Come configurare un firewall sul tuo VPS (e perché ti serve)

Nel momento in cui il tuo server va online ha un indirizzo pubblico, e l'intera rete può raggiungerlo. È proprio questo che vuoi — che le persone visitino il tuo sito. Ma «l'intera rete» comprende anche bot automatici che non fanno altro tutto il giorno se non bussare a ogni porta di ogni server che riescono a trovare, in cerca di una lasciata aperta.

Non devi essere un bersaglio perché tutto questo conti. I bot non sono schizzinosi: scansionano tutto, di continuo. Un firewall è il modo per assicurarti che le uniche porte che si aprono siano quelle che volevi lasciare aperte.

Cosa fa davvero un firewall

Immagina il tuo server come un palazzo con migliaia di porte numerate: in gergo tecnico si chiamano proprio porte. Ogni servizio in esecuzione sulla macchina è in ascolto su una di esse: un sito web sulle porte 80 e 443, l'accesso remoto con cui gestisci il server sulla porta 22, un database su un'altra ancora.

Un firewall è il portinaio. Guarda ogni bussata e decide: la fa passare, oppure la respinge. Senza, ogni porta può potenzialmente rispondere. Con uno, scegli tu il breve elenco di porte che si aprono e tutte le altre semplicemente non rispondono — come se non ci fosse nulla da trovare.

Perché un server nuovo ne ha bisogno fin dal primo giorno

Un server nuovo ha spesso più porte aperte di quanto immagini. Installi un programma e questo potrebbe iniziare in silenzio ad ascoltare su una porta a cui non penserai mai più. Ogni porta aperta è qualcosa da tenere aggiornato e chiuso a chiave — e una via d'ingresso se non lo fai.

Un firewall capovolge l'impostazione di partenza. Invece di «tutto è aperto a meno che non lo chiuda», ottieni «tutto è chiuso a meno che non lo apra». Questo singolo cambiamento riduce le vie d'accesso al tuo server da migliaia alle due o tre che usi davvero.

L'unica regola: apri solo ciò che usi

Una buona configurazione del firewall è quasi noiosa, ed è proprio questo il punto. La regola è semplice: tutto chiuso per impostazione predefinita, apri le poche porte di cui i tuoi servizi hanno bisogno.

Per un server tipico è un elenco breve:

• 80 e 443 — il traffico web, perché i visitatori possano raggiungere il tuo sito (la 443 è quella HTTPS dietro al lucchetto),
• 22 — l'accesso remoto che usi per gestire la macchina.

Spesso è tutto qui. Tutto il resto resta chiuso. Se più avanti aggiungi un servizio che ha bisogno della sua porta, apri quella porta — di proposito — e nient'altro.

L'errore che ti chiude fuori

C'è un modo classico per rovinarti il pomeriggio: chiudere la porta in cui sei seduto. L'accesso remoto sulla porta 22 è il modo in cui raggiungi il server. Accendi il firewall con quella porta chiusa e ti sei chiuso fuori dalla tua stessa macchina — senza modo di rientrare se non la console di emergenza del tuo provider.

Quindi l'ordine conta: assicurati che la tua via d'ingresso resti aperta prima di chiudere tutto il resto. È l'unica cosa che vale la pena ricontrollare, ogni singola volta.

La scorciatoia

Puoi configurare tutto questo a mano — sulla maggior parte dei server c'è uno strumento firewall standard, con la sua sintassi da imparare e il suo modo di chiuderti fuori se sbagli l'ordine. Oppure puoi lasciare che se ne occupi Server Manager: ti mostra quali porte sono aperte in questo momento, chiude quelle che non ti servono, tiene al sicuro la tua via d'ingresso e non ti lascia bloccato fuori. Tu dici a cosa serve il server; lui capisce quali porte devono restare aperte.

E se un sito smette di caricarsi subito dopo una modifica, una porta chiusa è una delle prime cose da controllare — è uno dei tre livelli che decidono se il tuo sito è raggiungibile.

Una sicurezza silenziosa

Un firewall non è entusiasmante, ed è esattamente per questo che funziona. Configurato bene, smetti di pensarci: i bot continuano a bussare, ogni porta tranne la tua resta chiusa, e il tuo server si limita a fare il suo lavoro.

Si abbina all'altra abitudine poco affascinante che ti salva nel giorno storto — tenere backup da cui riesci davvero a ripristinare. Insieme, queste due cose sono gran parte di ciò che «mettere in sicurezza un server» significa davvero. Le guide di aiuto approfondiscono quando vuoi i dettagli.