50+ moduli di security audit, firewall, VPN, DNS sicuro e certificati — in una sola dashboard, tutta in locale. Il multitool che evita al sysadmin pigro di imparare 15 comandi diversi.
"Ho aperto SSL Labs, nmap, dig, testssl, builtwith, una VPN online gratuita e tre tab di Stack Overflow." — il modo peggiore di fare un audit nel 2026.
Una dashboard web che mette 50+ tool di sicurezza in un'unica interfaccia. Gira sul tuo server, non nel cloud di qualcun altro.
Un meccanico può avere un cassetto per ogni chiave inglese, un armadio per gli avvitatori, uno sgabuzzino per i tester, tre scatole di multimetri comprati online e tre YouTube tutorial aperti. Oppure può avere una cassetta degli attrezzi ordinata con tutto dentro. NetForge è la cassetta. Non ti fa diventare un meccanico migliore, ti fa smettere di perdere 20 minuti a cercare la chiave del 13.
Nasce da un'esigenza concreta: ogni audit di sicurezza è un rituale ripetitivo di 10-15 tool diversi, ognuno con la sua CLI, il suo output, le sue flag impronunciabili. SSL Labs per il TLS, dig per il DNS, testssl.sh per i cipher, nmap per le porte, un sito online per gli header, un altro per SPF/DKIM/DMARC, e poi copi-incolli tutto in un Word con screenshot sfocati.
NetForge riunisce tutto in una dashboard web locale: apri il browser, digiti il target, premi il pulsante. Full audit con score A-F in 2 minuti. Report PDF pronto da consegnare al cliente. Zero dati mandati a terzi, zero account, zero cloud.
Gira sul tuo server Debian. I target che analizzi e le chiavi che generi non finiscono mai in un SaaS di terzi.
Da SSL/TLS a firewall builder, da VPN generator a DNS sicuro. Un'unica UI, tastiere dedicate.
Full audit con score globale A-F, dettaglio per modulo, findings con fix. Pronto da spedire.
Nessun account, nessuna telemetria, nessun API key da cercare. Installi e funziona.
Database CVE integrato, aggiornabile da NVD con un click. Niente "ah ma questa vuln è di un anno fa".
WireGuard road-warrior, mesh P2P, OpenVPN con PKI completa. Chiavi generate in locale.
Utente non-root, profilo AppArmor, capabilities invece di sudo. Il tool di sicurezza è sicuro pure lui.
Repository APT privato. apt install netforge. Aggiornamenti automatici. Fine.
Un audit serio richiede 10-15 tool diversi. Ognuno con la sua sintassi. Ognuno con il suo output. Ognuno da ricordarsi a memoria.
testssl.sh in un terminaleTXT _dmarc.dominiohttp://localhost:9191I tool gratuiti online sono comodi finché stai controllando il sito del panettiere. Per l'infrastruttura aziendale, cominciano i problemi:
Il pulsante che fa tutto. Analisi target completa, 14 moduli paralleli, score globale, report PDF brandizzabile.
Digiti un dominio o un IP. Selezioni quali moduli includere (default: tutti). Premi Avvia audit. In parallelo parte la raffica:
Protocolli, cipher suite, catena certificati, vulnerabilità note (Heartbleed, POODLE, ROBOT), grade A-F.
WHOIS, DNS multi-resolver (8 server pubblici), AXFR zone transfer test, propagazione globale.
Security header, cookie audit (HttpOnly/Secure/SameSite), CORS misconfig, HTTP methods pericolosi.
Content Security Policy: unsafe-inline, unsafe-eval, wildcard, direttive mancanti con fix.
Rileva nginx, Apache, PHP, CMS. Matcha contro 35 servizi con CVE noti dal database NVD locale.
Riconosce 17 WAF/CDN: Cloudflare, AWS, Akamai, Sucuri, Imperva, ModSecurity.
SPF, DKIM (selettori dedotti e brute), DMARC, MX, 10 RBL, STARTTLS.
X-Frame-Options e CSP frame-ancestors.
Test di 17 parametri di redirect comuni con 4 tecniche di bypass.
GDPR (cookie banner), PCI DSS (TLS/cipher), OWASP (header), DNSSEC.
Web server, linguaggio, CMS, framework JS, analytics, font, e-commerce platform.
Parse robots.txt per path nascosti, count URL sitemap.
Ogni modulo riceve un grade:
A B C D F
Poi c'è uno score globale, una barra per modulo, e il dettaglio dei findings con il fix. Il report PDF include tutto questo con il tuo logo e il nome del cliente. Il manager legge la prima pagina, l'auditor legge tutto il resto.
Parser, builder, simulatore, convertitore, audit di sicurezza. Perché iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT non dovrebbe essere una cosa da scrivere a memoria.
iptables-save, ip6tables-save o ipset list, NetForge ti spiega ogni regola in italiano.Chiunque abbia scritto un ruleset firewall ha conosciuto la sequenza del terrore: push del ruleset, SSH si spegne, corri nel datacenter alle 2 di notte. Il simulatore risponde alla domanda "questo pacchetto passa?" prima di applicare le regole. Non ti salva da tutto, ma ti salva dal 90% dei casi in cui la tua logica ha una svista banale.
Crea una VPN road-warrior, un mesh P2P, o una PKI OpenVPN completa. Senza generatori online che "promettono" che non salvano nulla.
| Modalità | Quando | Cosa genera |
|---|---|---|
| Road Warrior | Server + N client che si collegano al server | Config server completa, N config client, QR code per mobile, iptables/nftables automatici, guida passo-passo |
| Mesh P2P | N peer che parlano tutti con tutti | N config complete con PresharedKey per coppia (PFS anche lato-lato) |
| Aggiungi client | Hai già un server, vuoi solo un altro utente | Config client singola + il blocco [Peer] da appendere al server esistente |
OpenVPN richiede una PKI (CA, cert server, cert client). Farla a mano con easy-rsa vuol dire ricordarsi 15 comandi nell'ordine giusto. NetForge la genera con un form:
Hai già un .ovpn o una wg0.conf? Incollala nel pannello Audit:
auth debole, mancanza tls-auth/crypt, compressione VORACLE, TLS version, remote-cert-tls, potenziale DNS leak).PostUp/PostDown, AllowedIPs (il classico 0.0.0.0/0 non voluto), PresharedKey, PersistentKeepalive.Scan della subnet, mDNS discovery, topologia SVG, audit IoT con credenziali default, sniffing con anomaly detection. Tutto senza uscire dal browser.
Host, porte, MAC, vendor OUI, mDNS discovery, gateway via traceroute TCP (non più .1 hardcoded), topologia SVG navigabile.
Credenziali default (274+ IoT, 62 Mirai), RTSP probe su telecamere, SSDP/UPnP discovery, analisi segmentazione. Modalità veloce o profonda.
tcpdump live con 14 filtri preimpostati + BPF custom. Anomaly detection: ARP Poisoning, DHCP rogue, DNS spoofing, SYN flood, port scan. Export PDF/CSV.
Ping sweep, port scan, subnet remote con probe TCP fallback, MAC vendor lookup (500+ OUI), ARP spoofing detection, hostname via NetBIOS UDP 137, SNMP audit (community deboli).
UDP broadcast per trovare tutti i DHCP server sulla rete. Rogue detection se ne spuntano di troppi.
Download, latenza, jitter. Multi-endpoint (Cloudflare, OVH, CacheFly, Hetzner).
Hop-by-hop con latenza, ASN/ISP per hop, paese. Utile quando qualcuno dice "il sito è lento" e tu devi capire dove si perdono i pacchetti.
Scan porte proxy, SOCKS4/5 test, Tor exit node check.
Una volta all'anno uno apre il frigo e butta lo yogurt del 2023. L'IoT audit è la stessa cosa per la rete: apri il pannello, vedi le telecamere con admin:admin, il NAS con SMBv1, la stampante che espone un server telnet del 2009. Non trovi tutto, ma trovi il 90% dei disastri in 5 minuti.
openssl a memoriaDecodifica x509, validazione catene, generatore CSR, conversione PEM/DER/PKCS12, chiavi SSH. Perché openssl x509 -in cert.pem -text -noout è un comando che nessuno ricorda alla prima.
Incolli il PEM, vedi subject, SAN, validità, key usage, OCSP URI, CRL URI, fingerprint SHA256.
Verifica trust chain: leaf → intermedio → root. Ti segnala se manca un anello (il motivo più comune per cui un certificato "funziona in Chrome ma non in Firefox").
Form con CN, organizzazione, SAN multiple, scelta RSA 2048/4096 o EC P-256/P-384. Output: CSR + chiave privata pronti.
PEM ↔ DER ↔ PKCS12, con o senza password. Utile ogni volta che un apparato di rete pretende un formato obsoleto.
Ed25519, RSA, ECDSA con passphrase, formato OpenSSH + PEM + PuTTY PPK. Perché PuTTY esiste ancora.
MD5, SHA1, SHA256, SHA512, CRC32, NTLM + identificatore automatico (incolla un hash, ti dice cos'è).
Base64, URL, HTML, Hex, ROT13. Avanti e indietro, senza aprire CyberChef.
Header, payload, scadenza. Non verifica firma (apposta: il punto del debug è leggere, non validare).
Bonus: genera la configurazione SSL/TLS per nginx, Apache, HAProxy, Lighttpd, basata sulle linee guida Mozilla. Due profili: Modern (TLS 1.3 only) e Intermediate (TLS 1.2+1.3). Include HSTS e OCSP Stapling se li vuoi. Niente Old/Legacy — NetForge è opinionato, e sbarrare TLS 1.0 è un'opinione ragionevole nel 2026.
Generatore di configurazione BIND9 completo con filtering RPZ. Blocchi malware, botnet e phishing a livello DNS, prima che i client ci arrivino.
RPZ (Response Policy Zone) è il meccanismo di BIND per riscrivere o bloccare risposte DNS. In pratica: gestisci una blocklist a livello di resolver. Il browser del dipendente prova a risolvere malwareurl.tld, il tuo DNS risponde NXDOMAIN, e il malware non si scarica mai. Niente client agent, niente proxy, niente magia.
Il problema storico è scrivere la config BIND: zone, view, policy, aggiornamenti feed, cron. NetForge lo fa con un form e ti dà un tarball pronto da scompattare.
/etc/bind/, /var/lib/bind/).named.conf, zone RPZ, view se serve split-horizon.update-rpz.sh — script di aggiornamento feed con cron incluso.setup-bind.sh — installer che chiede solo conferma.nsupdate) per avere ogni client VPN registrato nel DNS interno. Utile per reportistica OpenVPN (ovpn.netforge.it) e per parlare per hostname anziche' per IP nella VPN.
Pacchetto Debian, repository APT, servizio systemd. Zero compilazione, zero dipendenze da cacciare a mano.
Aggiungi il repository APT, poi:
sudo apt update
sudo apt install netforge
sudo systemctl enable --now netforgeApri http://localhost:9191 nel browser. Il servizio gira con utente dedicato netforge sulla porta 9191. Aggiornamenti automatici con unattended-upgrades se lo tieni attivo.
netforge. Le capabilities Linux (CAP_NET_RAW, CAP_NET_ADMIN) sostituiscono sudo.aa-status per verificarlo.HttpOnly, SameSite=Lax, Secure se abiliti HTTPS..py in giro, no dipendenze Python da patchare, no pip install notturni.systemctl cat netforge, aa-status | grep netforge, getcap /usr/bin/netforge. Tutto trasparente. NetForge non è una scatola nera, è una scatola chiara con sopra un bel chown root:root.
Oltre alla dashboard web, NetForge espone una CLI netforge pensata per pipe, script e cron. Output umano di default, --json quando devi passare tutto a jq.
La UI è per un audit. La CLI è per dieci audit di fila lanciati da uno script, o per il cron notturno che controlla se i certificati stanno per scadere. Stessi moduli sotto, risultato in 100 ms invece che in 3 click.
| Comando | Argomento | Cosa fa |
|---|---|---|
netforge ssl | TARGET | Analisi SSL/TLS + certificato |
netforge dns | TARGET | Record DNS, DNSSEC, takeover detection |
netforge headers | TARGET | HTTP security header |
netforge audit | TARGET | Full audit (DNS + SSL + header + fingerprint) |
netforge mail | TARGET | SPF, DKIM, DMARC, RBL check |
netforge ports | TARGET | Port scan + service fingerprint |
netforge geo | TARGET | Geolocalizzazione IP/hostname |
netforge webprobe | TARGET | Path sensibili, pannelli admin, credenziali default |
| Comando | Cosa fa |
|---|---|
netforge start | Avvia il server web locale |
netforge stop | Ferma il server |
netforge restart | Riavvio pulito |
netforge status | Stato servizio (PID, porta, uptime) |
netforge open | Apre la dashboard nel browser |
netforge passwd | Cambia password admin |
netforge update | Aggiorna i DB locali (CVE, GeoLite, OUI, HSTS, IoT, SSL, Tor, tech, cloud, mining, DNS wordlist) |
--json — output JSON (per jq e pipe a script).--lang it|en — lingua output (default it).--db <nome> — per update, quali DB aggiornare (se omesso, tutti).| Exit | Significato | Scenario |
|---|---|---|
0 | OK / rischio basso | Tutto verde, passa il controllo |
1 | Warning / rischio medio-alto | Problemi rilevati, da valutare |
2 | Critico | Rompi la build, alza un alert, svegliami |
Questo rende la CLI drop-in in qualsiasi pipeline CI/CD: netforge ssl prod.example.com || notify, netforge audit staging.example.com --json | jq '.score', il classico.
# ogni notte: alza errore se qualche TLS è rotto
netforge ssl prod.example.com || mail -s "TLS warning" ops@example.com# una riga per dominio nel file 'domini.txt'
while read d; do
netforge audit "$d" --json > "reports/$d.json"
done < domini.txtnetforge audit example.com --json | jq '{score, grade, findings: [.modules[].grade]}'netforge update --db cve ouiQuattro strumenti pubblici, gratis, senza registrazione. Utili anche senza avere NetForge installato.
Il tuo IP pubblico, geolocalizzazione, ASN, ISP. IPv4 e IPv6 separati. Installabile come PWA, funziona offline per i dati in cache. Niente banner pubblicitari, niente dark pattern.
Dashboard gratuita per monitorare connessioni OpenVPN. Si integra con le config generate da NetForge (hook event-log.sh che spedisce gli eventi).
Feed CVE in tempo reale da NVD e CSIRT Italia. Filtri per severity, ricerca keyword, auto-refresh. Comodo da lasciare aperto in una tab mentre lavori.
HTTPS, header di sicurezza, IP server, mixed content, vulnerabilità comuni. Un click, risultato nel popup, 100% locale nel browser — niente dati a server esterni.
Anche se non compri NetForge, l'estensione Firefox ti dà un audit al volo di ogni pagina che visiti. Score 0-100, header HTTP, mixed content, server IP. Zero account, zero telemetria.
Installa dall'Add-on StoreScenario → modulo. Senza pensare.
| Ho bisogno di... | Vai su |
|---|---|
| Report cliente con score globale | Full Audit → PDF |
| Verificare un certificato TLS | SSL/TLS Analyzer |
| Sapere se SPF/DKIM/DMARC del dominio sono ok | Analisi Posta |
| Scoprire che CMS/server gira un sito | Technology Stack + Fingerprint |
| Configurare una VPN per un cliente | WireGuard Road Warrior o OpenVPN Generator |
| Verificare se la VPN esistente è sicura | Audit OpenVPN / WireGuard |
| Capire cosa c'è nella LAN del cliente | Network Scanner + IoT Security Audit |
| Indagare un traffico anomalo | Packet Sniffer (con anomaly detection) |
| Scrivere un ruleset iptables/nftables | Firewall Builder + Template |
| Spiegare a un collega cosa fa una regola | Firewall Analyzer (parser con descrizione IT) |
| Simulare un pacchetto prima di pushare | Firewall Simulator |
| Migrare da iptables a nftables | Convertitore |
| Bloccare malware a livello DNS | DNS Sicuro (BIND+RPZ) |
| Decodificare un certificato incollato | Decodifica x509 |
| Generare CSR + chiave privata | Generatore CSR |
| Chiavi SSH nuove (Ed25519) | SSH Key Generator |
| Config SSL per nginx/Apache | SSL Config Generator |
| Verificare un JWT al volo | JWT Decoder |
| Generare password sicure + htpasswd | Password Generator |
| Profilo AppArmor per un servizio | AppArmor Generator |
| Geolocalizzare IP in bulk (fino a 100) | Geolocalizzazione IP |
| Subdomain enumeration | Subdomain Discovery (CT logs) |
Se il tuo venerdì pomeriggio assomiglia alla prima colonna della tabella del capitolo 02, NetForge è fatto per te. Pricing per team o installazione multi-postazione? Scrivi al supporto.
Vai su netforge.ittestssl.sh, nmap, dig, wg e openssl restano strumenti perfetti. NetForge non li sostituisce: li mette dietro un'UI comune quando il lavoro è ripetitivo, standardizzato, e soprattutto da consegnare in PDF.