{"id":148340,"date":"2023-10-04T13:34:03","date_gmt":"2023-10-04T13:34:03","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/come-configurare-un-firewall-linux\/"},"modified":"2025-05-27T22:03:46","modified_gmt":"2025-05-27T22:03:46","slug":"come-configurare-un-firewall-linux","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/come-configurare-un-firewall-linux\/","title":{"rendered":"Come configurare un firewall Linux: la guida completa"},"content":{"rendered":"

Un<\/span> firewall<\/span><\/a> \u00e8 un guardiano digitale che verifica meticolosamente il traffico di rete e decide cosa pu\u00f2 passare. Questo scudo protettivo, fondamentale per la sicurezza informatica, \u00e8 parte integrante del mondo Linux. Lo stesso kernel Linux \u00e8 di fatto un firewall a commutazione di pacchetto, realizzato secondo i principi del filtraggio dei pacchetti al livello pi\u00f9 elementare del sistema operativo, esemplificando cos\u00ec il ruolo centrale dei firewall nella sicurezza del sistema. Per coloro che si occupano di IT e<\/span> sicurezza Linux<\/span><\/a> questa combinazione gioca un ruolo essenziale nella padronanza della difesa digitale.<\/span><\/p>\n

Un’adeguata configurazione del firewall Linux garantisce che venga elaborato solo il traffico legittimo, riducendo l’esposizione del sistema a potenziali minacce. Definendo regole specifiche, i firewall possono proteggere efficacemente servizi e dati fondamentali. Un firewall Linux impostato in modo improprio pu\u00f2 lasciare inavvertitamente aperte delle porte, esporre servizi sensibili o addirittura bloccare operazioni legittime. Tali configurazioni errate possono essere un invito aperto agli aggressori, con conseguenti violazioni dei dati o attacchi Denial-of-Service (DoS).<\/span><\/p>\n

Dopo aver <\/span>configurato un firewall Linux<\/b>, esso funzioner\u00e0 valutando i pacchetti di dati inviati da e verso il sistema. Controllando attributi come la porta di destinazione, l’IP di origine ed il protocollo, decide di consentire o negare il traffico in base a regole predefinite.<\/span><\/p>\n

Le best practice di configurazione del firewall Linux<\/h2>\n

All’intersezione tra l’amministrazione del sistema Linux e la cybersecurity, le configurazioni dei firewall Linux emergono come una colonna portante dell’architettura di difesa. Navigare in questo labirinto non richiede solo conoscenze tecniche, ma anche un approccio strategico che si allinei con gli obiettivi di sicurezza pi\u00f9 ampi. Ecco le pratiche fondamentali da adottare:<\/span><\/p>\n

Comprendere la politica di sicurezza<\/h3>\n

Prima di dedicarsi alle configurazioni, \u00e8 necessario iniziare con una politica di sicurezza ben articolata. Definisci quali dati e servizi devono essere protetti e da quali minacce, per garantire che il firewall Linux funga da prima linea di difesa efficace. Non si tratta solo di ci\u00f2 che decidi di bloccare e da chi; anche le considerazioni sulla sicurezza delle informazioni, come i metodi di blocco, entrano in gioco.\u00a0<\/span><\/p>\n

Impostazione dei criteri predefiniti<\/h3>\n

Per una sicurezza ottimale di Linux, adotta una posizione di minima esposizione. Una buona pratica consiste nel negare tutti per impostazione predefinita e aprire le vie di accesso solo quando necessario, il che \u00e8 essenzialmente un’<\/span>architettura zero-trust<\/span><\/a>. In questo modo si minimizzano le superfici di attacco potenziali e si riduce l’esposizione involontaria. Un caso d’uso comune \u00e8 la distinzione tra regole di “deny” e “drop” nel firewall Linux: le prime inviano attivamente una risposta di RICHIESTA RIFIUTATA al mittente dei pacchetti, mentre le seconde scartano silenziosamente i pacchetti di richiesta senza risposta. Chiunque abbia mai gestito un server di produzione su Internet aperto pu\u00f2 dirti quanto sia saggio non pubblicizzare il tuo indirizzo IP a scansioni di porte casuali, ad esempio.<\/span><\/p>\n

Gestione del traffico in entrata e in uscita<\/h3>\n

Sebbene l’attenzione sia rivolta a contrastare il traffico in entrata non richiesto, il monitoraggio ed il controllo del traffico in uscita sono altrettanto importanti. Ci\u00f2 assicura che i sistemi potenzialmente compromessi all’interno della rete non diventino canali per l’esfiltrazione dei dati o altre attivit\u00e0 dannose. Le infezioni degli endpoint sui laptop degli utenti possono contaminare altri computer all’interno della rete, come l\u2019archiviazione di rete o i server aziendali, pi\u00f9 facilmente di quanto possano fare i malintenzionati, in parte a causa del livello di fiducia esistente. Ecco perch\u00e9 la gestione del complesso di computer mobili dell’azienda con prodotti come<\/span> il software di endpoint management di NinjaOne<\/span><\/a> pu\u00f2 contribuire a salvaguardare la rete principale proteggendo i dispositivi da virus, spyware e attacchi informatici come i sempre pi\u00f9 comuni attacchi ransomware.<\/span><\/p>\n

Configurazione di regole specifiche per i servizi<\/strong><\/h3>\n

Servizi diversi presentano vulnerabilit\u00e0 diverse. Adatta le regole del firewall Linux per soddisfare queste sfumature, assicurando che ogni servizio, sia esso SSH, HTTP o FTP, abbia il suo scudo protettivo su misura. I servizi di watchdog come fail2ban possono anche osservare i log dei servizi alla ricerca di segnali di attacchi alla sicurezza, intervenendo generalmente in modo appropriato regolando le regole del firewall e le blacklist.<\/span><\/p>\n

Verifica e aggiornamenti regolari del firewall Linux<\/h3>\n

Il panorama delle minacce \u00e8 in continua evoluzione, e cos\u00ec anche le tue difese. La verifica e l’aggiornamento regolari delle configurazioni del firewall garantiscono che queste rimangano solide, pertinenti e rispondenti all’ambiente attuale delle minacce. In sostanza, la configurazione di un firewall Linux non consiste solo nell’impostare le regole, ma si tratta di costruire un sistema di protezione completo che sia in linea con gli standard di sicurezza dell’organizzazione.<\/span><\/p>\n

Come configurare il firewall Linux<\/h2>\n

Introduzione a iptables e alla configurazione di iptables<\/h3>\n

iptables \u00e8 una potente utilit\u00e0 user space utilizzata per configurare le regole di filtraggio dei pacchetti IPv4 nel kernel Linux. Fa parte del progetto netfilter e rappresenta lo strumento di fatto per l’interazione diretta con il framework di filtraggio dei pacchetti del kernel. Attraverso iptables, gli amministratori di sistema possono definire le regole per la gestione del traffico in entrata e in uscita, assicurando che il sistema sia protetto da comunicazioni di rete potenzialmente dannose.<\/span><\/p>\n

I meccanismi di iptables ruotano attorno a tre componenti principali<\/span><\/h4>\n
    \n
  1. Tabelle<\/b>: Ogni tabella definisce un insieme di catene ed \u00e8 associata a un tipo specifico di gestione dei pacchetti.<\/span><\/li>\n
  2. Catene<\/b>: Si tratta di un insieme di regole che stabiliscono come devono essere elaborati i pacchetti. Le tre catene predefinite sono INPUT (per i pacchetti in entrata), OUTPUT (per i pacchetti in uscita) e FORWARD (per i pacchetti reindirizzati).<\/span><\/li>\n<\/ol>\n

    Regole:<\/b> Le regole all’interno di una catena dettano il destino di un pacchetto, che si tratti di accettare, abbandonare, negare o intraprendere un’altra azione.<\/span><\/p>\n

    Alcuni comandi fondamentali di iptables e le loro configurazioni<\/span><\/h4>\n
      \n
    1. \n

      Elenco delle regole attuali<\/b><\/h3>\n<\/li>\n<\/ol>\n

      \u00a0\u00a0\u00a0sudo iptables -L -v -n\u00a0<\/span><\/p>\n

      \u00a0\u00a0\u00a0Questo comando visualizza tutte le regole correnti del firewall `iptables`.<\/span><\/p>\n

        \n
      1. \n

        Impostazione dei criteri predefiniti<\/b><\/h3>\n<\/li>\n<\/ol>\n

        \u00a0\u00a0\u00a0– Per eliminare tutto il traffico in entrata per impostazione predefinita:<\/span><\/p>\n

        \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -P INPUT DROP<\/span><\/p>\n

        \u00a0\u00a0\u00a0– Per consentire tutto il traffico in uscita per impostazione predefinita:<\/span><\/p>\n

        \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -P OUTPUT ACCEPT<\/span><\/p>\n

          \n
        1. \n

          Consentire un traffico specifico<\/b><\/h3>\n<\/li>\n<\/ol>\n

          \u00a0\u00a0\u00a0– Per consentire il traffico SSH in entrata sulla porta 22:<\/span><\/p>\n

          \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -A INPUT -p tcp –dport 22 -j ACCEPT<\/span><\/p>\n

            \n
          1. \n

            Blocco del traffico specifico<\/b><\/h3>\n<\/li>\n<\/ol>\n

            \u00a0\u00a0\u00a0– Per bloccare il traffico in entrata da un indirizzo IP specifico (ad esempio, `192.168.1.10`):<\/span><\/p>\n

            \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -A INPUT -s 192.168.1.10 -j DROP<\/span><\/p>\n

              \n
            1. \n

              Configurazione NAT (port forwarding)<\/b><\/h3>\n<\/li>\n<\/ol>\n

              \u00a0\u00a0\u00a0– Per inoltrare il traffico in ingresso sulla porta 8080 a un computer interno 192.168.1.10 sulla porta 80:<\/span><\/p>\n

              \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 8080 -j DNAT –to-destination 192.168.1.10:80<\/span><\/p>\n

                \n
              1. \n

                Regole per salvare<\/b><\/h3>\n<\/li>\n<\/ol>\n

                Le regole in `iptables` sono volatili, cio\u00e8 scompaiono al riavvio se non vengono salvate.\u00a0 Il passaggio a systemd e firewalld su molte distribuzioni ha introdotto un nuovo paradigma per salvare e gestire le regole di iptables. Ecco come salvare le regole di iptables usando il metodo systemd, seguito da un altro metodo comunemente usato:<\/span><\/p>\n

                Utilizzo del metodo systemd<\/h4>\n

                Molte distribuzioni Linux moderne utilizzano systemd per la gestione dei sistemi e dei servizi. Se utilizzi iptables con systemd, puoi adottare il metodo seguente:<\/span><\/p>\n

                Innanzitutto, assicurati che il servizio iptables sia abilitato all’avvio:<\/span><\/p>\n

                sudo systemctl enable iptables<\/span><\/p>\n

                Dopo aver configurato le regole di iptables, salva:<\/span><\/p>\n

                sudo sh -c ‘iptables-save > \/etc\/iptables\/iptables.rules’<\/span><\/p>\n

                Quindi, per ripristinare le regole all’avvio, systemd utilizzer\u00e0 il servizio iptables-restore, che legge dal file \/etc\/iptables\/iptables.rules per impostazione predefinita.<\/span><\/p>\n

                Utilizzo del plugin netfilter-persistent<\/h4>\n

                Un altro metodo, particolarmente diffuso nei sistemi basati su Debian non-systemd, \u00e8 l’uso di netfilter-persistent:<\/span><\/p>\n

                Per prima cosa, \u00e8 necessario installare i plugin necessari:<\/span><\/p>\n

                sudo apt-get install iptables-persistent<\/span><\/p>\n

                Durante l’installazione, di solito viene richiesto di salvare le regole iptables correnti. Se \u00e8 necessario salvare le regole in un secondo momento, \u00e8 possibile farlo con:<\/span><\/p>\n

                sudo netfilter-persistent save<\/span><\/p>\n

                Questo comando salva le regole di iptables attive, rendendole persistenti tra i vari riavvii.<\/span><\/p>\n

                Qualunque sia il metodo scelto, \u00e8 fondamentale eseguire regolarmente il backup delle regole di iptables, soprattutto prima di apportare modifiche significative. In questo modo avrai una configurazione funzionante a cui tornare in caso di errori o problemi.<\/span><\/p>\n

                L’integrazione di `iptables` nella tua strategia di sicurezza Linux richiede una chiara comprensione della struttura e delle esigenze della tua rete. Testa sempre le nuove configurazioni in un ambiente controllato e conserva i backup dei set di regole precedenti. La potenza e la granularit\u00e0 di iptables lo rendono un’arma a doppio taglio: se maneggiato con cura, \u00e8 una barriera formidabile; se usato in modo sconsiderato, pu\u00f2 interrompere le funzioni di rete essenziali.<\/span><\/p>\n

                Altri strumenti frontend per iptables<\/h3>\n

                Altri strumenti comuni per la configurazione di iptables sono ufw (Uncomplicated Firewall) originariamente basato su Ubuntu, firewalld basato su systemd, e ConfigServer Firewall (CSF).<\/span><\/p>\n

                UFW (Firewall non complicato)<\/h4>\n

                UFW, o Uncomplicated Firewall, \u00e8 stato progettato per rendere pi\u00f9 semplice la configurazione del firewall iptables. Nato da Ubuntu, \u00e8 stato adottato da molte altre distribuzioni per la sua semplicit\u00e0 e facilit\u00e0 d’uso.<\/span><\/p>\n

                Esempi<\/strong><\/h5>\n

                Abilitazione UFW<\/b><\/p>\n