Настройка
конфигурации
ЕСЛИ
вы считаете,
что и высокая и средняя степень защиты слишком ущемляют ваши интересы, можете
установить исключения для выбранных портов. В окне, показанном на рис. 31.1,
выберите опцию Customize (Настроить). Это позволит вам открыть в брандмауэре
каналы для необходимых данных. Список Allow incoming включает типовые трафики,
которые могут потребоваться для доступа к internet. Текстовое поле Other Ports
(Другие порты) позволяет открыть другие порты по выбору.
Входной
трафик
В списке Allow incoming
(Разрешен входной трафик) шесть типов портов. Они соответствуют разновидностям
данных, которые вы собираетесь получить при подключении к internet, или когда
к вашему компьютеру подключаются другие, а он играет роль Web-, e-mail- или
fTP-сервера:
DHCP. Разрешен по умолчанию
в ходе инсталляции Red Hat Linux. Как мы ранее обсуждали, цель состоит в том,
чтобы позволить DHCP-серверам, расположенным вне вашей сети конфигурировать
компьютеры в ней.
SSH. Аббревиатура для Secure
Shell (Безопасная оболочка). Когда используется SSH, вся процедура входа в сеть
шифруется. Если вы хотите использовать пакет Secure Shell для администрирования
вашего компьютера с удаленного сайта, вам необходимо будет подключаться через
установленный вами брандмауэр. Разрешение SSH открывает порт 22, который предназначен
для входов Secure Shell. Чтобы использовать SSH, вам потребуется пакет opensshserver-2.5.2р2-5.1386.rpm.
Telnet. Telnet представляет
незащищенный способ входа и ввода команд для удаленного компьютера. Подключившись
к удаленному компьютеру через Telnet, вы можете пользоваться интерфейсом командной
строки так же, как будто вы локальный пользователь. Поскольку операции обмена
Telnet не зашифрованы, любой пользователь, располагающий средством прослушивания
вашей сети (оно называется sniffer (анализатор)), может записать пароль и другие
передаваемые сведения.
WWW (HTTP). Если вы установили
на своем компьютере Web-сервер, вы должны разрешить эту опцию. В противном случае
пользователи, пытающиеся получить Web-страницы с вашего компьютера, не получат
ничего. Эта опция не нужна для получения Web-страниц из internet.
mail (SmTP). Если вы установили
на своем компьютере почтовый сервер, вы должны разрешить эту опцию. Пользователи,
посылающие сообщения e-mail, посылают их на mail-сервер. Если mail-порт (25)
закрыт, то почтовые сообщения не смогут пройти через брандмауэр.
fTP. Если на вашем компьютере
установлен один из типов fTP-серверов, следует разрешить эту опцию. Стандартный
пакет организации fTP-сервера: wu-ftpd-2 . 6 .1-16 .1386 .rpm, доступный на
компакт-диске CD-ROm, прилагаемом к данной книге.
Настройка
трафика порта
Перечисленных в раздел
Allow incoming портов недостаточно для полного набора услуг, необходимых всем
пользователям. Например, если вы хотите обеспечить разделяемый доступ к каталогам
от других Linux- и Unix-компьютеров через брандмауэр, вы должны открыть каналы
распределения по портам (portmap) и NfS, соответствующие портам 111 и 2049.
Далее необходимо проверить
разновидности трафика, осуществляемого через каждый порт. Откроите файл /etc/services
или указанную выше Web-страницу. Соответствующие сведения выглядят так:
sunrpc 111/tcp
portmapper #RPC 4.0 portmapper TCP
sunrpc 111/udp
portmapper #RPC 4.0 portmapper UDP
nfs 2049/tcp nfsd
nfs 2049/udp nfsd
Опираясь на эти сведения,
вы можете открыть соответствующие каналы в окне firewall Configuration, показанном
на рис. 31.1. Щелкните на опции Customize (Настройка) и введите в текстовое
поле Other Ports (Прочие порты):
111:tep,lll:udp,2049ttcp,2049:udp
Тем самым открываются порты 111 и 2049, которые используются для разделяемого доступа через NfS к TCP- и UDP-трафику. Можете добавить тем же способом и другие порты. Не забывайте в списке разделять порты запятыми и не вводите пробелы между элементами списка.