Red Hat Linux 7.1: オフィシャル Red Hat Linux x86インストールガイド
PrevChapter 4. Red Hat LinuxのインストールNext

ファイアウォールの設定

Red Hat Linuxには、システムセキュリティを強化するファイアウォールもあります。ファイアウォールは、コンピュータとネットワークの間に存在し、ネットワーク上のリモートユーザが、こちら側のコンピュータ上のどのリソースにアクセスできるかを決定します。ファイアウォールが適切に設定されていれば、システムのセキュリティは大幅に向上します。

適切なセキュリティレベルを選択します。

Figure 4-10. ファイアウォールの設定

[]を選択すると、システムは(デフォルト設定以外は)ユーザが明示的に定義したものでない接続を受け付けません。デフォルトでは、次の接続が許可されています。

  • DNS応答

  • DHCP(DHCPを使用できるネットワークインターフェイスが正しく設定されるように)

[]を選択すると、ファイアウォールは次のものを拒否します。

  • アクティブモードのFTP(大半のクライアントでデフォルトで使用されているパッシブモードのFTPは動作する)

  • IRC DCCファイル転送

  • RealAudioTM

  • リモートX Windowシステムクライアント

システムをインターネットに接続しているが、サーバーを稼動する予定がない場合は、これがもっとも安全な選択肢です。サービスを追加する必要がある場合は、[カスタマイズ]を選択して、ファイアウォールを通じて特定のサービスを許可できます。

[]を選択すると、システム上の特定リソースへのリモートマシンのアクセスを許可しません。デフォルトでは、次のリソースへのアクセスは許可されていません。

  • 1,023未満のポート — 標準の予約済みポート。FTPSSHtelnetHTTPなどのほとんどのシステムサービスによって使用されます。

  • NFSサーバポート(2049)

  • リモートXクライアントの場合、ローカルX Windowシステムの表示

  • Xフォントサーバポート(デフォルトでは、xfsはネットワーク上でリッスンせず、フォントサーバー内では無効)

RealAudioTMなどのリソースを許可する一方で、通常のシステムサービスへのアクセスを阻止したい場合は、[]を選択します。[カスタマイズ]を選択すると、ファイアウォールを通じて特定のサービスを許可できます。

ファイアウォールなし

ファイアウォールを設定しない場合、システムへ全面的にアクセスできますが、セキュリティチェックは行われません。セキュリティチェックとは、特定サービスへのアクセスを無効にすることです。この設定は、信頼されているネットワーク(インターネットではなく)上で稼動している場合か、後でより詳細にファイアウォールを設定する予定の場合にだけ選択することをお勧めします。

信頼できるデバイスを追加したり、許可する着信サービスを追加する場合は、[カスタマイズ]を選択します。

信用するデバイス

信用するデバイスのいずれかを選択すると、そのデバイスはファイアウォールルールから除外され、システムのすべてのトラフィックにアクセスできます。たとえば、ローカルネットワークを稼動しているが、PPPダイヤルアップを介してインターネットへ接続されている場合は、[eth0]を選択すると、ローカルネットワークからのすべてのトラフィックが許可されます。[eth0]を信頼できるデバイスとして選択すると、イーサネット経由のすべてのトラフィックが許可されますが、ppp0インターフェイスは引き続きファイアウォールで保護されます。トラフィックを制限するインターフェイスは、未選択のままにしておきます。

インターネットなどの公衆ネットワークへ接続しているデバイスを、信用するデバイスとして選択することはお勧めしません。

以下については侵入を許可

以下のオプションを有効にすると、指定したサービスはファイアウォールを通過できます。ワークステーションインストールではこれらのサービスの大半はシステムにインストールされない点に注意してください。

DHCP

着信するDHCPの照会と応答を許可すると、ネットワークインターフェイスはDHCPを使って、そのIPアドレスを確定できます。通常DHCPは有効になっています。DHCPが有効でない場合、コンピュータはIPアドレスを取得できません。

SSH

SSH(SecureSHell)は、リモートマシンにログインし、コマンドを実行するためのツール群です。SSHツールを使用して、ファイアウォール経由でマシンへアクセスする予定の場合は、このオプションを有効にします。その場合、openssh-serverパッケージがインストールされている必要があります。

Telnet

Telnetは、リモートマシンへログインするためのプロトコルです。Telnet通信は暗号化されず、ネットワーク盗聴に対して安全ではありません。内向きのTelnetアクセスを許可することはお勧めしません。内向きのTelnetアクセスを許可する場合は、telnet-serverパッケージをインストールする必要があります。

WWW(HTTP)

HTTPプロトコルは、Webページを提供するために、Apache(および、その他のWebサーバ)によって使用されます。Webサーバを公開する予定の場合は、このオプションを有効にします。ローカルにページを表示したり、Webページを開発したりする場合は、このオプションを有効にする必要はありません。Webページを提供する場合は、apacheパッケージをインストールする必要があります。

Mail(SMTP)

ファイアウォールを越えて内部へのメール配信を許可する場合は、このオプションを有効にします。有効にすると、リモートホストがメールの配信先マシンに直接接続できます。POP3やIMAPを使用するISPのサーバからメールを受信する場合や、fetchmailなどのツールを使用する場合は、このオプションを有効にする必要はありません。SMTPサーバの設定が正しくない場合、リモートマシンがサーバを使用してスパムメールの送信を許してしまうことに注意してください。

FTP

FTPプロトコルは、ネットワーク上のマシン間でファイルを転送するために使用されます。FTPサーバを公開する予定の場合は、このオプションを有効にします。このオプションを活用するには、wu-ftpdパッケージ(必要に応じてanonftpも)をインストールする必要があります。

他のポート

[他のポート]フィールドに記入することによって、ここに挙げていないポートへのアクセスを許可することもできます。使用するフォーマットはport:protocolです。たとえば、ファイアウォールを越えるIMAPアクセスを許可する場合はimap:tcpと指定します。ポート番号を明示的に指定することもできます。たとえば、ファイアウォールを越えて、ポート1234でUDPパケットを受信するのを許可する場合は、1234:udpと入力します。複数のポートを指定する場合はカンマで区切ります。

PrevHomeNext
ネットワークの設定Upタイムゾーンの設定