Настройка Firewall

Для повышения безопасности системы Red Hat Linux предлагает настроить firewall (брандмауэр). Firewall находится между компьютером и сетью и определяет, к каким ресурсам вашего компьютера можно предоставить доступ удаленным пользователям в сети. Грамотно настроенный firewall может существенно увеличить безопасность системы.

Выберите требуемый уровень безопасности системы.

Рисунок 3-12. Настройка Firewall

Высокий (High)

Если выбрать Высокий (High),то система не будет принимать соединения (кроме установленных по умолчанию), которые специально не указаны. По умолчанию разрешены только следующие соединения:

  • Ответы DNS (DNS replies)

  • DHCP — так все сетевые интерфейсы, использующие DHCP, могут быть настроены должным образом

Если вы выберете Высокий (High), ваш firewall запретит следующие соединения:

  • Активный режим FTP (пассивный режим FTP, используемый по умолчанию для большинства клиентов, будет разрешен)

  • Передача файлов по IRC DCC

  • RealAudioTM

  • Удаленные клиенты системы X Window

Если вы подключены к интернету, но не собираетесь устанавливать сервер, этот уровень будет самым безопасным. Если вам нужны дополнительные сервисы, вы можете выбрать Настроить вручную (Customize), чтобы определенные сервисы пропускались через firewall.

Средний (Medium)

Если выбрать Средний (Medium), то firewall запретит удаленным компьютерам доступ к определенным ресурсам вашей системы. По умолчанию запрещен доступ к следующим ресурсам:

  • Порты ниже 1023 — стандартные зарезервированные порты, используемые большинством системных служб, таких как FTP, SSH, telnet и HTTP

  • Порт NFS сервера (2049)

  • Дисплей локальной системы X Window для удаленных клиентов X

  • Порт X Font сервера (по умолчанию xfs не слушает сеть, т.к. отключен в font сервере)

Если вы хотите разрешить такие ресурсы как RealAudioTM, при этом закрывая доступ к обычным системным службам, выберите Средний (Medium). Вы можете выбрать Настроить вручную (Customize), чтобы определенные сервисы пропускались через firewall.

Без брандмауэра (No Firewall)

Этот уровень предоставляет полный доступ к вашей системе и не производит проверку безопасности. Проверка безопасности — это отключение доступа к определенным службам. Этот уровень рекомендуется только в том случае, если вы находитесь в высоконадежной сети (не в интернете), или если вы собираетесь произвести более подробную настройку firewall несколько позже.

Выберите Настроить вручную (Customize), чтобы добавить в список доверенные устройства или разрешить доступ дополнительным входящим службам.

Доверенные устройства

Выбор любого из Доверенных устройств (Trusted Devices) разрешает доступ к вашей системе всему траффику с этого устройства; этот траффик исключается из правил firewall. К примеру, если вы находитесь в локальной сети и подключаетесь к интернету через модемную связь по протоколу PPP, вы можете отметить eth0, и весь траффик по локальной сети будет разрешен. Выбор eth0 в качестве доверенного означает, что весь траффик по Ethernet разрешен, но интерфейс ppp0 по-прежнему находится за firewall. Если вы хотите запретить траффик по какому-либо интерфейсу, не отмечайте его.

Не рекомендуется делать Доверенным устройством любое устройство, имеющее доступ в публичную сеть, такую как интернет.

Разрешить входящие (Allow Incoming)

Включение этой опции позволяет указанным службам проходить через firewall. Обратите внимание, что при установке типа рабочая станция большинство этих служб не устанавливается.

DHCP

Если разрешить входящие DHCP запросы и ответы, то это позволит всем сетевым интерфейсам, использующим протокол DHCP, определить свой IP адрес. Обычно DHCP включен. Если DHCP отключен, ваш компьютер не сможет получить IP адрес.

SSH

Secure SHell (безопасная оболочка) — это набор инструментов для входа на удаленный компьютер и выполнение команд на нем. Если вы собираетесь использовать SSH для доступа на ваш компьютер через firewall, включите эту опцию. Для удаленного доступа на ваш компьютер при помощи SSH необходимо установить пакет openssh-server.

Telnet

Telnet — это протокол для входа на удаленные компьютеры. Связь через Telnet не шифруется и, соответственно, безопасной не является. Не рекомендуется разрешать входящий Telnet доступ. Если вы все-таки хотите его разрешить, необходимо установить пакет telnet-server.

WWW (HTTP)

Протокол HTTP используется Apache (и другими web серверами) для обслуживания web страниц. Если вы собираетесь открыть публичный доступ на ваш web сервер, включите эту опцию. Эта опция не требуется для локального просмотра web страниц или для их разработки. Вам потребуется установить пакет apache.

Mail (SMTP)

Если вы хотите разрешить доставку входящей почты через firewall так, чтобы удаленные компьютеры могли напрямую подключаться к вашему и доставлять почту, включите эту опцию. Если же вы забираете почту с сервера провайдера через протоколы POP3 или IMAP или же используете такой клиент, как fetchmail, вам не нужно включать эту опцию. Имейте в виду, что неправильно настроенный SMTP сервер может позволить злобным спамерам с удаленных компьютеров использовать ваш сервер в своих грязных целях. ;)

FTP

Протокол FTP используется для передачи файлов между компьютерами в сети. Если вы хотите открыть доступ на ваш FTP сервер, включите эту опцию. Вам потребуется установить пакет wu-ftpd (а возможно, еще и anonftp).

Другие порты (Other ports)

Вы можете открыть доступ к портам, которые не были перечислены выше, внеся их в поле Другие порты (Other ports)port:protocol. Например, если вы хотите открыть доступ по IMAP через ваш firewall, укажите imap:tcp. Точно также можно явно указывать номера портов; чтобы открыть доступ через firewall для UDP пакетов на 1234 порт, введите 1234:udp. Если вы хотите указать несколько портов, вводите их через запятую.