O Red Hat Linux também lhe oferece a protecção por 'firewall' para uma segurança melhorada do sistema. A 'firewall' ficam entre o seu computador e a rede e determina quais os recursos no seu computador a que os utilizadores remotos poderão aceder. Uma 'firewall' bem configurada pode aumentar bastante a segurança para o exterior do seu sistema.
Escolha o nível de segurança apropriado para o seu sistema.
Alta Segurança — Ao escolher Alta, o seu sistema não irá aceitar as ligações que não forem indicadas explicitamente por si. Por omissão, só as seguintes ligações são permitidas:
Respostas de DNS
DHCP — para que todas as placas de rede que usem DHCP possam ser configuradas convenientemente.
Usar esta Alta Segurança não permitirá o seguinte:
FTP em modo activo (o FTP em modo passivo, usado por omissão pela maioria dos cliente deve funcionar sem problemas.)
Transferências de ficheiros de DCC do IRC
RealAudio(tm)
Clientes remotos do X Window System
Se vai ligar o seu sistema à Internet, mas não planeia correr um servidor, esta é a opção mais segura. Se são necessários serviços adicionais, pode escolher Personalizar para permitir alguns serviços específicos na 'firewall'.
Segurança Média — Ao escolher Médio não permitirá o acesso do seu sistema a certos recursos. Por omissão, o acesso aos seguintes recursos é proibido:
Os portos menores que 1023 — estes são os portos normais reservados para a maioria dos serviços de sistema, como o FTP, o SSH, o telnet e o HTTP .
O porto do servidor de NFS (2049)
o ambiente local do X Window System para os clientes remotos do X
o porto do servidor de tipos de letra do X (está desactivado por omissão no servidor em si.)
Se quiser permitir recursos como o RealAudio , mas bloqueando à mesma o acesso aos serviços normais do sistema, escolha a Segurança Média. Pode escolher Personalizar para permitir os serviços específicos passarem através da 'firewall'.
Sem Firewall — A ausência de 'firewall' permite o acesso completo e não realiza nenhuma verificação de segurança. Recomenda-se esta opção só se estiver a trabalhar numa rede de confiança (não a Internet) ou se pretende fazer uma configuração da 'firewall' mais detalhada posteriormente.
A menos que pretenda personalizar a sua 'firewall', verifique que a opção Usar as regras de 'firewall' por omissão está seleccionada.
Escolha Personalizar para adicionar mais dispositivos de confiança ou para permitir mais interfaces de entrada.
Dispositivos de Confiança — Ao assinalar algum destes seus dispositivos permitirá todo o tráfego que venha deste dispositivo. Por exemplo, se estiver numa rede local, mas está ligado à Internet por uma ligação PPP telefónica, pode indicar que a interface eth0 permite todo o tráfego que venha da sua rede local.
Não é recomendado activar isto para os dispositivos que estão ligados a redes públicas, como a Internet.
Permitir a Recepção — Activando estas opções permite que os serviços especificados passem através da 'firewall'. De notar que, durante a instalação para uma estação de trabalho, a maioria destes serviços não estão presentes no sistema.
DHCP — Isto permite os pedidos e respostas do DHCP, e permite a todas as interfaces de rede que usam DHCP determinarem os seus endereços IP. O DHCP está activado normalmente.
SSH — A 'Secure Shell' ( SSH) é um protocolo para estabelecer ligações e executar comandos em máquinas remotas que permite comunicações seguras com cifra. Se pensa aceder à sua máquina remotamente através de SSH por uma interface com uma 'firewall', active esta opção. Precisa de instalar o pacote openssh-server para esta opção ter utilidade.
Telnet — O Telnet é um protocolo para estabelecer ligação com máquinas remotas. Não é cifrado e oferece pouca segurança a ataques maldosos na rede. Activar o telnet não é recomendado. Precisa de instalar o pacote telnet-server para esta opção ter utilidade.
WWW (HTTP) — O HTTP é o protocolo usado pelo Apache para servir as páginas Web. Se pretender tornar o seu servidor Web disponível publicamente, active esta opção. Esta opção não é necessária para ver as páginas localmente ou para criar páginas Web. Precisa de instalar o pacote do Apache para esta opção ter utilidade.
Correio (SMTP) — Isto permite a entrega a esta máquina de correio por SMTP. Se precisa de permitir às máquinas remotas ligarem-se directamente a esta máquina para entregarem 'e-mail', active esta opção. Não precisa de activar isto se vai buscar o seu correio electrónico ao servidor do seu ISP por POP3 ou IMAP, ou se utiliza uma ferramenta como o fetchmail. Repare que um servidor de SMTP mal configurado pode permitir às máquinas remotas usarem o seu servidor para realizar 'spam'.
FTP — O FTP é um protocolo utilizado para a transferência remota de ficheiros. Se pretende disponibilizar publicamente o seu servidor de FTP, active esta opção. Precisa de instalar os pacotes wu-ftpd (e possivelmente o anonftp) para esta opção ter utilidade.
Outros portos — Pode indicar que os outros portos que não constam aqui sejam permitidos na 'firewall'. O formato a usar é o 'porto:protocolo'. Por exemplo, se quiser permitir o acesso de IMAP através da sua 'firewall', pode indicar 'imap:tcp'. Pode também especificar os portos numéricos explicitamente; para permitir os pacotes de UDP no porto 1234, indique '1234:udp'. Para especificar vários portos, separe-os por vírgulas.