Iniziare con i firewall Linux
Un firewall è la prima linea di difesa del computer contro le intrusioni di rete. Scarica il nostro cheat sheet per assicurarti di essere al sicuro.
Un firewall ragionevole è la prima linea di difesa del computer contro le intrusioni di rete. Quando sei a casa, probabilmente sei dietro un firewall integrato nel router fornito dal tuo provider di servizi Internet. Quando sei lontano da casa, però, l'unico firewall che hai è quello in esecuzione sul tuo computer, quindi è importante configurare e controllare il firewall sul tuo computer Linux. Se esegui un server Linux, è altrettanto importante sapere come gestire il tuo firewall in modo da poterlo proteggere dal traffico indesiderato sia in locale che in remoto.
Installa un firewall
Molte distribuzioni Linux vengono fornite con un firewall già installato e tradizionalmente era iptables . È estremamente efficace e personalizzabile, ma può essere complesso da configurare. Fortunatamente, gli sviluppatori hanno prodotto diversi frontend per aiutare gli utenti a controllare il loro firewall senza scrivere lunghe regole di iptables.
Su Fedora, CentOS, Red Hat e distribuzioni simili, il software firewall installato per impostazione predefinita è firewalld , che viene configurato e controllato con il comando firewall-cmd . Su Debian e sulla maggior parte delle altre distribuzioni, firewalld è disponibile per l'installazione dal tuo repository software. Ubuntu viene fornito con Uncomplicated Firewall (ufw), quindi per utilizzare firewalld, è necessario abilitare il repository dell'universo :
$ sudo add-apt-repository universe
$ sudo apt install firewalld
Devi anche disattivare ufw:
$ sudo systemctl disable ufw
Non c'è motivo per non usare ufw. È un eccellente frontend del firewall. Tuttavia, questo articolo si concentra su firewalld a causa della sua ampia disponibilità e integrazione in systemd, che viene fornito con quasi tutte le distribuzioni.
Indipendentemente dalla distribuzione, affinché un firewall sia efficace, deve essere attivo e deve essere caricato all'avvio:
$ sudo systemctl enable --now firewalld
Comprensione delle zone del firewall
Firewalld mira a rendere la configurazione del firewall il più semplice possibile. Lo fa stabilendo zone . Una zona è un insieme di regole ragionevoli e comuni che si adattano alle esigenze quotidiane della maggior parte degli utenti. Ce ne sono nove per impostazione predefinita:
attendibile: vengono accettate tutte le connessioni di rete. Questa è l'impostazione del firewall meno paranoica e dovrebbe essere utilizzata solo in un ambiente affidabile, come un laboratorio di prova o in una casa familiare in cui tutti sulla rete locale sono noti per essere amichevoli.
casa, lavoro, interno: in queste tre zone viene accettata la maggior parte delle connessioni in entrata. Ciascuno esclude il traffico sulle porte che normalmente non prevedono attività. Ognuna di esse è un'impostazione ragionevole per l'uso in un ambiente domestico dove non c'è motivo di aspettarsi che il traffico di rete oscuri le porte e generalmente ti fidi degli altri utenti sulla rete.
pubblico: per l'utilizzo in aree pubbliche. Questa è un'impostazione paranoica, pensata per i momenti in cui non ti fidi di altri computer sulla rete. Sono accettate solo connessioni in entrata comuni e per lo più sicure selezionate.
dmz: DMZ sta per zona demilitarizzata. Questa zona è destinata ai computer accessibili pubblicamente, situati sulla rete esterna di un'organizzazione con accesso limitato alla rete interna. Per i personal computer, questa di solito non è una zona utile, ma è un'opzione importante per alcuni tipi di server.
esterno: per l'uso su reti esterne con mascheramento abilitato (il che significa che gli indirizzi della tua rete privata sono mappati e nascosti dietro un indirizzo IP pubblico). Analogamente alla zona dmz, vengono accettate solo le connessioni in entrata selezionate, incluso SSH.
blocco: sono possibili solo le connessioni di rete avviate all'interno di questo sistema e tutte le connessioni di rete in entrata vengono rifiutate con un messaggio proibito dall'host icmp . Si tratta di un'impostazione estremamente paranoica ed è un'opzione importante per alcuni tipi di server o personal computer in un ambiente non attendibile o ostile.
drop: tutti i pacchetti di rete in entrata vengono ignorati senza risposta. Sono possibili solo connessioni di rete in uscita. L'unica impostazione più paranoica di questa è spegnere il WiFi e scollegare il cavo Ethernet.
Puoi leggere informazioni su ogni zona e qualsiasi altra zona definita dalla tua distribuzione o amministratore di sistema guardando i file di configurazione in / usr / lib / firewalld / zone . Ad esempio, ecco la zona FedoraWorkstation fornita con Fedora 31:
$ cat / usr / lib / firewalld / zone / FedoraWorkstation .xml
< ? xml version = "1.0" encoding = "utf-8" ? >
< zona >
< breve > Fedora Workstation
< descrizione > I pacchetti di rete in entrata non richiesti vengono rifiutati dalla porta 1 alla 1024 , ad eccezione di selectservizi di rete. I pacchetti in entrata correlati alle connessioni di rete in uscita vengono accettati. Sono consentite connessioni di rete in uscita.
< service name = "dhcpv6-client" />
< service name = "ssh" />
< service name = "samba-client" />
< port protocol = "udp" port = "1025-65535" / >
< port protocol = "tcp" port = "
zona >
Ottenere la tua zona attuale
Puoi vedere in quale zona ti trovi in qualsiasi momento con l' opzione --get-active-zone :
$ sudo firewall-cmd --get-active-zones
In risposta, si riceve il nome della zona attiva insieme all'interfaccia di rete ad essa assegnata. Su un laptop, di solito significa che hai una scheda WiFi nella zona predefinita:
FedoraWorkstation
interfacce: wlp61s0
Cambia la tua zona attuale
Per cambiare la tua zona, riassegna la tua interfaccia di rete a una zona diversa. Ad esempio, per cambiare la scheda wlp61s0 di esempio in zona pubblica:
$ sudo firewall-cmd --change-interface = wlp61s0 \
--zone = public
Più risorse Linux
Cheat sheet dei comandi di Linux
Cheat sheet dei comandi avanzati di Linux
Corso online gratuito: Panoramica tecnica RHEL
Cheat sheet di rete Linux
Cheat sheet di SELinux
Cheat sheet dei comandi comuni di Linux
Cosa sono i contenitori Linux?
I nostri ultimi articoli su Linux
Puoi cambiare la zona attiva per un'interfaccia ogni volta che vuoi e per qualsiasi motivo, sia che tu stia andando in un bar e senti il bisogno di aumentare la politica di sicurezza del tuo laptop, sia che tu stia lavorando e hai bisogno di aprirti alcune porte per accedere alla intranet o per qualsiasi altro motivo. Le opzioni per firewall-cmd si completano automaticamente quando premi il tasto Tab , quindi finché ricordi le parole chiave "modifica" e "zona", puoi inciampare nel comando finché non lo impari a memoria.
Per saperne di più
C'è molto di più che puoi fare con il tuo firewall, inclusa la personalizzazione delle zone esistenti, l'impostazione di una zona predefinita e altro ancora. Più sei a tuo agio con i firewall, più sicure sono le tue attività online, quindi abbiamo creato un cheat sheet per una consultazione facile e veloce.
IRCwebNET.com INformatica e guide linux