Il pannello che tiene i tuoi siti al sicuro.

Pannello nginx self-hosted per Debian 12 e 13, pensato per VPS piccole, Raspberry Pi 4/5 e homelab Proxmox. Firewall outbound per-sito, WireGuard come admin plane, filtro Squid SNI — tutto da un pannello solo, e tutto con file che puoi aprire e leggere.

Installa arx Vedi lo stack

Gratis per uso personale e non-commerciale — homelab, studio, fai-da-te. L'uso commerciale (clienti paganti, produzione a scopo di lucro) richiede una licenza NetForge attiva — vedi i termini. Telemetry anonima stile Brave, opt-out documentato.

Perché arx

⛨

Sicuro by default

Isolamento stretto dei siti (mode 0750 / 0640 owner:owner), firewall per-uid, default-deny in uscita. Niente "abilita tutto e poi vediamo". Ogni livello è opt-in e ispezionabile.

⌨

Non è una scatola nera

Ogni config nginx e FPM che arx genera vive in /srv/arx/ ed è tua da leggere. Drift detection ti avvisa quando modifichi a mano e ti offre "accetta la tua modifica come nuova baseline" — non sovrascrive silenziosamente. CLI per ogni azione della UI.

⌬

Pi e homelab di prima classe

Niente Docker. Memoria-consapevole: le feature opzionali mostrano la stima di RAM prima di attivarle. Spedito come .deb autocontenuto per Debian 12 e 13. Template Proxmox LXC in arrivo.

Come una richiesta attraversa arx

Ogni hit di un visitatore e ogni chiamata in uscita da un sito passano dalla stessa pipeline. Due lane — ingresso (visitatore / admin) e uscita (il sito che cerca il mondo). Ogni riquadro con bordo blu è un checkpoint di sicurezza che controlli tu.

Flusso dati arx: il traffico visitatore entra da nftables INPUT, si dirama verso nginx/panel/ssh; nginx parla con PHP-FPM; il traffico in uscita di PHP-FPM passa per nftables OUTPUT NAT, viene rediretto a Squid (SNI peek+splice), l'host esterno è raggiunto solo se in allowlist del sito.

Lo stack opinionato

Una sola risposta giusta per categoria. Meno scelte, meno cose da configurare, meno cose che si rompono — e meno divergenza tra due installazioni di arx.

nginxweb server

Sury PHPFPM multi-versione

Squidpeek & splice SNI

WireGuardadmin plane

nftablesuscita per-uid

fail2bancontro brute-force

Let's EncryptSSL automatico

GoAccessstatistiche per-sito

Debian 12 e 13unico target

I database stanno su un altro host. arx non installa mai MariaDB o Postgres sulla macchina web — il tuo blast radius non deve essere a un ssh di distanza.

Difesa in profondità, layer per layer

nftables — outbound per-uid + ingresso da admin source

Ogni utente di sito ottiene una catena dedicata che fa default-reject a meno che un IP/CIDR di destinazione sia in allowlist. In ingresso: solo 80/443 pubblico, SSH e pannello raggiungibili da WireGuard o dai CIDR admin che imposti tu. Master switch default-OFF impedisce di tagliarti fuori al primo apply.

WireGuard — admin plane

SSH e il pannello accettano connessioni solo dai peer della tunnel. Una scansione pubblica del tuo VPS vede le porte web + UDP/51820 e nient'altro. Le chiavi dei peer sono generate server-side con X25519, la conf del client viene mostrata una volta sola e non viene mai persistita.

Squid — filtro SNI trasparente

Quando attivo, nftables redirige ogni 80/443 in uscita dei siti verso una porta Squid dedicata per-sito. Squid "peeka" il TLS ClientHello, fa splice se la destinazione è in allowlist, rifiuta altrimenti. Niente MitM: i certificati non vengono mai terminati, quindi anche le app che fanno cert pinning continuano a funzionare.

Installazione

Su una VPS, Pi o LXC pulita con Debian 12 (bookworm) o 13 (trixie), come root:

Aggiungi il repo APT pubblico NetForge (codename auto-rilevato):

curl -fsSL https://apt.netforge.it/netforge.asc | sudo tee /etc/apt/keyrings/netforge.asc > /dev/null

echo "deb [signed-by=/etc/apt/keyrings/netforge.asc] https://apt.netforge.it/public $(. /etc/os-release; echo $VERSION_CODENAME) main" | sudo tee /etc/apt/sources.list.d/netforge.list

Installa — apt risolve nginx, Squid, WireGuard, nftables, fail2ban:
```
sudo apt update
```
```
sudo apt install arx
```
(raro) Se apt si lamenta di dipendenze rotte, sistema in un colpo:
```
sudo apt -f install
```
Primo admin + avvio. Il pannello resta su 127.0.0.1 — lo raggiungi attraverso il tunnel WireGuard che configurerai dopo:
```
sudo arx admin create
```
```
sudo systemctl enable --now arx
```
```
ssh -L 9443:127.0.0.1:9443 your-vps
```

Gratis per uso personale e non-commerciale — installi e usi senza licenza. L'uso commerciale richiede una licenza NetForge attiva; il pannello è identico, la licenza regola l'uso. Il passo 3 (apt -f install) serve solo se un repo di terze parti o un'installazione precedente lasciata a metà ha rotto l'albero delle dipendenze — ricalcola e risolve.

Come si confronta

	arx	cPanel/Plesk	CloudPanel	Webmin
Gratis per uso personale / non-commerciale	✓	a pagamento	tier free limitato	✓
Sorgenti disponibili	✓	✗	✗	✓
Firewall outbound per-sito	✓	✗	✗	✗
WireGuard admin plane	✓	✗	✗	✗
File visibili e modificabili	✓	opaco	parziale	✓
Drift detection	✓	✗	✗	✗
Target Pi 4 / 4 GB	✓	✗	stretto	✓
UI moderna	✓	datata	✓	stile 2005
Focalizzato (no kitchen sink)	✓	pesante	✓	fa di tutto