3.22. Configuração do Firewall
Red Hat Linux oferece proteção ao firewall para segurança avançada do sistema. Existe um firewall entre seu computador e a rede, que determina quais recursos de seu computador serão acessados por usuários remotos da rede. Um firewall configurado apropriadamente pode aumentar significativamente a segurança de seu sistema.
Escolha o nível de segurança apropriado para seu sistema.
- Alto
Se você escolher Alto, seu sistema não aceitará conexões (além das configurações default) que não foram explicitamente definidas por você. Por default, são permitidas somente as seguintes conexões:
respostas DNS
DHCP — assim qualquer interface de rede que use DHCP pode ser configurada apropriadamente
Se você escolher Alto, seu firewall não permitirá o seguinte:
Modo FTP ativo (o modo FTP passivo, usado por default na maioria dos clientes, ainda deve funcionar)
transferências de arquivo DCC por IRC
RealAudio™
Clientes remotos do Sistema X Window
Se você está conectando seu sistema à Internet, mas não pretende executar um servidor, esta é a opção mais segura. Se precisar de serviços adicionais, você pode selecionar Personalizar para permitir serviços específicos através do firewall.
Nota Se você escolher configurar um firewall médio ou alto durante esta instalação, os métodos de autenticação de rede (NIS e LDAP) não funcionarão.
- Médio
Se você escolher Médio, seu firewall não permitirá que máquinas remotas acessem determinados recursos em seu computador. Por default, o acesso aos seguintes recursos é proibido:
Portas abaixo da 1023 — as portas padrão reservadas, usadas pela maioria dos serviços do sistema, tais como FTP, SSH, telnet, HTTP e NIS.
A porta do servidor NFS (2049) — NFS está desativado para ambos, servidores remotos e clientes locais.
O display local do Sistema X Window para clientes X remotos.
A porta do servidor de Fontes X (o xfs não monitora a rede por default; está desativado no servidor de fontes).
Se você deseja permitir recursos como o RealAudio™ e, ao mesmo tempo, continuar bloqueando o acesso a serviços normais do sistema, selecione Médio. Selecione Personalizar para permitir serviços específicos através do firewall.
Nota Se você escolher configurar um firewall médio ou alto durante esta instalação, os métodos de autenticação de rede (NIS e LDAP) não funcionarão.
- Sem Firewall
'Sem firewall' oferece acesso completo ao seu sistema e não executa a checagem de segurança. A checagem de segurança consiste em desativar o acesso a determinados serviços. Esta opção deve ser selecionada somente se você estiver instalando em uma rede confiável (que não na Internet) ou planeja executar outras configurações do firewall mais tarde.
Selecione Personalizar para adicionar dispositivos de confiança ou para permitir a entrada de serviços adicionais.
- Dispositivos de Confiança
Selecionar qualquer um dos Dispositivos de Confiança permite o accesso ao seu sistema para todo o tráfego através deste dispositivo; ficando excluso das regras do firewall. Por exemplo, se você está rodando uma rede local, mas está conectado à Internet através de conexão discada PPP, você pode checar eth0 e todo o tráfego proveniente de sua rede local será permitido. Selecionar eth0 como de confiança significa permitir todo o tráfego através da Ethernet, mas a interface ppp0 ainda passa pelo firewall. Se você deseja restringir o tráfego em uma interface, deixe-a não-checada (unchecked).
Não é recomendado tornar um dispositivo conectado a redes públicas (como a Internet) num Dispositivo de Confiança.
- Permitir Entrada
Ativar estas opções permite que os serviços especificados passem pelo firewall. Lembre-se: durante uma instalação de estação de trabalho, a maioria destes serviços não são instalados no sistema.
- DHCP
Se você permitir a entrada de pedidos e respostas DHCP, você estará permitindo a qualquer interface de rede, que use DHCP, determinar seu endereço IP. O DHCP normalmente está ativado. Se DHCP não estiver ativado, seu computador não poderá mais obter um endereço IP.
- SSH
Secure SHell (SSH) é um conjunto de ferramentas para logar e executar comandos em uma máquina remota. Ative esta opção se você planeja usar ferramentas SSH para acessar sua máquina através de um firewall. Você precisa ter o pacote openssh-server instalado para poder acessar sua máquina remotamente, usando ferramentas SSH.
- Telnet
Telnet é um protocolo para logar em máquinas remotas. As comunicações do Telnet não são criptografadas e não oferecem segurança contra 'snooping' de rede. Não é recomendado permitir o acesso de entrada Telnet. Para restringir o acesso de entrada Telnet, você terá que instalar o pacote telnet-server.
- WWW (HTTP)
O protocolo HTTP é usado pelo Apache (e por outros servidores Web) para servir páginas web. Ative esta opção se você pretende tornar seu servidor Web publicamente disponível. Esta opção não é necessária para visualizar páginas localmente ou para desenvolver páginas web. Para servir páginas web, você deverá instalar o pacote httpd.
Ativar o WWW (HTTP) não abrirá uma porta para o HTTPS. Para ativar o HTTPS, especifique-o no campo Outras portas.
- Correio (SMTP)
Ative esta opção se você deseja permitir a entrada de correspondência através de seu firewall, para assim máquinas remotas poderem se conectar diretamente à sua e entregar correspondência. Você não precisa ativá-la se receber sua correspondência pelo servidor de seu provedor usando POP3 ou IMAP, ou se usar alguma ferramenta como o fetchmail. Lembre-se que um servidor SMTP mal configurado pode permitir que máquinas remotas usem seu servidor para enviar spam.
- FTP
O protocolo FTP é usado para transferir arquivos entre máquinas em uma rede. Ative esta opção caso deseje tornar seu servidor FTP publicamente disponível. Você deve instalar o pacote vsftpd para que esta opção seja útil.
- Outras portas
Você pode permitir o acesso a portas não listadas aqui; basta listá-las no campo Outras portas. Use o seguinte formato: porta:protocolo. Por exemplo, se você deseja permitir acesso ao IMAP através de seu firewall, pode especificar imap:tcp. Você também pode especificar portas numéricas explicitamente - para permitir pacotes UDP na porta 1234 através do firewall, digite 1234:udp. Para especificar portas múltiplas, separe-as por vírgulas.
 | Dica |
|---|---|
Para alterar o nível de segurança após completar sua instalação, use a Ferramenta de Configuração do Nível de Segurança. Digite o comando redhat-config-securitylevel em uma janela de comandos para executar a Ferramenta de Configuração do Nível de Segurança. Se você não estiver como root, terá que indicar a senha root para continuar. |