Configurazione del firewall

Red Hat Linux vi offre inoltre una protezione firewall per una maggiore sicurezza del sistema. Il firewall si contrappone tra il vostro computer e la rete e stabilisce a quali risorse del computer remoto possono accedere gli utenti sulla rete. Un firewall configurato in modo adeguato può aumentare notevolmente la sicurezza del sistema.

Selezionate il livello di sicurezza idoneo per il vostro sistema.

Figura 4-10. Configurazione del firewall

Alto

Se scegliete un livello di sicurezza Alto, il vostro sistema non accetta connessioni che non siano state definite esplicitamente dall'utente. Per default sono consentite solo le seguenti connessioni:

  • Risposte DNS

  • DHCP — affinché le interfacce di rete che utilizzano DHCP siano in grado di funzionare correttamente.

Utilizzando il livello Alto, non saranno permessi i seguenti tipi di connessione:

  • Modalità FTP attiva (la modalità FTP passiva, utilizzata di default nella maggior parte dei client FTP, continuerà a funzionare).

  • Trasferimenti file via IRC DCC

  • RealAudioTM

  • Client X Window remoti

Se vi state connettendo a Internet, ma non avete intenzione di utilizzare un server, questa è la scelta più sicura. Se sono necessari altri servizi, potete scegliere la Personalizza per permettere il funzionamento di alcuni servizi specifici attraverso il firewall.

Medio

Scegliendo il livello Medio, non viene permesso al vostro sistema di accedere a certe risorse. Di default, viene negato l'accesso alle seguenti risorse:

  • Porte inferiori alla 1023 — queste sono le porte standard riservate e utilizzate da molti servizi di sistema, come: FTP, SSH, telnet, e HTTP

  • Porta server NFS (2049)

  • Il display locale X Window per client X remoti

  • Porta del server dei font di X (questa è disabilitata di default nel font server)

Se volete permettere l'utilizzo di risorse come RealAudioTM, pur bloccando l'accesso ai normali servizi di sistema, selezionate Medio. Potete sempre scegliere Personalizza per permettere il funzionamento di alcuni servizi specifici attraverso il firewall.

Nessun firewall

Senza firewall viene permesso l'accesso completo e non vengono effettuate verifiche di sicurezza. Questa scelta è consigliata solamente all'interno di una rete "fidata" (non Internet) e se si desidera configurare il firewall in modo più dettagliato successivamente.

Selezionate Personalizza per aggiungere periferiche fidate o per permettere ulteriori servizi in ingresso.

Periferiche fidate

Selezionando questa opzione, il vostro sistema viene abilitato a ricevere il traffico da quel dispositivo; tale dispositivo viene escluso dalle regole del firewall. Per esempio, se state gestendo una rete locale, ma avete una connessione a Internet tramite dialup PPP, potreste selezionare eth0 come dispositivo fidato e l'interfaccia ppp0 rimane tuttavia protetta tramite il firewall. Se desiderate delimitare il traffico su un'interfaccia, non controllate eth0.

Non è consigliabile abilitare come Periferiche fidate i dispositivi collegati a una rete pubblica, come Internet.

Permetti in ingresso

Attivando queste opzioni è possibile permettere ad alcuni servizi specificati di passare attraverso il firewall. NB: dopo un'installazione di classe Workstation, la maggior parte di questi servizi non sono installati.

DHCP

Se autorizzate query e risposte DHCP, consentirete a ogni interfaccia di rete (che usa DHCP) di determinare il suo indirizzo IP. Di norma DHCP è abilitato, se non lo fosse, il vostro computer non potrebbe più ricevere un indirizzo IP.

SSH

Secure SHell (SSH) è una gamma di tool per collegarsi ed eseguire i comandi su una macchina remota. Se intendete utilizzare i tool SSH per accedere alla vostra macchina attraverso un firewall, abilitate questa opzione. Dovete installare il pacchetto openssh-server per accedere all'elaboratore in modo remoto, utilizzando i tool SSH.

Telnet

Telnet è un protocollo per collegarsi su macchine remote. Non è crittografato e non offre nessun livello di sicurezza. È sconsigliato attivare il protocollo Telnet. È necessario che il pacchetto telnet-server sia installato.

WWW (HTTP)

Il protocollo HTTP è utilizzato da Apache per distribuire le pagine Web. Se pensate di rendere il vostro server Web disponibile al pubblico, attivate quest'opzione. Non è necessaria per visualizzare pagine in modo locale o per creare pagine Web. È necessario che il pacchetto Apache sia installato affinché quest'opzione possa funzionare.

Mail (SMTP)

Abilitate questa opzione, se desiderate premettere il recapito di posta in entrata. Consente agli host remoti di potersi connettere direttamente al vostro elaboratore per consengnare la posta. Non abilitate l'opzione se ricevete la posta dal server ISP tramite POP3 o IMAP oppure un tool come fetchmail. Un server SMTP non configurato correttamente, può abilitare macchine remote a usare il vostro server per inviare.

FTP

Il protocollo FTP è utilizzato per il trasferimento di file tra macchine in rete. Se intendete rendere il vostro server FTP disponibile al pubblico, abilitate quest'opzione. È necessario che siano installati i pacchetti wu-ftpd (ed eventualmente anonftp) affinché quest'opzione possa essere utilizzata.

Altre porte

Potete permettere l'accesso ad altre porte, non specificate qui, indicandole nel campo Altre porte. Utilizzate il seguente formato:porta:protocollo. Per esempio, per permettere l'accesso IMAP attraverso il firewall, potete specificare: imap:tcp. È inoltre possibile indicare le porte numericamente; per es.: per autorizzare il passaggio di pacchetti UDP sulla porta 1234, inserite 1234:udp. Per specificare più porte, è necessario separarle con le virgole.