Konfigurieren der Firewall
Red Hat Linux bietet einen Firewall-Schutz als weitere Sicherheit für Ihr System. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk und bestimmt, auf welche Ressourcen Ihres Computers Remote-Benutzer des Netzwerks zugreifen können. Eine richtig eingestellte Firewall kann die Sicherheit Ihres Systems erheblich verbessern.
Wählen Sie die geeignetste Sicherheitsstufe für Ihr System.
- Hoch
Wenn Sie Hoch wählen, wird Ihr System keine Verbindungen (mit Ausnahme der Standardeinstellungen) akzeptieren, die nicht ausdrücklich von Ihnen bestimmt wurden. Standardmäßig sind ausschließlich die folgenden Verbindungen erlaubt:
DNS-Antworten
DHCP — alle Netzwerkschnittstellen, die DHCP verwenden, können konfiguriert werden
Wenn Sie Hoch wählen, wird Ihre Firewall Folgendes nicht zulassen:
Aktiv-Modus FTP (der standardmäßig von den meisten Clients verwendete Passiv-Modus FTP sollte noch fehlerfrei funktionieren)
IRC DCC Dateiübertragungen
Secure Shell (SSH)
Remote X Window System Clients
Wenn Sie Ihr System mit dem Internet verbinden, aber keinen Server verwenden möchten, so ist dies die sicherste Wahl. Falls andere Dienste notwendig sind, können Sie Benutzerdefiniert wählen, um spezifische Dienste durch die Firewall hindurch zu lassen.
- Mittel
Die Wahl Mittel wird Ihrem System nicht erlauben, auf einige Systemressourcen zuzugreifen. Als Standard ist der Zugriff zu den folgenden Ressourcen nicht erlaubt:
Ports kleiner als 1023 — dies sind die Standardports, die von den meisten Systemdiensten wie FTP, SSH, telnet und HTTP verwendet werden.
NFS Server Port (2049)
der lokale X Window System Bildschirm für andere X Clients
X Font Server Port (standardmäßig wird xfs im Font Server gesperrt)
Wenn Sie Ressourcen wie Secure Shell (SSH) aktivieren wollen, während Sie den Zugang zu normalen Systemdiensten blockieren, wählen Sie Mittel. Sie können Benutzerdefiniert wählen, um spezifische Dienste durch die Firewall hindurch zu lassen.
- Keine Firewall
Diese Auswahl erlaubt vollständigen Zugang und führt keine Sicherheitsprüfungen durch. Sie sollten dies nur wählen wenn Sie sich in einem sicheren Netzwerk befinden (nicht im Internet), oder wenn Sie planen, eine detallierte Firewall-Konfiguration später durchzuführen.
Wählen Sie Benutzerdefiniert, um sichere Geräte hinzuzufügen oder um weitere Schnittstellen zu erlauben.
- Sichere Geräte
Wird ein beliebiges Sicheres Gerät ausgewählt, so hat der gesamte Verkehr des Geräts Zugriff auf Ihr System und ist von den Firewall-Regeln ausgeschlossen. Wenn Sie ein lokales Netzwerk verwenden, jedoch über eine PPP-Einwahl mit dem Internet verbunden sind, können Sie eth0 prüfen, um den Verkehr von Ihrem lokalen Netzwerk zuzulassen. Wird eth0 als sicheres Gerät ausgewählt, so wird der gesamte Verkehr über Ethernet erlaubt, wobei die ppp0-Schnittstelle jedoch weiterhin durch die Firewall geschützt ist. Wenn Sie den Verkehr auf einer Schnittstelle einschränken möchten, dann prüfen Sie eth0 nicht.
Es wird nicht empfohlen aus jedem Gerät, das zum Beispiel mit dem Internet verbunden ist, ein Sicheres Gerät zu machen.
- Eingang ermöglichen
Indem Sie diese Option aktivieren, können die spezifischen Dienste durch die Firewall gehen. Achtung, in Falle einer Workstation-Installation werden die meisten dieser Dienste nicht im System installiert.
- DHCP
Wenn Sie DHCP-Anfragen und Antworten zulassen, erlauben Sie jeder Netzwerkschnittstelle, die DHCP benutzt, die IP-Addresse festzustellen. DHCP ist normalerweise aktiviert. Wird DHCP nicht aktiviert, ist für Ihren Computer keine IP-Adresse möglich.
- SSH
Secure SHell (SSH) ist ein Protokoll für das Anmelden und Ausführen von Befehlen auf Remote-Rechnern und bietet eine sichere, unverschlüsselte Kommunikation. Wenn Sie vorhaben, Ihren Computer via SSH über eine Firewall-Schnittstelle zu verbinden, aktivieren Sie diese Option. Sie müssen dafür das openssh-server Paket installieren.
- Telnet
Telnet ist ein Protokoll für das Anmelden in Remote-Rechnern. Es ist unverschlüsselt und bietet wenig Sicherheit vor unbefugtem Hineinschnuppern in die Kommunikation. telnet zu aktivieren, ist nicht empfehlenswert. Sie müssen das telnet-server Paket installiert haben, wenn Sie den Telnet-Zugriff zulassen möchten.
- WWW (HTTP)
Das HTTP-Protokoll wird von Apache für Webseiten benutzt. Wenn Sie vorhaben, Ihren Web-Server öffentlich verfügbar zu machen, aktivieren Sie diese Option. Diese Option ist nicht nötig, um Seiten lokal anzuzeigen oder um Webseiten zu entwickeln. Sie müssen für diese Option das apache Paket installieren.
- Mail (SMTP)
Wenn Sie die eingehende Mail durch die Firewall zulassen möchten, so dass sich Remote-Rechner direkt mit Ihrem Computer verbinden können, um die Mail zu übermitteln, aktivieren Sie diese Option. Sie brauchen dies nicht zu tun, wenn Sie Ihre Mail vom ISP Server über POP3 oder IMAP erhalten oder wenn Sie ein Tool wie fetchmail benutzen. Achtung: ein fehlerhaft konfigurierter SMTP-Server kann es Remote-Rechnern ermöglichen, Ihren Server zu benutzen, um E-Mails zu senden.
- FTP
Das FTP-Protokoll wird verwendet, um Dateien zwischen verschiedenen Computern eines Netzwerks zu übertragen. Wenn Sie Ihren FTP-Server öffentlich zur Verfügung stellen möchten, aktivieren Sie diese Option. Installieren Sie hierzu das Paket wu-ftpd (und, wenn möglich, anonftp).
- Andere Ports
Sie können den Zugriff auf Ports erlauben, die hier nicht aufgelistet sind, indem Sie diese im Feld Andere Ports angeben. Verwenden Sie das folgende Format: port:protocol. Wenn Sie IMAP Zugang durch Ihre Firewall ermöglichen wollen, können Sie imap:tcp festlegen. Sie können auch numerische Ports angeben (für UDP Pakete auf Port 1234 geben Sie 1234:udp an). Bei Angabe von mehreren Ports, trennen Sie diese durch Kommas.