ファイアウォールの設定
Red Hat Linuxには、システムセキュリティを強化するファイアウォールもあります。ファイアウォールは、コンピュータとネットワークの間に存在し、ネットワーク上のリモートユーザが、こちら側のコンピュータ上のどのリソースにアクセスできるかを決定します。ファイアウォールが適切に設定されていれば、システムのセキュリティは大幅に向上します。
適切なセキュリティレベルを選択します。
- 高
[高]を選択すると、システムは(デフォルト設定以外は)ユーザが明示的に定義したものでない接続を受け付けません。デフォルトでは、次の接続が許可されています。
DNS応答
DHCP(DHCPを使用できるネットワークインターフェイスが正しく設定されるように)
[高]を選択すると、ファイアウォールは次のものを拒否します。
アクティブモードのFTP(大半のクライアントでデフォルトで使用されているパッシブモードのFTPは動作する)
IRC DCCファイル転送
RealAudioTM
リモートX Windowシステムクライアント
システムをインターネットに接続しているが、サーバーを稼動する予定がない場合は、これがもっとも安全な選択肢です。サービスを追加する必要がある場合は、[カスタマイズ]を選択して、ファイアウォールを通じて特定のサービスを許可できます。
- 中
[中]を選択すると、システム上の特定リソースへのリモートマシンのアクセスを許可しません。デフォルトでは、次のリソースへのアクセスは許可されていません。
1,023未満のポート — 標準の予約済みポート。FTP、SSH、telnet、HTTPなどのほとんどのシステムサービスによって使用されます。
NFSサーバポート(2049)
リモートXクライアントの場合、ローカルX Windowシステムの表示
Xフォントサーバポート(デフォルトでは、xfsはネットワーク上でリッスンせず、フォントサーバー内では無効)
RealAudioTMなどのリソースを許可する一方で、通常のシステムサービスへのアクセスを阻止したい場合は、[中]を選択します。[カスタマイズ]を選択すると、ファイアウォールを通じて特定のサービスを許可できます。
- ファイアウォールなし
ファイアウォールを設定しない場合、システムへ全面的にアクセスできますが、セキュリティチェックは行われません。セキュリティチェックとは、特定サービスへのアクセスを無効にすることです。この設定は、信頼されているネットワーク(インターネットではなく)上で稼動している場合か、後でより詳細にファイアウォールを設定する予定の場合にだけ選択することをお勧めします。
信頼できるデバイスを追加したり、許可する着信サービスを追加する場合は、[カスタマイズ]を選択します。
- 信用するデバイス
信用するデバイスのいずれかを選択すると、そのデバイスはファイアウォールルールから除外され、システムのすべてのトラフィックにアクセスできます。たとえば、ローカルネットワークを稼動しているが、PPPダイヤルアップを介してインターネットへ接続されている場合は、[eth0]を選択すると、ローカルネットワークからのすべてのトラフィックが許可されます。[eth0]を信頼できるデバイスとして選択すると、イーサネット経由のすべてのトラフィックが許可されますが、ppp0インターフェイスは引き続きファイアウォールで保護されます。トラフィックを制限するインターフェイスは、未選択のままにしておきます。
インターネットなどの公衆ネットワークへ接続しているデバイスを、信用するデバイスとして選択することはお勧めしません。
- 以下については侵入を許可
以下のオプションを有効にすると、指定したサービスはファイアウォールを通過できます。ワークステーションインストールではこれらのサービスの大半はシステムにインストールされない点に注意してください。
- DHCP
着信するDHCPの照会と応答を許可すると、ネットワークインターフェイスはDHCPを使って、そのIPアドレスを確定できます。通常DHCPは有効になっています。DHCPが有効でない場合、コンピュータはIPアドレスを取得できません。
- SSH
SSH(SecureSHell)は、リモートマシンにログインし、コマンドを実行するためのツール群です。SSHツールを使用して、ファイアウォール経由でマシンへアクセスする予定の場合は、このオプションを有効にします。その場合、openssh-serverパッケージがインストールされている必要があります。
- Telnet
Telnetは、リモートマシンへログインするためのプロトコルです。Telnet通信は暗号化されず、ネットワーク盗聴に対して安全ではありません。内向きのTelnetアクセスを許可することはお勧めしません。内向きのTelnetアクセスを許可する場合は、telnet-serverパッケージをインストールする必要があります。
- WWW(HTTP)
HTTPプロトコルは、Webページを提供するために、Apache(および、その他のWebサーバ)によって使用されます。Webサーバを公開する予定の場合は、このオプションを有効にします。ローカルにページを表示したり、Webページを開発したりする場合は、このオプションを有効にする必要はありません。Webページを提供する場合は、apacheパッケージをインストールする必要があります。
- Mail(SMTP)
ファイアウォールを越えて内部へのメール配信を許可する場合は、このオプションを有効にします。有効にすると、リモートホストがメールの配信先マシンに直接接続できます。POP3やIMAPを使用するISPのサーバからメールを受信する場合や、fetchmailなどのツールを使用する場合は、このオプションを有効にする必要はありません。SMTPサーバの設定が正しくない場合、リモートマシンがサーバを使用してスパムメールの送信を許してしまうことに注意してください。
- FTP
FTPプロトコルは、ネットワーク上のマシン間でファイルを転送するために使用されます。FTPサーバを公開する予定の場合は、このオプションを有効にします。このオプションを活用するには、wu-ftpdパッケージ(必要に応じてanonftpも)をインストールする必要があります。
- 他のポート
[他のポート]フィールドに記入することによって、ここに挙げていないポートへのアクセスを許可することもできます。使用するフォーマットはport:protocolです。たとえば、ファイアウォールを越えるIMAPアクセスを許可する場合はimap:tcpと指定します。ポート番号を明示的に指定することもできます。たとえば、ファイアウォールを越えて、ポート1234でUDPパケットを受信するのを許可する場合は、1234:udpと入力します。複数のポートを指定する場合はカンマで区切ります。