Port Numarası Nedir?
Port numarası, bir cihazın IP adresi üzerindeki uygulama veya servis son noktasını tanımlayan mantıksal kapıdır. Nasıl ki bir bina içinde odaları numaralarla bulursunuz, internette de bir IP adresi üzerinde çalışan farklı servisleri port numarası ile bulursunuz. Örneğin web trafiği varsayılan olarak 80 (HTTP) ya da 443 (HTTPS) portunu kullanır; e-posta, dosya transferi veya uzak yönetim gibi servislerse başka portlarda dinler. Bu sayede aynı sunucu üzerinde birden fazla hizmet çakışmadan çalışabilir.
Port numaraları 0–65535 aralığındadır ve genellikle üç sınıfta ele alınır: Well-Known (0–1023), Registered (1024–49151) ve Dynamic/Private (49152–65535). Günlük hayatta tarayıcıyla bir web sitesine girdiğinizde arka planda doğru port hedeflenir; siz yalnızca alan adını veya IP adresini görürsünüz. İster masaüstü, ister mobil veya IoT cihazı olsun, uygulama katmanı ile taşıma katmanı arasındaki köprüyü bu küçük ama kritik numaralar kurar.
Önemli Not
IP adresi neredeyse adres, port ise hangi kapı sorusunun cevabıdır. Bir IP’de birden çok servis farklı portlardan sunulabilir; doğru yönlendirme ve güvenlik kuralları için port bilgisi hayati önem taşır.
"Doğru port, doğru servis: Ağ trafiğinin düzeni buradan başlar." – Ağ Mühendisleri
TCP ve UDP Portları Arasındaki Farklar
İnternette uygulamalar TCP (Transmission Control Protocol) ve UDP (User Datagram Protocol) üzerinden iletişim kurar. Her ikisi de taşıma katmanında çalışır ve port numaraları kullanır; ancak bağlantı yönetimi, güvenilirlik, sıralama ve gecikme konularında ciddi farklılıklar gösterir. Doğru protokol seçimi; performans, kaynak kullanımı ve kullanıcı deneyimi üzerinde doğrudan etkilidir.
Hızlı Özet
TCP: Bağlantı odaklı, güvenilir, sıralı; dosya aktarımı ve web için ideal.
UDP: Bağlantısız, hızlı, düşük gecikme; canlı yayın, oyun ve gerçek zamanlı iletişim için uygun.
| Kriter | TCP | UDP |
|---|---|---|
| Bağlantı Yönetimi | 3 yönlü el sıkışma (SYN–SYN/ACK–ACK) ile oturum kurar | Bağlantısız; paket gönderilir ve biter |
| Güvenilirlik | Onay (ACK), yeniden gönderim ve akış kontrolü | Yerleşik garanti yok; uygulama katmanına bırakılır |
| Sıralama | Sıra koruma var; bayt akışı | Sıralama yok; datagram bazlı |
| Gecikme | El sıkışma ve kontrol mekanizmaları nedeniyle daha yüksek | Daha düşük; gerçek zamanlı senaryolara uygun |
| Tıkanıklık/Akış Kontrolü | Var (congestion & flow control) | Yok (ağ tıkanıklığını uygulama yönetir) |
| Tipik Kullanım | HTTP/HTTPS, SMTP/IMAP/POP3, FTP/SFTP, SSH | DNS sorguları, VoIP, video/oyun akışı, QUIC/HTTP/3* |
| Parça Boyutu | Segment; MTU’dan büyük veriler dilimlenir ve birleştirilir | Datagram; MTU aşılırsa parçalama riskleri vardır |
| Hata Ayıklama | Durumlu bağlantı; izlemek kolay | Durumsuz; paket kaybı/sıra hatası uygulamaya yansır |
TCP ile Güvenilir Teslimat
Dosya transferi veya web sayfaları gibi eksiksiz ve sıralı veri gerektiren işlerde TCP’nin yeniden iletim ve akış kontrolü kritik önem taşır. HTTPS, TCP üzerinde TLS ile çalışır.
UDP ile Düşük Gecikme
Ses/görüntü akışı, çevrim içi oyunlar ve bazı IoT uygulamaları için gecikme tutarlılığından daha önemlidir; birkaç paketin kaybı tolere edilir, fakat anlık yanıt gerekir.
"Protokol seçimi iş yüküne göre yapılır: Güvenilirlik mi, gecikme mi?" – Ağ Performans Uzmanları
Standart (Well-Known) Port Numaraları
Port numaraları 0–65535 aralığındadır ve üç sınıfta toplanır: Well-Known (0–1023), Registered (1024–49151) ve Dynamic/Private (49152–65535). Well-known aralık, tarihsel olarak çekirdek internet servisleri için rezerve edilmiştir. Bu portların birçoğu, güvenlik duvarlarında ve ağ politikalarında özel kurallarla yönetilir.
Aşağıdaki tablo, yaygın well-known portlar ve ilişkili servisleri özetler. Unutmayın: Bir servisin varsayılan portu değiştirilebilir; ancak güvenlik ve uyumluluk açısından standartları bilmek önemlidir.
| Port | Protokol | Servis | Kısa Açıklama |
|---|---|---|---|
| 20/21 | TCP | FTP | Dosya aktarımı (20: veri, 21: kontrol) |
| 22 | TCP | SSH | Güvenli uzak kabuk/aktarım (SCP/SFTP) |
| 23 | TCP | Telnet | Şifresiz uzak kabuk (önerilmez) |
| 25 | TCP | SMTP | E-posta iletim sunucuları arası |
| 53 | UDP/TCP | DNS | İsim çözümleme (UDP sorgu, TCP transfer/eski) |
| 67/68 | UDP | DHCP | IP konfigürasyon dağıtımı (sunucu/istemci) |
| 69 | UDP | TFTP | Basit dosya aktarımı (kimlik doğrulama yok) |
| 80 | TCP | HTTP | Şifrelenmemiş web trafiği |
| 110 | TCP | POP3 | E-posta alma (klasik) |
| 123 | UDP | NTP | Ağ saati eşitleme |
| 135 | TCP | RPC | Windows RPC uç noktaları |
| 137–139 | UDP/TCP | NetBIOS | Ad hizmeti/oturum (LAN paylaşımları) |
| 143 | TCP | IMAP | E-posta alma (sunucu tarafı klasörler) |
| 161/162 | UDP | SNMP | Ağ izleme (sorgu/trap) |
| 179 | TCP | BGP | Otonom sistemler arası yönlendirme |
| 389 | TCP/UDP | LDAP | Dizin hizmetleri |
| 443 | TCP | HTTPS | TLS ile şifreli web trafiği |
| 445 | TCP | SMB | Dosya/paylaşım (Windows) |
| 465 | TCP | SMTPS | Şifreli SMTP (bazı sağlayıcılar) |
| 514 | UDP/TCP | Syslog | Günlük iletimi (UDP yaygın) |
| 587 | TCP | SMTP Submission | İstemciden e-posta gönderimi |
| 636 | TCP | LDAPS | Şifreli LDAP |
| 853 | TCP | DoT | DNS over TLS (gizli DNS) |
| 873 | TCP | rsync | Fark tabanlı dosya senkronizasyonu |
| 990 | TCP | FTPS | TLS ile FTP |
| 993 | TCP | IMAPS | Şifreli IMAP |
| 995 | TCP | POP3S | Şifreli POP3 |
Güvenli Alternatifler
Web ve e-posta gibi servislerde şifreli varyantları (HTTPS, IMAPS, SMTPS, POP3S) tercih edin.
Riskli Portlar
Telnet (23), SMB (445) ve eski protokoller saldırı yüzeyini artırır; dış dünyaya açmayın.
Service Binding
Servislerin doğru porta bağlandığını (bind) ve yalnızca gerekli arayüzlerde dinlediğini doğrulayın.
"Standartları bilmek, güvenli ve öngörülebilir ağ politikalarının ön koşuludur." – Ağ Güvenliği Uzmanları
Sık Kullanılan Portlar ve Hizmetleri
Aşağıdaki tablolar, üretim ve geliştirme ortamlarında en çok karşılaşılan portları kategori bazında listeler. Varsayılan portların değiştirilebileceğini unutmayın; ancak uyanık güvenlik politikaları ve doğru dokümantasyon olmadan yapılan değişiklikler ileride izlenebilirlik ve uyumluluk sorunları doğurabilir.
Hızlı Not
“Sık kullanılan” demek “internete açık olmalı” demek değildir. Servisi gerçekten dış dünyaya açmanız gerekmiyorsa ilgili portu güvenlik duvarında kapalı tutun, yalnızca yetkili kaynaklara allowlist tanımlayın.
Web & Uygulama
| Port | Protokol | Hizmet | Not |
|---|---|---|---|
| 80 | TCP | HTTP | Şifrelenmemiş web; mümkünse 443’e yönlendirin (301/308). |
| 443 | TCP | HTTPS | TLS ile şifreli web trafiği; HSTS ve TLS 1.2+ önerilir. |
| 8080 / 8000 | TCP | HTTP alternatif | Proxy/uygulama sunucuları ve test ortamları. |
| 8443 | TCP | HTTPS alternatif | Yönetim panelleri ve ters proxy’lerde yaygın. |
| 3000 / 5173 | TCP | Dev server | Node/Vite geliştirme; internete açık bırakmayın. |
| 53 | UDP/TCP | DNS | Resolver ve authoritative ayrımını netleştirin. |
E-posta
| Port | Protokol | Hizmet | Not |
|---|---|---|---|
| 25 | TCP | SMTP (relay) | Sunucular arası iletim; istemci gönderimi için kullanmayın. |
| 587 | TCP | SMTP Submission | İstemci gönderimi; STARTTLS ve kimlik doğrulama şart. |
| 465 | TCP | SMTPS | Implicit TLS; bazı sağlayıcılarda tercih edilir. |
| 143 / 993 | TCP | IMAP / IMAPS | Uçtan uca TLS; eski protokolleri kapatın. |
| 110 / 995 | TCP | POP3 / POP3S | Güncel projelerde IMAP(S) tercih edilir. |
Veritabanı & Önbellek
| Port | Protokol | Hizmet | Not |
|---|---|---|---|
| 3306 | TCP | MySQL/MariaDB | Public açmayın; TLS ve IP kısıtlama kullanın. |
| 5432 | TCP | PostgreSQL | md5 yerine SCRAM ve TLS önerilir. |
| 1433 | TCP | MS SQL Server | VPN/SSH tünel ile erişim güvenceye alın. |
| 6379 | TCP | Redis | Şifresizdir; kesinlikle internetten erişime kapalı tutun. |
| 11211 | TCP/UDP | Memcached | Açık bırakmak amplifikasyon saldırılarına yol açar. |
| 27017 | TCP | MongoDB | Auth ve TLS zorunlu; yalnızca özel ağa bind edin. |
Uzak Erişim & Yönetim
| Port | Protokol | Hizmet | Not |
|---|---|---|---|
| 22 | TCP | SSH | Key-based auth, fail2ban ve port knocking düşünebilirsiniz. |
| 3389 | TCP | RDP | Doğrudan açmayın; VPN/Zero Trust arkasına alın. |
| 5900 | TCP | VNC | Şifreleme zayıftır; tünelleme/tls proxy kullanın. |
| 161/162 | UDP | SNMP | v3 ve güçlü parolalar; internetten erişime kapalı. |
Port Envanterinizi Güncel Tutun
Yayındaki servislerinizi düzenli tarayın, gereksiz portları kapatın ve logları izleyin. Bir projeyi yayına alırken domain–DNS–port planını birlikte kurgulamak için deneyimli bir web tasarım ajansı ile çalışmak operasyonel riskleri azaltır.
IP’nizi Kontrol EdinPort Numaralarının Çalışma Prensibi
Bir istemci bir sunucuya bağlandığında, iletişimi ayırt etmek için beşli (5-tuple) kullanılır: kaynak IP, kaynak port, hedef IP, hedef port ve protokol (TCP/UDP). Sunucu tarafında uygulama genellikle well-known veya registered bir portta dinler (örn. HTTPS için 443/tcp). İstemci tarafında ise işletim sistemi ephemeral (dinamik) bir kaynak portu (örn. 54123) seçerek bağlantıyı başlatır. Böylece aynı istemci aynı anda onlarca farklı servise çakışmadan bağlanabilir.
TCP’de oturum kurulumu SYN → SYN/ACK → ACK ile gerçekleşir; sunucu “dinleme” (LISTEN) durumundayken yeni bir soket ESTABLISHED durumuna geçer. UDP’de ise durum yönetimi yoktur; paketler doğrudan gönderilir ve uygulama katmanı gerekiyorsa yeniden iletim/sıralama gibi görevleri üstlenir. Ağ geçitleri ve güvenlik duvarları bu akışları durum bilgili (stateful) olarak izleyebilir.
Özet
Sunucu: Hedef portta dinler → İstemci: Ephemeral kaynak port seçer → 5-tuple akışı tanımlar → FW/NAT: Bağlantıyı izler ve eşlemeleri yönetir.
| Senaryo | Kaynak (IP:Port) | Hedef (IP:Port) | Ne Olur? |
|---|---|---|---|
| Tarayıcıdan HTTPS’e erişim | 10.0.0.5:54123 | 203.0.113.10:443 | OS ephemeral port seçer, TCP el sıkışması tamamlanır, TLS kurulup veri akışı başlar. |
| UDP ile video akışı | 10.0.0.5:55432 | 198.51.100.20:5004 | Bağlantısız iletim; kayıp paketleri uygulama tolere eder, düşük gecikme hedeflenir. |
| NAT arkasından internete çıkış | 192.168.1.7:54123 | 203.0.113.10:443 | NAT, port address translation ile kaynak portu yeniden eşler (örn. 203.0.113.50:61001). |
| Aynı anda birden çok bağlantı | 10.0.0.5:54123/54124/… | Farklı sunucu/portlar | Her akış benzersiz 5-tuple ile ayırt edilir; çakışma önlenir. |
Ephemeral (Dinamik) Portlar ve Aralıklar
İstemcilerin seçtiği kaynak portlar genellikle 49152–65535 aralığındadır (IANA önerisi). İşletim sistemleri bu aralığı özelleştirebilir. Yüksek trafikte port tükenmesi yaşanmaması için zaman aşımı, reuse ve connection pooling gibi mekanizmalar önemlidir.
Güvenlik Duvarı ve NAT Davranışı
- Stateful FW: İlk pakette (TCP SYN/UDP çıkış) akış tablosu oluşturur; dönüş trafiğine izin verir.
- NAT/PAT: İç ağdaki çok sayıda istemciyi tek bir genel IP üzerinden farklı kaynak portları ile internete çıkarır.
- Timeout’lar: UDP akışları daha kısa süre tutulur; TCP FIN/RST veya inaktiflik ile kapanır.
0.0.0.0 yerine 127.0.0.1 / özel ağ). Gereksiz portları kapatarak saldırı yüzeyini azaltın. IP’nizi ve temel ağ bilgilerinizi test etmek için iPadressorgu.com’u kullanabilirsiniz. "Ağ trafiğinde kimlik; IP’den çok 5-tuple’dadır. Port, bu kimliğin anahtarıdır." – Ağ Tasarımcıları
Açık ve Kapalı Port Kavramları
Bir portun durumu, o porta bağlanmaya çalışan istemcinin beklediği yanıtı alıp alamamasına göre sınıflandırılır. En yaygın durumlar açık (open), kapalı (closed) ve filtrelenmiş (filtered/stealth) şeklindedir. Durum, yalnızca sunucudaki uygulamanın varlığına değil; güvenlik duvarı, NAT, WAF/Reverse Proxy ve ağ politikaları gibi ara katmanlara da bağlıdır.
Hızlı Özet
Açık: Uygulama ilgili portta dinliyor ve bağlantıyı kabul ediyor.
Kapalı: O portta dinleyen uygulama yok; OS “kapalı” yanıtı döndürüyor.
Filtrelenmiş/Stealth: Güvenlik duvarı/NAT paketi sessizce düşürüyor veya engelliyor.
| Durum | Görünüm | Olası Neden | Risk/Not |
|---|---|---|---|
| Açık (Open) | Bağlantı kuruluyor, servis yanıt veriyor | Uygulama bind edilmiş ve dinliyor (örn. 443/tcp) | Gereksizce açık bırakılırsa saldırı yüzeyi artar |
| Kapalı (Closed) | Hızlı “kapalı”/“erişilemez” yanıtı | Servis yok, süreç durdurulmuş ya da bind farklı arayüzde | Bilgi sızdırabilir; taramalar portun varlığını teyit eder |
| Filtrelenmiş (Filtered/Stealth) | Yanıt yok; zaman aşımı | FW/NAT paketi düşürüyor, drop politikası | En az bilgi sızdırır; dışa kapalı tutmak için idealdir |
| Yarı Açık* | SYN/ACK gibi kısmi işaretler | Orta katmanda proxy/WAF, tarama tekniği farklı | Aktif testlerde görülebilir; yorum dikkat ister |
Durumu Ne Belirler?
- Servis Bağlama (Bind): Uygulama yalnızca
127.0.0.1’e bağlandıysa dışarıdan kapalı görünür. - Güvenlik Duvarı:Drop politikası “filtrelenmiş”, Reject politikası çoğu zaman “kapalı” izlenimi verir.
- NAT/WAF/Proxy: Öne konumlanan katmanlar gerçek arka uç port durumunu maskeleyebilir.
- Rota/ISP Politikaları: Bazı ISS’ler yaygın botnet portlarını taşıyıcı düzeyinde kapatabilir.
En İyi Uygulamalar
- Gereksiz portları kapalı/filtrelenmiş tutun; yalnızca ihtiyacınız olanları açın.
- Dış dünyaya açılan portları allowlist, rate limit ve WAF ile koruyun.
- Bind’leri gözden geçirin: İç servisleri
localhostveya özel VLAN’a bağlayın. - Periyodik port taramalarıyla beklenmeyen açıklıkları tespit edin; değişikliklerde kontrol edin.
Port Durumunuzu Doğrulayın
Servislerinizi yayına almadan önce hedef portların dış görünümünü test edin; yalnızca gerekli kaynaklara erişim verin. Ağ görünürlüğünüzü artırmak için IP ve temel bağlantı testlerini iPadressorgu.com üzerinden hızlıca yapabilirsiniz.
Bağlantını Kontrol EtGüvenlik Açısından Port Yönetimi
Port yönetimi, saldırı yüzeyini asgari düzeyde tutmanın en etkili yollarından biridir. Amaç; yalnızca gerekli servisleri doğru port ve arayüzlerde çalıştırmak, kalan tüm kapıları varsayılan olarak kapalı tutmaktır. Bu yaklaşım; en az ayrıcalık (PoLP), zero trust ve savunma derinliği prensipleriyle uyumludur.
Hızlı Güvenlik Özeti
Varsayılan reddet (default deny) → yalnızca gerekli portları aç.
Segmentasyon → iç/dış, DMZ, yönetim ağı, veri ağı.
Görünürlük → düzenli port taraması, log ve uyarı.
Koruma → WAF/IDS/IPS, hız sınırlama, allowlist.
Otomasyon → IaC ve politika-as-code ile sürekli doğrulama.
Ağ Politikası ve Segmentasyon
- DMZ ve İç Ağ Ayrımı: İnternete açık servisleri DMZ’de konumlandırın; veritabanı/mesaj kuyruğu gibi iç servisleri yalnızca özel ağa bind edin.
- Mikro Segmentasyon: Uygulama katmanlarını (web–api–db) ayrı güvenlik politikaları ve allowlist akışlarıyla sınırlandırın.
- Gelen/Giden (Ingress/Egress) Kontrolü: Yalnızca gereken hedef/port/protokole izin verin; bilinmeyen giden trafik kötü amaçlı bağlantıların göstergesi olabilir.
Koruma Katmanları
WAF / Reverse Proxy
HTTP(S) trafiğini tek bir noktada sonlandırıp filtreleyin; sadece 80/443’ü açın, arka uç portlarını özel ağa kapatın.
Zero Trust & VPN
Yönetim portlarını (SSH, RDP) internete açmayın; VPN/Zero Trust arkasına alın, MFA zorunlu kılın.
IDS/IPS & Rate Limiting
Port tarama ve brute-force girişimlerini tespit edip hız sınırlayın; başarısız denemeleri otomatik engellemeye taşıyın.
| Kontrol | Öneri | Uygulanabilir Eylem |
|---|---|---|
| Açık Port Envanteri | Periyodik ve CI/CD içinde tarayın | nmap/masscan ile tarama; sonuçları SIEM’e gönderin |
| Varsayılan Reddet | Inbound/outbound default deny | Yalnızca bilinen kaynak/portlar için allow kuralı |
| Bind Hijyeni | İç servisleri public arayüzlere bağlamayın | 0.0.0.0 yerine 127.0.0.1/::1 veya özel VLAN |
| Şifreleme | Yönetim ve veri trafiği TLS/SSH | HTTPS/HSTS, modern TLS, SSH anahtar tabanlı kimlik |
| Hız Sınırları | Brute-force ve taramayı baskılayın | WAF/iptables/nginx limit_req; Geo/IP allowlist |
| Kaynak Doğrulama | Yalnızca yetkili IP/ASN | Özel ağ eşlemesi, mTLS, sabit IP’ler için allowlist |
| Güncelleme ve Zayıflık | Servisleri güncel tutun | Otomatik yamalama, CVE izlemesi, blue/green dağıtım |
Kapsayıcı (Container) ve Bulut Ortamları
Orkestrasyon platformlarında (örn. Kubernetes) NodePort/LoadBalancer/Ingress kullanımı port görünürlüğünü doğrudan etkiler. Ingress Controller ile tek giriş noktası (443) üzerinden trafiği yönetin; servisleri ClusterIP’de tutarak internetten erişimi engelleyin. Güvenlik grupları ve ağ politikaları (NetworkPolicy/Security Group) ile port erişimini namespace ve etiket düzeyinde kısıtlayın.
Gözlemlenebilirlik ve Olay Yönetimi
- Loglama: Bağlantı kabul/red olaylarını merkezi logda toplayın; anomali uyarıları üretin.
- Uçtan Uca İz: WAF/Reverse proxy → uygulama → veritabanı zincirinde korelasyon kimlikleri kullanın.
- Runbook/SOP: Beklenmedik açık port tespitinde uygulanacak standart operasyon adımlarını önceden yazın.
Katmanlı güvenlik: Segmentasyon, WAF/IDS/IPS, allowlist ve otomasyon bir arada çalışır.
"Açık her kapı, işletimsel bir gerekçeye dayanmalı; aksi kapatılmalıdır." – Güvenlik Mimarları
Güvenli Port Politikası Oluşturun
Mevcut servislerinizi envanterleyin, gereksiz portları kapatın ve WAF/IDS ile görünürlüğü artırın. Değişiklikleri IaC içinde sürdürerek konfigürasyon drift’ini önleyin.
Hızlı Ağ Kontrolü Yap