Yazılım Geliştirme

Web uygulamaları, mobil, e-ticaret ve özel yazılım projeleri.

ReactNode.jsMobil

SEO & Optimizasyon

Organik trafik artışı, teknik SEO, içerik stratejisi ve analitik.

Teknik SEOİçerikAnalitik

API & Entegrasyon

REST API, webhook altyapıları, ödeme ve kargo entegrasyonları.

REST APIWebhookOAuth
Tüm hizmetleri görüntüle Ücretsiz danışmanlık alın

Web Hosting

cPanel yönetim paneli, SSD depolama, ücretsiz SSL sertifikası

Teklif Alın

VPS Sunucu

NVMe SSD, tam root erişim, DDoS koruması dahil

Teklif Alın
Popüler

Dedicated Sunucu

Tamamen size özel fiziksel sunucu, sınırsız trafik

Teklif Alın

Domain & SSL

Domain tescil, transfer ve Wildcard SSL sertifikaları

Teklif Alın

Neden KEYDAL?

  • 99.9% uptime garantisi
  • İstanbul veri merkezi
  • 7/24 Türkçe destek
  • Ücretsiz taşıma hizmeti
Fiyat teklifi alın

Projelerimiz

kSvSecurity, kAI, kMusic ve daha fazlası.

Hakkımızda

KEYDAL'ı tanıyın. Vizyonumuz, ekibimiz ve yolculuğumuz.

İletişim

Projenizi anlatın, size özel teklif sunalım.
Sözleşmeler
Gizlilik Politikası Kullanım Şartları SLA Sözleşmesi KVKK Aydınlatma Metni Çerez Politikası
01 Ana Sayfa
Yazılım Geliştirme SEO & Optimizasyon API & Entegrasyon
Web Hosting VPS Sunucu Dedicated Sunucu Domain & SSL
04 KEYDAL Projects 05 Araçlar 06 Blog
Hakkımızda İletişim Sözleşmeler
Teklif Alın
Blog / hosting

Port Sorgulama Rehberi: Açık Portlar, Test Yöntemleri ve İnternet Bilgileri

pillar 27 dk okuma 2 Mayıs 2026
KEYDAL Kurucusu · Full-stack geliştirici

Bir web sunucusu kurdunuz, oyun sunucunuzu yayına aldınız ya da evdeki güvenlik kamerasına dışarıdan bağlanmaya çalışıyorsunuz; ancak bağlantı bir türlü kurulamıyor. Bu noktada karşınıza çıkan ilk soru hep aynıdır: port açık mı, kapalı mı? Port sorgulama, modern internet diyagnostiğinin temel becerisidir ve yalnızca sistem yöneticileri için değil; uzaktan çalışan, kendi sunucusunu işleten, kamera/oyun/IoT cihazı kullanan herkes için kritik bir kontrol noktasıdır. Bu rehber port sorgulamayı tanımdan başlayarak nmap, telnet, netcat, PowerShell Test-NetConnection, netstat, ss ve online port checker araçlarına kadar uçtan uca anlatır; ayrıca CGN/NAT, ISP filtreleme ve internet altyapı sorgulamasının teknik temellerini açıklar.

Çoğu kullanıcı port sorgulamayı yalnızca "kapalı portu açma" olarak düşünür. Oysa konunun içinde TCP/IP'nin kendisi, IANA tarafından yönetilen well-known ports listesi, RFC 6056'da tanımlanan ephemeral port stratejisi, NAT traversal teknikleri ve Türkiye'de yaygınlaşan CGN (Carrier Grade NAT) altyapısı vardır. Bu konuların hepsini hakkıyla anlamadan yapılan port forwarding, ya çalışmayan bir kurulumla ya da güvenlik açığıyla biter. data sorgu, hangi port açık ve internet bilgileri sorgulama aramalarının arkasında genellikle aynı kullanıcı niyeti yatar: ağın o anki durumunu somut sayılarla görmek.

İlgili rehberler: DNS nedir, ayarlar nasıl değişir · Domain sorgulama araçları · Nginx yapılandırma rehberi · VPS güvenlik sertleştirme · Linux sunucu yönetimi temelleri · Fail2ban ile SSH koruma

Port Nedir? TCP/UDP Üzerinde Mantıksal Adresleme

TCP/IP yığınında bir paket alıcı sunucuya ulaştığında, o sunucuda eş zamanlı çalışan onlarca farklı servis olabilir: web sunucusu, e-posta sunucusu, SSH daemon, veritabanı, VPN gateway. Paketin hangi servise gideceğini IP adresi belirlemez; çünkü IP adresi yalnızca makineyi bulur. Port numarası, paketi makinenin içindeki doğru sürece (process) yönlendiren mantıksal adres katmanıdır. RFC 793 ile TCP, RFC 768 ile UDP başlıklarında 16 bit'lik bir port alanı tanımlanmıştır; bu da 0-65535 aralığında 65.536 farklı port demektir.

IANA bu aralığı üç bölüme ayırır: well-known ports (0-1023), registered ports (1024-49151) ve dynamic / ephemeral ports (49152-65535). Linux çekirdeğinin varsayılan ephemeral aralığı 32768-60999'dur ve /proc/sys/net/ipv4/ip_local_port_range üzerinden değiştirilebilir. Yüksek trafikli proxy veya outbound bağlantı yapan servislerde bu aralığın daraltılması, EADDRNOTAVAIL hatalarının kaynağı olur.

TCP ve UDP Portları Aynı Numarayı Paylaşır mı?

Evet — TCP 53 ile UDP 53 birbirinden tamamen bağımsız iki ayrı port'tur. DNS, hem UDP 53 (kısa sorgular için) hem TCP 53 (zone transfer ve büyük cevaplar) kullanır; aynı sunucuda aynı anda her ikisinde dinleme yapan farklı süreçler bulunabilir. Port sorgulama yaparken protokolü mutlaka belirtmek gerekir; aksi halde "port açık" ifadesi yanıltıcıdır.

  • TCP: Bağlantı kurulu (connection-oriented), üç-yönlü el sıkışma (SYN, SYN-ACK, ACK), garantili teslim. Port sorgulama bu üç paketin tamamlanıp tamamlanmadığına bakar.
  • UDP: Bağlantısız (connectionless), el sıkışma yok, en iyi çaba teslim. Port açık mı kapalı mı sorusu UDP'de net cevap vermez — gelen ICMP "port unreachable" yoksa açık veya filtrelenmiş demektir.
  • SCTP: Telekom dünyasında kullanılır, multi-streaming ve multi-homing destekler. Port sorgulama araçlarının çoğu SCTP'yi varsayılan kapsamaz; nmap -sY ile açık ölçülür.

Yaygın Portlar ve Hangi Servise Aittir?

Pratikte port sorgulama yaparken çoğu zaman aynı 20-25 port döner. Bu portları ezberleyen bir sistem yöneticisi, çoğu hatayı saniyeler içinde teşhis eder. Aşağıdaki tablo IANA kayıtları ve ortak kullanım pratiğine göre derlenmiştir.

  • 20/21 (TCP) — FTP veri ve kontrol kanalı. Modern dağıtımlar SFTP'ye geçmiştir.
  • 22 (TCP) — SSH. Sunucuda en çok hedef alınan port; brute-force saldırıları için Fail2ban şart.
  • 23 (TCP) — Telnet. Şifreli değildir, internete açmayın.
  • 25 (TCP) — SMTP. Çoğu ISP outbound 25'i bloklar; mail-relay için 587 kullanın.
  • 53 (TCP/UDP) — DNS. UDP kısa sorgu, TCP zone transfer.
  • 80 (TCP) — HTTP. HTTPS yönlendirmesi için açık tutulur.
  • 110 / 143 / 993 / 995 (TCP) — POP3, IMAP, IMAPS, POP3S.
  • 123 (UDP) — NTP. Yanlış yapılandırma DDoS amplifikasyonuna yol açar.
  • 143 / 587 / 465 (TCP) — IMAP / SMTP submission / SMTPS.
  • 389 / 636 (TCP) — LDAP / LDAPS.
  • 443 (TCP) — HTTPS. HTTP/3 için aynı portta UDP de açılır (QUIC).
  • 445 (TCP) — SMB. WannaCry'dan beri internete asla açılmamalı.
  • 1433 (TCP) — Microsoft SQL Server.
  • 3306 (TCP) — MySQL / MariaDB.
  • 3389 (TCP) — RDP. Brute-force ve fidye yazılımı saldırılarının ana kapısıdır.
  • 5432 (TCP) — PostgreSQL.
  • 5900 (TCP) — VNC.
  • 6379 (TCP) — Redis. Authentication kapalıyken internete açıldığında 5 dakika içinde saldırıya uğrar.
  • 8080 / 8443 (TCP) — Alternatif HTTP/HTTPS, sıkça reverse proxy için.
  • 27017 (TCP) — MongoDB.
  • 3478 / 5349 (UDP/TCP) — STUN / TURN, WebRTC için NAT traversal.

Türkiye'de bir özel durum vardır: birçok ev kullanıcısı ISP'si tarafından 25, 80, 443, 445, 139, 137 ve 1900 gibi portlarda outbound veya inbound filtreleme görür. Bu, kötüye kullanım önleme amaçlıdır ancak kendi sunucunuzu evden host etmeye çalıştığınızda "port kapalı" sonucu vermesinin en yaygın sebebidir. Daha sonra CGN bölümünde detaylandıracağız.

Hangi Port Açık? Online Port Checker Mantığı

Online port checker araçları (örneğin pek çok Türkçe "port sorgulama" sayfası ya da yfrog tarzı uluslararası araçlar) tek satırda büyük bir karmaşıklığı saklar. Mantığı şudur: araç, bulunduğu uzak sunucudan sizin kamuya açık IP adresinize belirttiğiniz porta TCP SYN paketi gönderir. Üç olası sonuç vardır: SYN-ACK döner (port açık), RST döner (port kapalı, bir süreç dinlemiyor), hiçbir cevap dönmez (port filtrelenmiş, muhtemelen güvenlik duvarı drop ediyor).

Bu yüzden online araç sonucu asla LAN içi durumu yansıtmaz. Sunucunuz iç ağda 192.168.1.10:8080'de dinliyor olsa bile, modemde port forwarding ayarlı değilse online araç "kapalı" gösterir. Tersine, sunucu kapalı olduğu hâlde bir cloud firewall accept rule'u varsa "açık" gibi görünebilir.

  • Açık (open): SYN-ACK alındı; bir servis dinliyor ve dış ağdan erişilebilir.
  • Kapalı (closed): RST alındı; servis yok ama paket güvenlik duvarına takılmadan ulaştı.
  • Filtrelenmiş (filtered): Cevap yok; firewall, ISP veya cloud SG paketi sessizce düşürüyor.
  • Açık|Filtrelenmiş: UDP'de sıkça görülür; ICMP unreachable da gelmez.

nmap ile Profesyonel Port Tarama

nmap port sorgulamanın altın standardıdır. Hem TCP hem UDP, hem stealth hem service detection, hem OS fingerprint hem script motoru (NSE) sunar. Resmi referans nmap.org/book/man.html üzerinde sürekli güncellenir. Aşağıdaki örnekler 2026 sürümü ile çalışır.

-T0'dan -T5'e kadar olan timing template'leri agresifliği belirler. Production sunucularını taramadan önce -T2 veya -T3 kullanmak, IDS/IPS sistemlerinin sizi engellemesini önler. Kendi sunucunuz değilse tarama yapma yetkiniz olmalı — Türkiye'de 5237 sayılı TCK madde 243 ve 244 kapsamında yetkisiz erişim cezai sorumluluk doğurur.

nmap NSE Script Motoru ile Detaylı Sorgulama

NSE (Nmap Scripting Engine) Lua tabanlıdır ve 600'den fazla hazır script ile gelir: zafiyet keşfi, brute-force, hizmet enumerasyonu, hatta exploit. nmap.org/nsedoc tüm scriptlerin kataloğunu sunar. En sık kullanılanlar:

  • http-headers: HTTP cevabındaki güvenlik header'larını listeler.
  • http-title: Açık HTTP servislerinin başlığını çeker, hızlıca CMS tespiti yapar.
  • ssh-hostkey: SSH sunucusunun host key parmak izini gösterir.
  • ssl-cert: TLS sertifikası bilgilerini detaylı verir.
  • smb-os-discovery: SMB üzerinden OS, hostname ve domain bilgisi.
  • vulners: CVE veritabanından eşleşme arar.
  • banner: İlk 1024 byte'lık servis banner'ını okur, servis sürümünü açığa çıkarır.

Telnet ile Hızlı Port Testi

Telnet 1969'dan beri var olan eski bir protokoldür ama port sorgulama için hâlâ pratiktir. Tek soru sorar: "Bu IP'nin bu portuna TCP el sıkışması kurabiliyor muyum?" Cevap evet ise port açık, hayır ise kapalı veya filtrelenmiş. Kurulu olmayan sistemlerde apt install telnet veya Windows'ta "Optional Features → Telnet Client" ile etkinleştirilir.

Telnet'in iki büyük dezavantajı vardır: yalnızca TCP destekler, ve SMTP, HTTP, IMAP gibi text-based protokollerde hızla manuel komut göndermek için kullanılabilir; ama TLS şifrelemesinin ardındaki bir servisle düzgün konuşamaz. HTTPS testleri için openssl s_client kullanın.

netcat (nc): İsviçre Çakısı

netcat port sorgulamanın yanı sıra port dinleyicisi kurmak, dosya transfer etmek, banner grab yapmak gibi onlarca işi tek araçta toplar. ncat (nmap projesinin parçası), OpenBSD nc ve GNU netcat en yaygın varyantlardır; bayraklar farklılık gösterebilir.

Saldırgan tarafta da etkin olduğundan netcat birçok dağıtımda varsayılan kurulu gelmez. ncat daha modern alternatiftir: SSL desteği, broker mode, command execution kısıtlamaları gibi production-friendly özellikler içerir.

Windows: PowerShell Test-NetConnection

Windows tarafında en hızlı port sorgulama yöntemi Test-NetConnection cmdlet'idir. Telnet client'ı yüklemeden, üçüncü parti araç gerektirmeden çalışır. PowerShell 5.1 ve üstünde standart gelir. Microsoft Learn referansı tüm parametreleri detaylandırır.

Bir uyarı: Test-NetConnection arka planda ICMP echo + TCP SYN gönderir. Eğer hedef ICMP yanıt vermiyorsa PingSucceeded: False görürsünüz ama bu portun kapalı olduğu anlamına gelmez; TcpTestSucceeded alanına bakın.

Linux'ta netstat ve ss: Hangi Port Dinleniyor?

"Hangi port açık?" sorusunun iki anlamı var: dışarıdan erişilebilir mi (yukarıda anlatıldı) ve içeride hangi süreç dinliyor. İkincisi için Linux'ta netstat ve modern halefi ss kullanılır. ss netlink üzerinden çalışır, netstat'tan 10x daha hızlıdır ve büyük üretim sunucularında varsayılan tercih olmalıdır.

lsof -i alternatifi de güçlüdür ve sürecin hangi dosya/socket'i tuttuğunu gösterir. Production ortamında ss -tlnp ile systemctl list-units --type=service birlikte çalıştırıp dinleyen ama olmaması gereken servisleri saptamak, VPS sertleştirme sürecinin ilk adımıdır.

Firewall: Portu Açan ve Kapayan Asıl Katman

Servis dinliyor ama dışarıdan erişilemiyorsa neredeyse her zaman güvenlik duvarı suçludur. Linux'ta üç ana yapı vardır: iptables (eski ama hâlâ yaygın), nftables (modern halefi), ve bunların önündeki kullanıcı dostu yöneticiler ufw (Ubuntu/Debian) ve firewalld (RHEL/CentOS/Rocky).

Cloud sağlayıcılarda (Hetzner, AWS, DigitalOcean, Azure) ek bir cloud-side firewall katmanı vardır: AWS'de Security Group, Azure'da NSG, Hetzner'de Firewall. Sunucu içindeki UFW açık olsa bile cloud firewall kapalıysa port kapalı görünür. Terraform ile altyapı yönetimi yazımız bu kuralları kod olarak yönetmeyi anlatır.

Port Forwarding: Ev Modeminden Sunucuya

Ev kullanıcılarının port sorgulamada "kapalı" sonucu almasının başlıca sebebi NAT'tır. Modeminizin WAN tarafında genellikle tek bir kamuya açık IP vardır; ev içindeki cihazlar (laptop, kamera, oyun konsolu) 192.168.x.x veya 10.x.x.x özel adres kullanır. Dış ağdan iç ağa erişim için modemde port forwarding (port yönlendirme, NAT pinholing) tanımlamanız gerekir.

  • Adım 1: Cihazınıza statik LAN IP atayın (DHCP reservation). Modem yeniden başlatıldığında IP değişirse forwarding bozulur.
  • Adım 2: Modemin yönetim arayüzüne girin (genelde 192.168.1.1 veya 192.168.0.1). "Port Forwarding", "NAT", "Virtual Server" sekmesini bulun.
  • Adım 3: External port (WAN), internal port (LAN), internal IP, protokol (TCP/UDP/Both) bilgilerini girin. Örnek: WAN 8080 → LAN 192.168.1.10:80 TCP.
  • Adım 4: Cihaz üzerindeki firewall'da da inbound izin verin (Windows Defender Firewall, ufw vs.).
  • Adım 5: Online port checker ile dış IP'nizi kullanarak doğrulayın. Önemli: sınama LAN içinden değil, mobil veri üzerinden veya dış bir cihazdan yapılmalı.

Birçok modemde UPnP (Universal Plug and Play) açıktır; bu, uygulamaların port'u otomatik yönlendirmesine izin verir. Konfor sağlasa da güvenlik riski yaratır — kötü amaçlı yazılım UPnP üzerinden firewall'unuzda delik açabilir. Bilinçli kullanıcının modeminde UPnP kapalı olmalı, port forwarding manuel yapılmalıdır.

CGN ve Türkiye: Neden Port Açılmıyor?

IPv4 adres havuzu 2011'de tükendi. ISP'ler ek IP üretemediği için Carrier Grade NAT (CGN, RFC 6598) uygulamaya başladı: aynı kamuya açık IP'yi onlarca aboneye paylaştırma yöntemi. Türkiye'de mobil hatların ezici çoğunluğu, bazı fiber paketler ve neredeyse tüm 4G/5G operatörleri CGN kullanır. Sonuç: WAN tarafında dahi gerçek kamuya açık IP'niz yoktur, ISP'nin NAT'ı arkasındasınızdır.

Bu durumda port forwarding ne yaparsanız yapın çalışmaz; çünkü dış istek ISP'nin CGN'ine ulaşır ve oradan size geri yönlendirilemez. data sorgu ve port testi araçlarında "filtered" sonucu alırsanız ve modem tarafında her şey doğruysa, ISP'nizden gerçek IP (static IP, public IP) talep etmeniz gerekir. Türkiye'de bu hizmet aylık 30-150 TL arası, sağlayıcıya göre değişir (yaklaşık, 2026 verisi).

  • CGN tespiti: whatismyipaddress.com'dan gördüğünüz IP ile modem WAN IP'si farklıysa CGN'desiniz.
  • Mobil 4G/5G: Neredeyse her zaman CGN. Static public IP genellikle kurumsal hatlarda mevcut.
  • FTTH fiber: Çoğu sağlayıcı varsayılan CGN, ek ücretle public IP verir.
  • VDSL/ADSL: Genelde gerçek IP atar, ama bazı kampanyalı paketlerde CGN devrede.
  • Çözüm — alternatif tüneller: Cloudflare Tunnel, Tailscale, ngrok, frp gibi reverse-tunnel araçları CGN'i tamamen baypas eder.

İnternet Bilgileri Sorgulama: Altyapı, Hız, Port

internet bilgileri sorgulama aramaları arkasında genellikle iki niyet vardır: kullanıcı kendi bağlantısının teknik durumunu (altyapı, hız, port) görmek istiyor; ya da bir adresin hangi internet hizmetlerine erişebildiğini öğrenmek istiyor. Türkiye'de bu sorguları yapan yerel sağlayıcılar arasında Türk Telekom, TurkNet, Superonline, NetSpeed, WorldNet, KabloNet ve Vodafone bulunur. Hepsi adres bazlı altyapı sorgu sayfası sunar; girilen il-ilçe-mahalle-bina bilgilerinden hangi infrastructure (Fiber, GPON, VDSL, ADSL) ulaşılabileceğini ve maksimum hızı raporlar.

  • ADSL: Bakır telefon hattı, teorik max 24 Mbit/s download, asimetrik upload (1-2 Mbit/s). Hat uzunluğuna ters orantılı.
  • VDSL2: Aynı bakır üzerinde 100 Mbit/s'e kadar; vectoring + bonding ile 200 Mbit/s mümkün.
  • GPON / Fiber: Optik fiber, asimetrik 1 Gbit/s download / 100-300 Mbit/s upload yaygın. Mesafeden bağımsız.
  • XGS-PON / 10G: Yeni nesil PON, 10 Gbit/s simetrik kapasite. Türkiye'de pilot bölgelerde mevcut.
  • 5G FWA: 5G üzerinden sabit kablosuz erişim. Fiberin olmadığı bölgelerde alternatif.

BTK'nın internet.btk.gov.tr portalı bağımsız bir altyapı/site sorgulama servisi sunar — operatör bağımsız bilgi almak için kullanılır. Ayrıca BTK numara taşıma, SIM blokaj ve site engelleme sorgularını da aynı portal üzerinden yönetir.

Port Sorgulama vs Port Tarama: Hukuki ve Etik Sınır

Bir sunucunun tek bir portuna bağlanmaya çalışmak (telnet, web tarayıcı) günlük diyagnostik. Aynı IP'nin 65535 portunu sistematik olarak taramak ise farklı bir kategoridir. Türkiye'de 5237 sayılı Türk Ceza Kanunu'nun 243-244. maddeleri "bilişim sistemine girme" ve "sistemleri engelleme, bozma, verileri yok etme" suçlarını düzenler. Yetkisiz tarama, niyet edilmemiş olsa bile log'larda görünür ve şikayet konusu olabilir.

  • Kendi sunucunuz: İstediğiniz gibi tarayın. Düzenli güvenlik audit'i hatta tavsiye edilir.
  • Müşterinizin sunucusu: Yazılı yetki (penetration test sözleşmesi) alın. Kapsam (scope) ve zaman aralığı belirleyin.
  • Bug bounty programı: Yalnızca programın kapsamındaki hostlara dokunun. HackerOne, Intigriti gibi platformların kuralları nettir.
  • Public/eğitim taraması: scanme.nmap.org nmap ekibinin halka açık eğitim hedefidir.
  • Yasak: Devlet kurumları, finansal sistemler, başkasının sunucusu. Sertifikalı pentester olsanız bile yetkisiz tarama yasaldır değildir.

data sorgu: SQL Tabanlı Veri Sorgulama Mantığı

data sorgu kavramı port sorgulama ile aynı kelime grubunda yer alsa da farklı bir alana — yapılandırılmış veri tabanlarına SQL benzeri sorgu çalıştırmaya — değinir. Google Ads Data Hub, BigQuery, Snowflake, Athena gibi cloud analitik servislerinin tamamı SQL benzeri sorgu dili sunar. Bu platformlarda start_date, end_date ve time_zone reserved parametreler olarak hazır gelir; özel parametreler @parametre_adi formatıyla referans alınır.

Detaylı sorgu optimizasyonu için SQL sorgu optimizasyonu rehberimize bakın. Borsa programları (iDeal Data, Matriks, FOREX) da benzer mantıkla teknik analiz filtreleme sorguları sunar — RSI 14 değeri 30 altı/70 üstü, hareketli ortalama farkı %1'den küçük gibi koşullarla sembol tarama yapılır. Tüm bu sistemler aynı paradigmayı paylaşır: yapılandırılmış veri + parametrik sorgu + sınırlı sonuç kümesi.

Cloud ve VPS'de Port Sorgulama Pratiği

VPS satın aldıktan sonraki ilk işiniz dinleyen portları kontrol etmek olmalı. Çoğu sağlayıcının default image'ında SSH (22) açık, başka bir şey yoktur — ama bazı dağıtımlar 25, 111 (rpcbind), 5355 (LLMNR) gibi gereksiz portları açabilir. VPS rehberimiz bu sertleştirme konusunu genişçe anlatır.

Cloud firewall ile sunucu firewall'unu her zaman birlikte kullanın — defense in depth ilkesi. Birinde bir hata yapılırsa diğeri engeller. Cloud firewall'da SSH'i sadece kendi statik IP'nize açmak (whitelist) brute-force saldırılarını sıfıra yaklaştırır.

Docker ve Konteyner Ortamında Port Yönetimi

Docker bir konteyneri çalıştırırken host'un portlarını publish edebilir. Bu, host firewall'undan bağımsız olarak iptables'a NAT kuralı ekler ve UFW görünmeyebilir. Docker'ın bu davranışı çok kullanıcıyı şaşırtmıştır: "UFW'de 5432 kapalı ama dışarıdan erişiliyor" hatasının kaynağı tam olarak budur.

Docker Compose rehberi'mizde bu konuyu üretim örnekleriyle anlatıyoruz: hangi servisin port publish etmesi gerekir, hangisi yalnızca internal network'te yaşamalıdır.

NAT Traversal ve VPN: STUN, TURN, WireGuard

WebRTC, P2P dosya paylaşımı, online oyunlar gibi senaryolarda port forwarding her kullanıcı için pratik değildir. STUN (RFC 5389) istemcinin kamuya açık IP+port eşleşmesini öğrenmesini sağlar. TURN (RFC 5766) NAT delinemediğinde tüm trafiği relay üzerinden taşır. ICE (RFC 8445) bu iki yöntemi otomatik dener. Coturn açık kaynak STUN/TURN sunucusudur ve UDP 3478 (STUN), 5349 (TURN over TLS) portlarını kullanır. CGN'i baypas etmenin en temiz yolu ise kendi VPS'iniz üzerinden bir VPN tüneli kurmaktır: cloud VPS gerçek public IP'ye sahiptir, ev sunucunuz VPN üzerinden buna bağlanır ve VPS'in portuna gelen trafik tünel üzerinden iletilir. WireGuard 2018'den beri Linux çekirdeğinde resmidir, OpenVPN'den 5-10x daha hızlıdır ve yapılandırması basittir.

Bu kurulumla VPS'in 8080 portuna gelen trafik, WireGuard tüneli üzerinden ev sunucunuzun 80 portuna iletilir. CGN olsun olmasın çalışır. Cloudflare Tunnel ve Tailscale daha kullanıcı dostu alternatiflerdir; Cloudflare Tunnel ücretsiz plan'da bile production-ready'dir.

DNS, IP ve Port Birlikte Çözümleme

Bir bağlantı kurarken üç adım sırayla olur: DNS A/AAAA kaydı çözümlenir, IP'ye TCP/UDP bağlantı açılır, port üzerinden uygulama protokolü konuşulur. Sorun bu üç adımın herhangi birinde olabilir. Tanı koymak için her birini ayrı ayrı test etmek gerekir.

DNS adımında hata varsa DNS rehberi'mize bakın. WHOIS/RDAP ile domain sahipliğini sorgulamak için domain sorgulama araçları rehberi de yardımcı olur.

Güvenlik: Port Tarama İzlerini Sunucu Tarafında Görmek

Performans tarafında not düşelim: tek TCP SYN-ACK round-trip aynı kıtada 20-50 ms, transatlantik 100-200 ms civarındadır. UDP probe + ICMP rate limiting yüzünden UDP taraması TCP'den 10-100x yavaştır. nmap ile tüm 65535 portu tek host üzerinde T4 hızında 1-3 dakikada tamamlanır; T2'de 10-30 dakikaya çıkar. Bin host'luk /24 subnet'in tam taraması ise saatler sürebilir.

Sunucu sahibi olarak bilmelisiniz ki her tarama log bırakır. nginx/apache access log, syslog, auth.log, journalctl ve özellikle iptables LOG hedefi taramaları yakalamak için kullanılır.

Sürekli izleme için Prometheus + Grafana veya ELK stack kullanın; suspicious connection rate metrik olarak alarm tetiklemeli. Modsecurity veya CrowdSec gibi crowd-sourced IP reputation araçları otomatik blokaj sağlar.

Online Port Checker Araçlarının Sınırları

Hızlı kontrol için online araçlar idealdir ama dikkat: çoğu araç sadece TCP test eder, UDP'yi atlar. Bazıları yalnızca "yaygın port" listesinden seçim yaptırır, custom port girilemez. Daha kötüsü, bir kısmı aynı anda yüzlerce kullanıcının test sonucunu cache'ler ve eski sonucu döndürür. Kritik kararlar için online aracı sadece ilk indikator olarak görüp komut satırı ile doğrulayın.

  • Hız avantajı: Tarayıcıdan tek tıkla. Mobilden bile çalışır.
  • Doğru noktadan test: Aracın sunucusu farklı bir AS'de olduğundan ISP-side filtreleri yakalar.
  • Sınır 1: TCP odaklı; UDP, SCTP veya custom protokol testi yok.
  • Sınır 2: Genellikle sadece bilinen portlar listesi sunulur.
  • Sınır 3: Cache nedeniyle yeni açılan portlar dakikalarca "kapalı" görünebilir.
  • Sınır 4: Logging — bazı araçlar test edilen IP'leri kayıt altına alır. Hassas ortamlarda kullanma.

Kubernetes'te Port Sorgulama

Kubernetes ortamında her pod'un kendi IP+port'u, her servisin clusterIP'si, NodePort'ları ve Ingress'i vardır. Bir uygulama "erişilemiyor" dediğinde port sorgulaması üç katmanda yapılmalı: pod-internal (kubectl exec -it deploy/api -- curl -v localhost:3000/health), service-cluster (debug pod ile nc -zv api-svc.production 80 veya dig api-svc.production.svc.cluster.local), external (Ingress public IP üzerinde nmap -p 80,443 ingress-ip). NetworkPolicy ile pod-to-pod port erişimini kısıtlamak — örneğin postgres pod'una sadece api pod'u 5432'den erişebilsin kuralı — çok katmanlı güvenlik için kritiktir. Kubernetes temelleri rehberimiz NetworkPolicy ve service mesh detaylarını anlatır.

IPv6 ve Port Sorgulama

IPv6 yaygınlaşması Türkiye'de yavaş ilerliyor; ancak modern ev modemleri ve cloud sağlayıcıların çoğu artık IPv6 sunuyor. IPv6'da NAT kavramı yoktur — her cihaz kendi global IPv6 adresine sahip olabilir. Bu "port forwarding gerekmez" anlamına gelmez; çünkü ISP veya cihaz firewall'u hâlâ inbound bağlantıları drop edebilir. nmap, ss, telnet, nc'nin tamamı -6 bayrağı ile IPv6 testi yapar: nmap -6 -p 22,80,443 2001:db8::1, nc -6 -zv 2001:db8::1 443, ss -6 -tlnp. DNS AAAA kayıtlarını dig +short host AAAA ile çözümleyin.

Sık Karşılaşılan Hatalar ve Çözümler

  • "Connection refused": Servis dinlemiyor. ss -tlnp ile doğrulayın, gerekirse servisi başlatın.
  • "Connection timed out": Firewall drop ediyor. UFW, cloud SG, iptables ve ISP filtreleme kontrol edilmeli.
  • "No route to host": Routing tablosunda problem; ip route ile kontrol.
  • "Address already in use": Aynı portu başka süreç tutuyor. sudo ss -tlnp 'sport = :80'.
  • "Permission denied" (1024 altı port): Non-root süreçler 1024 altı port açamaz; setcap cap_net_bind_service=+ep ile yetkilendirin.
  • "Failed to bind": IPv6 + IPv4 çakışması olabilir. net.ipv6.bindv6only=0 kontrol.
  • Belirli bir IP'den erişilemiyor: O IP veya AS engelliyor olabilir. DDoS koruma kuralları gözden geçirin.

Otomatikleştirme: Periyodik Port Audit

Bir kez yapılan tarama yetmez. Yeni servis kurulumları, açılan delikler ve unutulan dev portlar zamanla birikir. Haftalık veya günlük periyodik tarama, CI/CD içine yerleştirilebilir veya cron job olarak çalışır.

nmap vs masscan vs zmap: Tarama Aracı Karşılaştırması

Hukuki not: Türkiye'de port sorgulama tek başına suç değildir; ancak yetkisiz erişim girişimi veya sistem güvenliğini ihlal niyeti taşıyan tarama 5237 sayılı TCK 243-244-245. maddeleri kapsamına girer. KVKK ve 5651 sayılı internet kanunu kapsamında operatörler tarama girişimlerini kayıt altında tutmak zorundadır. Profesyonel pentester olarak çalışıyorsanız sözleşmeyi yazılı imzalayın, scope dokümanı ekleyin ve sigorta yaptırın.

  • nmap: En zengin özellik seti, NSE script motoru, OS detection, banner grabbing. Tüm internet için yavaş.
  • masscan: Saniyede 10 milyon paket; tüm IPv4 internetini bir günde tarayabilir. Ancak servis tespiti yapmaz.
  • zmap: Üniversitelerin internet ölçeği araştırma aracı. masscan'a benzer hız, daha temiz random sampling.
  • RustScan: nmap'in ön yüzü; önce hızlı tarayıp sonra nmap'i sadece açık portlara çağırır.
  • angry IP scanner: GUI, Windows kullanıcıları için.

Oyun Sunucuları ve Port Sorgulama

Minecraft (TCP 25565), CS2 (UDP 27015), Valorant, Rust, Ark Survival gibi oyunların kendi portları vardır. Self-host eden kullanıcılar için port forwarding + CGN kontrolü kritik. Aşağıdaki tablo en yaygın oyun sunucu portlarını listeler:

  • Minecraft Java: TCP 25565
  • Minecraft Bedrock: UDP 19132
  • CS2 / CS:GO: UDP 27015 (game), TCP 27015 (rcon)
  • Rust: UDP 28015 (game), 28016 (rcon), 28082 (app)
  • ARK: UDP 7777, 7778, 27015
  • Valheim: UDP 2456-2458
  • Terraria: TCP 7777
  • Factorio: UDP 34197
  • Palworld: UDP 8211
  • SteamCMD/Steam: UDP 27000-27100, TCP 27015-27050

Hızlı Karar Akışı: Port Sorgulama Algoritması

Güvenlik kamerası, NVR ve IoT cihazları tipik olarak 80 (web arayüz), 8000 (Hikvision proprietary), 554 (RTSP) ve 8554 portlarını kullanır. Bunları doğrudan internete açmak büyük güvenlik hatasıdır — Shodan üzerinde milyonlarca açık kamera listelenir. Doğru pratik: cihazı VPN arkasında tutun, port forwarding yerine WireGuard veya Tailscale kullanın. Aşağıdaki sıralı kontrol akışı çoğu "port açılmıyor" sorununu çözer: (1) sunucu içinden ss -tlnp ile servisin dinleyip dinlemediğini doğrulayın; (2) localhost'tan curl http://localhost:PORT ile uygulamanın yanıt verdiğini kontrol edin; (3) aynı LAN içinden nc -zv LAN_IP PORT ile host firewall'unu test edin; (4) cloud firewall / Security Group kurallarını gözden geçirin; (5) ISP'nin outbound 25/445 gibi filtrelemesi olmadığından emin olun; (6) modem WAN IP'si ile online checker'ın gördüğü IP eşleşiyor mu (CGN testi); (7) modem port forwarding kuralı ve statik LAN IP ataması doğru mu; (8) son kontrolü mobil veri üzerinden nc -zv WAN_IP PORT ile yapın.

Kaynaklar ve İleri Okuma

İlgili Yazılar

Port sorgulama, firewall ve sunucu sertleştirme için profesyonel destek

Sunucularınızdaki açık portları audit etmek, doğru firewall kurallarını yazmak, CGN/NAT sorunlarını çözmek ve uçtan uca port güvenliği uygulamak için ekibimizle iletişime geçin

Yazan:

KEYDAL kurucusu ve baş geliştirici. 2026'dan bu yana hosting, yazılım geliştirme ve SEO alanlarında kurumsal müşterilere hizmet veriyor.

İlgili Yazılar

Bu yazıyı okuyanlar bunları da okudu

hosting 28 dk

Reseller Hosting Satın Al: Bayi Hosting Paketleri ve Fiyat Rehberi

Reseller hosting satın almadan önce bilmeniz gereken her şey: WHM/cPanel, DirectAdmin, Plesk farkları, paket karşılaştırması, fiyat aralıkları (2026), white-label kurulumu, WHMCS ile faturalandırma ve bayi olarak kar etme stratejileri.
hosting 27 dk

Fiziksel Sunucu Kiralama Rehberi 2026: Donanım, Network ve Kolokasyon

Fiziksel sunucu kiralama (dedicated server) için kapsamlı rehber: CPU, RAM, NVMe, RAID, IPMI, port hızı, SLA, Türkiye veri merkezleri, fiyat aralıkları, sözleşme maddeleri ve kolokasyon karşılaştırması.
hosting 26 dk

.com Nerede Kullanılır? .com ve .net Uzantısı Tam Rehberi

.com nerede kullanılır, .com ne demek, .com ile .net arasındaki fark, internet sitesi uzantıları, kayıt prosedürü, SEO etkisi ve 2026 fiyat aralıkları — uçtan uca teknik rehber.
WhatsApp