RedHat Linuxでのファイアウォール設定のヒント

RedHatLinuxはシステムセキュリティを強化するためのファイアウォール保護を提供します。コンピュータとネットワークの間にファイアウォールが存在し、コンピュータ上のどのリソースにネットワーク上のリモートユーザがアクセスできるかを判断します。適切に設定されたファイアウォールはあなたのシステムセキュリティを大いに高めることができます。

ご使用のシステムに適したセキュリティレベルを選択してください。

詳細設定

「詳細設定」を選択した場合、システムはあなたが指定していない接続を受け付けません（デフォルト設定を除く）。デフォルトでは、次の接続のみが許可されています。

DNS応答

DHCP - DHCPを使用するネットワークインターフェイスは、それに応じて設定できます。 [詳細設定]を選択した場合、ファイアウォールは次の接続を許可しません。

1.アクティブFTP（ほとんどのクライアントでデフォルトで使用されているパッシブステートFTP）は正常に動作します。

2.IRCDCCファイル転送

3.RealAudio。

4.リモートXウィンドウシステムクライアント。

これはあなたのシステムをインターネットに接続したいがサーバーを実行する予定がない場合に最も安全な方法です。追加のサービスが必要な場合は、「カスタマイズ」を選択してファイアウォールの通過を許可するサービスを指定できます。

注：インストールで中間ファイアウォールまたは上級ファイアウォールを設定することを選択した場合、ネットワーク認証方法（NISとLDAP）は機能しません。

中級

「中級」を選択した場合、ファイアウォールはシステムから特定のリソースへのアクセスを許可しません。以下のリソースへのアクセスは、デフォルトでは許可されていません：

1. 1023以下のポートこれらは、標準で予約されるポートで、主にいくつかのシステムサービスで使用されます：そしてNIS。

2.NFSサーバーポート（2049） - リモートとローカルの両方のクライアントでNFSが無効になっている。

3.リモートXクライアント用のローカルXウィンドウシステムディスプレイ。

4.Xフォントサーバーポート（xfsはネットワーク上で待機していません。フォントサーバーではデフォルトで無効になっています）。

RealAudioなどのリソースへのアクセスを許可したいが、それでも通常のシステムサービスへのアクセスをブロックしたい場合は、[中級]を選択します。特定の指定サービスがファイアウォールを通過できるようにするには、[カスタマイズ]を選択します。注：インストールで中間ファイアウォールまたは上級ファイアウォールを設定することを選択した場合、ネットワーク認証方式（NISとLDAP）は機能しません。

ファイアウォールなし

ファイアウォールなしはフルアクセスを許可し、セキュリティチェックは行いません。信頼されたネットワーク（インターネットではない）で実行している場合、または後で詳細なファイアウォール設定を実行する場合にのみ、このオプションを選択することをお勧めします。

信頼できる端末を追加する、または他のアクセスインターフェイスを許可するには、[カスタマイズ]を選択します。

信頼できるデバイス

「信頼できるデバイス」を選択すると、システムはこのデバイスからのトラフィックをすべて受け付けるようになりますが、ファイアウォールの規則には従いません。たとえば、LANを実行していてPPPダイヤルアップでインターネットに接続している場合は、<; eth0'を選択すると、LANからのすべてのトラフィックが許可されます。 「信頼できる」として< eth0"を選択すると、このイーサネット内のすべてのトラフィックは許可されますが、ppp0インターフェースにはまだファイアウォールの制限があります。インターフェース上のトラフィックを制限したい場合は、選択しないでください。

インターネットに接続されているパブリックネットワーク上のデバイスを「信頼できるデバイス」として設定しないことをお勧めします。

アクセスを許可する

これらのオプションを有効にすると、指定した特定のサービスがファイアウォールを通過できるようになります。注：これらのサービスのほとんどは、ワークステーションタイプのインストール中にシステムにインストールされません。

DHCP

着信DHCPクエリと応答を許可すると、DHCPを使用してそのIPアドレスを判断するネットワークインターフェイスがすべて許可されます。 DHCPは通常有効になっています。 DHCPが有効になっていないと、コンピュータはIPアドレスを取得できません。

SSH

セキュアシェル（SSH）は、リモートマシンにログインしてコマンドを実行するためのツールのセットです。 SSHツールを使用してファイアウォールを介してマシンにアクセスする予定の場合は、このオプションを有効にします。 SSHツールを使って自分のマシンにリモートアクセスするには、openssh-serverパッケージをインストールする必要があります。

Telnet

Telnetは、リモートマシンにログインするためのプロトコルです。 Telnet通信は暗号化されておらず、ネットワークスパイに対するセキュリティ対策はほとんど提供されていません。 Telnetアクセスへのアクセスを許可しないことをお勧めします。 Telnetアクセスへのアクセスを許可したい場合は、telnet-serverパッケージをインストールする必要があります。 " WWW（HTTP）>

HTTPプロトコルは、WebサービスにApache（および他のWebサーバー）によって使用されています。 Webサーバーを一般に公開する予定の場合は、このオプションを有効にします。ローカルWebページを表示したりWebページを開発するためにこのオプションを有効にする必要はありません。 Webサービスを提供する予定の場合は、httpdパッケージをインストールする必要があります。

" WWW（HTTP）"を有効にしてもHTTPS用のポートは開きません。 HTTPSを有効にするには、[その他のポート]フィールドに「」を指定します。

メール（SMTP）

リモートホストがあなたのマシンに直接接続してメールを送信できるようにする必要がある場合は、このオプションを有効にしてください。 ISPサーバーからPOP3またはIMAPメールを受信したい場合、またはfetchmailのようなツールを使用している場合は、このオプションを有効にしないでください。正しく設定されていないSMTPサーバは、リモートマシンがあなたのサーバを使ってスパムを送信することを可能にするでしょう。

FTP

FTPプロトコルは、ネットワーク上のコンピュータ間でファイルを転送するためのプロトコルです。 FTPサーバーを一般に公開する予定の場合は、このオプションを有効にします。このオプションを利用するには、vsftpdパッケージをインストールする必要があります。

その他のポート

ここに記載されていない他のポートへのアクセスを許可するには、それらを[その他のポート]フィールドに表示します。形式は" port：protocol"です。たとえば、IMAPがファイアウォールを通過できるようにしたい場合は、imap：tcpを指定し、ポート1234でUDPパケットがファイアウォールを通過できるようにするには、1234と入力します。それらを分けてください。

ヒント：インストール後にセキュリティレベルの設定を変更するには、セキュリティレベル設定ツールを使用してください。シェルプロンプトでredhat-c​​onfig-securitylevelコマンドを入力して、セキュリティレベル設定ツールを起動します。 rootユーザーでない場合は、続行する前にrootパスワードを入力するように求められます。