Настройка Firewall

Для повышения безопасности системы Red Hat Linux предлагает настроить firewall (брандмауэр). Firewall находится между компьютером и сетью и определяет, к каким ресурсам вашего компьютера можно предоставить доступ удаленным пользователям в сети. Грамотно настроенный firewall может существенно увеличить безопасность системы.

Рисунок 3-19. Настройка Firewall

Выберите требуемый уровень безопасности системы.

Высокий (High)

Если выбрать Высокий (High), то система не будет принимать соединения (кроме установленных по умолчанию), которые специально не указаны вами. По умолчанию разрешены только следующие соединения:

  • Ответы DNS (DNS replies)

  • DHCP — так все сетевые интерфейсы, использующие DHCP, могут быть настроены должным образом

Если вы выберете Высокий (High), ваш firewall запретит следующие соединения:

  • Активный режим FTP (пассивный режим FTP, используемый по умолчанию для большинства клиентов, будет разрешен)

  • Передача файлов по IRC DCC

  • RealAudioTM

  • Удаленные клиенты системы X Window

Если вы подключены к интернету, но не собираетесь устанавливать сервер, этот уровень будет самым безопасным. Если вам нужны дополнительные сервисы, вы можете выбрать Настроить вручную (Customize), чтобы определенные сервисы пропускались через firewall.

Обратите вниманиеОбратите внимание
 

Если вы выберете средний или высокий уровни в процессе данной установки, то способы сетевой аутентификации (NIS и LDAP) не будут работать.

Средний

Если выбрать Средний (Medium), то firewall запретит удаленным компьютерам доступ к определенным ресурсам вашей системы. По умолчанию запрещен доступ к следующим ресурсам:

  • Порты ниже 1023 — стандартные зарезервированные порты, используемые большинством системных служб, таких как FTP, SSH, telnet, HTTP и NIS.

  • Порт NFS сервера (2049) — NFS отключен как для удаленных серверов, так и для локальных клиентов.

  • Дисплей локальной системы X Window для удаленных клиентов X.

  • Порт X Font сервера (по умолчанию xfs не слушает сеть, т.к. отключен в сервере шрифтов).

Если вы хотите разрешить такие ресурсы, как RealAudioTM, при этом закрывая доступ к обычным системным службам, выберите Средний (Medium). Вы можете выбрать Настроить вручную (Customize), чтобы определенные сервисы пропускались через firewall.

Обратите вниманиеОбратите внимание
 

Если вы выберете средний или высокий уровни в процессе данной установки, то способы сетевой аутентификации (NIS и LDAP) не будут работать.

Без брандмауэра (No Firewall)

Этот уровень предоставляет полный доступ к вашей системе и не производит проверку безопасности. Проверка безопасности — это отключение доступа к определенным службам. Этот уровень рекомендуется только в том случае, если вы находитесь в высоконадежной сети (не в интернете), или если вы собираетесь произвести более детальную настройку firewall несколько позже.

Выберите Настроить вручную (Customize), чтобы добавить в список доверенные устройства или разрешить доступ дополнительным входящим службам.

Доверенные устройства (Trusted Devices)

Выбор любого из Доверенных устройств (Trusted Devices) разрешает доступ к вашей системе всему траффику с этого устройства; этот траффик исключается из правил firewall. К примеру, если вы находитесь в локальной сети и подключаетесь к интернету через модемную связь по протоколу PPP, вы можете отметить eth0, и весь траффик по локальной сети будет разрешен. Выбор eth0 в качестве доверенного устройства означает, что весь траффик по Ethernet разрешен, но интерфейс ppp0 по-прежнему находится за firewall. Если вы хотите запретить траффик по какому-либо интерфейсу, не отмечайте его.

Не рекомендуется делать Доверенным устройством любое устройство, имеющее доступ в публичную сеть, такую как интернет.

Разрешить входящие (Allow Incoming)

Включение этой опции позволяет указанным службам проходить через firewall. Обратите внимание, что при установке типа рабочая станция большинство этих служб не устанавливается.

DHCP

Если разрешить входящие запросы и ответы DHCP, то это позволит всем сетевым интерфейсам, использующим протокол DHCP, определить свой IP адрес. Обычно DHCP включен. Если DHCP отключен, ваш компьютер не сможет получить IP адрес.

SSH

Secure SHell (безопасная оболочка, SSH) — это набор инструментов для входа на удаленный компьютер и выполнение команд на нем. Если вы собираетесь использовать SSH для доступа на ваш компьютер через firewall, включите эту опцию. Для удаленного доступа на ваш компьютер при помощи SSH необходимо установить пакет openssh-server.

Telnet

Telnet — это протокол для входа на удаленные компьютеры. Связь через Telnet не шифруется и, соответственно, безопасной не является. Не рекомендуется разрешать входящий Telnet доступ. Если вы все-таки хотите его разрешить, необходимо установить пакет telnet-server.

WWW (HTTP)

Протокол HTTP используется Apache (и другими web серверами) для обслуживания web страниц. Если вы собираетесь открыть публичный доступ на ваш web сервер, включите эту опцию. Эта опция не требуется для локального просмотра web страниц или для их разработки. Вам потребуется установить пакет httpd для обслуживания web страниц.

Разрешение протокола WWW (HTTP) не окроет порт для HTTPS. Чтобы разрешить HTTPS, укажите его в поле Другие порты.

Mail (SMTP)

Если вы хотите разрешить доставку входящей почты через firewall, чтобы удаленные компьютеры могли напрямую подключаться к вашему и доставлять почту, включите эту опцию. Если же вы забираете почту с сервера провайдера через протоколы POP3 или IMAP или же используете такой клиент, как fetchmail, вам не нужно включать эту опцию. Имейте в виду, что неправильно настроенный SMTP сервер может позволить злобным спамерам с удаленных компьютеров использовать ваш сервер в своих грязных целях. ;)

FTP

Протокол FTP используется для передачи файлов между компьютерами в сети. Если вы хотите открыть доступ на ваш FTP сервер, включите эту опцию. Вам потребуется установить пакет wu-ftpd (а возможно, еще и пакет anonftp).

Другие порты (Other ports)

Вы можете открыть доступ к портам, которые не были перечислены выше, внеся их в поле Другие порты (Other ports). Используйте формат port:protocol. Например, если вы хотите открыть доступ по IMAP через ваш firewall, укажите imap:tcp. Точно также можно явно указывать номера портов; чтобы открыть доступ через firewall для UDP пакетов на 1234 порт, введите 1234:udp. Если вы хотите указать несколько портов, вводите их через запятую.

СоветСовет
 

Для того, чтобы изменить настройки уровня безопасности после завершения процесса установки, воспользуйтесь Утилитой настройки уровня безопасности (Security Level Configuration Tool).

Для того, чтобы запустить Утилиту настройки уровня безопасности (Security Level Configuration Tool), введите команду redhat-config-securitylevel в командной строке. Если вы не являетесь пользователем root, появится приглашение ввести пароль root для запуска этой утилиты.