s1-basic-firewall-gnomelokkit.html

Redhat9中文官方文档, 初学者必备

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML
><HEAD
><TITLE
>GNOME Lokkit</TITLE
><META
NAME="GENERATOR"
CONTENT="Modular DocBook HTML Stylesheet Version 1.76b+
"><LINK
REL="HOME"
TITLE="Red Hat Linux 9"
HREF="index.html"><LINK
REL="UP"
TITLE="基本防火墙配置"
HREF="ch-basic-firewall.html"><LINK
REL="PREVIOUS"
TITLE="基本防火墙配置"
HREF="ch-basic-firewall.html"><LINK
REL="NEXT"
TITLE="激活 iptables 服务"
HREF="s1-basic-firewall-activate-iptables.html"><LINK
REL="STYLESHEET"
TYPE="text/css"
HREF="rhdocs-man.css"><META
HTTP-EQUIV="Content-Type"
CONTENT="text/html; charset=gb2312"></HEAD
><BODY
CLASS="SECT1"
BGCOLOR="#FFFFFF"
TEXT="#000000"
LINK="#0000FF"
VLINK="#840084"
ALINK="#0000FF"
><DIV
CLASS="NAVHEADER"
><TABLE
SUMMARY="Header navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TH
COLSPAN="3"
ALIGN="center"
>Red Hat Linux 9: Red Hat Linux 定制指南</TH
></TR
><TR
><TD
WIDTH="10%"
ALIGN="left"
VALIGN="bottom"
><A
HREF="ch-basic-firewall.html"
ACCESSKEY="P"
>后退</A
></TD
><TD
WIDTH="80%"
ALIGN="center"
VALIGN="bottom"
>13. 基本防火墙配置</TD
><TD
WIDTH="10%"
ALIGN="right"
VALIGN="bottom"
><A
HREF="s1-basic-firewall-activate-iptables.html"
ACCESSKEY="N"
>前进</A
></TD
></TR
></TABLE
><HR
ALIGN="LEFT"
WIDTH="100%"></DIV
><DIV
CLASS="SECT1"
><H1
CLASS="SECT1"
><A
NAME="S1-BASIC-FIREWALL-GNOMELOKKIT"
></A
>13.2. <B
CLASS="APPLICATION"
>GNOME Lokkit</B
></H1
><P
>      <B
CLASS="APPLICATION"
>GNOME Lokkit</B
> 允许你通过建立基本的
      <TT
CLASS="COMMAND"
>ipchains</TT
> 联网规则来为普通用户配置防火墙设置。你不必编写这些规则，该程序会向你提出一系列关于你如何使用系统的问题，然后把它们写入
      <TT
CLASS="FILENAME"
>/etc/sysconfig/ipchains</TT
> 文件。
    </P
><P
>      你不应该使用 <B
CLASS="APPLICATION"
>GNOME Lokkit</B
>
      来生成复杂的防火墙规则。该程序的目的是帮助普通用户在使用调制解调器、电缆、或
      DSL 连接到互联网上时进行自我保护。要配置特指的防火墙规则，请参阅<I
CLASS="CITETITLE"
>《Red Hat Linux 参考指南》</I
>
      书中的“<I
CLASS="CITETITLE"
>使用 <TT
CLASS="COMMAND"
>iptables</TT
> 来建立防火墙</I
>”这一章。
    </P
><P
>      要禁用指定的服务或拒绝指定的主机和用户，请参阅<A
HREF="ch-services.html"
>第14章 </A
>。
    </P
><P
>	要启动图形化的f <B
CLASS="APPLICATION"
>GNOME
	Lokkit</B
>，选择<B
CLASS="GUIMENU"
>「主菜单」</B
> =&#62;
	<B
CLASS="GUIMENU"
>「系统工具」</B
> =&#62; <B
CLASS="GUIMENU"
>「更多系统工具」</B
>
	=&#62; <B
CLASS="GUIMENUITEM"
>Lokkit</B
>，或在 shell 提示下以根用户身份键入
	<TT
CLASS="COMMAND"
>gnome-lokkit</TT
> 命令。如果你没有安装 X
	窗口系统，或者你优选基于文本的程序，在 shell 提示下键入 <TT
CLASS="COMMAND"
>lokkit</TT
>
	命令来启动这个程序的文本模式。
    </P
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="S2-GNOMELOKKIT-BASIC"
></A
>13.2.1. 基本</H2
><DIV
CLASS="FIGURE"
><A
NAME="LOKKIT-BASIC-FIG"
></A
><DIV
CLASS="MEDIAOBJECT"
><P
><IMG
SRC="./figs/gnomelokkit/basic.png"></P
></DIV
><P
><B
>图 13-2. 基本</B
></P
></DIV
><P
>	在启动程序之后，为你的系统选择相应的安全级别：
      </P
><P
></P
><UL
><LI
><P
><B
CLASS="GUILABEL"
>「High Security」</B
> &#8212; 这一选项会禁用几乎所有激活网络所需的
		DNS 回应和 DHCP 之外的网络连接。IRC、ICQ、其它即时消息传递服务、以及 <SPAN
CLASS="TRADEMARK"
>RealAudio</SPAN
>&trade;
	在没有代理的情况下都无法运行。</P
></LI
><LI
><P
><B
CLASS="GUILABEL"
>「Low Security」</B
> &#8212; 该选项将不会允许到系统的远程连接，包括
	NFS 连接和远程 X 窗口系统会话。在端口
	1023 之下运行的服务将不会接受连接，包括 FTP、SSH、Telnet、以及 HTTP。</P
></LI
><LI
><P
><B
CLASS="GUILABEL"
>「Disable Firewall」</B
> &#8212; 该选项不会创建任何安全规则。建议你只有在信任的网络（非互联网）中运行时，或在大型防火墙之后运行时，或自行编写定制的防火墙规则时才选择该选项。如果你选定了这个选项并点击了<B
CLASS="GUIBUTTON"
>「下一步」</B
>，请跳到<A
HREF="s1-basic-firewall-activate-iptables.html"
>第 13.3 节</A
>这一节。你的系统的安全级别将不会被改变。</P
></LI
></UL
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="S2-GNOMELOKKIT-LOCAL-HOSTS"
></A
>13.2.2. 本地主机</H2
><P
>	如果系统上有以太网设备，<B
CLASS="GUILABEL"
>「Local Hosts」</B
>页会允许你配置防火墙规则是否要应用到发送给每个设备的连接请求。如果该设备把系统连接到防火墙后的局域网，并不直接连接到互联网，选择<B
CLASS="GUIBUTTON"
>「Yes」</B
>。如果该以太网卡把系统连接到电缆或
	DSL 调制解调器，我们提议你选择<B
CLASS="GUIBUTTON"
>「No」</B
>。
      </P
><DIV
CLASS="FIGURE"
><A
NAME="LOKKIT-LOCAL-HOSTS-FIG"
></A
><DIV
CLASS="MEDIAOBJECT"
><P
><IMG
SRC="./figs/gnomelokkit/local-hosts.png"></P
></DIV
><P
><B
>图 13-3. Local Hosts（本地主机）</B
></P
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="S1-GNOMELOKKIT-DHCP"
></A
>13.2.3. DHCP</H2
><P
>	如果你使用 DHCP 来激活系统上的任何以太网接口，你必须对
	DHCP 问题回答<B
CLASS="GUIBUTTON"
>「Yes」</B
>。如果你回答了“No”，你将无法使用以太网接口来建立连接。许多电缆和 DSL
	互联网提供者要求你使用 DHCP 来建立互联网连接。
      </P
><DIV
CLASS="FIGURE"
><A
NAME="LOKKIT-DHCP-FIG"
></A
><DIV
CLASS="MEDIAOBJECT"
><P
><IMG
SRC="./figs/gnomelokkit/dhcp.png"></P
></DIV
><P
><B
>图 13-4. DHCP</B
></P
></DIV
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="S2-GNOEMLOKKIT-SERVICES"
></A
>13.2.4. 配置服务</H2
><P
>	<B
CLASS="APPLICATION"
>GNOME Lokkit</B
> 还允许你启动或停止普通服务。如果你在配置服务时回答了<B
CLASS="GUIBUTTON"
>「是」</B
>，你就会得到有关下列服务的提示：
      </P
><P
></P
><UL
><LI
><P
><B
CLASS="GUILABEL"
>「Web Server」</B
> &#8212; 如果你打算让用户连接到在你的系统上运行的万维网服务器（如
	Apache），请选择该选项；如果你只打算查看你自己的系统或网络上其它服务器上的网页，则不必选择该选项。
	  </P
></LI
><LI
><P
><B
CLASS="GUILABEL"
>「Incoming Mail」</B
> &#8212; 如果你的系统需要接受进入的邮件，选择该选项。如果你只打算使用 IMAP、POP3、或 fetchmail
	来检索电子邮件，则不必选择该选项。
	  </P
></LI
><LI
><P
><B
CLASS="GUILABEL"
>「Secure Shell」</B
> &#8212; 安全 Shell，或 SSH，是一个用来在远程机器上通过加密连接来登录和执行命令的工具套件。如果你需要通过
	  ssh 来远程地访问你的机器，选择该选项。
	  </P
></LI
><LI
><P
><B
CLASS="GUILABEL"
>「Telnet」</B
> &#8212; Telnet 允许你远程登录到你的机器上，不过，它并不安全。它在网络中发送的是纯文本（包括口令）。推荐你使用
	SSH 在你的机器上远程登录。如果你需要使用 telnet 来访问你的系统，选择该选项。
	  </P
></LI
></UL
><P
>      要禁用你不需要的其它服务，使用
      <B
CLASS="APPLICATION"
>服务配置工具</B
>（参阅 <A
HREF="s1-services-serviceconf.html"
>第 14.3 节</A
>）或 <B
CLASS="APPLICATION"
>ntsysv</B
>
      （参阅 <A
HREF="s1-services-ntsysv.html"
>第 14.4 节</A
>），或
      <TT
CLASS="COMMAND"
>chkconfig</TT
>（参阅 <A
HREF="s1-services-chkconfig.html"
>第 14.5 节</A
>）。
    </P
></DIV
><DIV
CLASS="SECT2"
><H2
CLASS="SECT2"
><A
NAME="S1-GNOMELOKKIT-ACTIVATE-FIREWALL"
></A
>13.2.5. 激活防火墙</H2
><P
>	点击<B
CLASS="GUIBUTTON"
>「结束」</B
>会把防火墙规则写入
	  <TT
CLASS="FILENAME"
>/etc/sysconfig/iptables</TT
> 文件，并通过启动
	<TT
CLASS="COMMAND"
>iptables</TT
> 服务来启动防火墙。
      </P
><DIV
CLASS="WARNING"
><P
></P
><TABLE
CLASS="WARNING"
WIDTH="100%"
BORDER="0"
><TR
><TD
WIDTH="25"
ALIGN="CENTER"
VALIGN="TOP"
><IMG
SRC="./stylesheet-images/warning.png"
HSPACE="5"
ALT="警告"></TD
><TH
ALIGN="LEFT"
VALIGN="CENTER"
><B
>警告</B
></TH
></TR
><TR
><TD
>&nbsp;</TD
><TD
ALIGN="LEFT"
VALIGN="TOP"
><P
>	  如果你配置了防火墙，或在
	  <TT
CLASS="FILENAME"
>/etc/sysconfig/iptables</TT
> 文件中配置了防火墙规则，你若选择了<B
CLASS="GUILABEL"
>「Disable Firewall」</B
>并点击
	  <B
CLASS="GUIBUTTON"
>「结束」</B
>来保存所做改变，这些防火墙规则就会被删除。
	</P
></TD
></TR
></TABLE
></DIV
><P
>	我们强烈建议你从机器而不是远程 X 会话中运行 <B
CLASS="APPLICATION"
>GNOME
	Lokkit</B
>。如果你禁用了到你的机器的远程访问，你将无法再进入系统来禁用防火墙规则。
      </P
><P
>	如果你不想写入防火墙规则，点击<B
CLASS="GUIBUTTON"
>「取消」</B
>。
      </P
><DIV
CLASS="SECT3"
><H3
CLASS="SECT3"
><A
NAME="S3-GNOMELOKKIT-ACTIVATE-MAIL-RELAY"
></A
>13.2.5.1. 邮件转发</H3
><P
>	邮件转发（mail relay）是允许其它系统通过它来发寄电子邮件的系统。如果你的系统是一个邮件转发站，某些人便可能用它来通过你的机器散发垃圾邮件。
	</P
><P
>	  如果你选定要启用邮件服务，在<B
CLASS="GUILABEL"
>「Activate Firewall」</B
>页上点击<B
CLASS="GUIBUTTON"
>「结束」</B
>后，你会被提示是否检查邮件转发。如果你回答了<B
CLASS="GUIBUTTON"
>「Yes」</B
>来检查邮件转发，<B
CLASS="APPLICATION"
>GNOME Lokkit</B
>
	就会试图连接
	<I
CLASS="CITETITLE"
>Mail Abuse Prevention System</I
> 网站（<A
HREF="http://www.mail-abuse.org/"
TARGET="_top"
>http://www.mail-abuse.org/</A
>），并运行邮件转发测试程序。测试结果会在结束后显示。如果你的系统向邮件转发开放，强烈推荐你配置
	  Sendmail 来避免它的发生。
	</P
></DIV
></DIV
></DIV
><DIV
CLASS="NAVFOOTER"
><HR
ALIGN="LEFT"
WIDTH="100%"><TABLE
SUMMARY="Footer navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
><A
HREF="ch-basic-firewall.html"
ACCESSKEY="P"
>后退</A
></TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="index.html"
ACCESSKEY="H"
>起点</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
><A
HREF="s1-basic-firewall-activate-iptables.html"
ACCESSKEY="N"
>前进</A
></TD
></TR
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
>基本防火墙配置</TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="ch-basic-firewall.html"
ACCESSKEY="U"
>上级</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
>激活 <TT
CLASS="COMMAND"
>iptables</TT
> 服务</TD
></TR
></TABLE
></DIV
></BODY
></HTML
>