Ara ⌘K
🏢 Mikro ERP · · 4 dk okuma

Mikro ERP SQL Server'a Web'den Güvenli Bağlantı: Cloudflare Tunnel Rehberi

SQL Server 1433 portunu internete açmadan Cloudflare Zero Trust (Tunnel) ile güvenli web API bağlantısı nasıl kurulur? Ransomware riskine son veren...

mikro-erpcloudflare-tunnelsql-servergüvenliknodejsastaflow

İş Problemi: “Dışarıdan Ofisteki Mikro’ya Nasıl Bağlanacağız?”

Şirketinizin Mikro ERP sunucusu ofisteki fiziksel bir makinede (On-Premise) çalışıyor. Satış ekibiniz için Vercel veya Supabase üzerinde modern bir web uygulaması yazdınız. Peki buluttaki bu web uygulaması, masanızın altındaki SQL Server’dan anlık stok bakiyesini nasıl alacak?

Geleneksel yöntemlerin hepsi felaketle sonuçlanır:

  1. Statik IP ve Port Yönlendirme: Modeme girip 1433 (SQL) portunu dışarı açmak. (Ortalama 24 saat içinde sunucunuza Rusya veya Çin’den Ransomware girer ve tüm veritabanınız şifrelenir (Fidye virüsü)).
  2. Kişisel VPN: Web sunucusuna VPN client kurmaya çalışmak (Yavaş ve hantaldır, bulut fonksiyonlarıyla uyumsuzdur).
  3. Zamanlanmış Görevle Veri Transferi: Her gece Excel veya XML olarak FTP’ye dosya atmak. (Veriler güncel olmaz, anlık bakiye gösterilemez).

Çözüm Mimarisi: Zero Trust & Cloudflare Tunnel

Bağlantıyı dışarıdan içeri (Port açarak) değil, içeriden dışarı (Tünel kurarak) başlatmalıyız. Cloudflare Tunnel, ofisteki sunucunuza kurulan küçük bir servis aracıdır. Dışarıya şifreli bir bağ kurar ve HTTP isteklerini güvenle içeri taşır.

Bunun yanı sıra asla SQL Server ile Cloudflare’i direkt konuşturmamalısınız. Araya sorgu denetçisi olarak hafif bir Node.js API katmanı koymak zorundasınız.

graph LR
A[Web Sunucusu] -- Şifreli İstek --> B((Cloudflare Edge))
B -- Cloudflare Tunnel --> C[Ofis Sunucusu (Node.js API)]
C -- Local 1433 Portu --> D[(MSSQL - Mikro DB)]

Güvenli Node.js Proxy Kurulumu (Güvenlik Katmanı)

Sadece SELECT sorgularına izin veren ve statik API-KEY doğrulayan Node API:

// server.js
const express = require('express');
const sql = require('mssql');
const app = express();
app.use(express.json());

// GÜVENLİK 1: Hard-Coded API Key (Sadece bizim web sunucumuz bilebilir)
const AstaFlow_API_KEY = "SUPER_SECRET_COMPLEX_KEY_987654321";

const pool = new sql.ConnectionPool({
  server: '127.0.0.1',
  database: 'MikroDB_V16',
  user: 'sa', // Veya sadece DataReader yetkisine sahip bir SQL kullanıcısı
  password: 'very_secure_password',
  options: { encrypt: false, trustServerCertificate: true },
  pool: { max: 10, min: 2 },
});
pool.connect();

app.post('/api/mikro-query', async (req, res) => {
  // Authorization Kontrolü
  if (req.headers['x-api-key'] !== AstaFlow_API_KEY) {
    return res.status(401).json({ error: 'Unauthorized Access' });
  }

  const { query, params } = req.body;

  // GÜVENLİK 2: INSERT, UPDATE, DROP gibi komutları Regex ile Reddet!
  if (!/^\s*SELECT/i.test(query)) {
    return res.status(403).json({ error: 'DB Firewall: Only SELECT statements are allowed on this tunnel.' });
  }

  try {
    const request = pool.request();
    // Parametreleri (SQL Injection Koruması) güvenle bind et
    if (params) {
      Object.entries(params).forEach(([key, value]) => {
        request.input(key, value);
      });
    }
    const result = await request.query(query);
    res.json({ success: true, data: result.recordset });
  } catch (err) {
    res.status(500).json({ error: 'Query Execution Failed' });
  }
});

app.listen(3000, () => console.log('AstaFlow Proxy is listening on port 3000'));

Adım Adım Tünel (Tunnel) Konfigürasyonu

  1. Ofis sunucunuza cloudflared.exe indirin.
  2. CMD’yi yönetici açıp: cloudflared tunnel login yapın. (Tarayıcı açılır ve Cloudflare hesabınızı bağlar).
  3. Tünel yaratın: cloudflared tunnel create mikrotunnel
  4. DNS bağlantısı yapın: cloudflared tunnel route dns mikrotunnel api.sirketiniz.com
  5. Tüneli Node.js portuna yönlendirin: cloudflared tunnel run --url http://localhost:3000 mikrotunnel

Bitti. Artık api.sirketiniz.com adresi ofis sunucunuza HTTPS sertifikalı ve DDOS korumalı olarak bağlanıyor.

Edge Cases (Ölümcül Riskler) ve Optimizasyon

  1. Daemon Çökmesi (Windows Service): cloudflared run komutunu siyah CMD ekranında açık bırakırsanız, biri ekranı kapattığında veya sunucu yeniden başladığında dış dünya kopar. Bunu mutlaka bir Windows Servisi olarak kaydetmelisiniz: cloudflared service install.
  2. Karakter Seti Çöplüğü: Node.js, Mssql ile konuşurken Türkçe karakterler (Örn: Ş, İ, Ğ) soru işaretine dönebilir. Node sunucusunun çalıştığı Windows Region Settings’in Turkish olduğundan emin olun ve response’a charset=utf-8 Header’ı basmayı unutmayın.
  3. HTTP Timeout: Cloudflare’in ücretsiz sürümünde bir HTTP isteği 100 saniye içinde cevap alamazsa zorla koparılır (524 Error). Mikro’dan devasa bir yaşlandırma veya maliyet raporu çekerken sorgu 100 saniyeyi geçerse tünel patlar. Çözüm: AstaFlow’da kullandığımız Webhook tabanlı veya Pagination (Sayfalama - TOP 500) kurgularıdır.

Bu Bilgiyi Nereden Biliyoruz? (Kaynaklar)

📚 İlgili Yazılar

🏢Mikro ERP

Mikro ERP CARI_HESAP_HAREKETLERI Tablo Rehberi: 185 Alan, 137 Evrak Tipi

·11 dk
🏢Mikro ERP

Mikro ERP 046355 Cari Risk Raporunu SQL ile Yeniden Üretmek: fn_CariRiskFoyu Analizi

·12 dk
🏢Mikro ERP

Mikro ERP Tahsilat Raporu SQL: Cari Bazlı Günlük Tahsilat Detayı

·10 dk
← Tüm Yazılara Dön Bu yazı AstaFlow Case Study serisinin bir parçasıdır.