13.2. GNOME Lokkit
GNOME Lokkitでは、基本的なiptablesネットワーク規則を作成することによって、標準的ユーザーのファイアウォール設定を行うことができます。このプログラムでは、規則を書き込む代わりに、ユーザーに対してシステムの使用に関する一連の質問を行い、それをファイル/etc/sysconfig/iptablesに書き込みます。
GNOME Lokkitを使用して複雑なファイアウォール規則を作成することはおすすめできません。このプログラムは、モデム、ケーブル、DSLインターネット接続を使用するときに自分のシステムを保護したい標準的なユーザーを想定しています。詳細なファイアウォール規則の設定については、Red Hat Linux 参照ガイドのiptablesを使用するファイアウォールの章を参照してください。
特定のサービスを無効にし、特定のホストやユーザーを拒否する方法については、第14章を参照してください。
GNOME Lokkitのグラフィカルバージョンを開始するには、メインメニューボタン => システムツール => 他のシステムツール => Lokkitと選択 していきます。又はシェルプロンプトでrootとしてコマンドgnome-lokkitを入力します。 X Window Systemがインストールされていない場合や、テキストベースのプログラムを好む場合は、シェルプロンプトで lokkitコマンドを使用して、テキストモードバージョンを起動します。
13.2.1. 基本
プログラムを起動した後、システムのための適当なセキュリティレベルを選択します。
高セキュリティ—このオプションでは、ほとんどのネットワーク接続が無効となりますが、DNS応答とDHCPだけはネットワークインターフェイスが起動できるようにするため有効になります。IRC、ICQ、ほかのインターネットメッセージサービス、RealAudio™等は、プロキシがなければ機能しません。
低セキュリティ—このオプションは、システムへのリモート接続(NFS接続やリモートX Window Systemセッションを含む)を禁止します。ポート1023より下のサービスは接続を受け付けません(FTP、SSH、Telnet、HTTP接続も受け付けられません)。
ファイアウォール無効—このオプションでは、セキュリティ規則を作成しません。このオプションは、システムが信頼できるネットワーク上にある(インターネット上にはない)場合や、システムがより大規模なファイアウォールで保護されている場合、あるいはユーザーが自分のカスタムファイアウォール規則を作成する場合にだけ選択してください。このオプションを選択し、次ボタンをクリックしたら、項13.3に進みます。システムのセキュリティは変更されません。
13.2.2. ローカルホスト
システムにイーサネットデバイスがある場合は、ローカルホストページで、各デバイスへ送信される接続要求にファイアウォール規則を適用するかどうかを設定できます。このデバイスがシステムをファイアウォールで保護されているローカルエリアネットワークに接続し、インターネットに直接接続しない場合は、はいボタンを選択します。イーサネットカードがシステムをケーブルまたはDSLモデムに接続する場合は、いいえボタンを選択することを推奨します。
13.2.3. DHCP
システム上でDHCPを使用してイーサネットインターフェイスを有効にする場合は、DHCPについての質問にはいを選択しなければいけません。いいえを選択した場合、イーサネットインターフェイスを使用して接続を確立できません。多くのケーブルテレビやDSLインターネットプロバイダーは、DHCPを使用してインターネット接続を確立することを要求します。
13.2.4. サービスの設定
GNOME Lokkitではまた、一般的なサービスのオン/オフを切り替えることができます。サービスの設定についてはいを選択した場合、以下のサービスに関するプロンプトが表示されます:
Webサーバー—ユーザーのシステム上で実行しているWebサーバー(Apacheなど)への接続を許可する場合は、このオプションを選択します。自分のシステムまたはネットワーク上のほかのサーバーにあるページを表示する場合は、このオプションを選択する必要はありません。
着信メール—システムで着信メールを受け取る必要がある場合は、このオプションを選択します。IMAP、POP3、またはfetchmailを使用して電子メールを検索する場合は、このオプションを選択する必要はありません。
セキュアシェル(ssh)—SSH(Secure Shell)は、暗号化通信を介してリモートマシンにログインし、コマンドを実行するためのツールのセットです。SSHを通してリモートからマシンにアクセスする必要がある場合は、このオプションを選択します。
telnet—telnetを使用すると、リモートからマシンにログインできます。しかし、これは安全なサービスではありません。このサービスは、ネットワークを介してプレーンテキスト(パスワードを含む)を送信します。リモートからマシンにログインする場合は、SSHを使用することを推奨します。システムにtelnetでアクセスする要求がある場合には、このオプションを選択します。
このほかの不要なサービスを無効にするには、セキュリティレベル 設定ツール(項14.3を参照)、ntsysv(項14.4を参照)、chkconfig(項14.5を参照)のいずれかを使用します。
13.2.5. ファイアウォールの起動
完了ボタンをクリックすると、/etc/sysconfig/iptables内に ファイアウォール規則が書き込まれ、iptablesサービスをスタートすることにより ファイアウォールが起動されます。
 | 警告 |
|---|---|
/etc/sysconfig/iptablesファイルの中でファイアウォールを設定していたり ファイアウォール規則を持っている場合、ファイアウォール無効を 選択し、完了のボタンをクリックして変更を保存すると、そのファイルは 削除されます。 |
GNOME Lokkitは必ずそのマシンで実行してください(リモートXセッションから実行するのは避けてください)。システムへのリモートアクセスを無効にした場合に、そのシステムにアクセスできなくなるか、またはファイアウォール規則が無効になります。
ファイアウォール規則を書き込まない場合は、キャンセルボタンをクリックします。
13.2.5.1. メールリレー
メールリレー(転送)は、ほかのシステムからの電子メールの送信を仲介できるシステムです。ユーザーのシステムがメールリレーである場合は、誰かがそれを使用してユーザーのマシンからほかのシステムに対してスパムメールを送る危険性があります。
ファイアウォールを有効にするページの完了ボタンをクリックした後でメールサービスを有効にした場合、メールリレーのチェックが要求されます。はいを選択してメールリレーをチェックする場合、GNOME Lokkitは「Mail Abuse Prevention System」のWebサイト(http://www.mail-abuse.org/)に接続し、メールリレーテストプログラムを実行します。テストの結果は、テストが終了したとき表示されます。システムがメールリレーに利用できる場合は、Sendmailでそれを防止するように設定してください。