Cloudflare Proxied turuncu bulut ve DNS Only gri bulut modu farkı

Cloudflare Proxied ile DNS Only Arasındaki Fark Nedir?

Cloudflare DNS panelinde her kaydın yanında bir bulut simgesi var: turuncu veya gri. Bu iki renk, trafiğin nasıl aktığı konusunda temelden farklı iki davranışı temsil ediyor. Turuncu bulut — Proxied mod — web trafiğinin Cloudflare'ın küresel ağı üzerinden geçtiği anlamına gelir. Gri bulut — DNS Only mod — Cloudflare'ın yalnızca DNS çözümleme görevi üstlendiği, trafiğin doğrudan sunucunuza ulaştığı anlamına gelir. İki mod arasındaki seçim yalnızca görünürlük tercihi değil, IP gizleme, güvenlik katmanları, SSL davranışı ve hangi servislerin çalışabileceği üzerinde doğrudan etkili bir karardır.

Cloudflare DNS kurulumu sırasında bu ayrımı anlamadan yapılan yapılandırmalar, çoğunlukla iki farklı sorunla sonuçlanır: ya Proxied modda çalışmaması gereken bir servis — e-posta sunucusu, oyun sunucusu, veritabanı bağlantısı — trafik almayı keser; ya da DNS Only modda bırakılan bir web sunucusunun gerçek IP adresi açığa çıkar ve Cloudflare'ın sağladığı koruma katmanları devre dışı kalır.

Proxied modun trafik üzerindeki etkisi: IP gizleme ve CDN katmanı

Proxied mod etkinleştirildiğinde Cloudflare, ilgili DNS kaydı için origin sunucunun IP adresini döndürmez. Bunun yerine resolver'lara Cloudflare'ın kendi anycast IP adreslerinden birini verir. Ziyaretçinin tarayıcısı Cloudflare'a bağlanır; Cloudflare talebi kendi ağı üzerinden origin sunucunuza iletir ve yanıtı ziyaretçiye döndürür.

; Proxied mod — Cloudflare anycast IP döner, origin IP gizlenir:
dig example.com A +short
104.21.45.67    ; Cloudflare'ın IP'si, sizin sunucunuz değil
172.67.182.34   ; ikinci Cloudflare IP

; DNS Only mod — gerçek origin IP döner:
dig example.com A +short
203.0.113.10    ; sizin sunucunuzun gerçek IP'si

Bu IP gizleme mekanizması Cloudflare'ın temel güvenlik avantajlarından biridir: origin sunucunuzun IP adresi DNS üzerinden ifşa olmaz; DDoS saldırıları ve doğrudan port taramaları Cloudflare'ın ağına çarpar. Saldırgan gerçek IP'yi başka yollarla — eski DNS kayıtları, e-posta başlıkları, subdomain sızıntısı — öğrenmedikçe sunucunuza ulaşamaz.

Proxied mod aynı zamanda Cloudflare'ın CDN özelliklerini aktif eder. Statik içerik edge sunucularda önbelleğe alınır; ziyaretçiye coğrafi olarak en yakın Cloudflare edge'den servis edilir. Cloudflare'ın WAF (Web Application Firewall), bot koruması ve rate limiting özellikleri de yalnızca Proxied modda çalışır. DNS Only modda bu özellikler devredışıdır; trafik Cloudflare'a hiç uğramaz.

DNS Only modun kullanım alanları ve avantajları

DNS Only mod, Cloudflare'ı yalnızca yetkili DNS sağlayıcısı olarak kullanır. A, AAAA veya CNAME kaydı origin IP'yi ya da hostname'i doğrudan döndürür; Cloudflare proxy katmanı araya girmez. Bu modun tercih edildiği durumlar belirlidir.

E-posta altyapısı DNS Only modun en yaygın kullanım alanıdır. MX kayıtları Proxied olamaz — Cloudflare bu kaydı zaten otomatik olarak DNS Only modda tutar. MX kaydı yapılandırmasında posta sunucusu hostname'ine işaret eden A kaydının da DNS Only olması gerekir; aksi hâlde posta sunucusu Cloudflare proxy'si arkasında kalır ve SMTP trafiği engellenebilir.

Standart HTTP ve HTTPS dışındaki servisler de DNS Only gerektirir. Cloudflare Proxied modu yalnızca belirli portlarda HTTP ve HTTPS trafiğini taşır. SSH (port 22), FTP (21), veritabanı bağlantıları (3306, 5432), oyun sunucuları ve özel protokoller Proxied moddan geçemez. Bu servisler için ilgili A kaydı DNS Only olarak ayarlanmalıdır.

; Proxied modda HTTP için desteklenen portlar:
80, 8080, 8880, 2052, 2082, 2086, 2095

; Proxied modda HTTPS için desteklenen portlar:
443, 2053, 2083, 2087, 2096, 8443

; Bu portlar dışındaki trafik Proxied modda engellenir.
; SSH, FTP, veritabanı gibi servisler için DNS Only kullanın.

DNS çözümlemesinin origin IP'yi doğrudan döndürmesini bekleyen bazı servisler ve izleme sistemleri de DNS Only modda daha güvenilir çalışır. SSL sertifika doğrulaması için belirli CA'ların origin IP'ye erişmesi gerektiği durumlar, PTR kaydı doğrulaması gerektiren yapılar ve IP bazlı erişim kontrolü uygulayan sistemler bu kategoriye girer.

Proxied modda SSL sertifika davranışı

Proxied mod SSL açısından iki ayrı bağlantı noktası oluşturur: tarayıcı ile Cloudflare arasındaki bağlantı ve Cloudflare ile origin sunucu arasındaki bağlantı. Cloudflare bu iki bağlantıyı bağımsız olarak yönetir.

Tarayıcı ile Cloudflare arasında SSL, Cloudflare'ın Universal SSL sertifikasıyla sağlanır. Origin sunucunuzda geçerli bir SSL sertifikası olmasa bile ziyaretçi tarayıcısı güvenli bağlantı görür. Ancak Cloudflare ile origin arasındaki bağlantı için dört farklı SSL modu mevcuttur: Off, Flexible, Full ve Full (Strict).

Off         → Cloudflare'dan origin'e HTTP (şifresiz)
Flexible    → Cloudflare'dan origin'e HTTP; tarayıcıya HTTPS gösterir
Full        → Origin'de self-signed sertifika olabilir; doğrulanmaz
Full Strict → Origin'de geçerli CA sertifikası zorunlu; önerilen mod

Flexible mod, origin sunucuda SSL sertifikası bulunmayan eski yapılar için geçici bir çözüm sunar; ancak Cloudflare ile origin arasındaki trafik şifresiz geçtiğinden güvenlik açığı barındırır. Full (Strict) mod, origin sunucusunda geçerli bir SSL sertifikası — Let's Encrypt dahil — gerektirdiğinden en güvenli yapılandırmadır. CAA kaydı ile hangi CA'nın sertifika verebileceğini kısıtlamak, Proxied modda SSL zincirinin güvenilirliğini artırır.

DNS Only modda Cloudflare SSL katmanı devreye girmez. SSL tamamen origin sunucuya aittir; sertifika geçerliliği ve yenileme origin üzerinde yönetilir.

Hangi kayıt türleri Proxied olamaz

Cloudflare belirli kayıt türlerinde Proxied modu desteklemez; bu kayıtlar panelde otomatik olarak DNS Only olarak ayarlanır ve değiştirilemez.

MX     → Her zaman DNS Only (e-posta yönlendirmesi)
NS     → Her zaman DNS Only (zone delegation)
TXT    → Her zaman DNS Only (SPF, DKIM, DMARC, domain doğrulama)
SOA    → Her zaman DNS Only (zone authority)
CAA    → Her zaman DNS Only (sertifika yetkilendirme)
PTR    → Her zaman DNS Only (reverse DNS)
SRV    → Genellikle DNS Only (protokole göre değişir)

A ve AAAA kayıtları ile CNAME kayıtları Proxied veya DNS Only olarak ayarlanabilir. DNS kayıt türleri arasında Proxied moda geçilebilen tek kayıtlar bunlardır. Bir CNAME kaydı Proxied yapıldığında Cloudflare CNAME flattening uygular ve resolver'a A kaydı döndürür; bu davranış ALIAS/ANAME mekanizmasına benzer biçimde zone apex kısıtını aşmak için de kullanılır.

Aynı zone'da karma yapılandırma: hangi kayıt için hangi mod

Gerçek dünya yapılandırmalarında bir zone'da Proxied ve DNS Only kayıtlar genellikle bir arada bulunur. Web sitesini Proxied, e-posta sunucusunu DNS Only, SSH bağlantısını DNS Only olarak ayarlamak tipik bir karma yapıdır.

; Cloudflare DNS paneli — örnek zone:
example.com        A      203.0.113.10   Proxied   ← web sitesi
www.example.com    A      203.0.113.10   Proxied   ← web sitesi
mail.example.com   A      203.0.113.20   DNS Only  ← posta sunucusu
ssh.example.com    A      203.0.113.10   DNS Only  ← SSH erişimi
example.com        MX     mail.example.com  DNS Only (otomatik)
example.com        TXT    "v=spf1 ..."   DNS Only (otomatik)

Bu yapıda web trafiği Cloudflare'ın CDN ve güvenlik katmanından geçerken e-posta ve SSH trafiği doğrudan origin sunucuya ulaşır. TTL değerleri açısından Proxied kayıtlar için Cloudflare kendi TTL'sini uygular (genellikle 300 saniye); panelde girdiğiniz TTL değeri Proxied modda görmezden gelinir. DNS Only kayıtlar için girdiğiniz TTL değeri geçerlidir.

Origin sunucunun gerçek IP'si başka bir kaynaktan — eski DNS kayıtları, e-posta başlıkları veya DNS Only modda bırakılan bir subdomain — sızdırılırsa Proxied modun sağladığı IP gizleme koruması anlamsız hale gelir. Cloudflare'a geçmeden önce tüm subdomain'lerin mevcut DNS kayıtlarını kontrol etmek ve gereksiz DNS Only kayıtlarını kaldırmak ya da başka bir IP'ye taşımak, bu sızıntı riskini azaltır.

Proxied ve DNS Only arasındaki seçim, her kayıt için bağımsız bir karardır ve zone tasarımının ayrılmaz parçasıdır. Web servisleri için Proxied modu, HTTP/HTTPS dışındaki servisler ve e-posta altyapısı için DNS Only modu genel kural olarak benimsendiğinde, Cloudflare'ın sağladığı avantajlar maksimize edilirken çalışmayan servis sorunları minimuma iner.

Mevcut bir zone'u Proxied moda taşırken her kaydın hangi servise karşılık geldiğini belgelemek, geçiş sonrası beklenmedik kesintilerin önüne geçer. Özellikle alt alan adlarının listesi tutulmuyorsa bir dig veya WHOIS taramasıyla zone'daki tüm kayıtları çıkarmak, gözden kaçan DNS Only kalması gereken bir kaydı önceden tespit etmenin en güvenilir yoludur.