Un tallafoc se situa entre un ordinador i la xarxa, i determina quins recursos de l'ordinador poden accedir els usuaris de xarxa remots. Un tallafoc configurat adequadament pot millorar considerablement la seguretat exterior del sistema.
Escolliu el nivell de seguretat apropiat per a aquest sistema.
Sense tallafoc — Sense tallafoc proporciona accés complet a aquest sistema i no fa cap comprovació de seguretat. Comprovar la seguretat vol dir inhabilitar l'accés a alguns serveis. Només ho hauríeu de seleccionar si aquest ordinador està connectat a una xarxa de confiança (no a la Internet) o si penseu configurar el tallafoc més endavant.
Habilita el tallafoc — Si escolliu Habilita el tallafoc, aquest sistema no acceptarà connexions (tret de les configurades per defecte) que no hagueu definit. Per defecte, només es permeten connexions en resposta a connexions fetes des d'aquest ordinador, com ara respostes DNS o peticions DHCP. Si es necessita tenir accés a serveis que s'executen en aquesta màquina, podeu escollir habilitar serveis específics a través del tallafoc.
Si connecteu aquest sistema a Internet, però no planegeu executar cap servidor, aquesta és l'opció més segura.
A continuació, seleccioneu quins serveis s'ha de permetre que atravessin del tallafoc.
En habilitar aquestes opcions, es permetrà als serveis especificats passar pel tallafoc. Tingueu en compte que no tots aquests serveis estaran instal·lats en el sistema. Assegureu-vos que habiliteu només les opcions que necessiteu.
WWW (HTTP) — Apache (i d'altres servidors de pàgines web) usen el protocol HTTP per servir pàgines web. Habiliteu aquesta opció si penseu donar accés públic al servidor web. Aquesta opció no és necessària per veure pàgines localment o per desenvolupar-les. Heu d'instal·lar el paquet httpd si voleu servir pàgines web.
En habilitar WWW (HTTP) no s'obre cap port per a HTTPS. Per habilitar HTTPS, especifiqueu-lo en el camp Altres ports.
FTP — El protocol FTP s'usa per transferir fitxers entre màquines en una xarxa. Si penseu donar accés públic al servidor FTP, habiliteu aquesta opció. Heu d'instal·lar el paquet vsftpd per poder usar aquesta opció.
SSH — Secure SHell (SSH) és un conjunt d'eines per entrar en una màquina remota i executar ordres. Habiliteu aquesta opció si penseu usar les eines SSH per accedir aquesta màquina a través d'un tallafoc. Necessiteu tenir instal·lat el paquet openssh-server per accedir a aquesta màquina remotament amb les eines SSH.
Telnet — Telnet és un protocol per entrar en màquines remotes. Les comunicacions del telnet no estan encriptades i no proporcionen cap tipus de seguretat en cas que s'espiï la xarxa. No és recomanable permetre accessos telnet entrants. Si voleu permetre accessos d'entrada telnet, heu d'instal·lar el paquet telnet-server.
Correu (SMTP) — Habiliteu aquesta opció si voleu permetre l'entrega de correu entrant a través del tallafoc, per tal que màquines remotes es puguin connectar directament amb aquesta màquina per entregar correu. No ho necessiteu si us connecteu al proveïdor de serveis per obtenir el correu, o si feu servir una eina com fetchmail. Tingueu en compte que un servidor SMTP mal configurat pot permetre que altres màquines usin el servidor per enviar correu electrònic no desitjat.
Podeu donar accés a altres ports que no estan llistats aquí si els indiqueu en el camp Altres ports. Feu servir el següent format: port:protocol. Per exemple, si voleu permetre accés IMAP a través del tallafoc, podeu especificar imap:tcp. També podeu especificar els ports numèricament; per permetre paquets UDP en el port 1234 a través del tallafoc, introduïu 1234:udp. Per especificar múltiples ports, separeu-los amb comes.
Finalment, seleccioneu qualsevol dispositiu el trafic del qual s'hagi de permetre accedir aquest sistema.
Les regles del tallafoc no s'aplicaran als dispositius de confiança seleccionats. Per exemple, si esteu en una xarxa local, però esteu connectat a Internet amb una connexió PPP, podeu habilitar eth0 per permetre tot el tràfic entrant de la xarxa local. En confiar en eth0 es permetrà tot el tràfic de la Ethernet, però la interfície ppp0 encara haurà de ser analitzada pel tallafoc. No habiliteu una interfície si voleu restringir-ne el tràfic.
No és recomanable que feu confiable un dispositiu connectat a una xarxa pública, per exemple Internet.