Walled Garden (Ön Giriş Erişimi)
Walled Garden, misafirin captive portal kimlik doğrulamasını tamamlamadan önce erişebileceği alan adlarını ve IP adreslerini tanımlar. Bu liste sayesinde belirli kaynaklar (ödeme sayfası, marka sitesi, kayıt formu) ağ girişi yapılmadan açılabilir.
Walled Garden Nedir?
Captive portal aktifken, kimliği doğrulanmamış cihazlar yalnızca portal arayüzüne yönlendirilir. Ancak bazı senaryolarda misafirin kimlik doğrulamadan önce belirli sayfalara erişmesi gerekir:
- Ödeme sayfası (kredi kartı bilgisi girmeden önce güvenlik onayı)
- Kurumsal web sitesi veya marka landing page'i
- Yerel kayıt formu
- DNS/NTP gibi altyapı servisleri
Walled Garden, bu kaynakların beyaz listeye alınmasını sağlar.
Yapılandırma
Konsol Üzerinden Alan Adı Ekleme
Portal → Walled Garden → Alan Adı Ekle menüsünden:
Örnek Whitelist:
- payment.iyzico.com
- secure.paytr.com
- www.otelimiz.com
- static.otelimiz.com
- fonts.googleapis.com
- cdnjs.cloudflare.com
Joker (*) karakteri desteklenir:
*.otelimiz.com → otelimiz.com'un tüm alt alan adlarını kapsar
*.google.com → Google'ın tüm alt alan adlarını kapsar
Joker kullanımını dikkatli sınırlayın. *.com veya * gibi geniş tanımlamalar güvenlik açıkları oluşturabilir ve kimlik doğrulamanın atlanmasına yol açabilir.
IP Adresi / CIDR Ekleme
Bazı ödeme servis sağlayıcıları sabit IP bloğu kullanır. Bu durumda alan adı yerine IP/CIDR de eklenebilir:
203.0.113.0/24 → Ödeme sağlayıcısı IP bloğu
192.0.2.15 → Tek IP adresi
MikroTik RouterOS Üzerinde Manuel Yapılandırma
Edge N100 veya hEX S üzerinde manuel ekleme yapmak gerekirse:
# Walled garden adresi ekleme (RouterOS CLI)
/ip hotspot walled-garden
add dst-host=payment.iyzico.com
add dst-host=*.otelimiz.com
add dst-host=secure.paytr.com
# IP tabanlı ekleme
/ip hotspot walled-garden ip
add dst-address=203.0.113.0/24
AnchorSpot konsolunda yapılan değişiklikler cihaza otomatik olarak senkronize edilir. Doğrudan RouterOS üzerinde yapılan manuel değişiklikler bir sonraki senkronizasyonda üzerine yazılabilir.
DNS Tabanlı ve IP Tabanlı Beyaz Liste
| Yöntem | Avantaj | Dezavantaj |
|---|---|---|
| DNS tabanlı | Kolayca yönetilir, CDN ile çalışır | IP değişimlerinde güncellemelere gerek yoktur |
| IP tabanlı | Sabit sunucular için güvenilir | IP değişirse manuel güncelleme gerekir |
| CIDR | Geniş bloklar tek satırda | Aşırı geniş bloklar güvenlik riski taşır |
Üretim ortamları için DNS tabanlı yöntem önerilir; CDN arkasındaki servisler için zorunludur.
Yönlendirme Döngüsü Önleme
Walled Garden listesi yanlış yapılandırıldığında captive portal'ın kendisi de yönlendirme döngüsüne girebilir. Aşağıdaki adresler her zaman otomatik olarak beyaz listeye alınır:
captive.siperone.com— AnchorSpot portal CDNapi.siperone.com— API uç noktasıntp.ubuntu.com,time.google.com— NTP servislericonnectivity-check.ubuntu.com,captive.apple.com,msftconnecttest.com— İşletim sistemi captive portal algılama adresleri
Bu adresleri manuel olarak silmeyin; sistem uyarı verecektir.
Portal URL'si Walled Garden'da yoksa misafirin tarayıcısı portali açamaz. captive.siperone.com adresini her zaman listede tutun.
Yaygın Kullanım Senaryoları
Ödeme Önce Erişim
Senaryo: Misafir Wi-Fi paketini satın almadan önce ödeme sayfasına erişmeli
Whitelist:
- secure.paytr.com
- www.paytr.com
- static.paytr.com
Marka Landing Page
Senaryo: Misafir otel web sitesini portal girişinden önce görmeli
Whitelist:
- www.grandhotel.com.tr
- static.grandhotel.com.tr
- cdn.grandhotel.com.tr
Kayıt Formu (Harici Sistem)
Senaryo: Konferans katılımcıları harici kayıt sistemine erişmeli
Whitelist:
- register.konferans2024.com
- assets.konferans2024.com
En İyi Uygulamalar
- Listeyi minimal tutun — Her eklenen alan adı potansiyel bir güvenlik açığıdır. Yalnızca zorunlu kaynakları ekleyin.
- Alt alan adlarını açıkça tanımlayın —
www.site.comeklemekcdn.site.com'u kapsamaz. - Düzenli gözden geçirin — Artık kullanılmayan servisleri listeden çıkarın.
- Test edin — Kimliği doğrulanmamış bir cihazla (private/incognito tarayıcı) her adresi test edin.
- HTTPS tercih edin — HTTP üzerinden beyaz listeye alınan alan adları MITM saldırılarına açık olabilir.
Walled Garden değişikliklerini test etmek için tarayıcıyı tamamen kapatıp yeniden açın veya farklı bir cihaz kullanın. Oturum çerezi olan cihazlarda test sonuçları yanıltıcı olabilir.
Değişiklik Geçmişi
Walled Garden listesindeki tüm eklemeler ve silmeler Uyum → Denetim Kaydı bölümünde loglanır. Her değişiklik için operatör adı, tarih/saat ve yapılan eylem kayıt altına alınır.