Настройка межсетевого экрана
Red Hat Enterprise Linux AS предоставляет защиту с помощью межсетевого экрана для обеспечения безопасности системы. Межсетевой экран устанавливается между вашим компьютером и сетью, ограничивая использование ресурсов вашего компьютера удаленными пользователями сети. Правильно настроенный межсетевой экран может значительно усилить безопасность вашей системы.
Выберите уровень безопасности подходящий вашей системе.
- High (Высокий)
Если вы устанавливает High (Высокий) уровень, ваша система не будет принимать входящие подключения (кроме разрешенных по умолчанию), явно не определенных вами. По умолчанию, только следующие подключения разрешены:
DNS запросы
DHCP — если сетевые интерфейсы настроены на использование DHCP
Если вы выбираете High(Высокий) уровень, ваш межсетевой экран заблокирует следующие соединения:
FTP в активном режиме (пассивный режим FTP, используемый большинством клиентов, по прежнему будет работать)
Передача файлов IRC DCC
RealAudioTM
Удаленные клиенты системы X Window System
Если ваша система подключена к интернет, и вы не планируете запуск сервеных приложений, это самый безопасный выбор. Если необходимо использовать дополнительные службы, выберите Customize (Настроить) для разрешения работы указанных служб с межсетевым экраном.
- Средний (Medium)
При выборе Medium (Среднего) уровня безопасности, ваш межсетевой экран не позволит удаленным машинам получать доступ к определенным ресурсам вашей системы. По умолчаню, блокируется доступ к следующим ресурсам:
Порты с номером меньшим 1023 — стандартные зарезервированные порты, используемые большинством системных служб, такими как FTP, SSH, telnet и HTTP
Порт сервера NFS (2049)
Локальный дисплей X Window System для удаленных X клиентов
Порт сервера X Font (по умолчанию, xfs не принимает подключения; он запрещен на сервере)
Если вы хотите использовать ресурсы, такие как RealAudioTM, при этом блокируя доступ к стандартным сетевым службам, установите Medium (Средний) уровень. Выберите Customize (Настроить) для разрешения работы определенных служб с межсетевым экраном.
- Без защиты (No Firewall)
Этот вариант предоставляет полный доступ к вашей системе, при этом проверка безопасности отсутствует. Проверка безопасности подразумевает отказ в доступе к определенным службам. Этот вариант следует выбирать только если вы работаете в закрытой сети (не в интернет) или планируете настроить межсетевой экран позже.
Выполните Customize (Настроить) для добавления доверенных устройств и разрешения дополнительных входящих подключений.
- Trusted Devices (Доверенные устройства)
Определив Trusted Devices (Доверенные устройства) вы разрешаете полный доступ к вашей системе с этих устройств; они исключаются из правил межсетевого экрана. Например, если вы работаете в локальной сети, и подключаетесь к интернет через модемное PPP соединение, вы можете отметить eth0 и любые пакеты приходящие из локальной сети будут приняты. Пометив eth0 как доверенное устройство, вы разрешаете пропускать все пакеты, приходящие через Ethernet, в то время как интерфейс ppp0 по прежнему защищен. Если вы хотите ограничить пакеты для интерфейса, оставьте его неотмеченным.
Не рекомендуется устройство, подключенное к сетям общего пользования, таким как интернет, обозначать Доверенным.
- Allow Incoming (Разрешить входящие )
Установка этих отметок позволит службам передавать данные через межсетевой экран. Обратите внимание, во время установки рабочей станции, большинство этих служб не устанавливается.
- DHCP
Если вы разрешаете входящие DHCP запросы и ответы, любой сетевой интерфейс, использующий DHCP может получить IP адрес. DHCP обычно разрешен. Если DHCP заблокирован, ваш компьютер не сможет получить IP адрес.
- SSH
Безопасная оболоча - Secure SHell (SSH) - это набор инструментов для входа и выполнения команд на удаленной машине. Если вы планируете использовать инструменты SSH для доступа к вашей машине через межсетевой экран, отметьте этот пункт. Вам потребуется установить пакет openssh-server для получения доступа к своей машние удаленно с помощью инструментов SSH.
- Telnet
Telnet это протокол для входа на удаленную машину. Соединения telnet не шифруются и не обеспечивают защиты от перехвата сетевых пакетов. Не рекомендуется разрешать входящие telnet соединения. Если вы все же решили использовать входящий Telnet доступ, установите пакет telnet-server.
- WWW (HTTP)
Протокол HTTP используется Apache (и другими Web серверами) для передачи web-содержимого. Если вы планируете сделать ваш Web-сервер общедоступным, отметьте этот пункт. Установка этого параметра не требуется для локального просмотра или создания web-страниц. Чтобы ваш компьютер выполнял роль Web-сервера, установите пакет apache.
- Mail (Почта ) (SMTP)
Если вы хотите разрешить доставку почты через межсетевой экран, чтобы удаленные узлы могли подключаться прямо к вашей машине для доставки, отметьте этот пункт. Вам не нужно разрешать этот протокол, если вы получаете почту на сервере вашего интернет провайдера, используя протокол POP3 или IMAP, или программу fetchmail. Обратите внимание, неправильно настроенный SMTP сервер может быть использован в качестве источника рассылки почтового мусора (спама).
- FTP
Протокол FTP используется для передачи файлов между машинами в сети. Если вы планируете сделать ваш FTP-сервер общедоступным, отметьте этот пункт. Вам понадобится установить пакет wu-ftpd (и возможно anonftp) для того чтобы ваш FTP-сервер начал работу.
- Other ports (Другие порты)
Вы можете разрешить доступ к другим портам, не описанным здесь, перечислив их в поле Other ports. Используйте следующий формат: port:protocol. Например, если вы хотите разрешите IMAP доступ через межсетевой экран, укажите imap:tcp. Вы можете также явно указать числовой номер порта; чтобы пропустить UDP пакеты на порт 1234 через межсетевой экран, введите 1234:udp. Указать несколько портов можно, разделив их запятыми.