Configuration du pare-feu
Red Hat Linux vous offre aussi une protection pare-feu pour une sécurité accrue de votre système. Le pare-feu se situe entre votre ordinateur et le réseau et définit quelles ressources de votre ordinateur sont accessibles aux utilisateurs distants du réseau. Un pare-feu configuré de façon correcte peut augmenter considérablement la sécurité de votre système.
Choisissez le niveau de sécurité adapté à votre système.
- Elevé
En choisissant Elevé, votre système n'acceptera pas les connexions (autres que les paramètres par défaut) qui ne sont pas explicitement définies par vous. Par défaut, seules les connexions suivantes sont autorisées :
Réponses DNS
DHCP — toutes les interfaces réseau qui utilisent DHCP peuvent ainsi être configurées de façon correcte.
L'utilisation du bouton Elevé ne permet pas d'effectuer ce qui suit :
Activation du mode FTP (le mode FTP passif, utilisé par défaut par la plupart des clients, devrait fonctionner correctement)
Transfert des fichiers DCC IRC
RealAudioTM
Clients distants du système X Window
Si vous connectez votre système à Internet, mais n'envisagez pas de l'utiliser comme serveur, ceci est le choix le plus sûr. Si d'autres services sont nécessaires, choisissez Personnaliser pour autoriser des services spécifiques à traverser le pare-feu.
Remarque Si, durant l'installation, vous sélectionnez un niveau de pare-feu élevé ou moyen, les méthodes d'authentification réseau (NIS et LDAP) ne fonctionneront pas.
- Moyen
Si vous choisissez Moyen, votre pare-feu ne permettra pas à des machines distantes d'accéder à certaines ressources de votre système. Par défaut, l'accès aux ressources suivantes n'est pas autorisé :
Ports inférieurs à 1023 — ce sont les ports standard réservés, utilisés par la plupart des services de système, comme par exemple FTP, SSH, telnet, HTTP et NIS.
Port du serveur NFS (2049) — NFS est désactivé aussi bien pour les serveurs distants que pour les clients locaux.
Affichage du système X Window local pour les clients X distants
Port du serveur X Font, par défaut, xfs n'écoute pas sur le réseau, il est désactivé par défaut dans le serveur de polices).
Si vous voulez autoriser des ressources, telles que RealAudioTM, tout en bloquant l'accès aux services de système normaux, choisissez Moyen. Pour autoriser des services spécifiques à travers le pare-feu, choisissez Personnaliser.
Remarque Si, durant l'installation, vous sélectionnez un niveau de pare-feu élevé ou moyen, les méthodes d'authentification réseau (NIS et LDAP) ne fonctionneront pas.
- Pas de pare-feu
Cette option permet un accès complet et n'effectue aucun contrôle de sécurité. Il est recommandé de la sélectionner uniquement si vous êtes dans un réseau sûr (pas Internet) ou si vous envisagez d'effectuer une configuration de pare-feu plus détaillée plus tard.
Choisissez Personnaliser pour ajouter des périphériques sûrs ou pour autoriser d'autres interfaces en entrée.
- Périphériques sûrs
La sélection de l'un des Périphériques sûrs permet d'autoriser tout le trafic provenant de ce périphérique ; il est exclu des règles de pare-feu. Par exemple, si vous êtes sur un réseau local et êtes connecté à Internet via une connexion PPP, vous pouvez cocher eth0 et tout le trafic provenant de votre réseau local sera autorisé. Si vous configurez eth0 en tant que périphérique sûr, tout le trafic sur la carte Ethernet est autorisé, mais l'interface ppp0 reste toujours protégée par le pare-feu. Si vous voulez limiter le trafic sur une interface, ne la sélectionnez pas.
Il n'est pas recommandé de sélectionner le bouton Périphérique sûr pour les périphériques qui sont connectés à des réseaux publics, tels qu'Internet.
- Autoriser l'entrée
Ce bouton permet de laisser passer des services spécifiés à travers le pare-feu. Remarque : dans le cas d'une installation de la classe Poste de travail, la plupart de ces services ne sont pas installés sur le système.
- DHCP
Ce bouton autorise les demandes et les réponses DHCP et permet à toute interface de réseau qui utilise le DHCP de définir son adresse IP. DHCP est normalement activé. S'il ne l'est pas, votre ordinateur ne pourra plus obtenir d'adresse IP.
- SSH
Secure SHell (SSH) est une série d'outils pour se connecter à des ordinateurs distants et y exécuter des commandes. Si vous envisagez d'accéder à votre ordinateur distant via l'application SSH par un pare-feu, activez cette option. Pour pouvoir vous connecter à un ordinateur distant via SSH, installez le paquetage openssh-server.
- Telnet
Telnet est un protocole qui permet de se connecter à des ordinateurs distants. Il n'est pas crypté et fournit une faible protection contre les attaques du réseau. L'activation de Telnet n'est pas recommandée. Pour autoriser l'accès Telnet, installez le paquetage telnet-server.
- WWW (HTTP)
Le protocole HTTP est utilisé par Apache (et par d'autres serveurs Web) pour la gestion des pages Web. Si vous envisagez de rendre votre serveur Web public, activez cette option. Cette option n'est pas nécessaire pour afficher les pages localement ou pour créer des pages Web. Pour pouvoir l'utiliser, installez le paquetage apache.
L'activation de WWW (HTTP) n'ouvre pas de port pour HTTPS. Pour activer HTTPS, spécifiez-le dans le champ Autres ports.
- Courrier (SMTP)
Si vous voulez autoriser le courrier en entrée à travers votre pare-feu afin que les hôtes distants se connectent directement à votre ordinateur pour livrer le courrier, activez cette option. Cette option n'est pas nécessaire si vous recevez votre courrier de votre serveur ISP par POP3 ou IMAP ou bien si vous utilisez un outil tel que fetchmail. Notez qu'un serveur SMTP mal configuré peut provoquer l'envoi de spam de la part du serveur de vos ordinateurs.
- FTP
Le protocole FTP est utilisé pour transférer des fichiers entre ordinateurs sur un réseau. Si vous envisagez de rendre votre serveur FTP public, activez cette option. Pour pouvoir utiliser cette option, installez le paquetage wu-ftpd (et, si possible, anonftp).
- Autres ports
Vous pouvez autoriser d'autres ports ne figurant pas dans la liste en les indiquant dans le champ Autres ports. Utilisez le format port:protocole. Par exemple, si vous voulez autoriser l'accès IMAP à travers votre pare-feu, vous pouvez spécifier imap:tcp. Vous pouvez aussi spécifier des ports numériques de façon explicite ; pour autoriser les paquets UDP sur le port 1234 à travers le pare-feu, entrez 1234:udp. Pour spécifier des ports multiples, séparez ces derniers par des virgules.