La gestione della sicurezza della rete è fondamentale quando si eseguono applicazioni o servizi su un server Linux, soprattutto su una piattaforma ad alte prestazioni come ava.hosting. Firewalld, uno strumento di gestione dei firewall dinamici utilizzato in distribuzioni come CentOS, RHEL e Fedora, offre un controllo potente grazie alla sua funzione di regole ricche. Le regole ricche consentono di definire politiche precise e granulari per proteggere il server, ben oltre le impostazioni di base del firewall. Ad esempio, si può utilizzare una regola ricca per consentire solo all’IP del proprio ufficio di accedere a SSH sul server ava.hosting, proteggendolo da accessi non autorizzati. Questa guida esplora le regole complete di Firewalld, come implementarle e le migliori pratiche per proteggere il vostro ambiente ava.hosting.

Cosa sono le regole ricche in Firewalld?

Le regole complete sono un metodo avanzato di definizione dei criteri del firewall, che offre opzioni di filtraggio aggiuntive quali

  • Specificare gli indirizzi di origine e di destinazione
  • Consentire o rifiutare il traffico in base ai protocolli o alle porte
  • Definizione di regole di registrazione e audit
  • Impostazione di limiti di velocità e azioni per connessioni specifiche

Le regole complete consentono agli amministratori di creare criteri di sicurezza più precisi rispetto alle regole di base basate su zone e servizi

Verifica delle regole complete esistenti

Per verificare se esistono regole complete attualmente configurate, eseguire il seguente comando:

firewall-cmd --list-rich-rules

Questo visualizzerà tutte le regole complete attualmente attive nel firewall

Aggiunta di una regola ricca

Per aggiungere una nuova regola ricca, utilizzare la seguente sintassi: ###ATP_NOTR_2_CODE_TAG_NOTR_ATP## Questa regola consente il traffico SSH da un indirizzo IP specifico (192.168.1.100). Dopo aver aggiunto una regola, ricaricare Firewalld per applicare le modifiche:

firewall-cmd --reload

Bloccare il traffico con una regola ricca

Per bloccare il traffico proveniente da un indirizzo IP specifico, utilizzare:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.200" drop'

Questa regola interromperà silenziosamente tutto il traffico proveniente da 192.168.1.200 senza inviare una risposta

Consentire il traffico per una porta e un protocollo specifici

Per consentire il traffico di una porta e di un protocollo particolari, ad esempio HTTP sulla porta 80:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.0/24" port protocol="tcp" port="80" accept'

Questa regola consente il traffico HTTP da qualsiasi dispositivo all’interno della sottorete 192.168.1.0/24

Registrazione e verifica del traffico

Per registrare i pacchetti caduti a scopo di monitoraggio, utilizzare:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" 
source address="192.168.1.150" drop log prefix="[FIREWALL-DROP]" level="info"'

Questa regola getta il traffico da 192.168.1.150 e lo registra con il prefisso [FIREWALL-DROP]

Rimozione di una regola ricca

Per rimuovere una specifica regola ricca, usare:

firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" 
source address="192.168.1.100" service name="ssh" accept'

Poi ricaricare Firewalld:

firewall-cmd --reload

Migliori pratiche per la gestione delle regole ricche

  • Testate sempre le nuove regole del firewall prima di applicarle in modo permanente.
  • Utilizzare le regole di registrazione per monitorare e analizzare il traffico bloccato.
  • Rivedere regolarmente le regole del firewall per garantire la conformità alla sicurezza.
  • Limitare l’accesso ai servizi critici per indirizzo IP o subnet.

Conclusione

Le numerose regole di Firewalld offrono una flessibilità senza precedenti per la protezione del traffico di rete sul vostro server Linux, rendendole un must per gli amministratori. Che si tratti di limitare l’SSH a un singolo IP, di consentire l’HTTP a una subnet fidata o di registrare i tentativi di accesso non autorizzati, le regole consentono di creare criteri di sicurezza precisi. Ad esempio, si può bloccare un IP dannoso per proteggere l’applicazione ospitata da ava.hosting o registrare il traffico per risolvere i problemi di connettività. Padroneggiando le regole e sfruttando la solida infrastruttura di ava.hosting, potete garantire che il vostro server rimanga sicuro, efficiente e resistente alle minacce.

Inoltre, le regole ricche consentono un controllo a grana fine che va ben oltre la gestione di base delle porte, dandovi la possibilità di reagire dinamicamente agli scenari di sicurezza in evoluzione. Si integrano perfettamente con ambienti complessi, consentendo agli amministratori di definire regole basate su servizi, interfacce, priorità e persino attributi dei pacchetti. Con la giusta strategia di configurazione, è possibile creare una politica di firewall rinforzata che non solo rafforza la sicurezza del server, ma ottimizza anche le prestazioni e riduce le spese generali non necessarie.