Firewall

Firewall di Ateneo

Le macchine sono protette da un firewall di Ateneo, che ha le sue regole e le sue euristiche per proteggere la rete dal traffico indesiderato, sospetto o malevolo.

Chi utilizza la VPN bypassa in ingresso il firewall, ma il traffico in uscita generato sulla macchina remota è comunque soggetto alle regole del firewall.

Se qualche connessione necessaria per qualche progetto viene bloccata erroneamente, potete segnalare la situazione, fornendo:

• IP sorgente
• IP destinazione (o nome DNS)
• protocollo, porta di destinazione (se prevista dal protocollo)
• timestamp (anche approssimato) della mancata connessione

Firewall intermedio

Le macchine virtuali sono protette da un firewall intermedio, in esecuzione sul server di virtualizzazione.

Per le macchine direttamente raggiungibili in SSH dall’esterno, sovente c’è un blocco che limita le connessioni, consentendo solo agli indirizzi IP italiani di collegarsi alle nostre macchine.

Gli indirizzi dei provider possono cambiare nel tempo, con l’aquisizione di blocchi di indirizzi prima assegnati ad operatori di altre nazioni, e non sempre riusciamo ad aggiornare le nostre liste in tempo. Per questo motivo, se un collegamento diretto in SSH smette di funzionare, si può segnalare fornendo:

• IP sorgente
• timestamp di un tentativo fallito di connessione

Per recuperare l’IP pubblico si può utilizzare un servizio tipo ifconfig.me.

Come alternativa ci si può collegare dopo aver attivato la VPN; in questo modo non si fa scattare il blocco.

Firewall della macchina

Le macchine hanno solitamente le loro regole del firewall.

In generale il traffico in ingresso è limitato all’SSH, e a eventuali servizi previsti ed attivi su quella macchina.

C’è un servizio che blocca temporaneamente gli indirizzi IP che fanno troppi tentativi di autenticazione (a seconda delle macchine e delle regole, il blocco può durare dai 5 ai 60 minuti).

Le regole per il traffico in uscita sono invece più permissive, solitamente senza altri blocchi.