Regole

Regole#

Le regole del firewall definiscono come il traffico di rete viene segmentato e controllato tra le diverse zone. I firewall agiscono come barriere tra reti interne affidabili e reti esterne non affidabili, come Internet. Queste regole specificano quale traffico è consentito, negato o monitorato in base a politiche di sicurezza predefinite.

L’ordine delle regole è importante; viene applicata la prima regola corrispondente, determinando il destino del pacchetto di rete.

La pagina è organizzata in tre schede, ciascuna con una funzione specifica:

  • Scheda Regole di forward: questa scheda è dedicata alla configurazione delle regole per i pacchetti di dati che si spostano tra diverse zone nella rete.

  • Scheda Regole di input: questa scheda è dedicata alla configurazione delle regole per i pacchetti in ingresso destinati al firewall stesso.

  • Scheda Regole di output: questa scheda è dedicata alla configurazione delle regole per i pacchetti emessi dal firewall.

Individuare il pulsante per aggiungere una nuova regola e fare clic su di esso per avviare il processo di creazione della regola. Compilare i seguenti campi per la nuova regola:

  • Stato: abilitare o disabilitare la regola in base alle proprie esigenze. Per impostazione predefinita, la regola è abilitata durante la creazione.

  • Nome regola: assegnare un nome descrittivo per identificare la regola.

  • Indirizzo sorgente: selezionare l’indirizzo sorgente tra tre diverse opzioni:

    • inserire uno o più indirizzi/reti IPv4/IPv6 o intervalli di IP

    • selezionare un oggetto firewall tra quelli disponibili

    • qualsiasi indirizzo sorgente

    Questo campo non è presente per Regole di output, poiché l’indirizzo sorgente è sempre il firewall stesso.

  • Zona sorgente: specificare la zona di origine del traffico. Scegliere una zona specifica oppure selezionare Qualsiasi per includere il traffico proveniente da qualsiasi zona.

  • Indirizzo di destinazione: selezionare l’indirizzo di destinazione tra tre diverse opzioni:

    • inserire uno o più indirizzi/reti IPv4/IPv6 o intervalli di IP

    • selezionare un oggetto firewall tra quelli disponibili

    • qualsiasi indirizzo di destinazione

    Questo campo non è presente per Regole di input, poiché l’indirizzo di destinazione è sempre il firewall stesso.

  • Zona di destinazione: specificare la zona di destinazione del traffico. Scegliere una zona specifica. Tenere presente che le zone di origine e di destinazione non possono essere uguali.

  • Servizio di destinazione: selezionare dall’elenco oppure scegliere Personalizzato per inserire porte specifiche e selezionare i protocolli.

  • Azione: definire l’azione quando le condizioni della regola sono soddisfatte:

    • Accept: accetta il traffico di rete.

    • Rifiuta: blocca il traffico e notifica l’host mittente.

    • Drop: blocca il traffico, i pacchetti vengono scartati e nessuna notifica viene inviata all’host mittente.

  • Posizione della regola: consente di decidere se aggiungere la regola in fondo o all’inizio dell’elenco delle regole.

  • Log: indica se il traffico che corrisponde a questa regola deve essere registrato nei log. La voce di log includerà il nome della regola come prefisso. Per impostazione predefinita, la registrazione nei log è limitata a 1 voce al secondo. Consultare la sezione Limiti di logging per le istruzioni su come modificare questo limite.

  • Tag: facoltativamente, aggiungere tag per scopi organizzativi. Si noti che il tag “automated” è riservato all’uso di sistema.

Limiti di logging#

La registrazione può essere abilitata sui seguenti oggetti:

  • zone

  • regole del firewall

  • regole di reindirizzamento (port-forwarding)

Quando la registrazione è abilitata, il firewall aggiungerà dei limiti di registrazione a varie regole. Questo garantisce che la registrazione non sovraccarichi il sistema impostando un limite al tasso di registrazione.

Per impostazione predefinita, vengono applicati i seguenti limiti di registrazione:

  • 1 voce di log al secondo per le regole del firewall

  • 5 voci di log al secondo per zone

  • 1 voce di log al secondo per le regole di reindirizzamento

Modifica dei limiti predefiniti di logging#

Avvertimento

La modifica dei limiti predefiniti di logging può influire sulle prestazioni del sistema. Prestare attenzione quando si modificano questi limiti.

I limiti predefiniti sono salvati nella sezione ns_defaults della configurazione del firewall:

  • zone_log_limit: il limite predefinito per le zone

  • rule_log_limit: il limite predefinito per le regole del firewall

  • redirect_log_limit: il limite predefinito per le regole di reindirizzamento

  1. Impostare il limite di log desiderato per le regole del firewall utilizzando il comando uci:

    uci set firewall.ns_defaults.zone_log_limit="10/s"
uci commit firewall

  2. Eseguire lo script firewall-apply-default-logging per applicare il nuovo limite di log:

    firewall-apply-default-logging