防火牆設定

防火牆是設置在您的電腦與網路之間,並且用來決定在網路上的遠端使用者允許存取電腦中的哪些資源。 一個妥善設定的防火牆可以大大的增加您系統主機的安全性。

請為您的系統選擇一個適當的安全等級。

無防火牆無防火牆 允許完全的存取, 且不作任何的安全性檢查,安全性檢查為停用對某些服務的存取,這個選項只建議給在信任網路中的 電腦(並非在網際網路中),或是您打算在稍後再做詳細的防火牆設定。

啟用防火牆 — 假如您選擇 啟用防火牆, 您沒有特別定義的連線將不被您的系統所接受 (除了預設的設定外),預設情況下,只允許對內部所發出之要求的回應連線 (如 DNS 回應或 DHCP 要求)。 假如您需要存取在這部機器上所執行的服務,您可以選擇允許特定的服務 通過防火牆。

如果您要將您的系統連上網際網路,但是並沒有打算要擔任伺服器,那這會是最安全的選項。

再來,請選擇您希望允許通過防火牆的服務(假如需要的話)。

啟用這些選項將允許這些明確指定的服務可以通過防火牆。 請注意,系統上的這些服務也許是沒有 預設安裝的,請確定您已選取啟用任何您需要的選項。

>WWW (HTTP) — HTTP 通訊協定是由 Apache (與其他網頁伺服器) 用來伺服網頁的,假如您打算使您的網頁伺服器可被公眾存取,請啟用這個選項。 至於在本機瀏覽網頁或開發網頁, 並不需要這個選項。 假如您想要伺服網頁,您必須安裝 httpd 套件。

啟用 WWW (HTTP) 並不會開啟一個連接埠給 HTTPS 使用,如要啟用 HTTPS, 請在 『其他埠』 的欄位指定它。

FTP — FTP 通訊協定是用來在網路中的機器間傳輸檔案, 假如您打算使您的 FTP 伺服器可被公眾存取,請啟用這個選項。 您必須安裝 vsftpd 套件才能使用這個選項。

SSHSecure SHell (SSH) 是用來登入到遠端機器並且執行指令的一個套裝工具,假如您打算使用 SSH 工具來透過一個防火牆存取您的機器,請啟用這個選項。 您必須安裝 openssh-server 套件才能使用 SSH 工具來遠端地存取您的機器。

Telnet — Telnet 是用來登入遠端機器的一種通訊協定,Telnet 的通訊 是未加密的,而且不對網路竊聽提供任何的安全性保障。 因此不建議允許外來的 Telnet 存取, 假如您確實需要允許外來的 Telnet 存取,您必須安裝 telnet-server 套件。

Mail (SMTP) — 假如您要允許外來的郵件透過您的防火牆傳送, 以使得遠端的主機可以直接連接到您的伺服器傳送信件,請選擇這個選項。 若您使用 POP3 或是 IMAP 從您 ISP 的伺服器接收您的信件或您是使用類似fetchmail 這類的工具,請不要選擇這個選項。 注意一個設定不正確的 SMTP 伺服器會允許遠端的機器透過您的主機來寄發垃圾郵件。

您可以允許對此處沒有列出之連接埠的存取,只要在 『其他埠』 的欄位中將它們列出即可, 請使用下列這種格式: port:protocol。 舉例來說,假如您想要允許透過防火牆存取 IMAP, 您可以指定 imap:tcp,您也可以明確地指定數值的連接埠,以允許位於埠號 1234 的 UDP 封包通過防火牆,如 1234:udp。 如要指定多個連接埠,請以逗號將它們分隔開。

最後,請選取您希望任何來自某裝置的所有流量都允許存取您系統的任何裝置。

藉由選取任何的這些信任裝置將使得它們免於受到防火牆規則的限制,舉例來說,假如您正執行一個區域網路, 而您透過一個 PPP 撥接連線連接到網際網路,您可以點選 eth0,那麼將會允許來自您區域網路的任何流量。 藉由選取 eth0 當作信任裝置表示將會允許來自乙太網路的所有流量,而通過 ppp0 介面的流量則仍然受限於防火牆的規則,假如您想要限制某一個介面的網路流量,請將之保持未選取的狀態。

並不建議您設定任何連接到公開網路(例如網際網路)上的裝置為信任裝置。