Configurazione del firewall

Un firewall si contrappone tra il vostro computer e la rete, stabilendo a quali risorse del computer possono accedere gli utenti remoti sulla rete. Un firewall configurato correttamente, può aumentare notevolmente il livello di sicurezza del sistema appena installato.

Scegliere il livello di sicurezza adeguato al sistema.

Nessun firewallNessun firewall fornisce l'accesso completo al vostro sistema e non effettua alcun controllo sulla sicurezza. Il controllo sulla sicurezza è rappresentato dalla proibizione dell'accesso a determinati servizi. Dovrebbe essere selezionata solo se siete in esecuzione su di una rete fidata (non Internet) o se si desidera configurare più firewall.

Abilita firewall — Se selezionate Abilita firewall, i collegamenti non sono accettati dal vostro sistema (diverse dalle impostazioni di default), che non sono definite esplicitamente. Per default, solo i collegamenti in risposta a richieste esterne, come repliche DNS o richieste DHCP, sono abilitati. Solo se c'è la necessità dell'accesso ai servizi in esecuzione su questa macchina, potete scegliere di abilitare servizi specifici attraverso il firewall.

Se il vostro sistema viene collegato a Internet, ma non desiderate eseguire il server,questa è la scelta più sicura.

Successivamente selezionate quale servizio, se presente, dovrebbe essere abilitato a passare attraverso il firewall.

Abilitando queste opzioni si permette a specifici servizi di passare attraverso il firewall. Notare che questi servizi potrebbero non essere installati per default sul sistema. Assicuratevi di scegliere di abilitare qualsiasi opzione che può esservi utile.

>WWW (HTTP) — Il protocollo HTTP viene usato da Apache (e da altri server web) per servire le pagine web. Se decidete di rendere il vostro server web accessibile al pubblico, abilitate questa opzione. Questa opzione non è richiesta per visualizzare le pagine in modo locale o per lo sviluppo delle pagine web. Dovete installare il pacchetto httpd se volete servire le pagine web.

L'abilitazione di WWW (HTTP) non comporta l'apertura di una porta per HTTPS. Per abilitare HTTPS, specificatelo nel campo Altre porte.

FTP — Il protocollo FTP viene usato per trasferire i file tra le macchine presenti sulla rete. Se decidete di rendere il server FTP accessibile al pubblico, abilitate allora questa opzione. Dovete installare il pacchetto vsftpd per utilizzare questa opzione.

SSHSecure SHell (SSH) è una suite di tool capace di effettuare un logging nei comandi di esecuzione su di una macchina remota. Se desiderate usare i tool SSH per accedere alla vostra macchina attraverso un firewall, abilitate questa opzione. Il pacchetto openssh-server deve essere installato per poter accedere alla vostra macchina in modo remoto, usando i tool SSH.

Telnet — Telnet è un protocollo usato per effettuare un log in nelle macchine remote. Le comunicazioni Telnet non sono cifrate e non forniscono alcuna sicurezza nei confronti dell'azione di snooping della rete. Non è consigliato abilitare Telnet in entrata. Se desiderate abilitare Telnet in entrata, dovete installare il pacchetto telnet-server.

Mail (SMTP) — L'opzione permette l'ingresso dellaposta tramite SMTP. È necessario abilitarla se le macchine remote hanno la necessità di consegnare la posta direttamente al sistema. Non è necessario abilitarla quando la posta viene trasmessa dal proprio serverISP tramite POP3, IMAP o se si fa uso di un tool come fetchmail. Notare che un server SMTP configurato non correttamente permette a macchine remote di utilizzare il sistema per inviare spam.

Potete abilitare l'accesso alle porte non elencate, elencandole nel campo Altre porte. Usare il seguente formato: port:protocol. Per esempio, se desiderate abilitare l'accesso IMAP attraverso il vostro firewall, specificare imap:tcp. Potete specificare porte numeriche per abilitare i pacchetti UDP sulla porta 1234 attraverso il firewall, per questo scopo inserire 1234:udp. Per specificare porte multiple, separatele con delle virgole.

Per finire, selezionate qualsiasi dispositivo che permette l'accesso al vostro sistema per tutto il traffico proveniente da quel dispositivo.

Selezionando uno di questi dispositivi fidati, si esclude lo steso dispositivo dalle regole del firewall. Per esempio, se state eseguendo una rete locale, ma siete collegati ad internet tramite un dialup PPP, potete selezionare eth0 abilitando così qualsiasi traffico proveniente dalla vostra rete locale. Selezionando eth0 come fidato, significa che tutto il traffico attraverso Ethernet viene abilitato, ma l'interfaccia ppp0 è ancora sottoposta alle regole del firewall. Se desiderate limitare il trafficosu di una interfaccia, lasciarla deselezionata.

Non è consigliabile rendere qualsiasi dispositivo collegato a reti pubbliche, come ad esempio internet, un dispositivo fidato.