Configuration du pare-feu
Red Hat Linux vous offre aussi une protection pare-feu pour une sécurité accrue de votre système. Le pare-feu se situe entre votre ordinateur et le réseau et définit quelles ressources de votre ordinateur sont accessibles aux utilisateurs distants du réseau. Un pare-feu configuré de façon correcte peut augmenter considérablement la sécurité de votre système.
Choisissez le niveau de sécurité adapté à votre système.
- Elevé
En choisissant Elevé, votre système n'acceptera pas les connexions (autres que les paramètres par défaut) qui ne sont pas explicitement définies par vous.
Réponses DNS
DHCP— toutes les interfaces réseau qui utilisent DHCP peuvent être configurées de façon correcte.
L'utilisation du bouton Elevé ne permet pas d'effectuer ce qui suit :
Activation du mode FTP (le mode FTP passif, utilisé par défaut par la plupart des clients, devrait fonctionner correctement)
Transfert des fichiers DCC IRC
Exécution de RealAudioTM
Clients distants du système X Window
Si vous connectez votre système à Internet, mais n'envisagez pas de l'utiliser comme serveur, ceci est le choix le plus sûr. Si d'autres périphériques sont nécessaires, choisissez Personnaliser pour autoriser des services spécifiques à travers le pare-feu.
- Moyen
En choisissant Moyen, votre système ne pourra pas accéder à certaines ressources. Par défaut, l'accès aux ressources suivantes n'est pas autorisé :
ports inférieurs à 1023 — ce sont les ports standards réservés, utilisés par la plupart des services de système, comme par exemple FTP, SSH, telnet et HTTP
port du serveur NFS (2049)
affichage du système X Window local pour les clients X distants
port du serveur X Font (par défaut, xfs n'écoute pas sur le réseau, il est désactivé par défaut dans le serveur des polices).
Si vous voulez autoriser des ressources telles que RealAudioTM, tout en bloquant l'accès aux services de système normaux, choisissez Moyen. Pour autoriser des services spécifiques à travers le pare-feu, choisissez Personnaliser.
- Pas de pare-feu
Cette option permet un accès complet et n'effectue aucun contrôle de sécurité. Il est recommandé de le sélectionner uniquement si vous êtes dans un réseau sûr (pas Internet) ou si vous envisagez d'effectuer une configuration de pare-feu plus détaillée.
Choisissez Personnaliser pour ajouter des périphériques sûrs ou pour autoriser d'autres interfaces en entrée.
- Périphériques sûrs
L'utilisation du bouton Périphériques sûrs permet d'autoriser tout le trafic provenant d'un périphérique. Par exemple, si vous êtes sur un réseau local, et que vous vous connectez à Internet via une connexion PPP, vous pouvez contrôler si eth0 doit laisser passer tout le trafic provenant de votre réseau local. Si vous configurez eth0 en tant que périphérique sûr, tout le trafic sur la carte Ethernet est autorisé, mais l'interface ppp0 reste toujours protégée par le pare-feu. Si vous voulez limiter le traffic sur une interface, ne la sélectionnez pas.
Il n'est pas recommandé de sélectionner le bouton Périphérique sûr pour les périphériques qui sont connectés à des réseaux publics tels qu'Internet.
- Autoriser l'entrée
Ce bouton permet de laisser passer des services spécifiés à travers le pare-feu. Remarque : dans le cas d'une installation de la classe Poste de travail, la plupart de ces services ne sont pas présents sur le système.
- DHCP
Ce bouton autorise les questions et les réponses DHCP et permet à toute interface de réseau qui utilise le DHCP de définir son adresse IP. Le DHCP est normalement activé. Si DHCP n'est pas activé, votre ordinateur ne pourra plus obtenir une adresse IP.
- SSH
Secure SHell (SSH) est une série d'outils pour se connecter à des ordinateurs distants et y exécuter des commandes. Si vous envisagez d'accéder à votre ordinateur distant via l'application SSH par une interface de pare-feu, activez cette fonction. Pour pouvoir vous connecter à un ordinateur distant via SSH, installez le paquetage openssh-server.
- Telnet
Telnet est un protocole qui permet de se connecter à des ordinateurs distants. Il n'est pas crypté et fournit une faible protection contre les attaques du réseau. L'activation de Telnet n'est pas recommandée. Pour pouvoir utiliser cette option, installez le paquetage de telnet-server.
- WWW (HTTP)
Le protocole HTTP est utilisé par Apache (et par d'autres serveurs Web) pour la gestion des pages Web. Si vous envisagez de rendre votre serveur Web public, activez cette fonction. Cette option n'est pas nécessaire pour afficher les pages localement ou pour créer des pages Web. Pour pouvoir l'utiliser, installez le paquetage apache.
- Courrier (SMTP)
Si vous voulez autoriser le courrier en entrée à travers votre pare-feu de façon à ce que les hôtes distants se connectent directement à votre ordinateur pour livrer le courrier, activez cette fonction. Cette fonction n'est pas nécessaire si vous recevez votre courrier de votre serveur ISP par POP3 ou IMAP ou bien si vous utilisez un outil tel que fetchmail. Remarque : un serveur SMTP mal configuré peut provoquer l'envoi de spams de la part du serveur de vos ordinateurs.
- FTP
Le protocole FTP est utilisé pour transférer des fichiers distants sur un réseau. Si vous envisagez de rendre votre serveur FTP public, activez cette fonction. Pour pouvoir utiliser cette option, installez les paquetages wu-ftpd (et, si possible, anonftp).
- Autres ports
Vous pouvez autoriser d'autres ports ne figurant pas dans la liste en les indiquant dans le champ Autres ports. Utilisez le format port:protocole. Par exemple, si vous voulez autoriser l'accès IMAP à travers votre pare-feu, vous pouvez spécifier imap:tcp. Vous pouvez spécifier des ports numériques de façon explicite. Pour autoriser les paquets UDP sur le port 1234 à travers le pare-feu, entrez 1234:udp. Pour spécifier des ports multiples, séparez ces derniers par des virgules.