Nastavení firewallu

Firewall je umístěn mezi vaším počítačem a počítačovou sítí a určuje, které prostředky vašeho počítače mohou využívat vzdálení uživatelé. Správně nastavený firewall může znatelně zvýšit zabezpečení vašeho počítače.

Zvolte příslušnou úroveň zabezpečení systému vhodnou pro váš systém.

Žádný firewallŽádný firewall poskytuje úplný přístup k vašemu systému a neprovádí žádné kontroly zabezpečení. Kontrola zabezpečení je zákaz přístupu k určitým službám. Toto by mělo být zvoleno, jen pokud jste připojeni k bezpečné síti (ne k Internetu) nebo plánujete nastavit firewall později.

Povolit firewall — Pokud zvolíte Povolit firewall, nejsou vaším systémem přijímána spojení, která explicitně nepovolíte (kromě implicitního nastavení). Implicitně jsou povolena jen spojení odpovídající na odchozí požadavky, např. odpovědi DNS nebo požadavky DHCP. Pokud je potřeba přístup ke službám běžícím na toto počítači, můžete povolit konkrétním službám průchod firewallem.

Připojujete-li svůj systém k Internetu, ale neplánujete ho používat jako server, je toto nastavení nejbezpečnější volbou.

Dále zvolte, kterým službám by mělo být povoleno procházet firewallem.

Povolení těchto voleb umožňuje službám procházet firewallem. Většina těchto služeb není v systému implicitně nainstalována. Povolte všechny služby, které budete potřebovat.

WWW (HTTP) — Protokol HTTP používá Apache (a jiné WWW servery) pro poskytování WWW stránek. Pokud plánujete zpřístupnit svůj WWW server veřejnosti, povolte tuto volbu. Tato volba není potřeba pro prohlížení stránek lokálně nebo pro vývoj WWW stránek. Pokud chcete poskytovat WWW stránky, musíte nainstalovat balíček httpd.

Povolení WWW (HTTP) neotevře port pro HTTPS. HTTPS povolte jeho zadáním v poli Ostatní porty.

FTP — Protokol FTP se používá pro přenos souborů mezi počítači v síti. Pokud plánujete zpřístupnit svůj FTP server veřejnosti, povolte tuto volbu. Aby byla tato volba užitečná, musíte nainstalovat balíček vsftpd.

SSHSecure SHell (SSH) je sada nástrojů pro přihlašování se ke vzdáleným strojům a spouštění příkazů na nich. Pokud plánujete přistupovat ke svému stroji přes firewall pomocí nástrojů SSH, povolte tuto volbu. Aby jste mohli ke svému stroji přistupovat vzdáleně pomocí nástrojů SSH, musíte mít nainstalován balíček openssh-server.

Telnet — Telnet je protokol pro přihlašování se do vzdálených strojů. Komunikace telnetu je nešifrovaná a neposkytuje žádné zabezpečení před odposloucháváním sítě. Povolení příchozího přístupu přes telnet se nedoporučuje. Pokud opravdu chcete povolit příchozí přístup přes telnet, musíte nainstalovat balíček telnet-server.

Pošta (SMTP) — Pokud chcete povolit doručování příchozí pošty přes firewall, aby se vzdálené počítače mohly připojit přímo k vašemu počítači a doručit poštu, povolte tuto volbu. Tuto volbu nemusíte povolovat, pokud svou poštu stahujete ze serveru vašeho providera pomocí POP3 nebo IMAP nebo pokud používáte nástroj fetchmail. Upozorňujeme, že nesprávně nastavený SMTP server může umožnit jiným počítačům použít váš server k rozesílání spamu.

Můžete povolit přístup k jiným portům, které zde nejsou uvedeny, jejich vypsáním v poli Ostatní porty. Použijte následující formát: port:protokol. Pokud například chcete povolit přístup IMAP přes váš firewall, můžete zadat imap:tcp. Můžete také explicitně zadat porty číslem; průchod paketů UDP na portu 1234 firewallem povolíte zadáním 1234:udp. Můžete zadat více portů oddělených čárkami.

Na konec vyberte zařízení, ze kterých bude povolen přístup k vašemu systému pro všechen provoz.

Výběr libovolného z těchto důvěryhodných zařízení je vyjímá z pravidel firewallu. Pokud například používáte místní síť, ale jste připojeni k Internetu pomocí vytáčeného připojení PPP, můžete zaškrtnout eth0 a všechen provoz přicházející z vaší místní sítě je povolen. Výběr eth0 jako důvěryhodného zařízení znamená, že všechen provoz přes Ethernet je povolen, ale zařízení ppp0 je stále chráněno firewallem. Pokud chcete omezit provoz na rozhraní, nechte je nezaškrtnuté.

Nedoporučuje se nastavovat síťová rozhraní, která jsou připojena do veřejných sítí, např. do Internetu, jako důvěryhodná.