Firewall

Nota

Questo capitolo descrive le modifiche introdotte dall’applicazione Firewall del nuovo Server Manager. Il comportamento di base del firewall è invariato e rimane quello descritto nella sezione Firewall e gateway.

Si noti che alcune delle modifiche apportate nel nuovo Server Manager potrebbero non riflettersi nella interfaccia precedente.

Generale

Principali differenze rispetto al vecchio Server Manager:

  • il pannello delle regole è stato separato in 3 diverse pagine:
  • tutte le pagine utilizzano la funzione di Applica e ripristina
  • ricerca intelligente: nella maggior parte dei pannelli è possibile utilizzare la ricerca full-text per trovare rapidamente regole o oggetti esistenti
  • proprietà avanzate: quando si creano nuove regole, vengono visualizzati solo i campi più comuni. Per mostrare altri parametri meno comuni è necessario fare clic sull’etichetta Avanzate
  • supporto indirizzo «grezzo»: l’utente può utilizzare direttamente indirizzi IP (o reti CIDR) ogni volta che crea una regola. Tali indirizzi possono essere successivamente convertiti in oggetti firewall utilizzando le azioni Crea Host e Crea rete CIDR che appariranno accanto all’indirizzo IP
  • grafici in tempo reale: molte pagine hanno grafici in tempo reale che mostrano i dati raccolti da netdata. Netdata non è installato di default, è possibile installarlo attraverso il Software center.
  • lista delle Connessioni attive

Applica e ripristina

Ogni volta che la configurazione viene modificata, le modifiche non vengono applicate immediatamente ma salvate in un archivio temporaneo. Per rendere effettive le modifiche, fare clic sul pulsante Applica presente nell’angolo in alto a destra della pagina.

Finché non sono state applicate le nuove regole create, è possibile riportare il sistema allo stato precedente facendo clic sul pulsante :guilabel: Ripristina presente nell’angolo in alto a destra della pagina.

Dashboard

La dashboard visualizza la topologia della rete firewall locale insieme al numero di connessioni stabilite, al conteggio degli oggetti configurati e all’elenco dei servizi attivi.

WAN

Tutte le interfacce red sono elencate nella parte superiore della pagina, appena sotto i grafici di utilizzo banda. La banda in download e upload può essere calcolata automaticamente utilizzando il pulsante Speedtest. Ogni interfaccia di rete red può anche essere abilitata e disabilitata direttamente dall’elenco.

Per modificare la modalità WAN e le opzioni di monitoraggio dei provider, fare clic sul pulsante Configura.

Le regole possono essere create dalla sezione Regole nella stessa pagina. Dopo aver creato o modificato delle regole, assicurarsi di apply le modifiche per metterle in produzione.

Gestione banda

Le classi per la gestione banda vengono utilizzate per dedicare una data larghezza di banda ad uno specifico traffico di rete. La larghezza di banda di ogni classe può essere specificata usando valori percentuali per indicare la banda disponibile o valori assoluti espressi in kbps.

Come impostazione predefinita, una classe di gestione banda viene applicata a tutte le interfacce di rete red. Tale comportamento può essere modificato selezionando un’interfaccia red esistente nel menu :guilabel: Collega a all’interno della sezione Avazate. Le classi vincolate e la banda espressa in kbps non sono utilizzabili nel vecchio Server Manager.

Le regole possono essere create dalla sezione Regole nella stessa pagina. Dopo aver creato o modificato delle regole, assicurarsi di apply le modifiche per metterle in produzione.

SNAT

SNAT è disponibile solo se esiste almeno un alias IP configurato sulle interfacce di rete red. Vedi anche sNAT 1:1.

Oggetti

La pagina degli oggetti del firewall offre le stesse funzionalità presenti nel vecchio Server Manager.

Port forward

I port forwarding sono raggruppati per host di destinazione e supportano l’utilizzo di oggetti firewall e indirizzi IP «diretti».

I seguenti protocolli sono supportati solo nel nuovo Server Manager:

  • AH
  • ESP
  • GRE

Per maggiori informazioni sui port forward dare riferimento alla documentazione del vecchio Server Manager.

Regole

Questa pagina consente la gestione delle regole applicate solamente al traffico di rete che attraversa il firewall. Per creare regole per il traffico da/verso il firewall stesso, consultare la sezione Regole locali.

Una regola si compone di cinque parti principali:

  • Sorgente
  • Destinazione
  • Servizio (opzionale)
  • Azione
  • Condizione temporale (opzionale)

Le azioni disponibili sono:

  • ACCEPT: accetta il traffico
  • REJECT: blocca il traffico ed informa il mittente che la richiesta effettuata non è permessa
  • DROP: blocca il traffico, i pacchetti vengono scartati e il mittente non viene notificato

Le regole supportano l’inserimento diretto di indirizzi IP e contemplano due zone extra:

  • ivpn: tutto il traffico proveniente da VPN IPSec
  • ovpn: tutto il traffico proveniente da VPN OpenVPN

Entrambe le zone sono disponibili solo se è installata l’applicazione VPN. Le regole che usano tali zone, non possono essere modificate dal vecchio Server Manager.

Policy

Per visualizzare le policy attive fare clic sul pulsante Policy. Le policy sono influenzate dalle modifiche introdotte nella pagina Impostazioni.

Regole locali

Questa pagina consente la gestione delle regole applicate solo al traffico di rete generato dal firewall o diretto al firewall stesso. La configurazione è la stessa disponibile nella pagina Regole.

Connessioni

Questa pagina tiene traccia di tutte le connessioni attive. Le connessioni possono essere filtrate per Protocollo e Stato. L’elenco delle connessioni non viene aggiornato in tempo reale. Per visualizzare le nuove connessioni fare clic sul pulsante Aggiorna.

L’amministratore può cancellare una singola connessione o svuotare l’intera tabella di tracciamento della connessione usando il pulsante Elimina tutte le connessioni.

Impostazioni

Qui si trovano le impostazioni globali che influenzano l’intero comportamento del firewall, come la validazione del MAC. Quando viene modificata l’opzione Traffico verso Internet (interfacce red), le modifiche si riflettono nella sezione Policy.