Linuxのファイアウォール設定 - 基本

RedHat Linuxは、システムセキュリティを向上させるためのファイアウォール保護を提供します。コンピュータとネットワークの間にファイアウォールが存在し、コンピュータ上のどのリソースにネットワーク上のリモートユーザがアクセスできるかを判断します。適切に設定されたファイアウォールはあなたのシステムセキュリティを大いに高めることができます。適切なセキュリティレベルを選択するには、システムのための

マップ。
"Advanced"
"Advanced"を選択した場合、システムはあなたが指定していない接続を受け付けません（デフォルト設定を除く）。既定では、次の接続のみが許可されています。
DNSの応答
DHCP - DHCPを使用するネットワークインターフェイスは、それに応じて設定できます。
[詳細設定]を選択した場合、ファイアウォールは次の接続を許可しません。
1.アクティブFTP（ほとんどのクライアントでデフォルトで使用されているパッシブステートFTP）は正常に動作します。 IRC DCCファイル転送
3.RealAudio
4.リモートXウィンドウシステムクライアント
これはあなたがあなたのシステムをインターネットに接続したいがサーバーを実行するつもりはないなら最も安全なオプションです。追加のサービスが必要な場合は、[カスタム]を選択して、ファイアウォールの通過を許可されているサービスを指定できます。
注：インストール中に中間ファイアウォールまたは詳細ファイアウォールを設定することを選択した場合、ネットワーク認証方法（NISとLDAP）は機能しません。
"Intermediate"
"Intermediate"を選択した場合、ファイアウォールはシステムが特定のリソースにアクセスすることを許可しません。次のリソースへのアクセスは、デフォルトでは許可されていません。
1. 1023未満のポートこれらは、標準で予約されているポートで、FTP、SSH、telnet、HTTP、NISなどの一部のシステムサービスで使用されます。
2. NFSサーバーポート（2049） - リモートクライアントとローカルクライアントの両方でNFSが無効になっています。
3.リモートXクライアント用に設定されたローカルXウィンドウシステムの表示。
4.Xフォントサーバーポート（xfsはネットワーク上で待機していません。フォントサーバーではデフォルトで無効になっています）。
RealAudioなどのリソースへのアクセスを許可したいが、それでも通常のシステムサービスへのアクセスをブロックしたい場合は、[中級]を選択します。特定のサービスがファイアウォールを通過できるようにするには、[カスタム]を選択します。
注：インストール中に中間ファイアウォールまたは詳細ファイアウォールを設定することを選択した場合、ネットワーク認証方法（NISとLDAP）は機能しません。
"ファイアウォールなし"
ファイアウォールなしは、フルアクセスを許可し、セキュリティチェックは行いません。特定のサービスではセキュリティチェックが無効になっています。信頼されたネットワーク（インターネットではない）で実行している場合、または後で詳細なファイアウォール設定を実行したい場合にのみ、このオプションを選択することをお勧めします。
信頼できるデバイスを追加するか、他の着信インターフェイスを許可するには、[カスタム]を選択します。
"Trusted Devices"
"Trusted Devices"を選択すると、システムはこのデバイスからのトラフィックをすべて受け付けるようになりますが、ファイアウォールのルールには従いません。たとえば、LANを実行していてPPPダイヤルアップでインターネットに接続している場合は、「eth0」を選択すると、LANからのすべてのトラフィックが許可されます。 「信頼できる」として「eth0」を選択すると、このイーサネット内のすべてのトラフィックが許可されますが、ppp0インターフェイスにはまだファイアウォールの制限があります。インターフェース上のトラフィックを制限したい場合は、選択しないでください。
インターネットなどの公衆網に接続されているデバイスを「信頼できるデバイス」として指定しないことをお勧めします。
"アクセスを許可"
これらのオプションを有効にすると、指定した特定のサービスがファイアウォールを通過できるようになります。注：これらのサービスのほとんどは、ワークステーションタイプのインストール中にシステムにインストールされません。
"DHCP"
着信DHCPクエリと応答を許可する場合は、DHCPを使用してそのIPアドレスを判断するネットワークインターフェイスをすべて許可します。 DHCPは通常有効になっています。 DHCPが有効になっていないと、コンピュータはIPアドレスを取得できません。
"SSH"
Secure SHELL（SSH）は、リモートマシンにログインしてコマンドを実行するためのツールのセットです。 SSHツールを使用してファイアウォール経由でマシンにアクセスする予定の場合は、このオプションを有効にします。 SSHツールを使って自分のマシンにリモートアクセスするには、openssh-serverパッケージをインストールする必要があります。
"Telnet"

Telnetはリモートマシンにログインするためのプロトコルです。 Telnet通信は暗号化されておらず、ネットワークスパイに対するセキュリティ対策はほとんど提供されていません。 Telnetアクセスへのアクセスを許可しないことをお勧めします。着信Telnetアクセスを許可したい場合は、telnet-serverパッケージをインストールする必要があります。
"WWW（HTTP）"
HTTPプロトコルはWebサービスのためにApache（そして他のWebサーバー）によって使用されます。 Webサーバーを一般に公開する予定の場合は、このオプションを有効にします。ローカルWebページを表示したりWebページを開発したりするためにこのオプションを有効にする必要はありません。 Webサービスを提供する予定の場合は、httpdパッケージをインストールする必要があります。
"WWW（HTTP）"を有効にしてもHTTPS用のポートは開きません。 HTTPSを有効にするには、[Other Ports]フィールドにHTTPSを指定します。
"Mail（SMTP）"
リモートホストがあなたのマシンに直接接続してメールを送信できるようにする必要がある場合は、このオプションを有効にしてください。 ISPサーバーからPOP3またはIMAPメールを受信したい場合、またはfetchmailのようなツールを使用している場合は、このオプションを有効にしないでください。 SMTPサーバーが正しく設定されていないと、リモートマシンはあなたのサーバーを使ってスパムを送信することができます。
"FTP"
FTPプロトコルはネットワークマシン間でファイルを転送するためのプロトコルです。 FTPサーバーを一般に公開する予定の場合は、このオプションを有効にします。このオプションを利用するには、vsftpdパッケージをインストールする必要があります。
"Other Ports"
"Other Ports"フィールドにそれらをリストすることで、ここにリストされていない他のポートへのアクセスを許可することができます。形式は、Port：Protocolです。たとえば、IMAPがファイアウォールを通過するのを許可したい場合は、imap：tcpを指定できます。 UDPパケットがポート1234でファイアウォールを通過できるようにするには、1234：udpと入力します。複数のポートを指定するには、それらをコンマで区切ります。
ヒント：インストール後にセキュリティレベルの設定を変更するには、セキュリティレベル設定ツールを使用してください。シェルプロンプトでredhat-c​​onfig-securitylevelコマンドを入力して、セキュリティレベル設定ツールを起動します。 rootユーザーでない場合は、続行する前にrootパスワードを入力するように求められます。