ファイヤーウォール設定

ファイヤーウォールはコンピュータとネットワークの間に位置して、 ネットワークのリモートユーザーがアクセスできるコンピュータ上のリソースを決定します。適切に設定されたファイヤーウォールはコンピュータ外部に対するセキュリティを 大幅に増強します。

システムに適したセキュリティレベルを選択します。

ファイアウォールなしファイアウォールなし は完全なアクセスを許可し、セキュリティチェックを実行しません。 セキュリティチェックは特定のサービスに対しアクセスを無効にします。信頼できるネットワーク(インターネットではなく)上にいるとき、または後でより詳細な ファイアウォール設定を実行する予定があるときのみ、この項目の選択をします。

ファイヤーウォールを有効にするファイヤー ウォールを有効にするを選択すると、システムはユーザが明確に定義していない 接続を受付ません (デフォルト設定は例外)。デフォルトではDNS応答やDHCP要求などの 発信要求への対応の接続のみが許可されます。マシンで実行中のサービスへのアクセスが 必要な場合、ファイヤーウォールを通して特定のサービスを許可する選択ができます。

システムをインターネットと接続しても、サーバの運用計画がない場合は、これが 最も安全な選択肢です。

次に必要があれば、どのサービスがファイヤーウォールの通過を許可されるかを 選択します。

これらのオプションを有効にすると、指定したサービスにファイアウォールの通過を 許可します。これらのサービスはデフォルトではシステムにインストールされて いないかもしれない事に注意して下さい。必要になる可能性の あるオプションは有効する選択を忘れないで下さい。

WWW (HTTP) —HTTPプロトコルはApache(及び他のWebサーバ) によってWebページをサービスする為に使用されます。Webサーバを公開する予定がある 場合は、このオプションを有効にします。このオプションはローカルにページを閲覧したり Webページの開発には必要ありません。Webページをサービスする場合にはhttpd パッケージをインストールする必要があります。

WWW (HTTP)を有効にするだけでは、HTTPSのポートは開けません。 HTTPSを有効にするには他のポートフィールドでそれを指定する 必要があります。

FTP —FTPプロトコルはネットワーク上のマシン間で ファイルを転送するのに使用されます。FTPサーバを公開する予定の場合はこのオプションを 有効にします。このオプションを有益にする為にはvsftpdパッケージ をインストールする必要があります。

SSHSecure SHell (SSH)は、リモートマシン上でのログインやコマンドの実行に適しています。 ファイヤーウォールを通してマシンにアクセスする為にSSHツールを使用する予定の場合は このオプションを有効にします。SSHツールを使用してマシンにアクセスする為には openssh-serverパッケージをインストールする必要があります。

Telnet —Telnetはリモートマシンにログインするための プロトコルです。Telnet通信は暗号化がなく、ネットワークの盗聴に対するセキュリティを 提供しません。入信してくるTelnetアクセスを許可することは推奨できません。入信の Telnetアクセスを許可したい場合は、telnet-serverパッケージを インストールする必要があります。

Mail (SMTP) — ファイヤーウォールを通して入信して来る メール配信を許可してリモートホストと使用マシンの直接接続を許可してメール配信する 必要がある場合は、このオプションを有効にします。POP3 または IMAP によってIPS のサーバからメールを収集するとき、または fetchmail などのツールを使う 場合はこのオプションを有効にする必要はありません。不適切な設定の SMTPサーバはユーザーのサーバを利用してリモートマシンにスパム送信を許してしまう 可能性があることに注意して下さい。

他のポートフィールドにポートを指定してここにリストしていない ポートにアクセスを許可することもできます。次の形式を使用します: port:protocol。例えば、ファイヤーウォールを通してIMAPを 許可したい場合はimap:tcpと指定します。又はポートの数値を 明示的に指定し、ファイヤーウォールを通してポート1234上のUDPパケットを許可するには 1234:udpと指定します。複数のポートを指定する場合、 ポートをコンマで区切ります。

最後に、全ての交信用にユーザーのシステムにアクセスを許可するデバイスを 選択します。

信頼できるデバイスの選択は、そのデバイスをファイヤーウォールのルールから除外 します。例えばローカルネットワークを実行して、またPPPダイヤルアップ経由でインター ネットに接続している場合、eth0をチェックし、ローカルネット ワークからの来信を許可することができます。eth0を信頼できる できると選択することは、Ethernetからの全ての通信は許可されますが、ppp0インター フェイスだけはファイヤーウォールで阻止されるという意味です。

インターネットなどの公衆ネットワークと接続したデバイスを信頼できるデバイスに することは推薦できません。