Brandväggs- konfiguration

En brandvägg är placerad mellan din dator och nätverket, och bestämmer vilka resurser på din dator som fjärranvändare på nätverket kan komma åt. En korrekt konfigurerad brandvägg kan avsevärt förbättra standardsäkerheten på ditt system.

Välj lämplig säkerhetsnivå för ditt system.

Ingen brandväggIngen brandvägg tillåter fullständig åtkomst och utför inga säkerhetskontroller. Det rekommenderas endast om du använder ett säkert nätverk (inte Internet), eller om du planerar att göra mer detaljerad brandväggskonfiguration senare.

Aktivera brandvägg — Om du väljer Aktivera brandvägg kommer anslutningar som inte uttryckligen angivits av dig (utöver standardinställningarna) inte att accepteras. Som standard är endast anslutningar som är svar på utgående begäranden, som exempelvis DNS-svar eller DHCP-begäranden, tillåtna. Om åtkomst till tjänster som kör på denna maskin behövs kan du välja att tillåta vissa tjänster genom brandväggen.

Om du ansluter ditt system till Internet, men inte planerar att köra en server, är detta det säkraste alternativet.

Efter detta bör du välja vilka tjänster, om några, som ska tillåtas passera brandväggen.

Att använda dessa alternativ tillåter de angivna tjänsterna att passera brandväggen. Observera att de flesta av dessa tjänster inte installeras på systemet som standard. Försäkra dig om att du aktiverar alla de alternativ du kan behöva.

>WWW (HTTP) — HTTP-protokollet används av Apache (och andra webbservrar) för att tillhandahålla webbsidor. Om du planerar att göra din webbserver allmänt tillgänglig bör du aktivera detta alternativ. Detta alternativ krävs inte för lokal visning av sidor eller för utveckling av webbsidor. Du måste installera paketet httpd om du vill tillhandahålla webbsidor.

Att aktivera WWW (HTTP) öppnar inte en port för HTTPS. För att aktivera HTTPS måste du ange det i fältet Andra portar.

FTP — FTP-protokollet används för att överföra filer mellan maskiner på ett nätverk. Om du planerar att göra din FTP-server allmänt tillgänglig bör du aktivera detta alternativ. Du måste installera paketet vsftpd för att detta alternativ ska vara användbart.

SSHSecure SHell (SSH) är en svit med verktyg för inloggning och körning av kommandon på en fjärrmaskin. Om du planerar att använda SSH-verktyg för åtkomst till din maskin genom en brandvägg bör du aktivera detta alternativ. Du måste ha paketet openssh-server installerat för att kunna komma åt din maskin utifrån genom användning av SSH-verktyg.

Telnet — Telnet är ett protokoll för inloggning på fjärrmaskiner. Telnetkommunikation är okrypterad och ger ingen säkerhet mot nätverksavlyssning. Att tillåta inkommande telnetåtkomst rekommenderas inte. Om du vill tillåta inkommande telnetåtkomst måste du installera paketet telnet-server.

E-post (SMTP) — Om du vill tillåta leverans av inkommande e-post genom din brandvägg, så att fjärrvärdar kan ansluta direkt till din maskin för att leverera e-post, bör du aktivera detta alternativ. Du behöver inte aktivera detta om du hämtar e-post från din Internetleverantörs server med POP3 eller IMAP, eller om du använder ett verktyg som exempelvis fetchmail. Observera att en felaktigt konfigurerad SMTP-server kan tillåta fjärrmaskiner att använda din server för att skicka spam.

Du kan tillåta åtkomst till portar som inte visas här genom att ange dem i fältet Andra portar. Använd följande format: port:protokoll. Om du till exempel vill tillåta IMAP-åtkomst genom din brandvägg kan du ange imap:tcp. Du kan också explicit ange numeriska portar. För att tillåta att UDP-paket på port 1234 passerar brandväggen kan du ange 1234:udp. Skilj på portarna med kommatecken om flera portar ska anges.

Slutligen bör du välja eventuella enheter som ska tillåta åtkomst till ditt system för all trafik från den enheten.

Att välja någon av dessa pålitliga enheter exkluderar dem från brandväggsreglerna. Till exempel kan du kryssa för eth0 om du har ett lokalt nätverk men är ansluten till Internet via en uppringd PPP-anslutning, så kommer all trafik från ditt lokala nätverk att tillåtas. Att välja eth0 som pålitlig betyder att all trafik över Ethernet är tillåten, men att ppp0-gränssnittet fortfarande skyddas av en brandvägg. Om du vill begränsa trafiken på ett gränssnitt bör du lämna det okryssat.

Det är inte rekommenderat att göra någon enhet som är ansluten till allmänna nätverk, som exempelvis Internet, till en pålitlig enhet.