Skip to main content

Come modifico la configurazione del firewall? - Knowledgebase / Supporto Tecnico - Servizio di Supporto Serverplan

Come modifico la configurazione del firewall?

Authors list

In fase di attivazione di un server Dedicato/VPS/Cloud senza Intrepid Support assistenza sistemistica, i tecnici installano un firewall software denominato CSF.

Di base, ci sono alcune regole che aprono determinate porte al pubblico per rendere operativi i servizi (come le porte 21,25,110,80,443,etc.).


Di seguito troverai le istruzioni per modificare le porte e/o aprirle solo a determinati indirizzi IP/host.


Ricordiamo che per le macchine con Intrepid Support tali operazioni possono essere richieste direttamente al Supporto via ticket


PROCEDURA CPANEL/SENZA PANNELLO


Collegati in ssh utilizzando al tuo server in uno dei seguenti modi:


  • Sistema operativo Windows: puoi utilizzare uno dei programmi come Putty o WinSCP
  • Sistema operativo GNU/Linux o MacOS: apri un terminale e digita il seguente comando:


ssh USERNAME@HOST -p PORTA


USERNAME, HOST e PORTA vanno variati con i rispettivi dati di accesso ricevuti in fase di attivazione del server.

N.B: è importante usare l'utenza "root" -- con altri utenti non avresti i privilegi necessari


CONFIGURAZIONE DI CSF


Una volta connesso al server, puoi modificare i file in uno di questi modi (editor differenti, nell'esempio viene richiamato il file /etc/csf/csf.conf -- puoi modificare il percorso con quello da modificare):

vi /etc/csf/csf.conf

una volta aperto il contenuto del file puoi digitare "i" sulla tastiera e potrai modificare il file. Al termine puoi premere ESC e scrivere :wq per salvare le modifiche.

nano /etc/csf/csf.conf

una volta aperto il contenuto del file puoi digitare "CTRL+X" e confermare con "y" + invio per salvare le modifiche.


La configurazione di csf è divisa sostanzialmente in 4 file:


  • /etc/csf/csf.conf : questo è il file di configurazione principale. È consigliato lasciare le impostazioni predefinite (sono adeguate per la maggior parte degli usi). Le modifiche più comuni sono alle direttive:


1) TCP_IN : qui vengono definite le porte TCP per il traffico in INGRESSO


La direttiva predefinita ha impostazioni simili a questa:

TCP_IN = "25,80,143,443,465,587,993,2078,2080,2083,2096"


2) TCP_OUT : qui vengono definite le porte TCP per il traffico in USCITA


La direttiva predefinita ha impostazioni simili a questa:

TCP_OUT = "20,21,22,25,37,43,53,80,113,443,587,873,993,2086,2087,2089,2703,2080,9418"


3) UDP_IN : qui vengono definite le porte UDP per il traffico in INGRESSO


La direttiva predefinita ha impostazioni simili a questa:

UDP_IN = "53"


4) UDP_OUT : qui vengono definite le porte UDP per il traffico in USCITA


La direttiva predefinita ha impostazioni simili a questa:

UDP_OUT = "33434:33523,123,53"


Se si vuole aggiungere una porta, è possibile modificare una delle direttive includendo una virgola dopo l'ultima porta e specificandone il numero, in questo esempio sto aggiungendo la porta 8080 per le connessioni TCP in INGRESSO:

TCP_IN = "25,80,143,443,465,587,993,2078,2080,2083,2096,8080"


la stessa configurazione vale per tutte le altre, quello che varia è il tipo di connessione (se ingresso/uscita) e il tipo di protocollo.


ATTENZIONE: queste porte verranno definite globalmente e quindi accessibili esternamente (per regole _IN) -- non lasciare spazi tra una virgola / porta e l'altra.  Non cosngiliamo la modifica di questo file se non si hanno esigenze specifiche


  • /etc/csf/csf.allow : qui vengono definite tutte le regole di accesso / uscita da/verso un determinato indirizzo IP / porta. Questa è l'impostazione consigliata per aprire una porta SOLAMENTE DA/VERSO UNA SINGOLA DESTINAZIONE.


La sintassi possibile è la seguente, in ordine:


tcp/udp = specifica se la connessione è di tipo TCP oppure UDP
in/out = specifica se la connessione è in ingresso (in) o uscita (out)
PORTA d/s = specifica se la connessione è verso una porta di destinazione (d) o sorgente (s)
HOST d/s = specifica se la connessione è remota (d) o è una regola in ingresso (s)


Ecco alcune regole di esempio:


tcp|in|d=8080|s=12.13.14.15

Consente la connessione in ingresso di tipo TCP dall'indirizzo IP 12.13.14.15 su porta 8080


tcp|out|d=8080|d=12.13.14.15

Consente la connessione in uscita di tipo TCP verso l'indirizzo IP 12.13.14.15 su porta 8080


udp|in|d=8080|s=12.13.14.15

Consente la connessione in ingresso di tipo UDP dall'indirizzo IP 12.13.14.15 su porta 8080


udp|out|d=8080|d=12.13.14.15

Consente la connessione in uscita di tipo UDP verso l'indirizzo IP 12.13.14.15 su porta 8080



Ricordati di inserire ogni regola su una nuova riga ( a capo ). Possono inoltre essere inserite più regole verso lo stesso host/porta.


È inoltre possibile definire direttamente l'indirizzo IP senza ulteriori informazioni, esempio:


12.13.14.15


in questo modo vengono consentite TUTTE le connessioni in ingresso/uscita su TUTTE le porte da/verso tale indirizzo IP (sconsigliato a meno che non si hanno particolari esigenze).


È supportato inoltre l'inserimento di classi di indirizzi IP (possono essere inserite per esteso, es: 12.13.14.15/16).


  • /etc/csf/csf.deny : qui vengono definite tutte le regole (stessa sintassi) come csf.allow ma il traffico invece di essere permesso, verrà negato. Raramente avrai necessità di modifica di questo file


  • /etc/csf/csf.dyndns : qui vengono definite le regole (stessa sintassi) come csf.allow ma vanno inseriti hostname / dyndns invece di indirizzi IP. Un host dinamico è qualcosa come: pippo.ddns.net o direttamente un hostname: hostname.esempio.it


Dopo aver applicato le regole, occorre riavviare il firewall, utilizzare questo comando:

csf -r


Nel caso volessi disabilitare il firewall, puoi utilizzare questo comando:

csf -x


e per riabilitarlo:

csf -e


PROCEDURA PLESK


Su pannello Plesk, viene abilitato il firewall pre-definito gestibile direttamente da tale interfaccia:


1) esegui l'accesso al pannello Plesk come indicato nella mail di attivazione

2) vai nella sezione "Server Managment" => "Tools & Settings" => "Firewall" sotto "Security":





verrà mostrata una schermata come questa che mostra il riepilogo delle regole:



3) clicca sul pulsante "Modify Plesk Firewall Rules" per eseguire modifiche sulle regole:




Viene visualizzata quindi questa schermata:



Cliccare sul pulsante in alto "Add Custom Rule": cliccando su questa scelta, può essere aggiunta una nuova regola. Nella schermata di esempio viene aggiunta una regola chiamata "Pippo" per il traffico in entrata con azione "Allow" (permetti) sulla porta 8080 dall'indirizzo IP 12.13.14.15 (cliccare su "Add" accanto ad IP e porta) quindi "OK" alla fine per aggiungere la regola:



A conferma dell'operazione verrà visualizzata questa schermata in alto:




Cliccare quindi su "Apply Changes" e confermare cliccando su "Activate":





Verrà visualizzata questa schermata in alto a conferma dell'operazione:



Per modificare una regola esistente, la procedura è uguale ad eccezione del clic sul pulsante "Add Custom Rule": in questo caso, infatti, occorre semplicemente selezionare la regola ed eseguire le modifiche che si desidera salvandole come indicato in precedenza.

Helpful Unhelpful

5 of 7 people found this page helpful