PERFORCE change 167932 for review
Rene Ladan
rene at FreeBSD.org
Fri Aug 28 20:43:32 UTC 2009
http://perforce.freebsd.org/chv.cgi?CH=167932
Change 167932 by rene at rene_self on 2009/08/28 20:43:06
MFen handbook/firewall up to the new line 640
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#8 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#8 (text+ko) ====
@@ -2,7 +2,6 @@
The FreeBSD Dutch Documentation Project
$FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $
- $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.33 2006/01/05 21:13:21 siebrand Exp $
%SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml
%SRCID% 1.89
@@ -153,9 +152,11 @@
door ze heen gaat aanzienlijk verminderen.</para>
<note>
- <para>Tenzij anders aangegeven, creëeren alle configuratie-
- en voorbeelden van regelverzamelingen inclusieve firewalls.</para>
+ <para>Tenzij anders aangegeven, creëeren alle configuraties
+ en voorbeelden van regelverzamelingen in dit hoofdstuk inclusieve
+ firewalls.</para>
</note>
+
<para>De beveiliging kan nog verder vergroot worden met een
<quote>stateful firewall</quote>. Dit type firewall houdt
bij welke connecties er door de firewall tot stand zijn gekomen
@@ -180,15 +181,14 @@
beheersen van bandbreedtegebruik): &man.altq.4; en
&man.dummynet.4;. Dummynet is traditioneel sterk verbonden met
<acronym>IPFW</acronym> en <acronym>ALTQ</acronym> met
- <acronym>PF</acronym>. Het vormgeven van verkeer voor
- <acronym>IPFILTER</acronym> kan momenteel gedaan worden met
- <acronym>IPFILTER</acronym> voor NAT en filtering en
+ <acronym>PF</acronym>. Het vormgeven van verkeer voor IPFILTER kan
+ momenteel gedaan worden met IPFILTER voor NAT en filtering en
<acronym>IPFW</acronym> met &man.dummynet.4;
<emphasis>of</emphasis> door <acronym>PF</acronym> met
<acronym>ALTQ</acronym> te gebruiken. IPFW en PF
gebruiken allemaal regels om de toegang van pakketten tot een
- systeem te regelen, hoewel ze dat op andere manieren doen en de
- syntaxis voor regels anders is.</para>
+ systeem te regelen, hoewel ze dat op andere manieren doen en ze
+ een andere regelsyntaxis hebben.</para>
<para>De reden dat er meerdere firewallpakketten in &os; zitten is
dat verschillende mensen verschillende eisen en voorkeuren
@@ -202,7 +202,7 @@
<para>Omdat alle firewalls gebaseerd zijn op het inspecteren van
aangegeven controlevelden in pakketten, moet iemand die sets van
- firewallregels opstelt begrijpen hoe <acronym>TCP</acronym>/IP
+ firewallregels opstelt begrijpen hoe <acronym>TCP/IP</acronym>
werkt, welke waarde de controlevelden kunnen hebben en hoe die
waarden gebruikt worden in normaal verkeer. Op de volgende
webpagina wordt een prima uitleg gegeven: <ulink
@@ -221,8 +221,7 @@
</authorgroup>
</sect1info>
- <title>De OpenBSD Packet Filter (PF) en
- <acronym>ALTQ</acronym></title>
+ <title>De OpenBSD Packet Filter (PF) en <acronym>ALTQ</acronym></title>
<indexterm>
<primary>firewall</primary>
@@ -261,7 +260,7 @@
systeem zal de PF kernelmodule dynamisch laden wanneer het
statement <literal>pf_enable="YES"</literal> voor
&man.rc.conf.5; aanwezig is. De <acronym>PF</acronym> module
- zal echter niet laden als het systeem geen instellingenbestand
+ zal echter niet geladen worden als het systeem geen instellingenbestand
met een <acronym>PF</acronym> ruleset kan vinden. De
standaardplaats is <filename>/etc/pf.conf</filename>. Indien uw
<acronym>PF</acronym> ruleset ergens anders staat, voeg dan
@@ -320,8 +319,8 @@
<acronym>PF</acronym> wordt gebruikt prijsgeeft. Het kan worden
gecombineerd met &man.carp.4; om failover firewalls aan te maken
die gebruik maken van <acronym>PF</acronym>. Meer informatie
- over <acronym>CARP</acronym> kan gevonden worden in <link
- linkend="carp">hoofdstuk 29</link> van het handboek.</para>
+ over <acronym>CARP</acronym> kan gevonden worden in <xref
+ linkend="carp"> van het Handboek.</para>
<para>De kernelopties voor <acronym>PF</acronym> kunnen gevonden
worden in <filename>/usr/src/sys/conf/NOTES</filename> en zijn
@@ -488,34 +487,34 @@
<para><literal>options ALTQ</literal> schakelt het
<acronym>ALTQ</acronym> raamwerk in.</para>
- <para><literal>options ALTQ_CBQ</literal> schakelt Class Based
- Queuing (<acronym>CBQ</acronym>) in. Met
+ <para><literal>options ALTQ_CBQ</literal> schakelt <emphasis>Class Based
+ Queuing</emphasis> (<acronym>CBQ</acronym>) in. Met
<acronym>CBQ</acronym> kan de bandbreedte van een verbinding
worden opgedeeld in verschillende klassen of wachtrijen om
verkeer te prioriteren op basis van filterregels.</para>
- <para><literal>options ALTQ_RED</literal> schakelt Random Early
- Detection (<acronym>RED</acronym>) in. <acronym>RED</acronym>
- wordt gebruikt om netwerkverstopping te voorkomen.
- <acronym>RED</acronym> doet dit door de lengte van de wachtrij
- te meten en die te vergelijken met de minimale en maximale
+ <para><literal>options ALTQ_RED</literal> schakelt <emphasis>Random Early
+ Detection</emphasis> (<acronym>RED</acronym>) in.
+ <acronym>RED</acronym> wordt gebruikt om netwerkverstopping te
+ voorkomen. <acronym>RED</acronym> doet dit door de lengte van de
+ wachtrij te meten en die te vergelijken met de minimale en maximale
drempelwaarden voor de wachtrij. Als de wachtrij groter is
dan de maximale waarde worden alle nieuwe pakketten genegeerd.
Het werkt naar zijn naam, dus <acronym>RED</acronym> negeert
willekeurig pakketten van verschillende verbindingen.</para>
- <para><literal>options ALTQ_RIO</literal> schakelt Random Early
- Detection In and Out in.</para>
+ <para><literal>options ALTQ_RIO</literal> schakelt <emphasis>Random Early
+ Detection In and Out</emphasis> in.</para>
<para><literal>options ALTQ_HFSC</literal> schakelt de
- Hierarchical Fair Service Curve Packet Scheduler in. Meer
- informatie over <acronym>HFSC</acronym> staat op <ulink
+ <emphasis>Hierarchical Fair Service Curve Packet Scheduler</emphasis>
+ in. Meer informatie over <acronym>HFSC</acronym> staat op <ulink
url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para>
- <para><literal>options ALTQ_PRIQ</literal> schakelt Priority
- Queuing (<acronym>PRIQ</acronym>) in. <acronym>PRIQ</acronym>
- laat verkeerd dat in een hogere wachtrij staat altijd eerder
- door.</para>
+ <para><literal>options ALTQ_PRIQ</literal> schakelt <emphasis>Priority
+ Queuing</emphasis> (<acronym>PRIQ</acronym>) in.
+ <acronym>PRIQ</acronym> laat verkeer dat in een hogere wachtrij staat
+ altijd eerder door.</para>
<para><literal>options ALTQ_NOPCC</literal> schakelt
<acronym>SMP</acronym> ondersteuning voor
@@ -533,11 +532,6 @@
<secondary>IPFILTER</secondary>
</indexterm>
- <note>
- <para>Aan dit onderdeel wordt nog gewerkt. De inhoud is wellicht
- niet altijd volledig en juist.</para>
- </note>
-
<para>Darren Reed is de auteur van IPFILTER, dat niet afhankelijk
is van één besturingssysteem. Het is een open
source applicatie die is geporteerd naar &os;, NetBSD, OpenBSD,
@@ -563,10 +557,10 @@
<literal>quick</literal> en <literal>keep state</literal>
toegevoegd waarmee de logica van het verwerken van regels
drastisch is gemoderniseerd. In de officiële documentatie
- van IPF worden de verouderde regels en verwerkingslogica
+ van IPF worden alleen de regels en verwerkingslogica
behandeld. De moderne functies worden alleen behandeld als
- opties, waardoor hun nut dat er een veiliger firewall mee te
- maken volledig onderbelicht blijft.</para>
+ opties, waardoor hun nut dat er een veel betere en veiligere firewall mee
+ te maken volledig onderbelicht blijft.</para>
<para>De instructies in dit hoofdstuk zijn gebaseerd op regels die
gebruik maken van de optie <literal>quick</literal> en de
@@ -574,16 +568,6 @@
raamwerk waarmee een set van inclusieve firewallregels wordt
samengesteld.</para>
- <para>Een inclusieve firewall staat alleen pakketten toe die
- voldoen aan de regels. Op die manier kan er in de hand
- gehouden worden welke diensten van binnen de firewall naar
- buiten mogen en welke diensten op het private netwerk vanaf
- het Internet bereikbaar zijn. Al het andere verkeer wordt
- vanuit het ontwerp standaard geblokkeerd en gelogd.
- Inclusieve firewalls zijn veel veiliger dan exclusieve
- firewalls. Het is ook de enige wijze voor de opzet van een
- firewall die in dit hoofdstuk wordt behandeld.</para>
-
<para>Voor een gedetailleerde uitleg over de verwerking van de
verouderde regels zie
<ulink
@@ -616,8 +600,8 @@
pass all</literal> ingeschakeld. IPF hoeft niet in de
kernel gecompileerd te worden om het standaardgedrag te
wijzigen naar <literal>block all</literal>. Dat is mogelijk
- door als laatste regel een regel toe te voegen die al het
- verkeer blokkeert.</para>
+ door op het einde van de ruleset een regel <literal>block all</literal>
+ toe te voegen die al het verkeer blokkeert.</para>
</sect2>
<sect2>
@@ -683,14 +667,15 @@
<sect2>
<title>Beschikbare opties voor rc.conf</title>
- <para>De volgende instellingen moeten in <filename>/etc/rc.conf
- </filename> staan om IPF bij het booten te activeren:</para>
+ <para>De volgende instellingen moeten in <filename>/etc/rc.conf</filename>
+ staan om IPF bij het opstarten te activeren:</para>
<programlisting>ipfilter_enable="YES" # Start ipf firewall
ipfilter_rules="/etc/ipf.rules" # laad regels uit het doelbestand
ipmon_enable="YES" # Start IP monitor log
ipmon_flags="-Ds" # D = start als daemon
# s = log naar syslog
+<!--(rene) hier -649,9 +640,9 -->
# v = log tcp window, ack, seq
# n = vertaal IP & poort naar namen</programlisting>
More information about the p4-projects
mailing list