Configuration du pare-feu

Un pare-feu se situe entre votre ordinateur et le réseau et détermine les ressources de votre ordinateur auxquelles des utilisateurs distants peuvent avoir accès à travers le réseau. Un pare-feu correctement configuré peut améliorer de façon significative la sécurité de votre système lors de toute transaction avec l'extérieur.

Choisissez le niveau de sécurité adapté à votre système.

Pas de pare-feuPas de pare-feu permet un accès complet à votre système et n'effectue aucun contrôle de sécurité. Ce dernier permet de désactiver l'accès à certains services. Il est recommandé de sélectionner cette option uniquement si vous êtes dans un réseau sécurisé (pas l'Internet) ou si vous envisagez d'effectuer une configuration de pare-feu plus détaillée plus tard.

Activer pare-feu — Si vous choisissez l'option Activer pare-feu, les connexions qui ne sont pas explicitement déterminées par vos soins (autres que les paramètres pas défaut) sont refusées par votre système. Par défaut, seules les connexions répondant à des requêtes sortantes, telles que des réponses DNS ou des requêtes DEHCP, sont autorisées. Si l'accès à des services tournant sur la machine est nécessaire, vous pouvez choisir d'autoriser des services spécifiques à traverser le pare-feu.

Si vous connectez votre système à à l'Internet, mais n'envisagez pas d'utiliser un serveur, cette option est la plus sûre.

Sélectionnez ensuite les services spécifiques, le cas échant, devant être autorisé à traverser le pare-feu.

L'activation de ces options permet aux services spécifiés de traverser le pare-feu. Notez que ces services ne sont peut-être pas installés sur le système par défaut. Assurez-vous de bien activer toutes les options dont vous aurez besoin.

>WWW (HTTP) — Le protocole HTTP est utilisé par Apache (et par d'autres serveurs Web) pour servir des pages Web. Si vous envisagez de rendre votre serveur Web disponible sur un réseau public, activez cette option. Cette dernière n'est pas nécessaire ni pour visionner des pages localement, ni pour développer des pages Web. Vous devez installer le paquetage httpd si vous voulez servir des pages Web.

L'activation de WWW (HTTP) n'ouvre pas un port pour HTTPS. Pour activer HTTPS, spécifiez le dans le champ intitulé Autres ports.

FTP — Le protocole FTP est utiliser pour transférer des fichiers entre ordinateurs sur un réseau. Si vous envisagez de rendre votre serveur FTP disponible sur un réseau public, activez cette option. Vous devez installer le paquetage vsftpd pour que cette option soit vraiment utile.

SSH — L'acronyme de Secure SHell est une suite d'outils permettant la connexion à une machine distante et l'exécution de commandes sur cette dernière. Si vous envisagez d'utiliser des outils SSH pour accéder à votre ordinateur à travers un pare-feu, activez cette option. Le paquetage openssh-server doit être installé afin de pouvoir avoir accès à votre ordinateur à distance, à l'aide des outils SSH.

Telnet — Telnet est un protocole permettant de se connecter à des ordinateurs distants. Les communications avec Telnet ne sont pas cryptées et ne fournissent aucune sécurité quant à la surveillance de trafic. L'autorisation d'accès Telnet entrant n'est pas recommandé. Si vous ne souhaitez pas autoriser l'accès Telnet entrant, vous devez installer le paquetage telnet-server.

Courrier (SMTP) — Si vous souhaitez autoriser la livraison le courrier entrant à travers votre pare-feu, afin que des hôtes distants puissent se connecter directement à votre ordinateur pour livrer du courrier, activez cette fonction. Il n'est pas nécessaire d'activer cette fonction si vous recevez votre courrier de votre serveur ISP utilisant POP3 ou IMAP ou encore si vous utilisez un outil tel que fetchmail .Notez qu'un serveur SMTP mal configuré peut permettre à des ordinateurs distants d'utiliser votre serveur pour envoyer du pourriel (aussi appelé spam).

Il est possible d'autoriser l'accès à des ports qui ne sont pas énumérés ici en les spécifiant dans les champ intitulé Autres ports. Utilisez le format suivant  : port:protocole. Par exemple, si vous souhaitez autoriser l'accès IMAP à travers votre pare-feu, vous pouvez spécifier imap:tcp. Vous pouvez également spécifier explicitement des ports numériques ; pour autoriser des paquets UDP sur le port 1234 en traversant le pare-feu, indiquez 1234:udp. Pour spécifier des ports multiples, séparez-les par des virgules.

Finalement, sélectionnez les périphériques spécifiques qui devraient autoriser l'accès à votre système pour tout le trafic provenant de ce périphérique.

En sélectionnant tout périphérique appartenant à ces périphériques sécurisés, il sera exclus des règles de pare-feu. Par exemple, si vous avez un réseau local mais êtes connecté à l'Internet via un accès PPP par ligne commutée, vous pouvez sélectionner eth0 et tout trafic provenant de votre réseau local sera autorisé. En sélectionnant eth0 en tant que sécurisé, tout trafic sur la connexion Ethernet sera autorisé mais l'interface pppo demeure protégée par un pare-feu. Si vous souhaitez restreindre le trafic sur une interface, ne sélectionnez pas cette option.

Il n'est pas recommandé de faire de tout périphérique connecté à des réseaux publics, tels que l'Internet, un périphérique sécurisé.