Red Hat Linux 9: Red Hat Linux Handbuch benutzerdefinierter Konfiguration | ||
---|---|---|
Zurück | Kapitel 13. Basiskonfiguration der Firewall | Vor |
Mit GNOME Lokkit können Sie die Einstellungen der Firewall für einen durchschnittlich versierten Benutzer konfigurieren, indem Sie grundlegende iptables-Netzwerkregeln erstellen. Sie müssen diese Regeln nicht schreiben. Das Programm stellt Ihnen mehrere Fragen über die Verwendung des Systems und schreibt Ihre Antworten in die Datei /etc/sysconfig/iptables.
Sie sollten GNOME Lokkit zum Herstellen komplexer Firewallregeln nicht verwenden. Das Programm ist für normale Benutzer gedacht, die sich beim Verwenden eines Modems, Kabels oder einer DSL-Internetverbindung schützen möchten. Informationen über das Konfigurieren spezieller Firewallregeln finden Sie im Red Hat Linux Referenzhandbuch im Kapitel Erstellen einer Firewall mitiptables.
Informationen über das Deaktivieren spezieller Dienste und Verweigern spezieller Rechner und Benutzer finden Sie im Kapitel 14.
Um die grafische Version von GNOME Lokkit zu starten, wählen Sie Hauptmenü => Extras => Systemstools => Lokkit oder geben Sie den Befehl gnome-lokkit als root am Shell-Prompt ein. Wenn Sie das X Window System nicht installiert haben oder Sie ein text-basiertes Programm bevorzugen, starten Sie mit dem Befehl lokkit an einem Shell-Prompt die Text-Modus Version.
Wählen Sie nach dem Programmstart den für Ihr System geeigneten Sicherheitslevel aus:
Hohe Sicherheit — Mit dieser Option werden fast alle Netzwerkverbindungen deaktiviert - DNS-Antworten und DHCP ausgenommen - so dass die Netzwerkschnittstellen aktiviert werden können. IRC, ICQ und andere Dienste für Sofortnachrichten sowie RealAudio™ arbeiten nicht ohne einen Proxy.
Niedrige Sicherheit — Mit dieser Option sind keine Remote-Verbindungen möglich, wozu auch NFS-Verbindungen sowie Remote X Window System-Sitzungen gehören. Unter Port 1023 laufende Dienste nehmen keine Verbindungen an, einschließlich FTP, SSH, Telnet und HTTP.
Firewall abschalten — Mit dieser Option werden keine Sicherheitsregeln erstellt. Es wird empfohlen, diese Option nur auszuwählen, wenn sich das System auf einem sicheren Netzwerk (ohne Internet-Verbindung) hinter einer größeren Firewall befindet oder wenn Sie Ihre eigenen benutzerdefinierten Firewallregeln schreiben. Wenn Sie diese Option auswählen und auf Weiter klicken, werden Sie zu Abschnitt 13.3 weitergeleitet. Die Systemsicherheit wird nicht geändert.
Sind auf dem System Ethernetdienste installiert, können Sie mit Hilfe der Seite Lokale Rechner festlegen, ob die Firewallregeln auf an alle Geräte gesendete Verbindungsanfragen angewendet werden sollen. Wenn das Gerät das System mit einem LAN hinter einer Firewall und nicht direkt mit Internet verbindet, wählen Sie Ja aus. Stellt die Ethernetkarte eine Verbindung zwischen dem System und einem Kabel oder einem DSL-Modem her, wird empfohlen, Nein auszuwählen.
Wenn Sie zum Aktiveren von Ethernet-Schnittstellen des Systems DHCP verwenden, müssen Sie auf die DHCP-Frage mit Ja antworten. Antworten Sie mit Nein, können Sie keine Verbindungen mit Hilfe der Ethernetschnittstelle herstellen. Viele Kabel- und DSL-Internetanbieter setzen die Verwendung von DHCP zum Herstellen einer Internetverbindung voraus.
Mit GNOME Lokkit können Sie auch allgemeine Dienste aktivieren und deaktivieren. Wenn Sie mit Ja auf die Frage antworten, ob Sie Dienste konfigurieren möchten, werden Sie zu Angaben über folgende Dienste aufgefordert:
Web Server — Wählen Sie diese Option aus, wenn Sie Verbindungen mit einem auf Ihrem System ausgeführten Webserver wie Apache zulassen möchten. Sie müssen diese Option nicht auswählen, wenn Sie Seiten auf Ihrem System oder anderen Servern des Netzwerkes anzeigen möchten.
Posteingang — Wählen Sie diese Option, wenn Ihr System eingehende Mails annehmen soll. Sie benötigen diese Option nicht, wenn Sie E-Mails mit Hilfe von IMAP, POP3 oder Fetchmail abrufen.
Secure Shell — Bei Secure Shell oder SSH handelt es sich um eine Gruppe von Tools, um sich mithilfe einer verschlüsselten Verbindung in einen Remote-Computer einzuloggen und dort Befehle auszuführen. Wählen Sie diese Option aus, wenn Sie Fernzugriff auf Ihren Computer über ssh erhalten möchten.
Telnet — Mit Telnet können Sie sich an Ihrem Computer fern anmelden. Allerdings ist dieser Dienst nicht sicher. Er sendet einfachen Text (einschließlich Passwörter) über das Netzwerk. Es wird empfohlen, SSH zur Fernanmeldung an Ihrem Computer zu verwenden. Wählen Sie diese Option, wenn von Ihrem System Telnet-Zugriff gefordert wird.
Mit Serviceconf können Sie andere, nicht benötigte Dienste deaktivieren (vgl. Abschnitt 14.3), ntsysv (siehe Abschnitt 14.4) oder chkconfig (siehe Abschnitt 14.5).
Wenn Sie auf Ende klicken, werden die Firewallregeln in /etc/sysconfig/iptables geschrieben. Darüber hinaus wird die Firewall durch Starten des iptables-Dienstes gestartet.
![]() | Warnung |
---|---|
Wenn Sie eine Firewall konfiguriert haben oder eine Firewall die Datei /etc/sysconfig/iptables bestimmt, wird diese Datei gelöscht, wenn Sie Firewall ausschalten wählen und Beenden klicken. |
Es wird dringend empfohlen, GNOME Lokkit vom Computer und nicht von einer Remote X-Sitzung auszuführen. Wenn Sie den Fernzugriff auf Ihr System deaktivieren, können Sie nicht mehr darauf zugreifen oder die Firewallregeln deaktivieren.
Klicken Sie auf Abbrechen, wenn Sie die Firewallregeln nicht schreiben möchten.
Bei einem Mail Relay handelt es sich um ein System, das anderen Systemen das Senden von E-Mails ermöglicht. Ist Ihr System als Mail Relay eingerichtet, können andere Benutzer Ihren Computer verwenden, um andere Personen mit Mailsendungen zu überschwemmen.
Wenn Sie die Maildienste aktivieren, werden Sie nach dem Klicken auf Ende in der Seite Firewall aktivieren aufgefordert, das Mail Relay zu überprüfen. Wenn Sie auf Ja klicken, um das Mail Relay zu überprüfen, versucht GNOME Lokkit, unter http://www.mail-abuse.org/ eine Verbindung mit der Website Mail Abuse Prevention System herzustellen und ein Mail Relay-Testprogramm auszuführen. Die Testergebnisse werden nach Programmabschluss angezeigt. Steht Ihr System für Mail Relay offen, wird dringend empfohlen, Sendmail zu konfigurieren, um Abhilfe zu schaffen.
Zurück | Zum Anfang | Vor |
Basiskonfiguration der Firewall | Zum Kapitelanfang | Aktivieren des Befehls iptables |