Red Hat Linux 7.2: オフィシャル Red Hat Linux x86 インストールガイド
前のページ第 3章Red Hat Linuxのインストール次のページ

ファイアウォールの設定

Red Hat Linuxには、システムセキュリティを強化するファイアウォールもあります。ファイアウォールは、コンピュータとネットワークの間に存在し、ネットワーク上のリモートユーザーが、こちら側のコンピュータ上のどのリソースにアクセスできるかを決定します。ファイアウォールが適切に設定されていれば、システムのセキュリティは大幅に向上します。

適切なセキュリティレベルを選択します。

図 3-13. ファイアウォールの設定

[高]

[高]を選択すると、システムは(デフォルト設定以外は)ユーザーが明示的に定義したものでない接続を受け付けません。デフォルトでは、次の接続が許可されています。

  • DNS応答

  • DHCP—DHCPを使用できるネットワークインターフェイスが正しく設定されるように

[高]を選択すると、ファイアウォールは次のものを拒否します。

  • アクティブモードのFTP(大半のクライアントでデフォルトで使用されているパッシブモードのFTPは動作する)

  • IRC DCCファイル転送

  • RealAudioTM

  • リモートX Window Systemクライアント

システムをインターネットに接続しているが、サーバーを稼動する予定がない場合は、これがもっとも安全な選択肢です。サービスを追加する必要がある場合は、[カスタマイズ]を選択して、ファイアウォールを通じて特定のサービスを許可できます。

[中]

[中]を選択すると、システム上の特定リソースへのリモートマシンのアクセスを許可しません。デフォルトでは、次のリソースへのアクセスは許可されていません。

  • 1,023未満のポート—標準の予約済みポート。 FTPSSHtelnetHTTPなどのほとんどのシステムサービスによって使用されます。

  • NFSサーバーポート(2,049)

  • リモートXクライアントの場合、ローカルX Window Systemの表示

  • Xフォントサーバーポート(デフォルトでは、xfsはネットワーク上でリッスンせず、フォントサーバー内では無効です)

RealAudioTMなどのリソースを許可する一方で、通常のシステムサービスへのアクセスを阻止したい場合は、を選択します。[カスタマイズ]を選択すると、ファイアウォールを通じて特定のサービスを許可できます。

ファイアウォールなし

ファイアウォールを設定しない場合、システムへ全面的にアクセスできますが、セキュリティチェックは行われません。セキュリティチェックとは、特定サービスへのアクセスを無効にすることです。この設定は、信頼されているネットワーク(インターネットではなく)上で稼動している場合か、後でより詳細にファイアウォールを設定する予定の場合にだけ選択してください。

信用するデバイスを追加したり、許可する着信サービスを追加する場合は、[カスタマイズ]を選択します。

[信用するデバイス]

信用するデバイスのいずれかを選択すると、そのデバイスはファイアウォールルールから除外され、システムのすべてのトラフィックにアクセスできます。たとえば、ローカルネットワークを稼動しているが、PPPダイヤルアップを介してインターネットへ接続されている場合は、eth0を選択すると、ローカルネットワークからのすべてのトラフィックが許可されます。[eth0]を信頼できるデバイスとして選択すると、イーサネット経由のすべてのトラフィックが許可されますが、ppp0インターフェイスは引き続きファイアウォールで保護されます。トラフィックを制限するインターフェイスは、未選択のままにしておきます。

インターネットなどの公衆ネットワークへ接続しているデバイスを、[信用するデバイス]として選択するべきではありません。

[以下については侵入を許可]

以下のオプションを有効にすると、指定したサービスはファイアウォールを通過できます。ワークステーションインストールではこれらのサービスの大半はシステムにインストールされない点に注意してください。

[DHCP]

着信するDHCPの照会と応答を許可すると、ネットワークインターフェイスはDHCPを使って、そのIPアドレスを確定できます。通常DHCPは有効になっています。DHCPが有効でない場合、コンピュータはIPアドレスを取得できません。

[SSH]

SSH(SecureSHell)は、リモートマシンにログインし、コマンドを実行するためのツール群です。SSHツールを使用して、ファイアウォール経由でマシンへアクセスする予定の場合は、このオプションを有効にします。その場合、openssh-serverパッケージがインストールされている必要があります。

[Telnet]

Telnetは、リモートマシンへログインするためのプロトコルです。Telnet通信は暗号化されず、ネットワーク盗聴に対して安全ではありません。内向きのTelnetアクセスを許可することはお勧めしません。内向きのTelnetアクセスを許可する場合は、telnet-serverパッケージをインストールする必要があります。

[WWW(HTTP)]

HTTPプロトコルは、Webページを提供するために、Apache(またはその他のWebサーバー)によって使用されます。Webサーバーを公開する予定の場合は、このオプションを有効にします。ローカルにページを表示したり、Webページを開発したりする場合は、このオプションを有効にする必要はありません。Webページを提供する場合は、apacheパッケージをインストールする必要があります。

[Mail(SMTP)]

ファイアウォールを越えて内部へのメール配信を許可する場合は、このオプションを有効にします。有効にすると、リモートホストがメールの配信先マシンに直接接続できます。POP3やIMAPを使用するISPのサーバーからメールを受信する場合や、fetchmailなどのツールを使用する場合は、このオプションを有効にする必要はありません。SMTPサーバーの設定が正しくない場合、リモートマシンがサーバーを使用してスパムメールの送信を許してしまうことに注意してください。

[FTP]

FTPプロトコルは、ネットワーク上のマシン間でファイルを転送するために使用されます。FTPサーバーを公開する予定の場合は、このオプションを有効にします。このオプションを活用するには、wu-ftpdパッケージ(必要に応じてanonftpも)をインストールする必要があります。

[他のポート]

[他のポート]フィールドに記入することによって、ここに挙げていないポートへのアクセスを許可することもできます。使用するフォーマットはport:protocolです。たとえば、ファイアウォールを越えるIMAPアクセスを許可する場合はimap:tcpと指定します。ポート番号を明示的に指定することもできます。たとえば、ファイアウォールを越えて、ポート1234でUDPパケットを受信するのを許可する場合は、1234:udpと入力します。複数のポートを指定する場合はカンマで区切ります。

前のページホーム次のページ
ネットワークの設定上に戻る言語サポートの選択