Иллюстрированный самоучитель по Linux

Высокий уровень защиты. Средний уровень защиты.

Брандмауэр с защитой наивысшего уровня вообще не подключен к внешним сетям. Но поскольку большинство пользователей хотят иметь, по крайней мере, выход в Internet, на практике такая защита нереализуема.

Следующим приемлемым вариантом можно считать односторонний брандмауэр: выходной трафик разрешен, но входной трафик блокируется брандмауэром. Теоретически это неплохой вариант, но он лишает пользователя возможности выполнять навигацию в Internet.

Кроме запрашиваемых объектов, наподобие Web-страниц, установленный по умолчанию брандмауэр Red Hat Linux 7.1 с высоким уровнем защиты допускает две разновидности входного трафика: адресные сведения с DNS-серверов и конфигурационные сведения с DHCP-серверов.

  • DNS. В гл. 21 мы разбирали, что сервер имен, известный также как Domain Name Service (DNS), представляет собой базу данных доменных имен Web-сайтов, наподобие www.Sybex.com, и соответствующих им IP-адресов, наподобие 192.168.0.131. Компьютеру нужен IP-адрес, чтобы сообщить в Internet, где искать необходимый вам Web-сайт. Если вы задали IP-адрес хотя бы одного DNS-сервера в ходе инсталляции (проверьте файл /etc/resolv.conf), брандмауэр оставит для вас порт 53 открытым.
  • DHCP. В главе 4 мы разбирали, что сервер Dynamic Host Configuration Protocol (DHCP) конфигурирует IP-адресную информацию в локальной сети. Если вы пользуетесь внешним DHCP-сервером, вы должны дать ему возможность обращаться к компьютерам локальной сети через брандмауэр. Если вы разрешили DHCP в разделе Allow Incoming (Разрешить вход), то брандмауэр оставит для вас порты 67 и 68 открытыми.

Брандмауэр с высоким уровнем защиты не допускает никакого другого трафика. Вы не сможете пользоваться обычными Internet-утилитами, наподобие RealAudio, и большинством чат-программ. Вы даже не сможете разделять NFS-файлы через такой брандмауэр. Если на вашем компьютере установлен Web-сервер, никто не сможет найти ваши Web-страницы.

Средний уровень защиты

При среднем уровне защиты число открытых каналов в брандмауэре больше. Открываются полностью определенные порты (от 0 до 1023), а также порты для NFS (2049), X Server (6000-6009) и X Fonts (7100). Открываются порты, необходимые для обслуживания DNS и DHCP, как описано выше.

Другими словами, при среднем уровне защиты большинство зарегистрированных портов остаются открытыми, что автоматически позволяет вам получать доступ к множеству спец. услуг, подобных передачам RealAudio.

Если вас смущает наличие слишком многих открытых портов при среднем уровне защиты, выберите высокий уровень, и настройте брандмауэр вручную (см. ниже). Если вы знаете, какие сервисы вам нужны, можете изменить настройки, чтобы открыть только те порты, которые вам нужны.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.