PERFORCE change 141507 for review
Gabor Pali
pgj at FreeBSD.org
Mon May 12 12:29:28 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=141507
Change 141507 by pgj at disznohal on 2008/05/12 12:29:26
Cleanup in Chapter 28.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 (text+ko) ====
@@ -21,8 +21,8 @@
<author>
<firstname>Brad</firstname>
<surname>Davis</surname>
- <contrib>SGML formátumra alakította és
- aktualizálta: </contrib>
+ <contrib>SGML formátumúra alakította
+ és aktualizálta: </contrib>
</author>
</authorgroup>
</chapterinfo>
@@ -48,28 +48,28 @@
vagy továbbengedik ezeket vagy
megállítják. A tûzfalak
szabályai a csomagok egy vagy több
- jellemzõjét veszik szemügyre, amik lehetnek
- mondjuk a protokoll típusa, a forrás vagy cél
- hálózati címe, esetleg a forrás- vagy
- a célport.</para>
+ jellemzõjét veszik szemügyre, amelyek lehetnek
+ például a protokoll típusa, a forrás
+ vagy cél hálózati címe, esetleg a
+ forrás- vagy a célport.</para>
<para>A tûzfalak jelentõs mértékben
képesek gyarapítani egy gép vagy egy
hálózat védelmét. Leginkább a
- következõkre tudjuk felhasználni ezeket:</para>
+ következõkre tudjuk felhasználni:</para>
<itemizedlist>
<listitem>
- <para>a belsõ hálózatunkban futó
- alkalmazások, szolgáltatások, gépek
- megvédésére és
+ <para>A belsõ hálózatunkban futó
+ alkalmazások, szolgáltatások,
+ gépek megvédésére és
elszigetelésére az internetrõl
érkezõ nem kívánt forgalom
ellen</para>
</listitem>
<listitem>
- <para>a belsõ hálózatban levõ
+ <para>A belsõ hálózatban levõ
gépek elérését tudjuk
korlátozni vagy letiltani az interneten
elérhetõ szolgáltatások
@@ -77,14 +77,14 @@
</listitem>
<listitem>
- <para>a hálózati címfordítás
+ <para>A hálózati címfordítás
(Network Address Translation, <acronym>NAT</acronym>)
beállításához, ahol a belsõ
hálózatunk privát
<acronym>IP</acronym>-címeket használnak
és egy közös kapcsolaton keresztül
- érik el az internetet (vagy egyetlen
- <acronym>IP</acronym>-cím, vagy pedig automatikusan
+ érik el az internetet (egyetlen
+ <acronym>IP</acronym>-címmel, vagy pedig automatikusan
kiosztott publikus címekkel).</para>
</listitem>
</itemizedlist>
@@ -96,30 +96,30 @@
<listitem>
<para>hogyan adjuk meg helyesen a csomagok
szûrését leíró
- szabályokat</para>
+ szabályokat;</para>
</listitem>
<listitem>
<para>a &os;-be épített tûzfalak közti
- különbségeket</para>
+ különbségeket;</para>
</listitem>
<listitem>
<para>hogyan állítsuk be és
használjuk az OpenBSD <application>PF</application>
- tûzfalát</para>
+ tûzfalát;</para>
</listitem>
<listitem>
<para>hogyan állítsuk be és
használjuk az <application>IPFILTER</application>
- tûzfalat</para>
+ tûzfalat;</para>
</listitem>
<listitem>
<para>hogyan állítsuk be és
használjuk az <application>IPFW</application>
- tûzfalat</para>
+ tûzfalat.</para>
</listitem>
</itemizedlist>
@@ -128,9 +128,10 @@
<itemizedlist>
<listitem>
<para>a &os;-hez és az internethez kötõdõ
- alapvetõ fogalmak ismerete</para>
+ alapvetõ fogalmak ismerete.</para>
</listitem>
</itemizedlist>
+
</sect1>
<sect1 id="firewalls-concepts">
@@ -153,23 +154,23 @@
szabály és minden mást blokkolnak.</para>
<para>Az inkluzív tûzfalak általában
- biztonságosabbak az exkluzív társaiknál,
- mivel esetükben jelentõs mértékben
- visszaszorul az átfolyó nem kívánatos
- forgalom.</para>
+ biztonságosabbak az exkluzív
+ társaiknál, mivel esetükben jelentõs
+ mértékben visszaszorul a nem kívánatos
+ átfolyó forgalom.</para>
- <para>A védelem még tovább fokozható az
- <quote>állapottartó tûzfalak</quote> (stateful
- firewall) használatával. Ilyenkor a tûzfal
- szemmel tartja a rajta keresztül megnyitott kapcsolatokat,
- és vagy csak a már meglevõ kapcsolathoz
- tartozó forgalmat engedi át vagy nyit egy
- újat. Az állapottartó tûzfalak
- hátránya, hogy a <quote>Denial of Service</quote>
- (<acronym>DoS</acronym>) típusú
- támadásokkal szemben sokkal
- sérülékenyebbek, amikor az új
- kapcsolatok nagyon gyorsan jönnek létre. A
+ <para>Ez a típusú védelem még
+ tovább fokozható az <quote>állapottartó
+ tûzfalak</quote> (stateful firewall)
+ használatával. Ilyenkor a tûzfal szemmel
+ tartja a rajta keresztül megnyitott kapcsolatokat, és
+ vagy csak a már meglevõ kapcsolathoz tartozó
+ forgalmat engedi át, vagy nyit egy újat. Az
+ állapottartó tûzfalak hátránya,
+ hogy a <quote>Denial of Service</quote> (<acronym>DoS</acronym>)
+ típusú támadásokkal szemben sokkal
+ sérülékenyebbek olyan helyzetekben, amikor az
+ új kapcsolatok nagyon gyorsan jönnek létre. A
legtöbb tûzfal esetében azonban tudjuk
vegyíteni az állapottartó és nem
állapottartó viselkedést, és ezzel egy
@@ -182,13 +183,13 @@
<title>Tûzfalak</title>
<para>A &os; alaprendszerébe három
- különbözõ tûzfalat építettek
- be. Ezek: az <emphasis>IPFILTER</emphasis> (másik
- nevén <acronym>IPF</acronym>), az
- <emphasis>IPFIREWALL</emphasis> (más néven
- <acronym>IPFW</acronym>) és az <emphasis>OpenBSD
- csomagszûrõje</emphasis> (Packet Filter, azaz
- <acronym>PF</acronym>). A forgalom
+ különbözõ tûzfalat
+ építettek be, melyek a következõk: az
+ <emphasis>IPFILTER</emphasis> (másik nevén
+ <acronym>IPF</acronym>), az <emphasis>IPFIREWALL</emphasis>
+ (más néven <acronym>IPFW</acronym>) és az
+ <emphasis>OpenBSD csomagszûrõje</emphasis> (Packet
+ Filter, azaz <acronym>PF</acronym>). A forgalom
szabályozására (vagyis alapvetõen a
sávszélesség
kihasználtságának
@@ -208,21 +209,21 @@
érkezõ vagy onnan távozó
csomagokról, habár megoldásaik teljesen
máshogy mûködnek és a szabályok
- felírási módja is eltér.</para>
+ megadási módja is eltér.</para>
- <para>A &os; azért tartalmaz egyszerre ennyi tûzfalat,
- mert az emberek elvárásai és igényei
- egyénenként eltérnek. Egyikõjük
- sem tekinthetõ a legjobbnak.</para>
+ <para>A &os; azért tartalmaz egyszerre ennyiféle
+ tûzfalat, mert az emberek elvárásai és
+ igényei eltérnek. Egyikük sem tekinthetõ
+ a legjobbnak.</para>
<para>A szerzõ egyébként az IPFILTER
megoldását részesíti elõnyben,
mivel egy hálózati címfordítást
alkalmazó környezetben sokkal könnyebb vele
megfogalmazni az állapottartó szabályokat,
- valamint tartalmaz egy beépített FTP proxy-t is,
- amivel a kimenõ FTP kapcsolatok
- beállítása tovább
+ valamint tartalmaz egy beépített FTP proxyt is,
+ amivel így a kimenõ FTP kapcsolatok
+ beállítása még tovább
egyszerûsödik.</para>
<para>Mivel az összes tûzfal a csomagok
@@ -250,18 +251,17 @@
<secondary>PF</secondary>
</indexterm>
- <para>2003. júliusában az OpenBSD
- <acronym>PF</acronym> néven ismert
- csomagszûrõjét átírták
- &os;-re és elérhetõvé tették a
- &os; Portgyûjteményének
- részeként. A <acronym>PF</acronym> programot
- beépítetten tartalmazó elsõ
- kiadás pedig 2004. novemberében a &os; 5.3
- volt. A <acronym>PF</acronym> egy teljes, mindentudó
- tûzfal, ami támogatja az ún.
- <acronym>ALTQ</acronym> (Alternate Queuing, vagyis a
- <quote>váltóbesorolás</quote>)
+ <para>2003 júliusában az OpenBSD <acronym>PF</acronym>
+ néven ismert csomagszûrõjét
+ átírták &os;-re és
+ elérhetõvé tették a &os;
+ Portgyûjteményének részeként. A
+ <acronym>PF</acronym> programot beépítetten
+ tartalmazó elsõ kiadás pedig 2004
+ novemberében a &os; 5.3 volt. A <acronym>PF</acronym>
+ egy teljes, mindentudó tûzfal, amely támogatja
+ az ún. <acronym>ALTQ</acronym> (Alternate Queuing, vagyis
+ a <quote>váltóbesorolás</quote>)
megoldást. Az <acronym>ALTQ</acronym> lehetõvé
teszi a sávszélesség
korlátozását a szolgáltatás
@@ -270,26 +270,26 @@
különbözõ szolgáltatások a
szûrési szabályok mentén
garantált sávszélességhez juthatnak.
- Az OpenBSD projekt kiváló munkát végez
+ Az OpenBSD Projekt kiváló munkát végez
a PF felhasználói útmutatójának
karbantartásával, amely így most nem lesz
része a kézikönyvnek, hiszen ez csak az
erõforrások kétszerezése lenne.</para>
- <para>A PF &os;-n történõ
- használatáról a <ulink
- url="http://pf4freebsd.love2party.net/"></ulink> honlapon
- olvashatunk többet (angolul).</para>
+ <para>A <ulink url="http://pf4freebsd.love2party.net/"></ulink>
+ címen olvashatunk többet arról (angolul), hogy a
+ PF-et hogyan használjunk &os;-n.</para>
<sect2>
<title>A PF engedélyezése</title>
- <para>A PF a &os; 5.3 verziója utáni
- kiadásokban az alaprendszer része, amit a rendszer
- mûködése közben egy külön modul
- betöltésével aktiválhatunk. Ha az
- <filename>rc.conf</filename> állományban megadjuk
- a <literal>pf_enable="YES"</literal> sort, akkor a rendszer
+ <para>A PF a &os; 5.3 verziója utáni
+ kiadásokban az alaprendszer része, amelyet a
+ rendszer mûködése közben egy
+ külön modul betöltésével
+ aktiválhatunk. Ha az <filename>rc.conf</filename>
+ állományban megadjuk a
+ <literal>pf_enable="YES"</literal> sort, akkor a rendszer
magától be is tölti a PF-hez tartozó
rendszermag modult. Ez a betölthetõ modul
egyébként még a &man.pflog.4;
@@ -297,16 +297,16 @@
engedélyezi.</para>
<note>
- <para>A modul feltételezi a <literal>options
- INET</literal> és <literal>device bpf</literal> sorok
- jelenlétét. Hacsak nem adtuk meg &os;
- 6.0-RELEASE elõtti verzióban a
- <literal>NOINET6</literal>, ill. az utáni
+ <para>A modul feltételezi az <literal>options
+ INET</literal> és a <literal>device bpf</literal> sorok
+ jelenlétét. Hacsak nem adtuk meg
+ &os; 6.0-RELEASE elõtti verziókban a
+ <literal>NOINET6</literal>, illetve az utána
következõ verziókban a
<literal>NO_INET6</literal> beállítást
(például a &man.make.conf.5;
állományban) a rendszer
- fordítására vonatkozóan, akkor a
+ fordítására vonatkozóan, akkor az
<literal>options INET6</literal>
beállításra is szükség
lesz.</para>
@@ -320,8 +320,8 @@
vagy letiltani.</para>
<para>Ebben a példában a
- <application>pf</application> engedélyezését
- láthatjuk:</para>
+ <application>pf</application>
+ engedélyezését láthatjuk:</para>
<screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
@@ -380,15 +380,16 @@
<para>A <literal>device pflog</literal> megadásával
keletkezik egy &man.pflog.4; pszeudo hálózati
- eszköz, amivel egy &man.bpf.4; leíróra
- érkezõ forgalmat tudunk naplózni. A
- &man.pflogd.8; démon használható
- ezután tõle származó naplózott
- adatok rögzítésére.</para>
+ eszköz, amellyel egy &man.bpf.4; eszközre
+ érkezõ forgalmat tudunk naplózni.
+ Ezután a &man.pflogd.8; démon
+ használható tõle származó
+ naplózott adatok
+ rögzítésére.</para>
<para>A <literal>device pfsync</literal> engedélyezi a
&man.pfsync.4; pszeudo hálózati eszköz
- létrejöttét, ami az ún.
+ létrejöttét, amely az ún.
<quote>állapotváltások</quote>
megfigyelésére alkalmas. Mivel ez nem
része a betölthetõ modulnak, ezért egy
@@ -422,26 +423,27 @@
<para>Ha a tûzfalunk mögött egy helyi
hálózat is meghúzódik, akkor az ott
levõ gépek számára valamilyen
- módon tudni kell továbbítani a csomagokat
+ módon tudnunk kell továbbítani a csomagokat
vagy címfordítást kell végezni,
így ez a beállítás is
mindenképpen kelleni fog:</para>
- <programlisting>gateway_enable="YES" # az átjárói funkciók engedélyezése</programlisting>
+ <programlisting>gateway_enable="YES" # az átjáró funkciók engedélyezése</programlisting>
</sect2>
<sect2>
- <title>Az <acronym>ALTQ</acronym> engedélyezése</title>
+ <title>Az <acronym>ALTQ</acronym>
+ engedélyezése</title>
<para>Az <acronym>ALTQ</acronym> kizárólag csak
úgy érhetõ el, ha belefordítjuk a &os;
rendszermagjába. Az <acronym>ALTQ</acronym> nem minden
hálózati kártya részérõl
támogatott. Az &man.altq.4; man oldalán
- megtalálhatjuk a &os; aktuális
- kiadásában szereplõ támogató
- meghajtók listáját. A következõ
+ megtalálhatjuk azokat a meghajtókat, amelyek a
+ &os; aktuális kiadásában
+ támogatottak. A következõ
beállítások az <acronym>ALTQ</acronym>
további lehetõségeit igyekeznek
engedélyezni.</para>
@@ -464,7 +466,7 @@
kapcsolatunkhoz tartozó
sávszélességet
különbözõ osztályokra vagy sorokra
- tudjuk szedni, és a szûrési
+ tudjuk bontani és a szûrési
szabályoknak megfelelõen osztályozni
segítségükkel a forgalmat.</para>
@@ -526,7 +528,7 @@
telepítésében alapértelmezés
szerint az <filename>/etc/pf.conf</filename>
állomány látja el ennek szerepét,
- ami számos hasznos példát és
+ amely számos hasznos példát és
magyarázatot tartalmaz.</para>
<para>Noha a &os; saját <filename>/etc/pf.conf</filename>
@@ -536,7 +538,7 @@
használatossal. A <application>pf</application>
tûzfal beállításával az OpenBSD
csapat által írt nagyszerû írás
- foglalkozik, ami a <ulink
+ foglalkozik, amely a <ulink
url="http://www.openbsd.org/faq/pf/"></ulink> címrõl
érhetõ el (angolul).</para>
@@ -545,11 +547,11 @@
útmutatóját olvasgatva azonban soha nem
szabad elfelejtenünk, hogy &os; egyes változatai a
<application>pf</application> különbözõ
- verzióit tartalmazzák. A &os; 5.X
- ágában az OpenBSD 3.5
+ verzióit tartalmazzák. A &os; 5.X
+ változataiban az OpenBSD 3.5
<application>pf</application> tûzfalát, míg
- a &os; 6.X változataiban az OpenBSD 3.7 szerinti
- verzióját találjuk.</para>
+ a &os; 6.X változataiban az OpenBSD 3.7
+ szerinti verzióját találjuk.</para>
</warning>
<para>A &a.pf; kitûnõ hely a
@@ -579,7 +581,7 @@
<para>Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem
kötõdik egyik rendszerhez sem: ez egy olyan nyílt
- forráskódú alkalmazás, amit
+ forráskódú alkalmazás, amelyet
átírtak &os;, NetBSD, OpenBSD, &sunos;, HP/UX
és &solaris; operációs rendszerekre. Az
IPFILTER karbantartása és támogatása
@@ -588,24 +590,24 @@
<para>Az IPFILTER egy rendszermag oldalán
mûködõ tûzfalazási és egy
- címfordítási mechanizmusra alapszik, amit
+ címfordítási mechanizmusra alapszik, amelyet
felhasználói programokkal tudunk felügyelni
- és vezérelni. A tûzfal szabályai a
+ és vezérelni. A tûzfal szabályai az
&man.ipf.8; segédprogrammal
állíthatóak be vagy
törölhetõek. A hálózati
címfordításra vonatkozó
- szabályokat a &man.ipnat.1; segédprogrammal
- állíthatjuk be vagy törölhetjük. A
+ szabályokat az &man.ipnat.1; segédprogrammal
+ állíthatjuk be vagy törölhetjük. Az
&man.ipfstat.8; segédprogram képes futás
közben statisztikákat készíteni az
IPFILTER rendszermagban elhelyezkedõ részeinek
- viselkedésérõl. A &man.ipmon.8; program pedig
+ viselkedésérõl. Az &man.ipmon.8; program pedig
az IPFILTER cselekvéseit képes a
rendszernaplókba feljegyezni.</para>
<para>Az IPF eredetileg olyan szabályfeldolgozási
- módszer szerint készült, amiben <quote>az
+ módszer szerint készült, amelyben <quote>az
utolsó egyezõ szabály nyer</quote> és
csak állapotnélküli szabályokat ismert.
Az idõ múlásával az IPF
@@ -627,23 +629,23 @@
lehetõvé.</para>
<para>A szakaszban szereplõ utasításokban olyan
- szabályok szerepelnek, amik kihasználják a
+ szabályok szerepelnek, amelyek kihasználják a
<quote>quick</quote> és <quote>keep state</quote>
opciókat. Ezek az inkluzív
tûzfalszabályok létrehozásának
alapjai.</para>
<para>Az inkluzív tûzfalak csak olyan csomagokat
- engednek keresztül, amik megfelelnek a szabályoknak.
- Ezen módon képesek vagyunk megmondani, hogy a
- tûzfal mögül milyen szolgáltatások
- érhetõek el az interneten és
- segítségével azt is megadhatjuk, hogy az
- internetrõl a belsõ hálózatunkon milyen
- szolgáltatásokat érhetnek el. A tûzfal
- alapból minden mást visszautasít és
- naplóz. Az inkluzív tûzfalak sokkal de sokkal
- megbízhatóbbak az exkluzív
+ engednek keresztül, amelyek megfelelnek a
+ szabályoknak. Ezen módon képesek vagyunk
+ megmondani, hogy a tûzfal mögül milyen
+ szolgáltatások érhetõek el az interneten
+ és segítségével azt is megadhatjuk,
+ hogy az internetrõl a belsõ hálózatunkon
+ milyen szolgáltatásokat érhetnek el. A
+ tûzfal alapból minden mást visszautasít
+ és naplóz. Az inkluzív tûzfalak sokkal,
+ de sokkal megbízhatóbbak az exkluzív
tûzfalaknál, ezért itt most csak ilyenekkel
foglalkozunk.</para>
@@ -658,7 +660,7 @@
url="http://www.phildev.net/ipf/index.html"></ulink> címen
érhetõek el (angolul).</para>
- <para>A nyílt forrású IPFilter
+ <para>A nyílt forrású IPFILTER
levelezési lista kereshetõ archívumait a <ulink
url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>
címen találjuk (angolul).</para>
@@ -741,13 +743,13 @@
<para>Az <literal>options IPFILTER_LOG</literal>
hatására az IPF az <devicename>ipl</devicename>
- csomagnaplózó pszeudoeszközre jegyzi fel a
+ csomagnaplózó pszeudo eszközre jegyzi fel a
forgalmat — minden olyan szabály esetén,
ahol megjelenik a <literal>log</literal> kulcsszó.</para>
<para>Az <literal>options IPFILTER_DEFAULT_BLOCK</literal>
megváltoztatja az alapértelmezett
- viselkedést, tehát minden olyan csomag, ami nem
+ viselkedést, tehát minden olyan csomag, amely nem
illeszkedik a tûzfal valamelyik <literal>pass</literal>
típusú (átengedõ)
szabályára, blokkolásra kerül.</para>
@@ -775,19 +777,20 @@
ipmon_flags="-Ds" # D = indítás démonként
# s = naplózás a syslog használatával
# v = a tcp ablak, ack, seq csomagok naplózása
- # n = az IP címek és portok feloldása</programlisting>
+ # n = az IP-címek és portok feloldása</programlisting>
- <para>Ha olyan helyi hálózatunk bújik meg a
- tûzfal mögött, ami egy fenntartott privát
- IP-címtartományt használ, akkor még
- a következõ utasításokra is
- szükségünk lesz a
+ <para>Ha olyan helyi hálózat áll meg a
+ tûzfal mögött, amely egy fenntartott
+ privát IP-címtartományt használ,
+ akkor még a következõ
+ utasításokra is szükségünk lesz a
címfordítás
bekapcsolásához:</para>
<programlisting>gateway_enable="YES" # a helyi hálózat átjárója
ipnat_enable="YES" # az ipnat funkció elindítása
ipnat_rules="/etc/ipnat.rules" # az ipnat mûködéséhez szükséges definíciók</programlisting>
+
</sect2>
<sect2>
@@ -805,10 +808,10 @@
<screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen>
- <para>A <option>-Fa</option> az összes belsõ
+ <para>Az <option>-Fa</option> az összes belsõ
szabály törlését jelenti.</para>
- <para>A <option>-f</option> jelzi, hogy egy
+ <para>Az <option>-f</option> jelzi, hogy egy
állományból kell beolvasni a
betöltendõ szabályokat.</para>
@@ -830,16 +833,16 @@
beállításokat.</para>
<para>Az &man.ipf.8; parancs a szabályokat
- tároló állományt egy szabványos
- szöveges állománynak tekinti, semmilyen
- szimbolikus helyettesítést alkalmazó
- szkriptet nem fogad el.</para>
+ tároló állományt egy
+ szabványos szöveges állománynak
+ tekinti, semmilyen szimbolikus helyettesítést
+ alkalmazó szkriptet nem fogad el.</para>
- <para>Azonban lehetõségünk van olyan IPF
+ <para>Lehetõségünk van azonban olyan IPF
szabályokat készíteni, amelyek
kiaknázzák a szkriptek szimbolikus
helyettesítésének lehetõségeit.
- Errõl bõvebben ld. <xref
+ Errõl bõvebben lásd <xref
linkend="firewalls-ipf-rules-script">.</para>
</sect2>
@@ -855,15 +858,15 @@
</indexterm>
<para>Az &man.ipfstat.8; alapértelmezés szerint a
- tûzfal legutóbbi indítása vagy a
- statisztika számlálóinak a <command>ipf
- -Z</command> paranccsal történt
- lenullázása óta beérkezett és
- kiment forgalomból a felhasználók
- által megadott szabályoknak megfelelõ
- csomagok alapján összegyûjtött
- statisztikák lekérdezésére és
- megjelenítésére használatos.</para>
+ arra használatos, hogy le tudjuk kérdezni
+ és megjeleníteni a tûzfalhoz tartozó
+ számlálók értékeit, amelyek a
+ legutóbbi indítás vagy az <command>ipf
+ -Z</command> parancs által kiadott
+ lenullázásuk óta a bejövõ vagy
+ kimenõ forgalomból a megadott szabályoknak
+ megfelelõ csomagok alapján gyûjtenek össze
+ statisztikákat.</para>
<para>A parancs mûködésének
részleteit az &man.ipfstat.8; man oldalon
@@ -932,8 +935,8 @@
<para>Az <command>ipfstat</command> parancs talán egyik
legfontosabb funkciója a <option>-t</option>
- kapcsolóval csalható elõ, aminek
- utasítására a rendszerben aktív
+ kapcsolóval csalható elõ, melynek
+ hatására a rendszerben aktív
állapotok táblázatát mutatja meg
ugyanúgy, ahogy a &man.top.1; a &os; rendszerben
futó programokat. Amikor a tûzfalunk
@@ -945,7 +948,7 @@
kiegészítésképpen megadható
alkapcsolók megadásával
kiválaszthatjuk azt a cél vagy forrás
- IP-címet, portot vagy protokollt, amit valós
+ IP-címet, portot vagy protokollt, amelyet valós
idõben meg akarunk figyelni. Ennek részleteit az
&man.ipfstat.8; man oldalán láthatjuk.</para>
@@ -972,18 +975,17 @@
kapjuk meg.</para>
<para>A démon mód abban az esetben hasznos, ha
- folyamatosan naplózni akarjuk a rendszerben
- történõ eseményeket, majd ezeket
- késõbb átnézni. Így
- képes egymással együttmûködni a
- &os; és az IPFILTER. A &os; beépítve
- tartalmaz olyan lehetõséget, aminek
- révén magától cseréli a
- rendszernaplókat. Ezért ha
- átküldjük a syslogd démonnak a
- naplózandó üzeneteket, akkor sokkal jobban
- járunk, mintha egyszerûen csak mezei
- állományba naplóznánk. Az
+ folyamatosan naplózni akarjuk a rendszerben zajló
+ eseményeket, majd késõbb ezeket
+ átnézni. Így képes egymással
+ együttmûködni a &os; és az IPFILTER. A
+ &os; beépítve tartalmaz olyan
+ lehetõséget, aminek révén
+ magától cseréli a rendszernaplókat.
+ Ezért ha átküldjük a syslogd
+ démonnak a naplózandó üzeneteket,
+ akkor sokkal jobban járunk, mintha egyszerûen csak
+ mezei állományba naplóznánk. Az
<filename>rc.conf</filename> alapértelmezései
között az <literal>ipmon_flags</literal>
beállítás a <option>-Ds</option>
@@ -1017,9 +1019,10 @@
<para>Egyáltalán nem ritka, hogy a
szabályrendszer végén egy
alapértelmezés szerint mindent eldobó
- szabály áll, ami naplóz. Ezzel
- lehetõségünk nyílik azokat a csomagokat,
- amelyek egyetlen szabályra sem illeszkedtek.</para>
+ szabály áll, amely naplóz. Ezzel
+ lehetõségünk nyílik
+ rögzíteni azokat a csomagokat, amelyek egyetlen
+ szabályra sem illeszkedtek.</para>
</sect2>
@@ -1071,8 +1074,8 @@
<programlisting>security.* /var/log/ipfilter.log</programlisting>
<para>A <literal>security.*</literal> megadásával az
- összes ilyen típusú üzenet egy elõre
- rögzített helyre kerül.</para>
+ összes ilyen típusú üzenet egy
+ elõre rögzített helyre kerül.</para>
<para>Az <filename>/etc/syslog.conf</filename>
állományban elvégzett
@@ -1097,34 +1100,35 @@
<title>A naplózott üzenetek formátuma</title>
<para>Az <command>ipmon</command> által létrehozott
- üzenetek láthatatlan karakterekkel elválasztott
+ üzenetek whitespace karakterekkel elválasztott
adatmezõkbõl állnak. A következõ
mezõk az összes üzenet esetében
megjelennek:</para>
<orderedlist>
<listitem>
- <para>a csomag megérkezésének
+ <para>A csomag megérkezésének
dátuma</para>
</listitem>
<listitem>
- <para>a csomag megérkezésének
- idõpontja. ÓÓ:PP:MM.E alakban jelennek meg
- az órák, percek, másodpercek és
- ezredmásodpercek (ami több számjegy
- hosszú is lehet) szerint</para>
+ <para>A csomag megérkezésének
+ idõpontja. ÓÓ:PP:MM.E alakban jelennek
+ meg az órák, percek, másodpercek
+ és ezredmásodpercek (ez több
+ számjegy hosszú is lehet) szerint</para>
</listitem>
<listitem>
- <para>annak a felületnek a neve, ahol a csomag
- feldolgozásra került, pl.
+ <para>Annak a felületnek a neve, ahol a csomag
+ feldolgozásra került, például
<devicename>dc0</devicename></para>
</listitem>
<listitem>
- <para>a szabályhoz tartozó csoport és
- sorszám, pl. <literal>@0:17</literal></para>
+ <para>A szabályhoz tartozó csoport és
+ sorszám, például
+ <literal>@0:17</literal></para>
</listitem>
</orderedlist>
@@ -1133,7 +1137,7 @@
<orderedlist>
<listitem>
- <para>cselekvés: a p mint átment (passed), b
+ <para>Cselekvés: a p mint átment (passed), b
mint blokkolt (blocked), S mint rövid csomag (short
packet), n mint egyik szabályra sem illeszkedett (not
match), L mint naplózás (log). A
@@ -1143,26 +1147,29 @@
csomagot egy felsõbb szintû
beállítás miatt
naplózták, nem egy szabály
- hatására</para>
+ hatására.</para>
</listitem>
<listitem>
- <para>címek: ez tulajdonképpen három mezõt takar: a forrás
- címet és portot (melyet egy vesszõ választ el), a
- -> jelet és cél címet és portot. Például:
- 209.53.17.22,80 -> 198.73.220.17,1722</para>
+ <para>Címek: ez tulajdonképpen három
+ mezõt takar: a forrás címet és
+ portot (melyet egy vesszõ választ el), a ->
+ jelet és cél címet és portot.
+ Például: <literal>209.53.17.22,80 ->
+ 198.73.220.17,1722</literal>.</para>
</listitem>
<listitem>
- <para>a <literal>PR</literal> után a protokoll neve
- vagy száma olvasható, pl. PR tcp</para>
+ <para>A <literal>PR</literal> után a protokoll neve
+ vagy száma olvasható, például
+ <literal>PR tcp</literal>.</para>
</listitem>
<listitem>
- <para>a <literal>len</literal> csomaghoz tartozó
+ <para>A <literal>len</literal> csomaghoz tartozó
fejléc és törzsének teljes
- hosszát jelöli, pl. <literal>len 20
- 40</literal></para>
+ hosszát jelöli, például
+ <literal>len 20 40</literal>.</para>
</listitem>
</orderedlist>
@@ -1175,8 +1182,8 @@
oldalán olvashatjuk.</para>
<para>Amennyiben a csomag ICMP, a sort két mezõ
- zárja, melyek közül az elsõ tartalma mindig
- <quote>ICMP</quote>, és ezt egy perjellel
+ zárja, melyek közül az elsõ tartalma
+ mindig <quote>ICMP</quote>, és ezt egy perjellel
elválasztva az ICMP üzenet típusa és
altípusa követi. Tehát például
az ICMP 3/3 a <quote>nem elérhetõ port</quote>
@@ -1189,33 +1196,35 @@
helyettesítéssel</title>
<para>Az IPF használatában gyakorlott
- felhasználók közül néhányan
- képesek olyan stílusú
- szabályrendszert készíteni, ahol
- szimbolikus helyettesítést használnak.
- Ennek az egyik legnagyobb elõnye az, hogy ilyenkor
- elég csak a szimbolikus névhez tartozó
- értéket megváltoztatni és amikor a
- szkript lefut, akkor az összes rá hivatkozó
- szabályba ez kerül be. Szkript lévén
- a szimbolikus helyettesítéssel ki tudjuk emelni a
- gyakran használt értékeket és
+ felhasználók közül
+ néhányan képesek olyan
+ stílusú szabályrendszert
+ készíteni, ahol szimbolikus
+ helyettesítést használnak. Ennek az egyik
+ legnagyobb elõnye az, hogy ilyenkor elég csak a
+ szimbolikus névhez tartozó értéket
+ megváltoztatni és amikor a szkript lefut, akkor az
+ összes rá hivatkozó szabályba ez
+ kerül be. Szkript lévén a szimbolikus
+ helyettesítéssel ki tudjuk emelni a gyakran
+ használt értékeket és
behelyettesíteni ezeket több helyre. Ezt a most
következõ példában
láthatjuk.</para>
<para>Az itt alkalmazott felírás kompatibilis az sh,
- csh és tcsh shellekkel.</para>
+ csh és tcsh parancsértelmezõkkel.</para>
<para>A szimbolikus helyettesítést egy
dollárjellel fejezzük ki:
<literal>$</literal>.</para>
<para>A szimbolikus mezõkben nem szerepel a $
- jelölés.</para>
+ jelölés.</para>
<para>A szimbolikus mezõ tartalmát kettõs
- idézõjelbe (<literal>"</literal>) tesszük.</para>
+ idézõjelbe (<literal>"</literal>)
+ tesszük.</para>
<para>Kezdjük így el a szabályok
írását:</para>
@@ -1251,12 +1260,15 @@
EOF
################## Itt az IPF szkript vége ########################</programlisting>
- <para>Ennyi lenne. A példában szereplõ szabályok most nem
- annyira lényegesek, a hangsúly most igazából a szimbolikus
- helyettesítésen és annak használatán van. Ha a fenti példát az
- <filename>/etc/ipf.rules.script</filename> állományba mentjük,
- akkor ezeket a szabályokat a következõ paranccsal újra tudjuk
- tölteni:</para>
+ <para>Ennyi lenne. A példában szereplõ
+ szabályok most nem annyira lényegesek, a
+ hangsúly most igazából a szimbolikus
+ helyettesítésen és annak
+ használatán van. Ha a fenti példát
+ az <filename>/etc/ipf.rules.script</filename>
+ állományba mentjük, akkor ezeket a
+ szabályokat a következõ paranccsal újra
+ tudjuk tölteni:</para>
<screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen>
@@ -1271,7 +1283,7 @@
<itemizedlist>
<listitem>
- <para>vegyük ki megjegyzésbõl a
+ <para>Vegyük ki megjegyzésbõl a
<literal>cat</literal> paranccsal kezdõdõ sort,
és tegyük megjegyzésbe az
<literal>/sbin/ipf</literal> kezdetût. A megszokottak
@@ -1282,24 +1294,24 @@
után futtassuk le a szkriptet az
<filename>/etc/ipf.rules</filename> állomány
létrehozásához vagy
- frissítéséhez</para>
+ frissítéséhez.</para>
</listitem>
<listitem>
- <para>tiltsuk le az IPFILTER aktiválását
- a rendszerindításkor, tehát írjuk
- bele az <literal>ipfilter_enable="NO"</literal> sort (ami
- mellesleg az alapértelmezett értéke) az
- <filename>/etc/rc.conf</filename>
- állományba</para>
+ <para>Tiltsuk le az IPFILTER aktiválását
+ a rendszerindításkor, tehát
+ írjuk bele az <literal>ipfilter_enable="NO"</literal>
+ sort (ami mellesleg az alapértelmezett
+ értéke) az <filename>/etc/rc.conf</filename>
+ állományba.</para>
- <para>tegyünk egy, az alábbi szkripthez
+ <para>Tegyünk egy, az alábbi szkripthez
hasonlót az <filename>/usr/local/etc/rc.d/</filename>
könyvtárba. A szkriptnek adjuk valamilyen
értelmes nevet, például
<filename>ipf.loadrules.sh</filename>. Az
<filename>.sh</filename> kiterjesztés
- használata kötelezõ</para>
+ használata kötelezõ.</para>
<programlisting>#!/bin/sh
sh /etc/ipf.rules.script</programlisting>
@@ -1327,14 +1339,15 @@
át kell engedni vagy vissza kell tartani. A gépek
közt két irányban áramló
csomagok egy munkamenet alapú társalgást
- formáznak meg. A tûzfal szabályrendszere
- minden csomagot kétszer dolgoz fel: egyszer, amikor befut
- az internetrõl, illetve még egyszer, amikor
- visszavándorol az internet irányába.
- Mindegyik TCP/IP szolgáltatást (pl. telnet, www,
+ képeznek. A tûzfal szabályrendszere minden
+ csomagot kétszer dolgoz fel: egyszer, amikor befut az
+ internetrõl, illetve még egyszer, amikor
+ visszatér az internetre. Mindegyik TCP/IP
+ szolgáltatást (például telnet, www,
levelezés stb.) elõre meghatározza a
- protokollja, cél és forrás IP-címe
- vagy portja. Ez az alapja a szolgáltatások
+ hozzátartozó protokoll, cél és
+ forrás IP-cím vagy port. Ez az alapja a
+ szolgáltatások
engedélyezésérõl vagy
tiltásáról szóló
szabályok megfogalmazásának.</para>
@@ -1352,7 +1365,7 @@
szabályokat ismert. Az idõk folyamán az IPF
szabályai kiegészültek a <quote>quick</quote>
és az állapottartásra vonatkozó
- <quote>keep state</quote> opciókkal, aminek
+ <quote>keep state</quote> opciókkal, amelynek
köszönhetõen óriási
mértékben korszerûsödött a
szabályok feldolgozása.</para>
@@ -1375,7 +1388,7 @@
internetrõl a magánhálózatunkon. A
tûzfal minden mást elutasít és
alapértelmezés szerint naplóz. Az
- inkluzív tûzfalak sokkal de sokkal
+ inkluzív tûzfalak sokkal, de sokkal
biztonságosabbak az exkluzív
tûzfalaknál, ezért itt most csak ezzel az
egyetlen típussal foglalkozunk.</para>
@@ -1392,7 +1405,8 @@
érdekében javasoljuk, hogy a tûzfal
alapjait elõször helyi konzolról
építsük fel, ne pedig
- távolról, pl. <application>ssh</application>
+ távolról, például
+ <application>ssh</application>
segítségével.</para>
</warning>
@@ -1408,22 +1422,22 @@
</indexterm>
<para>A szabályok felépítésének
- bemutatását itt most leszûkítjük a
- modern állapottartó szabályokra és
+ bemutatását itt most leszûkítjük
+ a modern állapottartó szabályokra és
az <quote>elsõ illeszkedõ szabály nyer</quote>
típusú feldolgozásra. A szabályok
felírásának régebbi módjai az
&man.ipf.8; man oldalon találhatóak.</para>
<para>A <literal>#</literal> karakterrel egy megjegyzés
- kezdetét jelezzük, és általában a
- sor végén vagy egy külön sorban bukkan
+ kezdetét jelezzük, és általában
+ a sor végén vagy egy külön sorban bukkan
fel. Az üres sorokat a rendszer nem veszi
figyelembe.</para>
<para>A szabályok kulcsszavakat tartalmaznak. Ezeknek a
- kulcsszavaknak balról jobbra haladva adott sorrendben kell
- szerepelniük. A kulcsszavakat kiemeltük. Egyes
+ kulcsszavaknak balról jobbra haladva adott sorrendben
+ kell szerepelniük. A kulcsszavakat kiemeltük. Egyes
kulcsszavakhoz további beállítások
is tartozhatnak, amelyek maguk is kulcsszavak lehetnek,
és még további opciókkal
@@ -1443,11 +1457,13 @@
<para><replaceable>BE-KI</replaceable> = in | out</para>
<para><replaceable>OPCIÓK</replaceable> = log | quick | on
- felületnév</para>
+ <replaceable>felületnév</replaceable></para>
<para><replaceable>SZÛRÉS</replaceable> = proto
- érték | forrás/cél IP | port =
- szám | flags beállítás</para>
+ <replaceable>érték</replaceable> |
+ <replaceable>forrás/cél IP</replaceable> | port =
+ <replaceable>szám</replaceable> | flags
+ <replaceable>beállítás</replaceable></para>
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list