13.2. GNOME Lokkit

GNOME Lokkitでは、基本的なiptablesネットワーク規則を作成することによって、標準的ユーザーのファイアウォール設定を行うことができます。このプログラムでは、規則を書き込む代わりに、ユーザーに対してシステムの使用に関する一連の質問を行い、それをファイル/etc/sysconfig/iptablesに書き込みます。

GNOME Lokkitを使用して複雑なファイアウォール規則を作成することはおすすめできません。このプログラムは、モデム、ケーブル、DSLインターネット接続を使用するときに自分のシステムを保護したい標準的なユーザーを想定しています。詳細なファイアウォール規則の設定については、Red Hat Linux 参照ガイドiptablesを使用するファイアウォールの章を参照してください。

特定のサービスを無効にし、特定のホストやユーザーを拒否する方法については、第14章を参照してください。

GNOME Lokkitのグラフィカルバージョンを開始するには、メインメニューボタン => システムツール => 他のシステムツール => Lokkitと選択 していきます。又はシェルプロンプトでrootとしてコマンドgnome-lokkitを入力します。 X Window Systemがインストールされていない場合や、テキストベースのプログラムを好む場合は、シェルプロンプトで lokkitコマンドを使用して、テキストモードバージョンを起動します。

13.2.1. 基本

図 13-2. 基本

プログラムを起動した後、システムのための適当なセキュリティレベルを選択します。

13.2.2. ローカルホスト

システムにイーサネットデバイスがある場合は、ローカルホストページで、各デバイスへ送信される接続要求にファイアウォール規則を適用するかどうかを設定できます。このデバイスがシステムをファイアウォールで保護されているローカルエリアネットワークに接続し、インターネットに直接接続しない場合は、はいボタンを選択します。イーサネットカードがシステムをケーブルまたはDSLモデムに接続する場合は、いいえボタンを選択することを推奨します。

図 13-3. ローカルホスト

13.2.3. DHCP

システム上でDHCPを使用してイーサネットインターフェイスを有効にする場合は、DHCPについての質問にはいを選択しなければいけません。いいえを選択した場合、イーサネットインターフェイスを使用して接続を確立できません。多くのケーブルテレビやDSLインターネットプロバイダーは、DHCPを使用してインターネット接続を確立することを要求します。

図 13-4. DHCP

13.2.4. サービスの設定

GNOME Lokkitではまた、一般的なサービスのオン/オフを切り替えることができます。サービスの設定についてはいを選択した場合、以下のサービスに関するプロンプトが表示されます:

このほかの不要なサービスを無効にするには、セキュリティレベル 設定ツール項14.3を参照)、ntsysv項14.4を参照)、chkconfig項14.5を参照)のいずれかを使用します。

13.2.5. ファイアウォールの起動

完了ボタンをクリックすると、/etc/sysconfig/iptables内に ファイアウォール規則が書き込まれ、iptablesサービスをスタートすることにより ファイアウォールが起動されます。

警告警告
 

/etc/sysconfig/iptablesファイルの中でファイアウォールを設定していたり ファイアウォール規則を持っている場合、ファイアウォール無効を 選択し、完了のボタンをクリックして変更を保存すると、そのファイルは 削除されます。

GNOME Lokkitは必ずそのマシンで実行してください(リモートXセッションから実行するのは避けてください)。システムへのリモートアクセスを無効にした場合に、そのシステムにアクセスできなくなるか、またはファイアウォール規則が無効になります。

ファイアウォール規則を書き込まない場合は、キャンセルボタンをクリックします。

13.2.5.1. メールリレー

メールリレー(転送)は、ほかのシステムからの電子メールの送信を仲介できるシステムです。ユーザーのシステムがメールリレーである場合は、誰かがそれを使用してユーザーのマシンからほかのシステムに対してスパムメールを送る危険性があります。

ファイアウォールを有効にするページの完了ボタンをクリックした後でメールサービスを有効にした場合、メールリレーのチェックが要求されます。はいを選択してメールリレーをチェックする場合、GNOME Lokkitは「Mail Abuse Prevention System」のWebサイト(http://www.mail-abuse.org/)に接続し、メールリレーテストプログラムを実行します。テストの結果は、テストが終了したとき表示されます。システムがメールリレーに利用できる場合は、Sendmailでそれを防止するように設定してください。