Настройка брандмауера

Брандмауер (він же firewall) знаходиться між вашою системою та мережею. Він визначає, до яких ресурсів вашого комп'ютера може отримати доступ віддалений користувач з мережі.Добре налаштований брандмауер значно підвищує безпеку вашої системи.

Виберіть відповідний рівень безпеки вашої системи.

Без брандмауера — настройка без брандмауера надає повний доступ до вашої системи без будь-якої перевірки безпеки, котра полягає у забороні доступу до певних служб. Подібна настройка допустима якщо ви працюєте у надійно захищеній мережі (не в Інтернет), або плануєте настроїти брандмауер пізніше.

Ввімкнути брандмауер — якщо ви вибираєте цей варіант, тоді ваша система не буде приймати жодного з'єднання (окрім передбачених настройками), якщо ці з'єднання не ініційовані вами. Типово дозволені лише з'єднання на відповідь до зовнішніх запитів, наприклад DNS відповіді та DHCP запити. Якщо потрібен доступ ззовні до певних служб цієї машини, ви можете відкрити доступ до цих служб через брандмауер.

Це найбільш безпечний вибір, якщо ви з'єднані з Інтернет, та система не виконує функції сервера.

Тепер, відмітьте служби, до яких буде можливість отримати доступ через брандмауер.

Якщо ви оберете цей варіант, то дозволите певним службам проходити через брандмауер. Зверніть увагу, ці служби можуть бути не встановлені у системі. Перевірте, що ви вибрали всі параметри, які можуть знадобитись.

WWW (HTTP) — протокол HTTP використовується Apache (та іншими веб-серверами) для обслуговування веб-сторінок. Відмітьте цей пункт, якщо ви плануєте створити загальнодоступний веб-сервер. Немає потреби відмічати цей пункт для локального перегляду веб-сторінок, або для їх розробки. Для виконання функцій веб-сервера необхідно встановити пакет httpd.

Активізація параметра WWW (HTTP) не відкриває порт для HTTPS. Щоб його відкрити, вкажіть його у полі Інші порти.

FTP — протокол FTP використовується для передавання файлв між комп'ютерами. Відмітьте цей пункт, якщо плануєте створити загальнодоступний ftp-сервер. Для виконання функцій ftp-сервера необхідно встановити пакет vsftpd.

SSHSecure SHell (SSH) (захищена оболонка), набір програм для входу на віддалений комп'ютер та виконання на ньому команд. Відмітьте цей пункт, якщо ви плануєте використовувати SSH для доступу до вашого комп'ютера через брандмауер. Для використання функції віддаленого входу необхідно встановити пакет openssh-server.

Telnet — Telnet це протокол для входу у віддалені системи. З'єднання через Telnet не шифруються та не гарантують захисту від прослуховування. Не рекомендується дозволяти вхідні з'єднання по Telnet. Якщо ви хочете відкрити доступ для входу через Telnet, необхідно встановити пакет telnet-server.

Mail (SMTP) — дозволяє доставку пошти, що надходить по SMTP. Відмітьте цей пункт, якщо потрібно дозволити віддаленим комп'ютерам безпосередньо з'єднуватись з вашим комп'ютером для доставки пошти. Немає потреби відмічати цей пункт, якщо ви забираєте пошту з поштового сервера вашого провайдера Інтернет, використовуючи протокол POP чи IMAP, або використовуєте для цього програму fetchmail. Зауважте, недбало налаштований SMTP сервер може дозволити віддаленим машинам скористатись ним для розсилання небажаної пошти (спаму).

Ви можете дозволити доступ до відсутніх у цьому переліку портів, вказавши їх у полі Інші порти. Використовуйте наступний формат: порт:протокол. Наприклад, якщо ви бажаєте дозволити проходження IMAP через брандмауер, вкажіть imap:tcp. Ви можете явно вказувати номери портів; наприклад, щоб пропускати через брандмауер UDP пакети на порт 1234, введіть 1234:udp. При вказуванні декількох портів розділяйте їх комами.

Зрештою, виберіть пристрої, через які буде дозволено доступ до системи для будь-яких даних.

Вибір будь-якого з цих довірених пристроїв призводить до вилучення їх з правил брандмауера. Наприклад, якщо ви з'єднані з локальною мережею, а з Інтернет з'єднуєтесь використовуючи інтерфейс PPP по телефонній лінії, можете відмітити eth0, тоді весь трафік з локальної мережі, буде дозволений. Вибір eth0 як довіреного пристрою, означає дозвіл на проходження всього трафіку через Ethernet, проте інтерфейс ppp0 досі контролюється правилами брандмауера. Якщо ви бажаєте обмежувати трафік через інтерфейс, залиште пристрій невідміченим.

Не рекомендується робити довіреними пристрої, підключені до публічної мережі, наприклад Інтернет.