Brandmurskonfiguration

En brandmur er placeret mellem din maskine og netværket, og bestemmer hvilke resurser på din maskine som fjernbrugere på netværket kan få fat på. En korrekt konfigureret brandmur kan forbedre standardsikkerheden betydeligt på dit system.

Vælg passende sikkerhedsniveau for dit system.

Ingen brandmur - Ingen brandmur tillader fuldstændig adgang til dit system og udfører ingen sikkerhedskontroller. Sikkerhedskontrol er deaktivering af adgang til bestemte tjenester. Valg af dette anbefales kun hvis du bruger et sikkert netværk (ikke Internet), eller hvis du planlægger at lave en mere detaljeret brandmurskonfiguration senere.

Aktivér brandmur — Hvis du vælger Aktivér brandmur vil opkoblingstyper som ikke udtrykkelig er defineret af dig (udover standardindstillingerne) ikke blive accepteret. Som standard er kun opkoblinger som er svar på udgående forespørgsler, som fx DNS-svar eller DHCP-forespørgsler, tilladte. Hvis adgang til tjenester som kører på denne maskine behøves, kan du vælge at tillade visse tjenester gennem brandmuren.

Hvis du vil tilslutte dit system til Internet, men ikke planlægger at køre en server, er dette den sikreste mulighed.

Efter dette kan du vælge hvilke tjenester, om nogen, som skal tillades at passere gennem brandmuren.

At bruge disse alternativer tillader de angivne tjenester at passere brandmuren. Bemærk at disse tjenester ikke nødvendigvis installeres som standard på systemet. Forsikr dig om at du aktiverer de alternativer som du skal bruge.

>WWW (HTTP) — HTTP-protokollen bruges af Apache (og andre webservere) til at vise websider. Hvis du planlægger at gøre din webserver offentligt tilgængelig bør du aktivere dette alternativ. Dette alternativ kræves ikke for lokal visning af sider eller for udvikling af websider. Du skal installere pakken httpd hvis du vil vise websider.

Aktivering af WWW (HTTP) åbner ikke en port for HTTPS. For at aktivere HTTPS skal du angive det i feltet Andre porte.

FTP — FTP-protokollen bruges til at overføre filer mellem maskiner på et netværk. Hvis du planlægger at gøre din FTP-server offentligt tilgængelig bør du aktivere dette alternativ. Du skal installere pakken vsftpd for at dette alternativ skal være brugbart.

SSHSecure SHell (SSH) er en samling af værktøjer for indlogning og kørsel af kommandoen på en ekstern maskine. Hvis du planlægger at bruge SSH-værktøjer for adgang til din maskine gennem en brandmur bør du aktivere dette alternativ. Du skal have pakken openssh-server installeret for at kunne komma til din maskine udefra ved brug af SSH-værktøjer.

Telnet — Telnet er en protokol for indlogning på eksterne maskiner. Telnetkommunikation er ukrypteret og giver ingen sikkerhed mod netværksaflytning. At tillade indkommende telnetadgang anbefales ikke. Hvis du vil tillade indkommende telnetadgang skal du installere pakken telnet-server.

E-post (SMTP) - — Hvis du ønsker at tillade indkommende post gennem din brandmur, så fjernværter kan forbinde sig direkte til din maskine for at levere e-post, så aktivér dette alternativ. Du behøver ikke aktivere ikke dette hvis du henter e-post fra din Internetleverandørs server med POP3 eller IMAP, eller hvis du bruger et værktøj som fx fetchmail. Bemærk at en fejlagtigt konfigureret SMTP-server kan tillade fjernmaskiner at bruge din server til at sende spam.

Du kan tillade adgang til porte som ikke vises her ved at angive dem i feltet Andre porte. Brug følgende format: port:protokol. Hvis du for eksempel vil tillade IMAP-adgang gennem din brandmur kan du angive imap:tcp. Du kan også eksplicit angive numeriske porte. For at tillade at UDP-pakker på port 1234 passerer gennem brandmuren kan du angive 1234:udp. Adskil portene med kommategn hvis flere porte skal angives.

Til slut kan du vælge eventuelle enheder, som vil tillade adgang til dit system for al trafik fra denne enhed.

At vælge nogen af disse pålidelige enheder udelukker dem fra brandmursreglerne. For eksempel kan du markere eth0 hvis du har et lokalt netværk men er koblet op til Internet via en modem PPP-opkobling, så vil al trafik fra dit lokale netværk være tilladt. At vælge eth0 som pålidelig betyder at al trafik over Ethernet er tilladt, men at ppp0-grænsefladen stadigvæk beskyttes af en brandmur. Hvis du vil begrænse trafikken på en grænseflade bør du lade dette være umarkeret.

Det frarådes at gøre nogen som helst enhed som er tilsluttet til offentlige netværk, som fx Internet, til en betroet enhed.