(Plesk per Linux) Il Firewall Plesk
Riassunto: Il firewall di Plesk è uno strumento utilizzabile per migliorare la sicurezza del server Plesk per Linux limitando le connessioni di rete verso e/o dal server.
In questa sezione impareremo ad aggiungere e rimuovere le regole e le norme del firewall, a bloccare le connessioni in entrata da determinati paesi e a esportare e importare le regole del firewall per replicare facilmente la configurazione del firewall tra server diversi.
Attenzione: Il firewall di Plesk e firewalld sono strumenti concepiti per gestire il firewall di iptables. L’uso simultaneo dei due strumenti può causare conflitti e determinare la chiusura delle porte necessarie a Plesk per funzionare. Si consiglia di utilizzare solo uno strumento alla volta.
Prerequisiti
Prima di poter cominciare, è necessario che l’estensione «Firewall» sia installata sul server. Se non lo è, installare l’estensione dal Catalogo estensioni.
Gestione delle regole e delle norme del firewall
In modo predefinito, la configurazione del firewall Plesk è composto da normative e regole. Le normative sono ampie nella loro portata e incidono su tutte le connessioni verso o dal server, a seconda della normativa stessa. Per esempio, puoi usare le Normative di sistema per il traffico in arrivo (elencato in Strumenti e impostazioni > Firewall) per bloccare completamente tutte le connessioni in ingresso del server. Le regole sono più rigide nella portata e regolano le connessioni in ingresso ai servizi Plesk individuali, quali SMTP o MySQL.
Tieni presente che le regola sovrascrivono le normative. Per esempio, se la normativa globale è quella di negare tutto il traffico in ingresso, ma una regola consente il traffico in ingresso da un determinato IP, la regola prevale sulla normativa. È possibile usare questo meccanismo per aumentare o diminuire facilmente la sicurezza del server. Per esempio, configurare le normative per proibire tutte le connessioni a e dal server tranne per alcuni indirizzi IP o porte consentite, avrà come risultato una sicurezza maggiore, ma alcune applicazioni potrebbero non funzionare a causa delle limitazioni di rete. Per contro, consentire tutte le connessioni in modo predefinito e usare le regole per bloccare l’accesso ai servizi individuali dagli indirizzi IP individuali renderà il tuo server meno sicuro, ma garantirà il fatto di non incorrere in problemi di connessione. Esperimenta per trovare lo scambio ottimo tra usabilità e sicurezza.
È possibile gestire il firewall in due maniere:
- Cambiando le impostazioni delle normative e le regole predefinite.
- Creando regole personalizzate.
Per cambiare le impostazioni delle normative e le regole predefinite, vai su Strumenti e impostazioni > Firewall (nel gruppo Sicurezza) e fai clic su Abilita gestione delle regole del firewall. Conferma l’abilitazione della gestione delle regole, attendi che le modifiche siano applicate e quindi fai clic su Modifica le regole del firewall Plesk. Fai clic sulla regola o la normativa che desideri cambiare. Puoi impostare un criterio per consentire o negare connessioni e puoi definire una regola per consentire o negare connessioni oppure per consentirle unicamente da indirizzi specificati e negarle da tutti gli altri. Dopo aver eseguito le modifiche desiderate, fai clic su Applica Modifiche per attivare il nuovo set di regole o Escludere le modifiche per ripristinarle.
Per aggiungere una regola personalizzata, abilitala gestione di regole del firewall, come descritto sopra, e fai clic su Aggiungi regola personalizzata. Le regole personalizzate sono più flessibili di quelle standard e possono essere configurate per consentire o negare le connessioni in entrata, in uscita o quelle d’inoltro sia a sia da una porta o un indirizzo IP specifico. Dopo aver aggiunto una o più regole personalizzate, fai clic su Applica Modifiche per aggiungerle al set di regole oppure su Escludi modifiche per escluderle. Se, successivamente, deciderai di rimuovere una o più regole personalizzate, seleziona le caselle di controllo corrispondenti, fai clic su Elimina, conferma l’eliminazione e poi fai clic su Applica Modifiche per rimuovere le regole selezionate dal set di regole.
Quando si creano regole personalizzate, occorre fare attenzione a non bloccare le connessioni alle porte usate dai servizi Plesk per errore.
Nota: se utilizzi i container Docker, le regole del firewall Docker non vengono aggiunte alle regole del firewall Plesk.
Blocco per paese
È possibile utilizzare il firewall di Plesk per bloccare l’accesso verso o da indirizzi IP appartenenti a un determinato paese.
Blocco dell’accesso da un determinato paese
- Accedi a Plesk.
- Vai su Strumenti e impostazioni > Firewall (sotto «Sicurezza»).
- Fare clic sul pulsante di attivazione/disattivazione «Protezione del firewall» affinché indichi “Abilitato”. Se la protezione del firewall è già attiva, saltare questo passaggio.
- Fare clic sul pulsante
.
- (Opzionale) Dare un nome alla regola.
- Impostare «Azione» su «Nega».
- Sotto «Fonti», inserire il codice ISO 3166 di due lettere del paese che si vuole bloccare (ad esempio, per bloccare tutte le connessioni in entrata dall’Afghanistan, inserire AF).
- (Opzionale) Fare clic su «Aggiungi ancora» e ripetere il passaggio precedente per bloccare un ulteriore paese. È possibile bloccare tutti i paesi che si desidera.
- Quando sono stati aggiunti tutti i paesi che si desidera bloccare, fare clic su Salva.
- Fare clic su Applica modifiche e fare clic su Applica.
Una volta applicata la configurazione del firewall, verranno negate tutte le connessioni in entrata al server dal paese o dai paesi bloccati.
Per impostazione predefinita, Plesk utilizza il database gratuito «IP to Country Lite» di DB-IP. È possibile utilizzare invece un database gratuito o a pagamento di MaxMind. Prima di fare ciò, è necessario ottenere una licenza gratuita o a pagamento da MaxMind e ricevere la chiave della licenza.
Passare al database GeoIP2 a pagamento
-
Aggiungere le seguenti righe al file panel.ini:
[ext-firewall] geoipDataSource = maxmind-lite
per usare il database gratuito GeoLite2, o
[ext-firewall] geoipDataSource = maxmind
per usare il database a pagamento GeoIP2.
-
Accedere al server tramite SSH ed eseguire questo comando:
LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind-lite --force
oppure
LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind --force
per utilizzare rispettivamente il database gratuito o a pagamento di MaxMind.
Nota: Il comando può terminare con l’avviso
Set cannot be destroyed
(Il set non può essere distrutto). L’avviso può essere ignorato tranquillamente. -
Vai su Strumenti e impostazioni > Firewall (sotto «Sicurezza»).
-
Fare clic su Applica modifiche e fare clic su Applica.
Nota: Se il pulsante Applica modifiche non c’è, creare una nuova regola del firewall per attivare la possibilità di applicare le modifiche. In seguito sarà possibile rimuovere tale regola.
Quando la configurazione del firewall è stata applicata, verrà usato il database GeoIP2 al posto di quello GeoLite2.
Per tornare al database gratuito di DB-IP, rimuovere la linea geoipDataSource = maxmind-lite
o geoipDataSource = maxmind
dal file panel.ini
e riapplicare la configurazione del firewall.
Importare ed esportare la configurazione del firewall
È possibile duplicare la configurazione di un firewall del server Plesk per Linux su altri server Plesk per Linux. Il modo più semplice per farlo è esportare la configurazione del firewall in un file, quindi importarlo su ciascun server Plesk per Linux. È possibile importare ed esportare la configurazione del firewall sia tramite l’interfaccia grafica che da riga di comando.
Esportare la configurazione del firewall tramite la GUI
- Accedere a Plesk sul server del quale si vuole copiare la configurazione del firewall.
- Vai su Strumenti e impostazioni > Firewall (sotto «Sicurezza»).
- Fare clic su Esporta.
La configurazione del firewall viene salvata in un file .json
. È possibile trovarlo nella cartella di download del browser.
Importare la configurazione del firewall tramite la GUI
- Accedere a Plesk sul server sul quale si vuole copiare la configurazione del firewall di un altro server.
- Vai su Strumenti e impostazioni > Firewall (sotto «Sicurezza»).
- Fare clic sul pulsante di attivazione/disattivazione «Protezione del firewall» affinché indichi “Abilitato”, quindi fare clic su Applica. Se la protezione del firewall è già attiva, saltare questo passaggio.
- Fare clic su Importa e trovare il file
.json
esportato sul server del quale si vuole copiare la configurazione del firewall.
Verrà applicata la configurazione del firewall presente nel file.
Esportare la configurazione del firewall tramite CLI
-
Accedere tramite SSH al server del quale si vuole copiare la configurazione del firewall.
-
Eseguire il seguente comando per esportare la configurazione del firewall:
plesk ext firewall --export > rules.json
Puoi dare al file il nome che desideri, «rules.json» è solo un esempio.
La configurazione del firewall verrà salvata nel file specificato.
Importare la configurazione del firewall tramite CLI
-
Accedere tramite SSH a un server sul quale si vuole copiare la configurazione del firewall di un altro server. Per importare la configurazione del firewall è necessario aprire due sessioni SSH distinte.
-
Nella prima sessione SSH, eseguire il seguente comando per attivare la protezione del firewall. Se la protezione del firewall è già attiva, saltare questo passaggio.
plesk ext firewall --enable
-
Nella seconda sessione SSH, eseguire il seguente comando per confermare la protezione del firewall. Se la protezione del firewall è già attiva, saltare questo passaggio.
plesk ext firewall --confirm
-
Nella prima sessione SSH, eseguire il seguente comando per importare e applicare la configurazione del firewall:
plesk ext firewall --import -config <the file's URL or local path> && plesk ext firewall --apply
Per esempio
plesk ext firewall --import -config https://example.com/rules.json && plesk ext firewall --apply
oppure
plesk ext firewall --import -config /tmp/rules.json && plesk ext firewall --apply
-
Nella seconda sessione SSH, eseguire il seguente comando per confermare la configurazione del firewall importata.
plesk ext firewall --confirm
Verrà applicata al server la configurazione del firewall presente nel file.