Firewall Linux
Linux Sicurezza , , ,

Uncomplicated FIREWALL su Linux

Molti pensano che Linux sia “automaticamente sicuro”. E in parte è vero: la struttura dei permessi, la separazione tra utente e root, la trasparenza del codice open source rendono Linux molto più solido di altri sistemi. Ma attenzione: non è infallibile.

Ogni porta aperta può diventare una via d’accesso. Ogni processo in ascolto (un web server, SSH, Samba, NFS…) è un potenziale punto debole, soprattutto in una rete domestica o aziendale.

  • Hai un server web locale? → sei esposto.
  • Condividi file con Samba o NFS? → sei esposto.
  • Hai un desktop con servizi attivi in background? → sei esposto.

Ecco dove entra in gioco il firewall: uno scudo digitale che blocca tutto il traffico in ingresso non autorizzato e permette solo ciò che decidi tu.

🧱 UFW: il firewall “non complicato”

UFW sta per Uncomplicated Firewall — e il nome dice già tutto. È una interfaccia semplificata di iptables, che è il vero motore del firewall su Linux. Iptables è potentissimo ma può essere ostico da usare, specie per chi non mastica bene la sintassi da sysadmin.

UFW invece traduce tutto in comandi semplici e leggibili, del tipo:

sudo apt install ufw
sudo ufw default deny
sudo ufw enable

Con queste tre righe:

  1. installi UFW,
  2. imposti la politica predefinita per bloccare tutto in entrata,
  3. e lo attivi.

Per disattivarlo basta:

sudo ufw disable

In pratica, in pochi secondi il tuo sistema ha già un livello di protezione serio.

🖥️ GUFW: l’interfaccia grafica per tutti

UFW va benissimo da terminale, ma se preferisci un approccio visuale, c’è GUFW, un’interfaccia grafica pulita e intuitiva. Permette di gestire le regole, i profili e le eccezioni senza dover ricordare la sintassi dei comandi.

Installazione (Ubuntu, Debian, Linux Mint)

sudo apt update
sudo apt install ufw gufw

Una volta installato, apri GUFW dal menu e vedrai un semplice interruttore:

🟢 OFF → 🔴 ON

Quando lo attivi:

  • UFW viene abilitato,
  • Tutto il traffico in ingresso viene bloccato,
  • Tutto il traffico in uscita è consentito.

Questo è già ottimo per un PC desktop o un laptop che non ospita servizi.

Perché bloccare tutto, anche se non ho servizi attivi?

Domanda legittima: “ma se non ho porte aperte, che senso ha bloccarle tutte?”. La risposta è semplice: è una best practice di sicurezza.

Oggi potresti non avere nessun servizio attivo, ma domani potresti installarne uno per errore, o una nuova app potrebbe aprire una porta senza che te ne accorga. Bloccare tutto per default previene esposizioni accidentali. È come chiudere le finestre di casa anche se non c’è vento — meglio non rischiare.

⚙️ I Profili: Home, Office, Public

Una delle funzioni più intelligenti di GUFW è la gestione dei profili.

  • Public: il più restrittivo — blocca tutto in ingresso. Perfetto quando sei su reti pubbliche o hotspot.
  • Home: più permissivo, puoi aprire alcune porte (es. SSH o Samba) per i tuoi dispositivi locali.
  • Office: un compromesso tra i due, utile per ambienti di lavoro interni.

Puoi passare da un profilo all’altro con un click e persino rinominarli da Modifica → Preferenze → doppio click sul nome.

Regole preconfigurate e aggiunta manuale

Aggiungere regole è facilissimo. Cliccando su “+” in GUFW puoi cercare direttamente il servizio che vuoi sbloccare (es. SSH, Samba, HTTP, ecc).

Esempio:
Se aggiungi SSH, GUFW creerà automaticamente due regole (IPv4 e IPv6) per la porta 22/tcp. Da quel momento puoi collegarti via SSH da un altro dispositivo, come uno smartphone con Termux o un client SSH.

Samba: condivisione in rete locale

Se invece selezioni Samba, GUFW creerà per te le regole necessarie:

  • UDP 137, 138
  • TCP 139, 445

Ma attenzione: anche se apri queste porte solo nella LAN, non è garanzia di sicurezza. Un dispositivo infetto nella stessa rete può comunque tentare un attacco. Per questo è utile limitare gli accessi a IP specifici, ad esempio solo al tuo PC principale o al NAS.

Modalità Avanzata: controllo totale

La modalità avanzata di GUFW ti permette di creare regole personalizzate, specificando:

  • Porta o intervallo di porte
  • Protocollo (TCP/UDP)
  • Direzione (In entrata / In uscita)
  • IP remoto
  • Interfaccia di rete

Esempio: consentire SSH solo da un IP locale specifico

Immagina di avere un PC con IP statico 192.168.1.50 e vuoi che solo lui possa collegarsi al tuo server via SSH:

  • Porta: 22
  • IP remoto: 192.168.1.50
  • Direzione: In entrata
  • Azione: Permetti

Tutti gli altri dispositivi verranno bloccati automaticamente.

📊 Monitoraggio e log

UFW tiene traccia di tutto nel file:

/var/log/ufw.log

Puoi leggerlo con:

sudo less /var/log/ufw.log

Qui troverai eventuali tentativi di accesso bloccati o anomalie di rete. Controllarlo ogni tanto è un ottimo modo per capire se qualcuno “bussa” alle tue porte.

🧱 Oltre il firewall: sicurezza a 360°

Configurare UFW o GUFW è solo il primo passo. Un sistema sicuro è fatto di tanti strati di protezione. Ecco alcuni consigli fondamentali:

  1. Apri solo le porte necessarie. Ogni porta aperta è una potenziale superficie d’attacco.
  2. Specifica l’IP di origine. Se conosci l’indirizzo da cui ti connetterai, limita l’accesso a quello soltanto.
  3. Usa password forti e uniche. Una password debole vanifica ogni firewall.
  4. Mantieni il sistema aggiornato. Molte vulnerabilità vengono risolte con patch regolari.
  5. Considera una VPN. Un tunnel cifrato riduce drasticamente il rischio di attacchi da remoto.
  6. Monitora i log. Sapere cosa succede sul tuo sistema è metà della sicurezza.
  7. Fail2ban: un alleato prezioso. Blocca automaticamente gli IP che effettuano troppi tentativi di accesso falliti.

Conclusione

Linux è sicuro, sì. Ma la vera sicurezza nasce dal controllo consapevole. UFW e GUFW sono strumenti potenti, semplici da usare e fondamentali anche su desktop.

Un firewall non serve solo a “bloccare gli hacker” — serve a capire cosa entra e cosa esce dal tuo sistema. E una volta che impari a gestirlo, non torni più indietro.

Tag

Related Posts

Commento all'articolo

You May Have Missed