Основна настройка на защитната стена
По време на инсталирането на Red Hat Enterprise Linux диалоговият прозорец за конфигуриране на защитната стена ви предлага опцията да активирате основната защитна стена, както и да разрешите достъп до определени устройства, услуги и портове.
След инсталирането можете да промените тези настройки с помощта на инструмента за конфигуриране на ниво на защита.
За да стартирате това приложение, изберете от Главното меню (на панела) => Системни настройки => Ниво на сигурност или въведете командата system-config-securitylevel в подкана на обвивката (например в XTerm или GNOME Terminal).
Фигура 19-1. Настройка на нивото на сигурност
Програмата за конфигуриране на нивото на сигурност конфигурира само основните настройки на защитната стена. Ако вашата система изисква по-разширени правила, вижте Референтното ръководство на Red Hat Enterprise Linux за информация относно настройването на правила за iptables.
Изберете една от следните опции:
Деактивиране на защитната стена - Деактивирането на защитната стена позволява пълен достъп до вашата система и не извършва проверки за сигурност. Проверката за сигурност включва отказ за достъп до определени услуги. Тази опция трябва да бъде избрана само ако сте в затворена мрежа (не интернет) или планирате да конфигурирате защитната стена по-късно.
Ако вече сте имали конфигурирана защитна стена или сте дефинирали свои собствени правила за защитна стена във файла /etc/sysconfig/iptables, избирането на опцията Деактивиране на защитната стена и щракването върху OK, за да запазите промените, изтрива този файл.
Активиране на защитната стена - Товарежим, системата отхвърля входящи връзки, с изключение на тези, които отговарят на изходящи заявки, като DNS или DHCP отговори.Ако имате нужда от достъп до услуги, работещи на този компютър, можете да разрешите тези услуги в защитната стена.
Ако системата ви е свързана с интернет и не планирате да стартирате сървърни приложения, това е най-безопасният избор.
Списъкът с доверени услуги ви позволява да изберете услуги, към които връзките могат да преминават през защитната стена.
Активирането на WWW (HTTP) не отваря HTTPS порта, SSL версията на HTTP.
FTP протоколът се използва за прехвърляне на файлове между компютри в мрежа. Ако планирате да направите вашия FTP сървър публичен, поставете отметка в това квадратче. За да има смисъл този избор, пакетът vsftpd трябва да бъде инсталиран.
Сигурната обвивка (Secure SHell, SSH) е набор от инструменти за свързване и изпълнение на команди на отдалечен компютър. За да разрешите отдалечен достъп до компютъра чрез SSH, поставете отметка в това квадратче. За да имате отдалечен достъп до вашия компютър с помощта на SSH инструменти, пакетът openssh-сървър трябва да бъде инсталиран на компютъра.
Telnet е протокол за влизане в отдалечени компютри. Telnet връзките не са криптирани и не осигуряват защита срещу подслушване на мрежови пакети. Разрешаването на входящи telnet връзки не се препоръчва. За да разрешите достъп до Telnet, трябва да имате инсталиран пакет telnet-сървър.
Поща (SMTP)
За да разрешите доставката на входяща поща през защитната стена (така че отдалечените хостове, които доставят поща, да могат да се свързват с вашия компютър), поставете отметка в това квадратче. Не е необходимо да го активирате, ако получавате поща на сървъра на вашия интернет доставчик, използвайки POP3 или IMAP протокол или програмата fetchmail. ПлащанеВнимание, неправилно конфигуриран SMTP сървър може да се използва като източник на спам.
Като дефинирате Trusted Devices, вие позволявате пълен достъп до вашата система от тези устройства; те са изключени от правилата на защитната стена. Например, ако сте в локална мрежа и се свързвате с интернет чрез комутируема PPP връзка, можете да маркирате eth0 и да разрешите целия трафик, идващ от локалната мрежа. Като маркирате eth0 като надеждно устройство, вие позволявате целия трафик, идващ през Ethernet, докато интерфейсът ppp0 остава защитен. За да ограничите интерфейсния трафик, оставете го без отметка.
Можете да видите устройството sit0 в секцията Надеждни устройства. Името му означава Simple Internet Transition и ролята му е да влага IPv6 трафик в IPv4 трафик. В простите правила на защитната стена това устройство може да бъде игнорирано и оставено ненадеждно.
Не се препоръчва да обозначавате устройство, свързано към обществени мрежи като интернет, като надеждно.
Инструментът за конфигуриране на нивото на сигурност има раздел Други портове, където можете да дефинирате свои собствени IP портове, които трябва да се считат за надеждни в iptables. Например, за да позволите на протоколите NFS, IRC и Internet Printing Protocol (IPP) да преминават през защитната стена, добавете следното към секцията Други портове:
Щракнете върху OK, за да запазите промените си и да активирате или деактивирате защитната стена. Ако е избрана опцията Разрешаване на защитна стена, присвоените настройки се преобразуват в команди iptables и се съхраняват във файла/etc/sysconfig/iptables Освен това стартира самата услуга iptables, така че защитната стена да се активира веднага щом настройките бъдат запазени. Ако е избрана опцията Деактивиране на защитната стена, файлът /etc/sysconfig/iptables се изтрива и услугата iptables незабавно се спира.
Избраните настройки също се записват във файла /etc/sysconfig/system-config-securitylevel, така че настройките да могат да бъдат възстановени при следващото стартиране на приложението. Не редактирайте този файл ръчно.