Konfiguracja firewalla

Zapora sieciowa (firewall) odgradza komputer od sieci i decyduje, do których zasobów komputera mają dostęp zdalni użytkownicy z sieci. Odpowiednio skonfigurowany firewall może znacznie poprawić bezpieczeństwo świeżo zainstalowanego systemu.

Wybierz poziom bezpieczeństwa odpowiedni dla Twojego systemu.

Bez firewalla — brak firewalla pozwala na pełny dostęp bez kontroli bezpieczeństwa. Zalecamy, aby wybierać to ustawienie tylko dla maszyn działających w sieci zaufanej (nie w Internecie), albo jeśli planujesz później dokładnie skonfigurować firewall.

Włącz firewall — jeśli wybierzesz Włącz firewall Twój system nie będzie przyjmował połączeń (oprócz akceptowanych standardowo) na które nie zezwoliłeś wprost. Jeżeli nie zdecydujesz inaczej, to dozwolone są tylko połączenia zainicjowane przez zapytania wychodzące z systemu, a więc np. odpowiedzi DNS lub zgłoszenia DHCP. Jeśli wymagany jest dostęp do usług uruchomionych na tym komputerze, to możesz zezwolić na przepuszczenie określonych usług przez firewall.

Jeśli przyłączasz swój system do Internetu, ale nie zamierzasz używać go jako serwera, jest to najbezpieczniejszy wybór.

Następnie wybierz usługi, które powinny być przepuszczane przez firewall.

Włączenie tych opcji pozwala na przepuszczenie podanych usług przez firewall. Weź pod uwagę, że usługi te mogą nie być instalowane standardowo w systemie. Upewnij się, że zaznaczone są wszystkie potrzebne opcje.

WWW (HTTP) — HTTP to protokół używany przez Apache do przesyłania stron WWW. Jeśli zamierzasz udostępnić publicznie swój serwer WWW, włącz tę opcję. Opcja ta nie jest potrzebna do oglądania stron lokalnie lub tworzenia stron WWW. Aby publikować strony WWW, musisz zainstalować pakiet httpd.

Włączenie WWW (HTTP) nie otwiera portu HTTPS. Aby włączyć HTTPS, wymień go w polu Inne porty.

FTP — FTP to protokół używany do przesyłania plików pomiędzy komputerami przyłączonymi do sieci. Jeśli zamierzasz publicznie udostępnić swój serwer FTP, to włącz tę opcję. Aby była użyteczna, musisz zainstalować pakiet vsftpd.

SSHSecure SHell (SSH) to protokół do logowania się na odległą maszynę i wykonywania na niej poleceń. Jeśli zamierzasz używać SSH do uzyskania zdalnego dostępu do tego komputera poprzez firewall, włącz tę opcję. Aby uzyskać zdalny dostęp przy pomocy narzędzi SSH, musisz zainstalować pakiet openssh-server.

Telnet — Telnet to protokół do logowania się na odległe komputery. Nie jest szyfrowany i nie zapewnia większej ochrony przed atakami z sieci. Włączenie dostępu przez telnet nie jest zalecane. Jeśli chcesz zezwolić na dostęp z zewnątrz przez telnet, musisz zainstalować pakiet telnet-server.

Mail (SMTP) — zezwala na przychodzące połączenia SMTP dostarczające pocztę, tak by odległe komputery mogły łączyć się bezpośrednio z Twoją maszyną i przesyłać pocztę. Nie musisz włączać tej opcji, jeśli odbierasz pocztę z serwera swojego Dostawcy Usług Internetowych protokołem POP3 lub IMAP, albo jeśli używasz narzędzia takiego jak fetchmail. Weź pod uwagę, że niepoprawnie skonfigurowany serwer SMTP może być wykorzystany przez odległe komputery do wysyłania spamu.

Aby zezwolić na dostęp do innych, nie wymienionych tu portów, wpisz je w polu Inne porty. Użyj formatu: port:protokół. Na przykład, jeśli chcesz zezwolić na dostęp do usługi IMAP poprzez firewall, wpisujesz imap:tcp. Możesz podać również wprost numery portów; np. aby przepuścić pakiety UDP na port 1234, wpisz 1234:udp. Aby podać więcej niż jeden port, należy rozdzielić je przecinkami.

Na zakończenie, zaznacz wszystkie urządzenia, dla których wszystkie połączenia powinny być dozwolone.

Zaznaczenie któregokolwiek z takich zaufanych urządzeń wyłącza je z reguł firewalla. Na przykład, jeśli masz sieć lokalną, ale z Internetem łączysz się przez PPP (modem), możesz zaznaczyć eth0, dzięki czemu zezwolisz na wszystkie połączenia z sieci lokalnej. Zaznaczenie eth0 jako zaufanego oznacza, że cały ruch docierający przez kartę Ethernet jest akceptowany, ale połączenia poprzez interfejs ppp0 są filtrowane przez firewall. Jeśli chcesz ograniczyć połączenia dla danego interfejsu, nie zaznaczaj go.

Zaznaczanie jako zaufanych urządzeń przyłączonych do sieci publicznych, takich jak Internet, nie jest zalecane.