Red Hat Enterprise Linux 3: Handbuch zur System-Administration | ||
---|---|---|
Zurück | Nach vorne |
Ebenso wie eine Feuerwand in einem Gebäude die Ausbreitung eines Feuers verhindert, dient die Firewall in einem Computer als Schutz vor der Verbreitung von Viren und vor unbefugtem Zugriff auf Ihren Computer. Die Firewall befindet sich zwischen Ihrem Computer und dem Netzwerk. Sie bestimmt, auf welche Dienste auf Ihrem Computer Remote-Benutzer vom Netzwerk aus zugreifen können. Eine korrekt konfigurierte Firewall kann die Sicherheit Ihres Systems erheblich verbessern. Wir empfehlen Ihnen, für jedes Red Hat Enterprise Linux System mit Internet-Verbindung eine Firewall zu konfigurieren.
Im Bildschirm Firewall-Konfiguration können Sie während der Installation von Red Hat Enterprise Linux die Firewall aktivieren und bestimmte Geräte, Services und Ports von den Firewall-Regeln ausschließen.
Nach der Installation können Sie diese Einstellungen mithilfe von Security Level Configuration Tool ändern.
Um die Anwendung zu starten, wählen Sie Hauptmenü (im Panel) => Systemeinstellungen => Sicherheitslevel oder geben Sie den Befehl redhat-config-securitylevel von einem Shell-Prompt aus ein (zum Beispiel in einem Xterm- oder einem GNOME-Terminal).
![]() | Anmerkung |
---|---|
Das Security Level Configuration Tool konfiguriert nur eine einfache Firewall. Muss das System Zugang zu bestimmten Ports erlauben oder verweigern können, oder benötigt es komplexere Regeln, lesen Sie bitte das Red Hat Enterprise Linux Referenzhandbuch für weitere Informationen zu Konfiguration spezifischer iptables-Regeln. |
Wählen Sie eine der folgenden Optionen:
Firewall deaktivieren — Wenn Sie keine Firewall einrichten, erlauben Sie den ungehinderten Zugriff auf Ihr System ohne Sicherheitskontrollen. Sicherheitskontrollen verfolgen das Ziel, den Zugriff auf bestimmte Dienste zu verweigern. Sie sollten diese Option nur dann wählen, wenn Sie sich in einem sicheren Netzwerk (nicht im Internet) befinden oder beabsichtigen, die Konfiguration Ihrer Firewall auf einen späteren Zeitpunkt zu verschieben.
![]() | Warnung |
---|---|
Wenn Sie eine Firewall konfiguriert haben oder eine Firewall-Regel in der Datei /etc/sysconfig/iptables, wird diese Datei gelöscht, wenn Sie Firewall deaktivieren wählen und Ok klicken, um die Änderungen zu speichern. |
Firewall aktivieren — Diese Option konfiguriert das System dazu eingehende Verbindungen abzulehnen, die keine Antwort auf ausgehende Anfragen sind, wie DNS-Antworten oder DHCP-Anforderungen. Sollte Zugriff auf bestimmte Services benötigt werden, können Sie diese bestimmten Services durch die Firewall lassen.
Dies empfiehlt sich, wenn Sie Ihr System an das Internet anschließen und dabei keinen Server ausführen lassen wollen.
Indem Sie eines der Sicheren Geräte wählen, bestimmen Sie den ungehinderten Datenaustausch Ihres Systems mit diesem Gerät; dieses Gerät wird somit von der Firewall nicht beachtet. Wenn Sie sich also z.B. in einem lokalen Netzwerk befinden, aber gleichzeitig über einen PPP-Onlinedienst an das Internet angeschlossen sind, können Sie eth0 markieren und somit den ungehinderten Datenverkehr mit Ihrem lokalen Netzwerk aktivieren. Wenn Sie eth0 als sicher bestimmen, aktivieren Sie den ungehinderten Datenverkehr mit dem Ethernet, wobei das ppp0-Interface jedoch weiterhin der Kontrolle durch die Firewall unterliegt. Markieren Sie keine Schnittstellen, deren Datenverkehr Sie weiterhin kontrollieren wollen.
Geräte, die an öffentliche Netzwerke wie z.B. das Internet angeschlossen sind, sollten niemals zu Sicheren Geräten bestimmt werden.
Das Auswählen von Optionen in der Liste der Sicheren Services, erlaubt diesen Services den Durchgang durch die Firewall.
Das HTTP-Protokoll wird von Apache (und anderen Web-Servern) zur Handhabung von Webseiten verwendet. Sie sollten diese Option aktivieren, wenn Sie öffentlichen Zugriff auf Ihren Webserver gewähren wollen. Wenn Sie Webseiten lokal betrachten oder erstellen wollen, benötigen Sie diese Option nicht. Zur Handhabung von Webseiten müssen Sie das httpd-Paket installieren.
Durch das Aktivieren von WWW (HTTP) wird nicht automatisch auch ein Port für HTTPS geöffnet, der SSL-Version von HTTP.
Das FTP-Protokoll ist für die Dateiübertragung zwischen Rechnern in einem Netzwerk zuständig. Sie sollten diese Option aktivieren, wenn Sie öffentlichen Zugriff auf Ihren FTP-Server gewähren wollen.
Bei der Secure Shell (SSH) handelt es sich um eine Gruppe von Tools, mit der man sich in einen Remote-Computer einloggen und dort Befehle ausführen kann. Aktivieren Sie diese Option, wenn Sie mithilfe von SSH-Tools durch die Firewall Zugriff auf Ihren Computer erlangen wollen. Sie können auf Ihren Rechner nur dann Fernzugriff mithilfe von SSH-Tools bekommen, wenn das openssh-server-Paket auf Ihrem Rechner installiert ist.
Bei Telnet handelt es sich um ein Protokoll, mit dem man sich in Remote-Computer einloggen kann. Telnet-Datenübertragungen sind unverschlüsselt und bieten keinerlei Sicherheit vor Netzwerkspionage. Es ist also nicht empfehlenswert, eingehenden Telnet Zugriff zu gewähren. Wenn Sie dies dennoch wünschen, müssen Sie das telnet-server-Paket installieren.
Aktivieren Sie diese Option, wenn Sie den Posteingang ungehindert durch die Firewall ermöglichen wollen, so dass sich Remote-Rechner zum Senden von Post direkt mit Ihrem Computer verbinden können. Diese Option wird nicht benötigt, wenn Sie Ihre Post von Ihrem ISP-Server unter Verwendung von POP3 oder IMAP abrufen oder Tools wie z.B. fetchmailverwenden. Beachten Sie, dass Sie im Falle eines nicht fachgerecht konfigurierten SMTP-Servers Remote-Computern die Möglichkeit geben, Ihnen ungewollte Post (Spam) zu senden.
Klicken Sie auf OK, um Änderungen zu speichern und die Firewall zu aktivieren. Nachdem Sie Firewall aktivieren ausgewählt haben, werden die ausgewählten Optionen in iptables Befehle umgewandelt und in die Datei /etc/sysconfig/iptables geschrieben. Der iptables-Service wird gestartet, so dass die Firewall sofort nach dem Speichern der gewählten Optionen aktiv ist. Wurde Firewall deaktivieren gewählt, wird die Datei /etc/sysconfig/iptables gelöscht und der iptables-Service augenblicklich angehalten.
Die ausgewählten Optionen werden außerdem in die Datei /etc/sysconfig/redhat-config-securitylevel geschrieben, so dass die Einstellungen beim nächsten Starten der Applikation wiederhergestellt werden. Bearbeiten Sie diese Datei nicht manuell.
Auch wenn die Firewall sofort aktv wird, ist der iptables Service nicht zum automatischen Starten beim Booten konfiguriert. Informationen hierzu finden Sie unter Abschnitt 20.2.
Zurück | Zum Anfang | Nach vorne |
Sichern und Wiederherstellen der Netzwerkkonfiguration | Nach oben | Aktivieren des Befehls iptables |