Ebenso wie eine Feuerwand in einem Gebäude die Ausbreitung eines Feuers verhindert, dient die Firewall in einem Computer als Schutz vor der Verbreitung von Viren und vor unbefugtem Zugriff auf Ihren Computer. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk. Sie bestimmt, auf welche Dienste auf Ihrem Computer Remote-Benutzer vom Netzwerk aus zugreifen können. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern. Wir empfehlen Ihnen, für jedes Red Hat Linux System mit Internet-Verbindung eine Firewall zu konfigurieren.
Im Bildschirm Firewall-Konfiguration können Sie während der Installation von Red Hat Linux zwischen einem hohen, mittleren oder keinem Sicherheitslevel auswählen und bestimmten Geräten, ankommenden Diensten und Ports den Zugriff erlauben.
Nach der Installation können Sie den Sicherheitslevel Ihres Systems mithilfe von Sicherheitslevel-Konfigurationstool ändern. Wenn Sie eine Wizard-bezogene Anwendung bevorzugen, lesen Sie Abschnitt 13.2.
Um die Anwendung zu starten, wählen Sie Hauptmenü (im Panel) => Systemeinstellungen => Sicherheitslevel oder geben Sie den Befehl redhat-config-securitylevel von einem Shell-Prompt aus ein (zum Beispiel in einem Xterm- oder einem GNOME-Terminal).
Wählen Sie den gewünschten Sicherheitslevel aus dem Pull-Down-Menü.
Wenn Sie Hoch wählen, akzeptiert Ihr System ausschließlich Verbindungen (mit Ausnahme der Standardeinstellungen), die ausdrücklich von Ihnen definiert wurden. Standardmäßig werden nur die folgenden Verbindungen zugelassen:
DNS-Antworten
DHCP — auf diese Weise können alle Netzwerk-Schnittstellen, die DHCP verwenden, korrekt konfiguriert werden.
Wenn Sie Hoch wählen, verweigert Ihnen Ihre Firewall Folgendes:
Aktive Modus FTP (der Passivmodus FTP, der von den meisten Clients standardmäßig benutzt wird, sollte weiterhin funktionieren)
IRC DCC Dateiübertragungen
RealAudio™
Remote-Clients im X Window System
Dies empfiehlt sich, wenn Sie Ihr System an das Internet anschließen und dabei keinen Server ausführen lassen wollen. Betätigen Sie bei Bedarf Individuelle Konfiguration, um weitere bestimmte Dienste durch die Firewall passieren zu lassen.
![]() | Anmerkung |
---|---|
Wenn Sie eine mittlere oder eine hohe Firewall einrichten wollen, funktionieren die Methoden zur Authentifizierung des Netzwerks (NIS und LDAP) nicht. |
Wenn Sie Mittel wählen, wird Ihre Firewall Remote-Computern den Zugriff auf bestimmte Systemressourcen verweigern. Standardmäßig wird der Zugriff auf folgende Ressourcen verweigert:
Ports, die unter 1023 liegen — die Ports, die standardmäßig reserviert und von den meisten Systemen verwendet werden, wie z.B. FTP, SSH, Telnet, HTTP und NIS.
Der NFS Server-Port (2049) — NFS wird sowohl für Remote-Server als auch für lokale Clients gesperrt.
Die lokale Anzeige des X Window-Systems für Remote X Clients
Der X Font-Server Port (standardmäßig hört xfs das Netzwerk nicht ab und ist im Font-Server deaktiviert).
Wählen Sie Mittel, wenn Sie Ressourcen wie z.B. RealAudio™ Zugriff gewähren wollen, während Sie normalen Systemdiensten jedoch weiterhin den Zugriff verweigern. Indem Sie Individuelle Konfiguration wählen, können sie festlegen, welche Dienste nicht durch die Firewall blockiert werden sollen.
![]() | Anmerkung |
---|---|
Wenn Sie eine mittlere oder eine hohe Firewall einrichten wollen, funktionieren die Methoden zur Authentifizierung des Netzwerks (NIS und LDAP) nicht. |
Wenn Sie keine Firewall einrichten, erlauben Sie den ungehinderten Zugriff auf Ihr System ohne Sicherheitskontrollen. Sicherheitskontrollen verfolgen das Ziel, den Zugriff auf bestimmte Dienste zu verweigern. Sie sollten diese Option nur dann wählen, wenn Sie sich in einem sicheren Netzwerk (nicht im Internet) befinden oder beabsichtigen, die Konfiguration Ihrer Firewall auf einen späteren Zeitpunkt zu verschieben.
Mit Individuelle Konfiguration können Sie sichere Geräte hinzufügen oder zusätzlichen eingehenden Diensten Zugriff zu Ihrem System gewähren.
Indem Sie eines der Sicheren Geräte wählen, bestimmen Sie den ungehinderten Datenaustausch Ihres Systems mit diesem Gerät; dieses Gerät wird somit von der Firewall nicht beachtet. Wenn Sie sich also z.B. in einem lokalen Netzwerk befinden, aber gleichzeitig über einen PPP-Onlinedienst an das Internet angeschlossen sind, können Sie eth0 markieren und somit den ungehinderten Datenverkehr mit Ihrem lokalen Netzwerk aktivieren. Wenn Sie eth0 als sicher bestimmen, aktivieren Sie den ungehinderten Datenverkehr mit dem Ethernet, wobei das ppp0-Interface jedoch weiterhin der Kontrolle durch die Firewall unterliegt. Markieren Sie keine Schnittstellen, deren Datenverkehr Sie weiterhin kontrollieren wollen.
Geräte, die an öffentliche Netzwerke wie z.B. das Internet angeschlossen sind, sollten niemals zu sicheren Geräten bestimmt werden.
Durch das Aktivieren dieser Option gewähren Sie bestimmten Diensten den Zugriff über die Firewall. Beachten Sie bitte, dass während der Installation einer Workstation ein Großteil dieser Dienste nicht im System installiert ist.
Wenn Sie DHCP-Anfragen und -Antworten Zugriff gewähren, können dadurch automatisch alle Netzwerk-Schnittstellen, die DHCP verwenden, eine IP-Adresse festlegen. Normalerweise ist DHCP aktiviert, andernfalls kann Ihr Rechner keine IP-Adresse mehr erhalten.
Bei Secure SHell (SSH) handelt es sich um eine Gruppe von Tools, mit der man sich in einen Remote-Computer einloggen und dort Befehle ausführen kann. Aktivieren Sie diese Option, wenn Sie mithilfe von SSH-Tools durch die Firewall Zugriff auf Ihren Computer erlangen wollen. Sie können auf Ihren Rechner nur dann Fernzugriff mithilfe von SSH-Tools bekommen, wenn das openssh-server-Paket auf Ihrem Rechner installiert ist.
Bei Telnet handelt es sich um ein Protokoll, mit dem man sich in Remote-Computer einloggen kann. Telnet-Datenübertragungen sind unverschlüsselt und bieten keinerlei Sicherheit vor Netzwerkspionage. Es ist also nicht empfehlenswert, eingehenden Telnet Zugriff zu gewähren. Wenn Sie dies dennoch wünschen, müssen Sie das Telnet-Server-Paket installieren.
Das HTTP-Protokoll wird von Apache (und anderen Web-Servern) zur Handhabung von Webseiten verwendet. Sie sollten diese Option aktivieren, wenn Sie öffentlichen Zugriff auf Ihren Webserver gewähren wollen. Wenn Sie Webseiten lokal betrachten oder erstellen wollen, benötigen Sie diese Option nicht. Zur Handhabung von Webseiten müssen Sie das apache-Paket installieren.
Durch das Aktivieren von WWW (HTTP) wird nicht automatisch auch ein Port für HTTPS geöffnet. Das HTTPS aktivieren Sie durch eine gesonderte Eingabe im Feld Weitere Ports.
Aktivieren Sie diese Option, wenn Sie den Posteingang ungehindert durch die Firewall ermöglichen wollen, so dass sich Remote-Rechner zum Senden von Post direkt mit Ihrem Computer verbinden können. Diese Option wird nicht benötigt, wenn Sie Ihre Post von Ihrem ISP-Server unter Verwendung von POP3 oder IMAP abrufen oder Tools wie z.B. Fetchmail verwenden. Beachten Sie, dass Sie im Falle eines nicht fachgerecht konfigurierten SMTP-Servers Remote-Computern die Möglichkeit geben, Ihnen ungewollte Post (wie z.B. Werbung) zu senden.
Das FTP-Protokoll ist für die Dateiübertragung zwischen Rechnern in einem Netzwerk zuständig. Sie sollten diese Option aktivieren, wenn Sie öffentlichen Zugriff auf Ihren FTP-Server gewähren wollen.
Klicken Sie auf OK, um die Firewall zu aktivieren. Nachdem Sie auf OK geklickt haben, werden die ausgewählten Optionen in iptables Befehle umgewandelt und in die Datei /etc/sysconfig/iptables geschrieben. Der iptables-Service wird gestartet, so dass die Firewall sofort nach dem Speichern der gewählten Optionen aktiv ist.
![]() | Warnung |
---|---|
Wenn Sie eine Firewall konfiguriert haben oder eine Firewall die Datei /etc/sysconfig/iptables bestimmt, wird diese Datei gelöscht, wenn Sie Keine Firewall wählen und auf OK klicken. |
Die ausgewählten Optionen werden außerdem in die Datei /etc/sysconfig/redhat-config-securitylevel geschrieben, so dass die Einstellungen beim nächsten Starten der Applikation wiederhergestellt werden. Bearbeiten Sie diese Datei nicht manuell.
Informationen über das Aktivieren des iptables Service, so dass dieser automatisch beim Booten geladen wird, finden Sie unter Abschnitt 13.3.
Zurück | Zum Anfang | Vor |
Geräte-Aliase | Zum Kapitelanfang | GNOME Lokkit |