3.22. Configurazione del firewall
Red Hat Linux vi offre una protezione firewall per una maggiore sicurezza del sistema. Il firewall è quell'elemento che esiste tra il vostro computer e la rete e stabilisce a quali risorse del computer remoto possono accedere gli utenti sulla rete. Un firewall configurato in modo adeguato può aumentare notevolmente la sicurezza del sistema.
Selezionate il livello di sicurezza idoneo per il vostro sistema.
- Alto
Se scegliete un livello di sicurezza Alto, il vostro sistema non accetta connessioni (tranne quelle di default) che non siano state definite esplicitamente dall'utente. Per default sono consentite solo le seguenti connessioni:
Risposte DNS
DHCP — in modo che le interfacce di rete che utilizzano DHCP possano essere propriamente configurate
Utilizzando il livello Alto, il firewall non permetterà i seguenti tipi di connessione:
Modalità FTP attiva (la modalità FTP passiva, utilizzata di default nella maggior parte dei client, continuerà a funzionare)
Trasferimenti file via IRC DCC
RealAudio™
Client X Window remoti
Se vi state connettendo a Internet, ma non avete intenzione di utilizzare un server, questa è la scelta più sicura. Se sono necessari altri servizi, potete scegliere Personalizza per permettere il funzionamento di alcuni servizi specifici attraverso il firewall.
Nota Bene Se selezionate un livello di protezione medio o alto durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzionano.
- Medio
Scegliendo il livello Medio, non viene permesso a macchine remote di accedere ad alcune risorse del vostro sistema. Per default, viene negato l'accesso alle seguenti risorse:
Porte inferiori alla 1023 — queste sono le porte standard riservate e utilizzate da molti servizi di sistema, come FTP, SSH, telnet, HTTP e NIS.
Porta del server NFS (2049) — NFS è disabilitato per i server remoti e i client locali.
Il display locale X Window per client X remoti.
Porta del server dei font di X (per default, xfs non è in ascolto sulla rete ed è disabilitata di default nel font server).
Se volete permettere l'utilizzo di risorse come RealAudio™, pur bloccando l'accesso ai normali servizi di sistema, selezionate Medio. Potete sempre scegliere Personalizza per consentire il funzionamento di servizi specifici attraverso il firewall.
Nota Bene Se selezionate un livello di protezione medio o alto durante l'installazione, i metodi di autenticazione di rete (NIS e LDAP) non funzionano.
- Nessun firewall
Senza firewall viene permesso l'accesso completo e non vengono effettuate verifiche di sicurezza, che servono a disabilitare l'accesso ad alcuni servizi se la sicurezza è compromessa. Questa scelta è consigliata unicamente all'interno di una rete "fidata" (non Internet) o se si desidera configurare il firewall in modo più dettagliato successivamente.
Selezionate Personalizza per aggiungere periferiche fidate o per permettere ulteriori servizi in ingresso.
- Periferiche fidate
Selezionando l'opzione Periferiche fidate, il sistema viene abilitato a ricevere il traffico da quel dispositivo; tale dispositivo viene escluso dalle regole del firewall. Per esempio, se state gestendo una rete locale, ma avete una connessione a Internet tramite dialup PPP, controllate eth0 e permettete l'ingresso di tutto il traffico proveniente dalla rete locale. Scegliendo eth0 come dispositivo fidato, l'interfaccia ppp0 rimane tuttavia protetta tramite il firewall. Se desiderate delimitare il traffico su un'interfaccia, non controllatelo.
Non è consigliabile abilitare come Periferiche fidate i dispositivi collegati a una rete pubblica, come Internet.
- Permetti in ingresso
Attivando queste opzioni è possibile permettere ad alcuni servizi specificati di passare attraverso il firewall. Dopo un'installazione Workstation, la maggior parte di questi servizi non è installata sul sistema.
- DHCP
Se autorizzate domande e risposte DHCP, consentirete a ogni interfaccia di rete (che usa DHCP) di determinare il suo indirizzo IP. Di norma, DHCP è abilitato; se non lo fosse, il vostro computer non potrebbe più ricevere un indirizzo IP.
- SSH
Secure SHell (SSH) è una gamma di tool per collegarsi ed eseguire i comandi su una macchina remota. Se intendete utilizzare i tool SSH per accedere alla vostra macchina attraverso un firewall, abilitate questa opzione. Dovete installare openssh-server per accedere alla macchina in modo remoto, utilizzando i tool SSH.
- Telnet
Telnet è un protocollo per collegarsi su macchine remote. Non è crittografato e non offre alcun livello di protezione per la rete. Si sconsiglia l'attivazione dell'accesso Telnet. Per consentire l'accesso Telnet in ingresso, è necessario che il pacchetto telnet-server sia installato.
- WWW (HTTP)
Il protocollo HTTP è utilizzato da Apache (e da altri server Web) per distribuire le pagine Web. Se pensate di rendere il vostro server Web disponibile al pubblico, attivate quest'opzione. Non è necessaria per visualizzare pagine in modo locale o per creare pagine Web. È necessario che il pacchetto httpd sia installato per distribuire pagine Web.
Abilitando WWW (HTTP) non si apre la porta per HTTPS. Per abilitare HTTPS, specificatelo nel campo Altre porte.
- Mail (SMTP)
Abilitate questa opzione se desiderate premettere il recapito di posta in entrata. Consente agli host remoti di potersi connettere direttamente al vostro elaboratore per consegnare la posta. Non abilitate l'opzione se ricevete la posta dal server ISP tramite POP3 o IMAP oppure tramite un tool come fetchmail. Un server SMTP non configurato correttamente può abilitare macchine remote a usare il vostro server per inviare spam.
- FTP
Il protocollo FTP è utilizzato per il trasferimento di file tra macchine in rete. Se intendete rendere il vostro server FTP disponibile al pubblico, abilitate quest'opzione. È necessario che sia installato il pacchetto wu-ftpd (ed eventualmente anonftp) per utilizzare questa opzione.
- Altre porte
Potete permettere l'accesso ad altre porte, non specificate qui, indicandole nel campo Altre porte. Utilizzate il seguente formato: port:protocol. Per esempio, per permettere l'accesso IMAP attraverso il firewall, specificate: imap:tcp. È inoltre possibile indicare le porte numericamente: per autorizzare il passaggio di pacchetti UDP sulla porta 1234, inserite 1234:udp. Per specificare più porte, è necessario separarle con le virgole.
 | Suggerimento |
|---|---|
Per modificare la configurazione del livello di sicurezza dopo l'installazione, utilizzate Strumento di configurazione del livello di sicurezza. Digitate il comando redhat-config-securitylevel al prompt della shell per aprire Strumento di configurazione del livello di sicurezza. Se non eseguite l'accesso come utente root, dovrete specificare la password di root per continuare. |