıcısının güncel IP listesi dikkate alınmalıdır. IP aralıkları zamanla değişebileceği için yapılandırmanın düzenli kontrol edilmesi gerekir. Aksi halde meşru ziyaretçiler CDN üzerinden gelirken bağlantı sorunları yaşayabilir.

Pratik uygulama yaklaşımı

  • HTTP ve HTTPS portlarını yalnızca CDN IP aralıklarına açın.
  • SSH, panel ve veritabanı portlarını genel erişime kapatın.
  • Yönetim erişimi için sabit ofis IP’si veya VPN kullanın.
  • Firewall kurallarını uygulamadan önce mevcut bağlantılarınızı test edin.

Paylaşımlı hosting kullanıyorsanız bu kuralları doğrudan yönetemeyebilirsiniz. Bu durumda sağlayıcınızdan CDN uyumlu güvenlik duvarı desteği talep etmek veya yönetilebilir VPS/bulut sunucu seçeneklerini değerlendirmek daha doğru olabilir.

E-posta servisleri IP sızıntısına neden olabilir

Web sitesi ile e-posta hizmeti aynı sunucuda barındırılıyorsa, MX kayıtları veya mail alt alan adları gerçek IP’yi açığa çıkarabilir. Bu nedenle web trafiği CDN arkasına alınırken e-posta altyapısı ayrıca planlanmalıdır.

Kurumsal kullanımda e-posta için ayrı bir servis tercih etmek genellikle daha güvenlidir. Böylece web sunucusunun IP adresi, mail başlıkları veya DNS kayıtları üzerinden kolayca ilişkilendirilemez. SPF, DKIM ve DMARC kayıtları da bu ayrımı destekleyecek şekilde düzenlenmelidir.

Eski kayıtlar ve geçmiş DNS verileri temizlenmeli mi?

Gerçek IP daha önce internette yayınlandıysa, bazı üçüncü taraf veritabanlarında geçmiş DNS kayıtları bulunabilir. Mevcut kayıtları düzeltmek şarttır; ancak geçmişte sızmış IP’nin tamamen görünmez hale gelmesi her zaman mümkün değildir. Bu nedenle en güvenli yaklaşım, gerekirse origin sunucunun IP adresini değiştirmek ve yeni IP’yi baştan doğru kurallarla korumaktır.

IP değişikliği yaparken SSL sertifikası, CDN bağlantısı, lisanslı yazılımlar, API izin listeleri ve ödeme sistemleri gibi IP’ye bağlı çalışan entegrasyonlar kontrol edilmelidir. Plansız değişiklik, kısa süreli erişim kesintilerine neden olabilir.

Web sunucusu ve uygulama tarafında dikkat edilmesi gerekenler

CDN arkasında çalışırken ziyaretçi IP’si çoğu zaman CDN IP’si olarak görünebilir. Log analizi, güvenlik eklentileri ve oran sınırlama kuralları için gerçek istemci IP’sinin doğru başlıktan okunması gerekir. Aksi halde tüm kullanıcılar tek bir IP’den geliyormuş gibi algılanabilir.

Ayrıca uygulama içinde doğrudan origin IP’ye yönlenen medya, dosya veya API adresleri bulunmamalıdır. WordPress sitelerinde tema ayarları, eski görsel URL’leri, özel CDN eklentileri ve sabit yazılmış bağlantılar düzenli olarak kontrol edilmelidir.

CDN yapılandırmasında sık yapılan hatalar

  • CDN aktifken sunucu portlarını herkese açık bırakmak.
  • Test alt alan adlarını gerçek IP ile yayında tutmak.
  • E-posta ve web servislerini aynı IP üzerinde plansız kullanmak.
  • IPv6 kayıtlarını kontrol etmemek.
  • Güvenlik duvarı kurallarını CDN IP güncellemelerine göre yenilememek.

Bu hatalar genellikle kurulumun hızlı tamamlanmak istenmesinden kaynaklanır. Oysa doğru yapılandırılmış bir CDN mimarisi, performans kadar güvenlik ve operasyonel süreklilik sağlar. Alan adı kayıtları, firewall politikaları ve sunucu erişim kuralları birlikte ele alındığında gerçek IP’nin açığa çıkma ihtimali belirgin şekilde azalır. Özellikle kritik projelerde hosting seçimi yapılırken CDN uyumluluğu, IP değiştirme esnekliği, güvenlik duvarı yönetimi ve teknik destek kalitesi aynı anda değerlendirilmelidir.

Yazar: Editör
İçerik: 696 kelime
Okuma Süresi: 5 dakika
Zaman: Bugün
Yayım: 11-07-2026
Güncelleme: 11-07-2026