Брандмауэр (он же firewall) находится между вашей систмеой и сетью и определяет, к каким ресурсам вашего компьютера удаленный пользователь в сети может иметь доступ. С умом настроенный брандмауэр сильно повышает безопасность вашей системы.
Выберите подходящий для вашей системы уровень безопасности.
Без брандмауэра — Настройка без брандмауэра предоставляет полный доступ к системе без какой-либо проверки безопасности, которая заключается в закрытии доступа к определенным службам. Такая настройка может быть рекомендована только если вы работаете в очень надежно защищенной сети (не в Интернете), или если вы планируете настроить брандмауэр несколько позже.
Разрешить Брандмауэр — если вы выбираете этот способ, то ни одно соединение не будет приниматься вашей системой (кроме тех, которые предусмотрены в настройке по умолчанию), если оно явно вами не указано. По умолчанию разрешены только соединения на ответ внешних запросов,таких как ответы DNS или запросы DHCP. Если требуется доступ к службам, запущенным на этой машине, вы можете открыть доступ к ряду служб через firewall.
Если вы подключены к Интернету, но система не будет работать как сервер, это наилучший выбор.
Отметьте теперь, доступ к каким службам, если таковые нужны, можно будет осуществить через брандмауэр.
Если вы сделаете этот выбор, то позволите определенным службам проходить через брандмауэр. Обратите внимание, что эти службы могут не устанавливаться в системе по умолчанию. Убедитесь, что вы выбрали все опции, которые могут вам понадобиться.
WWW (HTTP) — Протокол HTTP используется Apache (и другими веб-серверами) для обслуживания веб-страниц. Если вы планируете сделать свой веб-сервер широко доступным, активируйте этот параметр. Он не требуется, однако, для промотра страниц локально или для их разработки. Устанавливать пакет httpd надо, если вы хотите обслуживать веб-страницы.
Активация параметра WWW (HTTP) не открывает порт для HTTPS. Чтобы его открыть, укажите его в поле Другие порты.
FTP — протокол FTP используется для передачи файлов между машинами в сети. Если вы хотите сделать свой FTP-сервер широко доступным, активируйте этот параметр. И к этому еще необходимо дополнительно установить пакет vsftpd.
SSH — Secure SHell (SSH) (безопасная оболочка), набор программ для входа в удаленную машину и выполнения на ней программ. Если вы планируете использовать SSH для доступа к вашему компьютеру через брандмауэр, активируйте этот параметр. Следует также установить пакет openssh-server, чтобы можно было использовать инструментарий SSH.
Telnet — Telnet это протокол для входа в удаленную систему. Соединение, устанавливаемое по Telnet, не шифрованное и не гарантирует защиты от прослушивания. Разрешать входящее соединение по Telnet не рекомендуется. Если же вы хотите открыть доступ для входа по Telnet, надо установить пакет telnet-server.
Почта (SMTP) — разрешает доставку почты, приходящей по SMTP. Если надо разрешить удаленным узлам напрямую соединяться с вашим компьютером для доставки почты, выберите этот пункт. Не нужно выбирать его, если вы забираете почту с сервера ISP, используя POP3 или IMAP, или используете, например, fetchmail. Обратите внимание, что плохо настроенный SMTP-сервер может позволить удаленным машинам воспользоваться им для рассылки спама.
Вы можете установить доступ к портам, которые не указаны в этом списке, указав их в поле Другие порты. Используйте такой формат: порт:протокол. Например, если вы хотите разрешить IMAP проходить через брандмауэр, укажите imap:tcp. Вы можете явно указать номер порта; например, чтобы пропускать пакеты UDP сквозь брандмауэр по порту 1234, введите 1234:udp. При задании нескольких портов разделяйте их запятой.
Наконец, выберите устройства, для которых доступ к системе должен быть открыт для любых данных, поступающих с этих устройств.
Выбор любого из этих доверенных устройств приводит к их исключению из правил, установленных для брандмауэра. Например, если имеется локальная сеть, а доступ в Интернет осуществляется по PPP диалап, вы можете отметить eth0 и весь трафик, поступающий из локальной сети, будет разрешен. Выбор eth0 как доверенного устройства означает разрешение для всего трафика по Ethernet, но интерфейс ppp0 все еще подчиняется правилам брандмауэра. Если вы хотите ограничить трафик, оставьте устройство неотмеченным.
Не рекомендуется заявлять как доверенное любое устройство, которое имеет выход в открытую сеть, такую как Интеpнет.