Linux的
防火墙配置—基础篇
0 M: a* O3 L9 ^7 |3 w/ r' r4 n, p# o
2006-06-01
- f$ q' s# Y' c e2 B2 C7 F0 t5 M9 M3 d6 n- S9 E: g2 z* R+ u
5 q) J1 D1 r7 J( t6 n
* k9 @$ l1 m" y, H RedHatLinux为增加
系统安全性提供了防火墙保护。防火墙存在于你的
计算机和
网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。
! G* J+ r3 X* w6 |0 P) h( T' d/ g/ [: ~ N. G. M
+ ~% c9 Z" ^* T" [6 L3 D h- }5 }# r; N
图
1 ^% }3 F( s; @' D3 g9 x. r% i* p+ k8 ?4 Y4 r/ ?7 z
为你的系统选择恰当的安全级别。
7 S1 W b2 V* k" ^
# X: A0 n% [) ]4 X1 f: w _' _ 「高级」
" M! {/ N T6 t/ Y: e
7 V( ^1 F* I, T/ G: [: L+ { 如果你选择了「高级」,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。只有以下连接是默认允许的:
) J0 C1 C. c9 n& @, K
* }, t. {' z9 U) v, U
DNS回应
+ v5 h: a% F. Y! g1 }/ J4 {7 r
& E, f4 [4 j% Y$ B DHCP—任何使用DHCP的网络接口都可以被相应地配置。
% J! ^ j2 j( e! g( }/ v
) M2 {+ P" h8 U3 r' r 如果你选择「高级」,你的防火墙将不允许下列连接:
9 b! p% z4 k4 z/ [9 t& b$ \* G, O4 T; h1 A8 Q! w8 S5 D1 u2 v
1.活跃状态
FTP(在多数客户机中默认使用的被动状态FTP应该能够正常运行。)
2 f% r0 g4 x, r) I8 B ^* s7 n
* G/ k6 b1 g# h6 o) M/ I 2.IRCDCC文件传输
1 n4 H5 \$ g" R# Q
, o1 U! l( j, ~* W/ C5 f 3.RealAudio
( D2 C; A& L, R, G3 H% t
7 W0 @1 K2 c7 [' H- e% Z: j7 J
4.远程X窗口系统客户机
1 U# l/ s" j; E! G, |! m, I
3 p( u( G$ t6 ^2 m% `: e 如果你要把系统连接到
互联网上,但是并不打算运行
服务器,这是最安全的选择。如果需要额外的服务,你可以选择「定制」来具体指定允许通过防火墙的服务。
; c0 ^8 {( D# d( r6 i
2 X# A3 [* w8 b2 c
注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS和LDAP)将行不通。
2 a' _1 r2 ]& z: t" C 「中级」
) @$ a M% r3 ]) |2 s
$ y; M4 j( }. |6 s. V
, x' ^) R( H9 z% c& H% e 如果你选择了「中级」,你的防火墙将不准你的系统访问某些资源。访问下列资源是默认不允许的:
' A# R5 l0 ` r, I# b# \2 a" u' S
2 ^ q2 J$ d/ T0 S: l5 V7 N
1.低于1023的
端口—这些是
标准要保留的端口,主要被一些系统服务所使用,例如:FTP、SSH、telnet、HTTP、和NIS。
6 s/ @3 ]% F3 R6 }9 v% B; @: R' C! s2 `8 ^
2.NFS服务器端口(2049)—在远程服务器和本地客户机上,NFS都已被禁用。
9 A# x3 V, n: h- _/ R0 H) f% G6 ^$ [) g. s; u4 c" o2 o" R6 n7 Z
3.为远程X客户机设立的本地X窗口系统显示。
6 o3 p1 R& w% Q4 g/ S
& s6 }' s# v0 h' k8 S+ k% A 4.X字体服务器端口(xfs不在网络中监听;它在字体服务器中被默认禁用)。
" R/ E9 q2 n8 O3 K @+ R
. r, t7 C$ o% b& ]* `% I' N, ?
如果你想准许到RealAudio之
类资源的访问,但仍要堵塞到普通系统服务的访问,选择「中级」。你可以选择「定制」来允许具体指定的服务穿过防火墙。
2 v( \9 \& v* w6 Y. H2 ]( L
0 C' C1 Z9 o; _) f# M# d5 U
注记:如果你在安装中选择设置了中级或高级防火墙,网络验证方法(NIS和LDAP)将行不通。
" Z3 m; K' I. ^- J( @) b
5 c! C# m" `* Q7 s" k# O
「无防火墙」
6 J; p( D4 r$ w
8 U; o3 o# p- D ` x' ^ 无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
$ }* W6 M8 n6 P, C
2 W0 _/ }: a' D7 U# p+ n! S 选择「定制」来添加信任的设备或允许其它的进入接口。
7 v& z4 c4 ]$ F. I" w0 P3 F' n! B7 {* E I* q7 Q( _2 f
「信任的设备」
6 q( T( u% q f9 z- D& W5 I7 B- d& t+ U
选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。把「eth0」选为“信任的”意味着所有这个以太网内的交通都是被允许的,但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。
; I; N. r5 R' a" T1 X, |% P
2 p6 ^ p' e+ S1 w8 r( H 建议你不要将连接到互联网之类的公共网络上的设备定为「信任的设备」。
4 B7 r" ?( N, L3 [3 y0 V# g/ o
/ g; u" i: Z2 D. { 「允许进入」
* e9 d% k: w6 f8 g- a& A( w( { D" u) `1 H$ F' I
启用这些选项将允许具体指定的服务穿过防火墙。注意:在工作站类型安装中,大多数这类服务在系统内没有被安装。
- B* X% N8 H& W+ G% o
. b7 z- g8 J! s. S) h% n- w, _ 「DHCP」
0 q5 G2 ^5 N! ]) U& y$ W4 A! `
5 P ?% f6 g+ W 如果你允许进入的DHCP查询和回应,你将会允许任何使用DHCP来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用,你的计算机就不能够获取IP地址。
( E, W1 ]! [! A! T+ l1 O
/ s+ y" S D4 `1 V0 A
「SSH」
5 K5 V+ i- `/ m( M" y; U
$ P" X) z0 O% V- ]
Secure(安全)SHell(SSH)是用来在远程
机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的
机器,启用该选项。你需要安装openssh-server
软件包以便使用SSH工具来远程访问你的机器。
! a/ p0 E, H4 S ?/ s
; n( h% F* G9 k3 D+ L 「Telnet」
: \- G% I7 F1 c+ _2 a/ D+ T& y+ P3 q: w! \& Q9 F
8 F/ l( [1 Z1 L5 t6 J5 X Telnet是用来在远程机器上登录的协议。Telnet
通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的Telnet访问,你需要安装telnet-server软件包。
& o1 L% r* e. o- z: ]) ? w% E7 m
' P7 _: Z5 v0 W# k
「WWW(HTTP)」
( h0 Y% b k) M4 n) |9 e! D
4 E! d9 `+ k8 v; S
HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装httpd软件包。
. [5 S; k j7 K0 q; {0 C6 }' U6 l+ R" ]% P+ G7 m( n
启用「WWW(HTTP)」将不会为HTTPS打开一个端口。要启用HTTPS,在「其它端口」字段内注明。
" }3 r. ~! d- q3 j6 B0 B/ u' _; Y: O7 y( e% ]2 M3 r+ q6 Q! u
「邮件(SMTP)」
4 V0 y+ Z9 ], a& g* n8 @) f2 O+ I( ]: j+ X$ L; t
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。请注意,不正确配置的SMTP服务器会允许远程机器使用你的服务器发送垃圾邮件。
/ L! s5 F% j0 b; j" u: q3 ]
) C- Z* Z3 o7 H. n9 K; m! e1 {' R 「FTP」
& R* }" ~: B5 o5 A8 _5 _3 [( ]
4 q6 w" @2 s# n* V2 Z FTP协议是用于在网络机器间传输文件的协议。如果你打算使你的FTP服务器可被公开利用,启用该选项。你需要安装vsftpd软件包才能利用该选项。
& u$ _6 U" G2 q# V' ^5 N C* H
# t5 y3 g% v, _& r# J/ e9 ]
「其它端口」
% M2 d% X$ t/ y1 g. D
$ M n1 r4 m$ x 你可以允许到这里没有列出的其它端口的访问,方法是在「其它端口」字段内把它们列出。格式为:端口:协议。例如,如果你想允许IMAP通过你的防火墙,你可以指定imap:tcp。你还可以具体指定端口号码,要允许UDP包在端口1234通过防火墙,输入1234:udp。要指定多个端口,用逗号将它们隔开。
& _7 _% `) e/ Q$ M/ a
; v- Q. M' J, m 窍门:要在安装完毕后改变你的安全级别配置,使用安全级别配置工具。在
shell提示下键入redhat-config-securitylevel命令来启动安全级别配置工具。如果你不是根用户,它会提示你输入根口令后再继续。
