Kill Switch, VPN bağlantısı kesildiği anda internetinizi anında kapatan güvenlik mekanizmasıdır. VPN servisi ile ilgili herhangi bir problem olması durumunda (sunucu çökmesi, ağ değişimi, yazılım hatası vs.) gerçek IP adresiniz tek bir saniye bile dışarı sızmaz.
Aşağıda, Kill Switch’in teknik çalışma prensiplerini, platform bazlı uygulamalarını, firewall kuralları, routing değişiklikleri ve sınırlamalarını detaylı olarak ele alacağız.
Kill Switch’in Temel Çalışma Prensibi
Kill Switch, VPN bağlantısının durumunu sürekli izler. Bağlantı kesildiğinde, sistem düzeyinde müdahale eder:
- Trafik Bloklama: Tüm outgoing trafiği bloke eder, sadece VPN tüneli üzerinden izin verir.
- Yeniden Bağlantı Denemesi: Çoğu durumda, bağlantı yeniden kurulana kadar internet erişimi tamamen kesilir.
- IPv4 ve IPv6 Kapsamı: Hem IPv4 hem de IPv6 trafiğini kapsar; ayrıca DNS sorgularını tünele yönlendirerek DNS leak‘lerini önler.
Teknik olarak, Kill Switch iki ana yöntemle uygulanır: Yönlendirme (Routing) Değişiklikleri ve Firewall Kuralları. LunoVPN ek olarak Network Namespace izolasyonu da kullanmaktadır.
| Katman | LunoVPN | Diğer VPN’ler |
|---|---|---|
| 1. Kernel-seviye Firewall | Tüm outgoing paketler VPN tüneli yoksa bloklanır | Genelde var |
| 2. Network Namespace | VPN bağlantısı ayrı bir namespace’te çalışır. Bağlantı koparsa namespace anında yok edilir | Yok |
| 3. Always-on VPN | Windows, macOS, iOS, Android’de sistem “Always-on” politikası zorlanır (Intune/Jamf) | Sadece kurumsal |
| 4. Hardware-based Watchdog | Sunucu tarafında belirli bir ms’de bir heartbeat paketi gider, cevap gelmezse istemci kendini kapatır | Hiçbirinde yok |
1. Yönlendirme (Routing) Değişiklikleri
Kill Switch, ağ yönlendirme tablolarını manipüle ederek trafiği kısıtlar. VPN aktifken varsayılan rota (default gateway) VPN arayüzüne (örn. tun0 veya wg0) yönlendirilir. Bağlantı kesildiğinde:
- Varsayılan rota silinir veya değiştirilir, böylece cihaz internete erişemez.
- Sadece yerel ağ (LAN) trafiği izin verilir (isteğe bağlı).
2. Firewall Kuralları ile Bloklama
Firewall kuralları, trafiği paket düzeyinde filtreler. VPN bağlıyken kurallar VPN trafiğine izin verir; kesildiğinde tüm trafiği drop eder.
- Linux (iptables veya nftables):
- VPN aktifken: iptables -A OUTPUT -o tun0 -j ACCEPT (VPN arayüzünden trafiğe izin ver).
- Diğer tüm trafiğe: iptables -A OUTPUT -j DROP (dışarıya trafiği bloke et).
- IPv6 için: ip6tables benzer kurallar uygulanır.
- İstisna: VPN sunucusuna bağlanmak için belirli portlara (örn. UDP 51820 WireGuard için) izin verilir: iptables -A OUTPUT -d <vpn_server_ip> -p udp –dport 51820 -j ACCEPT.
- Windows: Windows Filtering Platform (WFP) kullanılır. Varsayılan gateway devre dışı bırakılır veya filtre katmanları eklenir.
- macOS: Packet Filter (pf) ile benzer kurallar: block out all ve pass out on utun0 all (VPN arayüzü utun0 ise)
3. Network Namespace Kullanımı (Gelişmiş İzolasyon)
VPN bağlantısı ayrı bir network namespace’te çalıştırılır.
- Namespace oluşturulur: ip netns add vpn_ns.
- VPN arayüzü namespace’e taşınır: ip link set tun0 netns vpn_ns.
- Trafik namespace üzerinden yönlendirilir; bağlantı kesildiğinde namespace yok edilir, trafik fiziksel olarak izole olur.
- Avantaj: Tam izolasyon, diğer namespace’lerden etkilenmez.
Platform Bazlı Uygulamalar
- Linux: iptables/nftables ve ip route ile en esnek. OpenVPN/WireGuard gibi protokollerde native destek var.
- Windows: WFP filtreleri ve netsh komutları ile gateway manipülasyonu. Sistem düzeyinde kill switch, reboot sonrası persiste edebilir.
- macOS: pf.conf ile kural bazlı. Always-on VPN ayarları ile entegre.
- Android (Mobil):VpnService API kullanılır (Android 4+). Always-on VPN (Android 7+) bağlantı kesildiğinde interneti bloke eder. “Block Connections Without VPN” (Android 8+) tüm trafiği VPN’e zorlar, root gerektirmez.
- iOS/macOS: “On Demand VPN” (IKEv2 için) socket’leri açık tutar, bağlantı kesildiğinde trafiği bloke eder. Ancak tam kill switch kadar güçlü olmayabilir; app bazlı sınırlamalar var.
LunoVPN Kill Switch’in gerçek gücünü kendi gözlerinizle görmek istiyorsanız, şu an en avantajlı dönemdesiniz:
- 15 gün tamamen ücretsiz deneme (kredi kartı gerekmez)
- 15 gün sonunda memnun kalmazsanız 30 gün para iade garantisi (hiç soru sorulmadan)
- İlk bağlandığınız anda 4 katmanlı Kill Switch otomatik aktif olur
- Türkiye sunucularında 10 Gbps+ hız, sıfır log, sıfır sızıntı
