PERFORCE change 167952 for review
Rene Ladan
rene at FreeBSD.org
Sat Aug 29 15:12:19 UTC 2009
http://perforce.freebsd.org/chv.cgi?CH=167952
Change 167952 by rene at rene_self on 2009/08/29 15:11:17
MFen handbook/firewalls up to the new line 1334
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#9 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#9 (text+ko) ====
@@ -675,14 +675,13 @@
ipmon_enable="YES" # Start IP monitor log
ipmon_flags="-Ds" # D = start als daemon
# s = log naar syslog
-<!--(rene) hier -649,9 +640,9 -->
# v = log tcp window, ack, seq
# n = vertaal IP & poort naar namen</programlisting>
<para>Als er een LAN achter de firewall staat dat gebruik maakt
- van <acronym>IP</acronym> adressen uit de privaat reeks, dan
+ van <acronym>IP</acronym>-adressen uit de private reeks, dan
moet de volgende optie ook ingesteld worden om
- <acronym>NAT</acronym> functionaliteit in te schakelen:</para>
+ <acronym>NAT</acronym>-functionaliteit in te schakelen:</para>
<programlisting>gateway_enable="YES" # Schakel in als LAN gateway
ipnat_enable="YES" # Start ipnat functie
@@ -694,7 +693,7 @@
<indexterm><primary><command>ipf</command></primary></indexterm>
- <para>&man.ipf.8; wordt gebruikt om het bestand met
+ <para>Het commando &man.ipf.8; wordt gebruikt om het bestand met
firewallregels te laden. Gewoonlijk wordt er een bestand
aangemaakt waarin de situatieafhankelijke regels staan
waarmee in één keer de bestaande regels kunnen
@@ -767,9 +766,9 @@
Packet log flags set: (0)</screen>
<para>Als er als optie <option>-i</option> voor inkomend of
- <option>-o</option> voor uitgaand wordt meegegeven, dan wordt
- de juiste lijst met regels die de kernel op dat moment gebruikt
- weergegeven.</para>
+ <option>-o</option> voor uitgaand wordt meegegeven, dan zal het
+ commando de juiste lijst met regels die de kernel op dat moment gebruikt
+ wordt weergeven.</para>
<para><command>ipfstat –in</command> toont de tabel met
regels voor inkomend verkeer met regelnummers</para>
@@ -801,7 +800,7 @@
<command>ipfstat</command> is de vlag <option>-t</option>
waarmee de staat-tabel wordt getoond op een wijze die
vergelijkbaar is met de wijze waarop &man.top.1; de draaiende
- &os; procestabel toont. Als een firewall wordt aangevallen dan
+ &os; procestabel toont. Als een firewall wordt aangevallen, dan
geeft deze functie de mogelijkheid om de pakketten van de
aanvaller te identificeren en nader te onderzoeken. De
optionele subvlaggen bieden de mogelijkheid om een bron of
@@ -834,9 +833,10 @@
IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde
mogelijkheden om automatisch syslogs te roteren. Daarom is
het beter om de uitvoer naar &man.syslogd.8; te schrijven
- dan naar een gewoon bestand. In <filename>rc.conf</filename>
- is te zien dat de instelling <literal>ipmon_flags</literal>
- de waarde <option>-Ds</option> heeft:</para>
+ dan naar een gewoon bestand. In de standaardversie van het bestand
+ <filename>rc.conf</filename> is te zien dat de instelling
+ <literal>ipmon_flags</literal> de waarde <option>-Ds</option>
+ heeft:</para>
<programlisting>ipmon_flags="-Ds" # D = start als daemon
# s = log naar syslog
@@ -848,11 +848,11 @@
pakketten heeft de firewall laten vallen, waar kwamen ze
vandaan en waar gingen ze heen? Dit zijn allemaal voordelen
als het gaat om uitvinden waar een aanvaller vandaan komt en
- wat hij heeft geprobeerd.</para>
+ wat deze heeft geprobeerd.</para>
- <para>Zelfs als loggen is ingeschakeld logt IPF nog niets uit
- zichzelf. De beheerder van de firewall beslist welke actieve
- regels iets weg moeten schrijven door het sleutelwoord
+ <para>Zelfs als loggen is ingeschakeld, logt IPF nog niets uit
+ zichzelf. De beheerder van de firewall beslist welke regels in de
+ regelverzameling iets weg moeten schrijven door het sleutelwoord
<literal>log</literal> aan die regels toe te voegen.
Gewoonlijk worden alleen <literal>deny</literal> regels
gelogd.</para>
@@ -886,16 +886,17 @@
<para>Om IPFILTER alle gelogde gegevens naar
<filename>/var/log/ipfilter.log</filename> te laten schrijven,
- dient dat bestand te bestaan. Dat kan met het volgende
+ dient dat bestand vooraf te bestaan. Dat kan met het volgende
commando:</para>
<screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen>
- <para>De syslogfunctie wordt beheerd met instellingen in
- <filename>/etc/syslog.conf</filename>.
+ <para>De functionaliteit van &man.syslogd.8; wordt beheerd met
+ instellingen in <filename>/etc/syslog.conf</filename>.
<filename>syslog.conf</filename> biedt aanzienlijke
- flexibiliteit in hoe syslog omgaat met systeemberichten die
- door softwaretoepassingen als IPF worden gegeven.</para>
+ flexibiliteit in hoe <application>syslog</application> omgaat met
+ systeemberichten die door softwaretoepassingen als IPF worden
+ gegeven.</para>
<para>Zo kan de volgende instelling toegevoegd worden aan
<filename>/etc/syslog.conf</filename>:</para>
@@ -908,8 +909,8 @@
<para>Om de wijzigingen in
<filename>/etc/syslog.conf</filename> actief te maken kan er
- gereboot worden of is het mogelijk de syslogtaak een schop te
- geven zodat <filename>/etc/syslog.conf</filename> opnieuw
+ gereboot worden of is het mogelijk de daemon &man.syslogd.8; een schop
+ te geven zodat <filename>/etc/syslog.conf</filename> opnieuw
wordt ingelezen met <command>/etc/rc.d/syslogd
reload</command>. Het PID (procesnummer) is te achterhalen
door een overzicht van taken te tonen met
@@ -974,10 +975,9 @@
<listitem>
<para>De adressen. Dit zijn eigenlijk drie velden: het
- bronadres en poort gescheiden door een komma het symbool
- -> en het bestemmingsadres en poort.
- <literal>209.53.17.22,80 ->
- 198.73.220.17,1722</literal>.</para>
+ bronadres en poort gescheiden door een komma, het symbool
+ -> en het bestemmingsadres en poort, bijvoorbeeld:
+ <literal>209.53.17.22,80 -> 198.73.220.17,1722</literal>.</para>
</listitem>
<listitem>
@@ -1014,8 +1014,8 @@
regels bevat en stellen dat op zo'n manier op dat het
uitgevoerd kan worden als een script met substitutie. Het
grote voordeel van deze werkwijze is dat er dan alleen de
- waarde van een variabele gewijzigd hoeft te worden en dat
- als het script opnieuw wordt uitgevoerd, op alle plaatsen
+ waarde geassocieerd met een symboliscche naam gewijzigd hoeft te worden
+ en dat als het script opnieuw wordt uitgevoerd, op alle plaatsen
waar de variabele wordt gebruikt, de nieuwe waarde in de
regels wordt opgenomen. Omdat het een script is, kan
substitutie gebruik worden om vaak voorkomende waarden
@@ -1024,8 +1024,7 @@
onderstaande voorbeeld.</para>
<para>De syntaxis die in het script wordt gebruikt is
- compatibel met de shells <command>sh</command>,
- <command>csh</command> en <command>tcsh</command>.</para>
+ compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;.</para>
<para>Velden waarvoor substitutie van toepassing is worden
vooraf gegaan door het dollarteken
@@ -1075,9 +1074,8 @@
voorbeeld, maar tonen hoe substitutievelden worden
gedefinieerd en hoe ze worden gebruikt. Als het bovenstaande
voorbeeld de inhoud van
- <filename>/etc/ipf.rules.script</filename> was, dan kon het
- geladen worden door het vanaf de commandoregel aan te
- roepen:</para>
+ <filename>/etc/ipf.rules.script</filename> was, dan konden deze regels
+ herladen worden door het vanaf de commandoregel aan te roepen:</para>
<screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen>
@@ -1106,11 +1104,11 @@
<filename>/etc/rc.conf</filename> (dit is de
standaardwaarde).</para>
- <para>Voeg een script zoals de volgende toe aan de
- <filename>/usr/local/etc/rc.d</filename> opstart
- directory. Het script zou een duidelijke naam
- moeten hebben zoals <filename>ipf.loadrules.sh</filename>.
- De <filename>.sh</filename> is noodzakelijk.</para>
+ <para>Voeg een script zoals de volgende toe aan de opstartmap
+ <filename class="directory">/usr/local/etc/rc.d</filename>. Het
+ script zou een duidelijke naam moeten hebben zoals
+ <filename>ipf.loadrules.sh</filename>. De uitbreiding
+ <filename>.sh</filename> is noodzakelijk.</para>
<programlisting>#!/bin/sh
sh /etc/ipf.rules.script</programlisting>
@@ -1129,21 +1127,22 @@
<sect2>
<title>Sets van IPF regels</title>
- <para>Een set regels is een groep <command>ipf</command> regels
+ <para>Een set regels is een groep IPF-regels
die is gemaakt om pakketten toe te staan of te blokkeren op
basis van de eigenschappen van dat pakket. De
bi-directionele uitwisseling van pakketten tussen hosts
bestaat uit een gesprek dat een sessie heet. De set van
- firewallregels beoordeelt pakketten twee keer: als het
- aankomt van de host op het publieke Internet en als het de
- host weer verlaat op de weg terug naar de host op het
- publieke Internet. Iedere <acronym>TCP</acronym>/IP dienst
- als telnet, www, mail, etc, heeft zijn eigen protocol, bron
- <acronym>IP</acronym> adres en bestemmings
- <acronym>IP</acronym> adres of de bron- en bestemmingspoort.
- Deze attributen vormen de basis voor het opstellen van regels
- waarmee diensten toegelaten of geblokkeerd kunnen
- worden.</para>
+ firewallregels verwerkt zowel de pakketten die arriveren van het
+ publieke Internet, als de pakketten die door het systeem zijn
+ geproduceerd als een antwoord erop. Elke
+ <acronym>TCP/IP</acronym>-dienst (i.e. telnet, www, mail, enz.) is
+ vooraf gedefinieerd door een protocol en bevoorrechte (luister)poort.
+ Pakketten bedoeld voor een speciale dienst beginnen bij het bronadres
+ gebruik makend van een onbevoorrechte (hogere orde) poort en komen aan
+ bij de specifieke dienstpoort op het bestemmingsadres. Alle
+ bovengenoemde parameters (poorten en adressen) kunnen gebruikt worden
+ als selectiecriteria om regels aa te maken die diensten zullen toestaan
+ of blokkeren.</para>
<indexterm>
<primary>IPFILTER</primary>
@@ -1165,16 +1164,6 @@
is het raamwerk waarmee een set van inclusieve firewallregels
wordt samengesteld.</para>
- <para>Een inclusieve firewall staat alleen diensten toe die
- voldoen aan de regels. Op die manier kan er in de hand
- gehouden worden welke diensten van binnen de firewall naar
- buiten mogen en welke diensten op het private netwerk vanaf
- het Internet bereikbaar zijn. Al het andere verkeer wordt
- vanuit het ontwerp standaard geblokkeerd en gelogd.
- Inclusieve firewalls zijn veel veiliger dan exclusieve
- firewalls. Het is ook de enige wijze voor de opzet van een
- firewall die in dit hoofdstuk wordt behandeld.</para>
-
<warning>
<para>Werk bij het wijzigen van firewallregels <emphasis>zeer
voorzichtig</emphasis>. Met sommige instellingen is een
@@ -1267,9 +1256,10 @@
<para>Een verplicht onderdeel voor iedere filterregel waarin
expliciet wordt aangegeven op welke zijde van de in/uit
- hij van toepassing is. Het volgende sleutelwoord moet
+ deze van toepassing is. Het volgende sleutelwoord moet
<parameter>in</parameter> of <parameter>out</parameter>
- zijn, anders is de regel syntactisch onjuist.</para>
+ zijn en één van de twee moet gecodeerd wworden, anders
+ is de regel syntactisch onjuist.</para>
<para><literal>in</literal> betekent dat de regel van
toepassing is op inkomende pakketten.</para>
@@ -1308,8 +1298,8 @@
(<literal>in</literal>/<literal>out</literal>). Ook deze
optie is verplicht voor de moderne regels.</para>
- <para>Als een pakket wordt gelogd, dan wordt de kop van het
- pakket weggeschreven naar het <devicename>ipl</devicename>
+ <para>Als een pakket wordt gelogd, dan worden de koppen van het
+ pakket weggeschreven naar het <acronym>ipl</acronym>
pakketloggende pseudo–apparaat. Direct na het
sleutelwoord <literal>log</literal> mogen de volgende opties
gebruikt worden (in de aangegeven volgorde):</para>
@@ -1319,8 +1309,8 @@
kop.</para>
<para><literal>first</literal>; als het sleutelwoord
- <literal>log</literal> samen met <parameter>keep
- state</parameter> wordt gebruikt, wordt het aangeraden om
+ <literal>log</literal> samen met een optie <literal>keep
+ state</literal> wordt gebruikt, wordt het aangeraden om
deze optie ook te gebruiken zodat alleen het pakket dat als
eerste in de sessie van toepassing was en niet ook alle
pakketten die daarna in de sessie volgens
@@ -1354,9 +1344,9 @@
<literal>udp</literal>, <literal>icmp</literal> of ieder
ander protocol dat in <filename>/etc/protocols</filename>
staat wordt herkend en kan gebruikt worden. Het bijzondere
- protocol sleutelwoord <literal>tcp/udp</literal> kan gebruikt
- worden om zowel voor <acronym>TCP</acronym> als
- UDP pakketten van toepassing te laten zijn. Het is
+ protocolsleutelwoord <literal>tcp/udp</literal> kan gebruikt
+ worden om zowel voor <acronym>TCP</acronym>- als
+ <acronym>UDP</acronym>-pakketten van toepassing te laten zijn. Het is
toegevoegd voor het gemak om vrijwel gelijke regels te
voorkomen.</para>
</sect3>
@@ -1368,28 +1358,25 @@
hetzelfde als <literal>from any to any</literal> zonder
overige parameters.</para>
- <para><literal>from bron to dest</literal>; de
+ <para><literal>from bron to bestemming</literal>; de
sleutelwoorden <literal>from</literal> en
<literal>to</literal> worden gebruikt om te testen op
- <acronym>IP</acronym> adressen. In regels moet zowel een
- bron als bestemmings <acronym>IP</acronym> adres
+ <acronym>IP</acronym>-adressen. In regels moet
+ <emphasis>zowel</emphasis> een bron- <emphasis>als</emphasis>
+ bestemmings-<acronym>IP</acronym>-adres
aangegeven worden. <literal>any</literal> is een
- bijzonder sleutelwoord dat van toepassing is voor ieder
- <acronym>IP</acronym> adres als in <literal>from any to
- any</literal> of <literal>from 0.0.0.0/0 to any</literal>
- of <literal>from any to 0.0.0.0/0</literal> of
- <literal>from 0.0.0.0 to any</literal> of <literal>from
- any to 0.0.0.0</literal>.</para>
+ bijzonder sleutelwoord dat van toepassing is op ieder
+ <acronym>IP</acronym>-adres. Voorbeelden van gebruik: <literal>from
+ any to any</literal> of <literal>from 0.0.0.0/0 to any</literal> of
+ <literal>from any to 0.0.0.0/0</literal> of <literal>from 0.0.0.0 to
+ any</literal> of <literal>from any to 0.0.0.0</literal>.</para>
- <para><acronym>IP</acronym> adressen mogen ingevoerd worden
- in de vorm numeriek, door punten gescheiden
- adres/maskerlengte of als een enkelvoudig
- <acronym>IP</acronym> adres in de vorm numeriek, door
- punten gescheiden.</para>
-
- <para>Het is vaak lastig om te komen tot een reeks adressen
- in de vorm adres/masker. De volgende webpagina kan daar
- wellicht bij helpen: <ulink
+ <para>Het is vaak lastig om te komen tot een reeks IP-adressen die zich
+ niet gemakkelijk laten uitdrukken met de gepunte numerieke vorm/
+ masker-lengte notatie. De port <filename
+ role="package">net-mgmt/ipcalc</filename> kan gebruikt worden om de
+ berekeningen te vereenvoudigen. Aanvullende informatie is beschikbaar
+ op de webpgina van het gereedschap: <ulink
url="http://jodies.de/ipcalc"></ulink>.</para>
</sect3>
@@ -1398,9 +1385,10 @@
<para>Als in een regel op een poort wordt gecontroleerd, voor
bron- of bestemmingspoort of beiden, dan is dat alleen van
- toepassing op <acronym>TCP</acronym> en UDP pakketten. Bij
- het maken van poortvergelijkingen kunnen zowel de dienstnamen
- uit <filename>/etc/services</filename> als een uit een
+ toepassing op <acronym>TCP</acronym>- en
+ <acronym>UDP</acronym>-pakketten. Bij het maken van
+ poortvergelijkingen kunnen zowel de dienstnamen uit
+ <filename>/etc/services</filename> als een uit een
natuurlijk getal bestaand poortnummer ingesteld worden. Als
de poort onderdeel is van het <literal>from</literal> object
dan wordt het vergeleken met het poortnummer van de bron en
@@ -1410,13 +1398,13 @@
is in de moderne regels verplicht en neemt de vorm aan van
<literal>from any to any port = 80</literal>.</para>
- <para>Poortvergelijkingen kunnen op verschillende manieren
- ingesteld worden met een aantal verschillende operators.
+ <para>Enkelvoudige poortvergelijkingen kunnen op verschillende manieren
+ gedaan worden met een aantal verschillende operatoren.
Er kunnen ook reeksen van poorten ingesteld worden.</para>
<para><literal>port =</literal> of een van de volgende
operators: <literal>!=, <, >, <, >=, eq, ne,
- lt, gt, le, ge</literal>.</para>
+ lt, gt, le, ge</literal>.</para><!--(rene) check operators-->
<para>Reeksen van poorten worden met de volgende optie
aangegeven: <parameter>port <></parameter> of
@@ -1430,7 +1418,8 @@
</sect3>
<sect3>
- <title>TCP_VLAG</title>
+<!--(rene) hier -1364,8 +1334,8-->
+ <title><acronym>TCP</acronym>_VLAG</title>
<para>Vlaggen zijn alleen beschikbaar voor het filteren
van <acronym>TCP</acronym>. De letters staan voor
More information about the p4-projects
mailing list