Chapitre 7. Configuration de base du pare-feu
Tout comme un pare-feu évite qu'un incendie se propage dans un bâtiment, un pare-feu d'ordinateur empêche que les virus se diffusent à l'intérieur du système et évite que des utilisateurs non autorisés accèdent à votre machine. Un pare-feu se trouve entre l'ordinateur et le réseau. Un pare-feu bien configuré peut augmenter sensiblement la sécurité de votre système. Nous vous conseillons de configurer un pare-feu pour tous les systèmes Red Hat Linux doté de connexion à Internet.
Dans l'écran Configuration du pare-feu de Red Hat Linux, vous pouvez choisir entre un niveau de sécurité élevé, moyen ou inexistant, et autoriser des périphériques, des services entrant et des ports spécifiques. Ces niveaux se basent sur l'application de configuration du pare-feu GNOME Lokkit.
Après l'installation, vous pouvez changer le niveau de sécurité de votre système en utilisant GNOME Lokkit.
GNOME Lokkit vous permet de configurer les réglages de pare-feu pour un utilisateur moyen en élaborant des règles réseau ipchains basiques. Vous n'avez pas besoin d'écrire les règles ; ce programme vous pose une série de questions sur votre utilisation du système, puis crée pour vous le fichier /etc/sysconfig/ipchains.
N'essayez pas d'utiliser GNOME Lokkit pour générer des règles de pare-feu complexes. L'application est conçue pour les utilisateurs moyens souhaitant se protéger pendant une connexion modem, câble ou DSL. Pour configurer des règles de pare-feu spécifiques, reportez-vous au chapitre sur le pare-peu avec iptables dans le Guide de référence officiel Red Hat Linux.
Pour désactiver des services spécifiques et interdire des hôtes et utilisateurs spécifiques, reportez-vous au Chapitre 8.
Pour lancer GNOME Lokkit, tapez la commande gnome-lokkit à une invite de shell, en tant que super-utilisateur. Si vous n'avez pas de système X Window installé ou si vous préférez un programme en mode texte, utilisez la commande lokkit pour démarrer la version en mode texte de GNOME Lokkit.
Base
Une fois que vous avez démarré le programme, choisissez le niveau de sécurité approprié pour votre système :
Haute sécurité — Cette option permet de désactiver presque toutes les connexions réseau, sauf les réponses DNS et DHCP, pour que les interfaces réseau puissent être activées. IRC, ICQ et les autres services de messagerie instantanés, ainsi que RealAudioTM ne fonctionneront pas sans proxy.
Faible sécurité — Cette option permet d'interdire les connexions à distance au système, y compris les connexions NFS et les sessions X Window à distance. Les services s'exécutant en deçà du port 1023 n'accepteront pas de connexions, y compris FTP, SSH, Telnet et HTTP.
Désactivation du pare-feu — Cette option ne crée aucune règle de sécurité. Nous recommandons de ne choisir cette option que si le système se trouve sur un réseau de confiance (et non sur Internet), si le système se trouve derrière un pare-feu plus grand, ou si vous écrivez vos propres règles de pare-feu personnalisées. Si vous choisissez cette option et cliquez sur Suivant, passez à la la section intitulée Activation du pare-feu. La sécurité de votre système ne sera pas modifiée.