Linode è una piattaforma cloud originale e fondata prima di AWS. Allora, li chiamavamo VPS (Virtual Private Server). Recentemente hanno aggiunto una nuova funzionalità firewall per controllare l’accesso alla rete al mio server Linode dal Cloud. Proviamo il firewall cloud Linode.
Cos’è un firewall cloud Linode?
Un firewall non è altro che semplici regole che filtrano il traffico dannoso che raggiunge il tuo server o rete Linux. Utilizziamo un firewall per bloccare e consentire il traffico di rete secondo le nostre esigenze. Ad esempio, posso consentire all’unico indirizzo IP specifico di accedere tramite SSH. Ovviamente, è necessario abilitare e installare tale firewall per il server Linux. Un firewall cloud fa lo stesso lavoro a livello di rete. Quindi il traffico può raggiungere o negare. Possiamo controllare facilmente il flusso dei pacchetti. Possiamo impostare regole in entrata e in uscita per il server.
Ma non abbiamo iptables, ufw, firewalld per il server Linux?
Molti sviluppatori, amministratori di sistema Linux di notizie e utenti trovano difficile la sintassi di iptables. Molti finiscono per impostare criteri firewall sbagliati e dare loro una falsa illusione e un senso di sicurezza. Quindi, è possibile utilizzare un firewall cloud per proteggere il server. Lo chiamiamo anche Firewall-as-a-Service (FWaaS) e stiamo esternalizzando il lavoro di filtraggio dei pacchetti IP al firewall di Linode. Naturalmente, possiamo combinare sia cloud firewall che iptables. In alcuni casi, avrai ancora bisogno di iptables. Ad esempio, i contenitori Linux e l’app basata su Docker richiedono regole NAT per reindirizzare il traffico ai contenitori corretti.
Test di guida del firewall cloud Linode
Aggiungere un firewall Linode è semplice. Ho effettuato l’accesso al mio gestore Linode e ho scelto Firewall dal menu a sinistra. Fai clic su “Aggiungi un firewall”. Possiamo usare anche l’opzione CLI:
Aggiunta di un nuovo firewall Linode per proteggere la mia macchina Alpine Linux
Il firewall Linode imposta regole in entrata sensibili che consentono il traffico DNS e SSH per impostazione predefinita. Non è impostata alcuna regola in uscita e tutto il traffico dal mio server Linux è consentito per impostazione predefinita:
Regola firewall in entrata / uscita predefinita
Poiché ospiterò un sito Web, devo aprire le porte TCP 443 (HTTPS) e 80 (HTTP). Puoi aprire qualsiasi porta e controllare l’accesso a un indirizzo IP specifico o consentire a tutti di utilizzare il sito web:
Apertura delle porte HTTP e HTTPS
Cerchiamo di limitare il traffico SSH a OpenVPN o Wireguard CIDR 10.8.1.0/24 oa un indirizzo IP pubblico come 1.2.3.4:
Per impostazione predefinita, le richieste di ping-pong sono bloccate. Cerchiamo di essere un buon netizen e consentire a ICMP di utilizzare la regola personalizzata:
Consenti richiesta ping in arrivo
Le regole in uscita di Linode limitano le connessioni di rete in uscita da un servizio Linode in base alle porte e alle destinazioni che configuriamo. Per impostazione predefinita, tutte le richieste in uscita dal server sono consentite, ma ho deciso di rafforzare la politica di sicurezza IP. Alla fine ecco come appariva:
Tuttavia, ho perso due funzionalità:
Limitazione della velocità per SSH o qualsiasi altra porta. Ad esempio, negare le connessioni da un indirizzo IP che ha tentato di avviare sei o più connessioni negli ultimi 30 secondi. Quella caratteristica sarebbe pulita.
Vorrei anche vedere una casella di testo per i commenti personalizzati per le regole personalizzate. Supponiamo che devo scoprire cosa è impostata la regola in entrata UDP / 1194.
Spero che aggiungano queste due piccole funzionalità e renderà il prodotto ancora migliore.
Come convalidare i criteri IP impostati dal firewall cloud Linode
Usa il comando nmap dal tuo desktop Linux o macOS / BSD: sudo nmap your-linode-ip-here Output di esempio:
Nmap scan report for li2xyz-abc.members.linode.com (172.10z.xxx.yyy)
Host is up (0.016s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp closed http
443/tcp closed https
Riassumendo
Nel complesso ho trovato l’interfaccia utente facile da usare e perfetta per i nuovi sviluppatori Linux o amministratori di sistema. Il firewall cloud in outsourcing elimina le congetture sulla configurazione di criteri IP validi. Ho sempre preferito chiudere tutte le finestre e aprire l’approccio alla politica IP delle porte TCP / UDP richieste. La sicurezza è come una cipolla per me. Hai bisogno di diversi livelli per proteggere i tuoi siti web o app. Quindi, oltre al firewall cloud Linode, dobbiamo installare WAF (web application firewall) come ModSecurity per Nginx o Apache. Per gli attacchi DoS / DDoS e il controllo dei bot, è necessario un firewall cloud distribuito fornito da Cloudflare, Fastly, AWS e altri. Non dimenticare di controllare la documentazione del firewall Linode poiché fornisce maggiori informazioni.
Disclaimer: Linode è uno sponsor aziendale di nixCraft dal 2017. Scrivo questa recensione come un utente felice e la consiglio a tutti i miei clienti e visitatori del blog.
Ti e piaciuto questo articolo?
Supporta il mio lavoro, facendo una donazione!
Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione senza blocchi premi su Accetto, oppure continua tranquillamente la navigazione, nessun dato sulla tua navigazione verrà raccolto.
Quando visiti un sito Web, esso può archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookies. Controlla qui i tuoi servizi di cookie personali.