火災の延焼を防止するビルの防火壁と同じように、コンピュータのファイアウォールはコンピュータウィルスの侵入を防ぎ、不正なユーザーからアクセスされないようにします。ファイアウォールは、コンピュータとネットワークの間に存在します。 ファイアウォールでは、ネットワーク上のリモートユーザーがアクセスできるようにするサービスを指定します。ファイアウォールを適切に設定すると、システムのセキュリティを大幅に高めることができます。インターネットに接続されているRed Hat Enterprise Linuxシステムにはファイアウォールを設定することをお勧めします。
Red Hat Enterprise Linuxのインストール時に表示されるファイアウォール設定画面では、基本的なファイアウォールを有効にするオプションがあり、 また特定のデバイス、着信サービス、ポートを許可するオプションがありました。
セキュリティレベル 設定ツールを使用すると、インストールの後でもこの設定を変更することができます。
このアプリケーションを開始するには、パネル上からメインメニュー => システムツール =>セキュリティレベル設定と選択していきます。又はシェルプロンプト(XTermやGNOMEターミナルなど)でコマンドredhat-config-securitylevelを入力します。
![]() | 注記 |
---|---|
セキュリティレベル 設定ツールは基本的なファイアウォールの設定のみです。 システムに特定のポートへのアクセスを許可/拒否させる必要がある場合、 また、複雑なルールが必要な場合は、特定のiptablesルール設定に関する 詳細をRed Hat Enterprise Linux リファレンスガイドで参照してください。 |
次のオプションから1つ選択します。
ファイアウォールを無効 —ファイアウォールを無効にすると、システムへの完全なアクセスを許可しますので、 セキュリティチェックは全く実行しません。 セキュリティチェックは特定のサービスへのアクセスを無効にする機能です。 この設定の選択は、信頼できるネットワーク (インターネットではなく)で稼動している場合か、 後でより詳細なファイアウォール設定を実行する予定があるときに限ってください。
![]() | 警告 |
---|---|
設定されているファイアウォールがある場合、または/etc/sysconfig/iptablesファイルにカスタマイズされたファイアウォール規則がある場合、 ファイアウォールを無効を選択し、 OKのボタン をクリックして変更を保存すると、ファイルは削除されます。 |
ファイアウォールを有効にする— このオプションは、DNS応答やDHCP要求などの外部要求へ応答しない着信接続を拒否するよう システムを設定します。このマシンで実行中のサービスに対してアクセスが必要な場合、 特定サービスのファイアウォール通過を許可することができます。
システムをインターネットに接続していても、サーバの運用計画がないなら、これが最も安全な選択肢です。
信頼するデバイスとして選択したデバイスはファイアウォール規則から除外され、 そのデバイスからのトラフィックはすべて許可されます。たとえば、ローカルネットワークを運用していて、 インターネットはPPP ダイヤルアップ経由で接続している場合、 eth0にチェックを付けると、 ローカルネットワークからの通信はすべて許可されます。 eth0を信頼できるデバイスとして選択することは、 イーサネットからのすべてのトラフィックは許可し、 ppp0インターフェースにはまだファイアウォール阻止があるということになります。 あるインターフェース上のトラフィックを制限するには、それにチェックを付けないままにしておきます。
インターネットなどの公開ネットワークに接続されるデバイスを信頼するデバイスに選択するのは推奨できません。
信頼するデバイスサービス一覧にあるオプションを有効にすることで、 指定されたサービスがファイアウォールを通過することができるようになります。
HTTP プロトコルは、Apache(又は他のWebサーバ)で Web ページを提供するために使用されます。 Web サーバを公開する予定がある場合は、このオプションを有効にします。ページをローカルで参照したり、Web ページを開発するには、このオプションは必要ありません。Web ページを提供するには、httpdパッケージをインストールしておく必要があります。
WWW (HTTP)を有効にするだけではHTTPのSSLバージョン、 HTTPS用のポートは開けません。
FTP はネットワーク上のマシン間でのファイル転送用に使われるプロトコルです。FTPサーバを公開する予定がある場合は、このオプションを有効にします。このオプションを利用するにはvsftpdパッケージをインストールしておく必要があります。
Secure Shell (SSH)は、リモートマシン上でログインしたりコマンド実行するための ツールのパッケージです。sshからのマシンへのリモートアクセスを許可するには、 このオプションを有効にします。SSHツールを使用して、遠隔操作でマシンにアクセスするにはopenssh-server パッケージをインストールしておく必要があります。
Telnet はリモートマシンにログインするためのプロトコルです。暗号化されないので、ネットワーククラッキング攻撃に対するセキュリティがありません。telnetに進入許可を与えるのは推奨されません。telnetに進入を許可するには、 telnet-serverパッケージをインストールしておく必要があります。
リモートホストが使用マシンに直接接続してメール配信できるように、 受信メールにファイアウォールの通過を許可するためには、このオプションを有効にします。 POP3 または IMAP によって ISPのサーバーからメールを収集する場合、または fetchmail などのツールを使う場合には、 このオプションを有効にする必要はありません。不適切な SMTP サーバの設定を行なうと、 リモートマシンがサーバーを使ってスパム送信する恐れがあるので注意してください。
OKボタンをクリックして変更を保存し、ファイアウォールを有効又は無効にします。ファイアウォールを有効にするを選択した場合、選択されたオプションはiptablesコマンドに翻訳され、/etc/sysconfig/iptables ファイルに書き込まれます。iptablesサービスも開始されて、選択したオプションを 保存するとすぐにファイアウォールが有効になります。 ファイアウォールを無効にするを選択した場合、 /etc/sysconfig/iptables ファイルが削除され、 iptablesサービスは直ちに 停止します。
選択されたオプションは/etc/sysconfig/redhat-config-securitylevel ファイルにも書き込まれるため、次回アプリケーションが起動される時にその設定を復元できます。このファイルは手動で編集しないで下さい。
ファイアウォールが直ちに起動されても、iptablesサービスは ブート時に自動的に起動するようには設定されていません。詳細については、 項20.2を参照してください。