Для улучшения защиты системы в Red Hat Linux предлагается брандмауэр. Он находится между вашим компьютером и сетью и определяет, к каким ресурсам на вашей машине сетевые пользователи могут получить доступ. При правильной настройке брандмауэр может значительно повысить степень защиты системы.
Выберите подходящий уровень защиты для вашей системы.
Высокий уровень защиты — При выборе Высокий уровень защиты система разрешает только указанные вами связи. По умолчанию разрешены только:
ответы DNS
DHCP (любые сетевые интерфейсы, использующие DHCP, могут быть правильно настроены)
Если выбран Высокий уровень безопасности, не допускается:
Активный режим FTP (Пассивный режим FTP, настроенный по умолчанию у большинства клиентов работает нормально)
Передача файлов IRC DCC
RealAudio(tm)
Удаленные пользователи системы X Window System
Если вы просто подключаетесь к Интернет, но не планируете режим сервера, это наиболее безопасный вариант. Если вам нужны дополнительные сервисы, выберите Уточнить для разрешения отдельных сервисов при брандмауэре.
Средний уровень защиты - Если выбрать Средний уровень защиты, ваша система не будет иметь доступа к определенным ресурсам. По умолчанию не разрешается доступ к:
порты ниже 1023 - это стандартные резервированные порты, которые используются большинством системных сервисов, таких как FTP, SSH, telnet, и HTTP.
Порт сервера NFS (2049)
локальный дисплей системы Х Window для удаленных пользователей
порт сервера шрифтов X
Если вам нужны такие ресурсы как RealAudio(tm), при блокировке доступа к нормальным системным сервисам, выберите Средний уровень защиты. Вы можете выбрать Уточнить для разрешения отдельных сервисов при брандмауэре.
Без брандмауэра — При уровне Без брандмауэра обеспечивается полный доступ, и работает проверка безопасности. Он рекомендуется только при работе в надежной сети (а не в Интернет) или, если позже вы собираетесь осуществить более детальную настройку брандмауэра.
Если вы не собираетесь уточнять настройки брандмауэра, выберите Использовать правила брандмауэр по умолчанию
Выберите Уточнить для добавления надежных устройств или для разрешения дополнительных входящих интерфейсов.
Надежные устройства — Такой выбор для любого из ваших устройств разрешает весь трафик с этого устройства. Например, если у вас локальная сеть, и вы входите в Интернет при помощи набора PPP, вы могли бы проверить, является ли eth0 надежной для разрешения всего трафика из вашей локальной сети.
Такая настройка не рекомендуется для устройств, подключенным к сетям общего доступа, таким как Интернет.
Разрешить входящие — Этот выбор позволяет отдельным сервисам поступать через брандмауэр. Обратите внимание, на то, что при установке класса рабочая станция большая часть таких сервисов в системе не предусматривается.
DHCP — При этой настройке разрешаются вопросы и ответы DHCP, а также любые сетевые интерфейсы, которые используют DHCP для определения адреса IP address. DHCP обычно настроен.
SSH — Безопасная оболочка (SSH) - это протокол для входа и исполнения команд на удаленных машинах. Он обеспечивает безопасный обмен конфиденциальной информацией. Если вы планируете использовать дистанционный доступ к вашей машине через SSH при интерфейсе брандмауэра, выберите эту настройку. Для осуществления такой настройки необходимо установить пакет openssh-server.
Telnet — Telnet - это протокол для входа в удаленные машины. Он не является скрытым и не обеспечивает достаточной защиты от попыток проникновения в систему из сети. protocol for logging into remote machines. It is unencrypted, and provides little security from network snooping attacks. Установка telnet не рекомендуется. Для осуществления этой настройки требуется установка пакета telnet-server.
WWW (HTTP) — HTTP - это протокол, который используется Apache для обслуживания. Web-страниц. Если вы планируете общий доступ к вашему Web-серверу, вам подойдет этот вариант. Он не рекомендуется для локального просмотра страниц и для создания Web-страниц. Требуется установка пакета Apache.
Mail (SMTP) — Эта настройка разрешает доставку почты SMTP. Если нужно разрешить удаленным машинам соединяться непосредственно с вашей для передачи почты, сделайте такую настройку. У вас нет необходимости делать такую настройку, если вы получаете почту с сервера ISP при помощи POP3 или IMAP или, если вы пользуетесь fetchmail. Помните, что неправильная настройка сервера SMTP может позволить удаленным машинам рассылать через ваш сервер информацию любого рода.
FTP — FTP - это протокол для передачи файлов. Если к вашему серверу планируется общий доступ, сделайте такую настройку. Для этого требуется установка пакета wu-ftpd (а возможно и anonftp).
Другие порты — Можно настроить брандмауэр так, что другие порты, не включенные в список, тоже получат доступ. Применяемый формат - 'port:protocol'. Например, если вам нужен доступ IMAP через брандмауэр, можно указать 'imap:tcp'. Можно также указывать цифровые порты; разрешить доступ пакетов UDP на порт 1234 можно таким образом '1234:udp'. Множественные порты отделяются запятыми.