PERFORCE change 167993 for review
Rene Ladan
rene at FreeBSD.org
Sun Aug 30 21:15:45 UTC 2009
http://perforce.freebsd.org/chv.cgi?CH=167993
Change 167993 by rene at rene_self on 2009/08/30 21:15:18
MFen handbook/firewalls up to the new line 2087
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#10 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#10 (text+ko) ====
@@ -1402,13 +1402,11 @@
gedaan worden met een aantal verschillende operatoren.
Er kunnen ook reeksen van poorten ingesteld worden.</para>
- <para><literal>port =</literal> of een van de volgende
- operators: <literal>!=, <, >, <, >=, eq, ne,
- lt, gt, le, ge</literal>.</para><!--(rene) check operators-->
+ <para>poort "=" | "!=" | "<" | ">" | "<=" | ">=" |
+ "eq" | "ne" | "lt" | "gt" | "le" | "ge"</para>
<para>Reeksen van poorten worden met de volgende optie
- aangegeven: <parameter>port <></parameter> of
- <parameter>><</parameter>.</para>
+ aangegeven: poort <> | ><</para>
<warning>
<para>De volgende twee parameters die betrekking hebben op
@@ -1418,13 +1416,12 @@
</sect3>
<sect3>
-<!--(rene) hier -1364,8 +1334,8-->
<title><acronym>TCP</acronym>_VLAG</title>
<para>Vlaggen zijn alleen beschikbaar voor het filteren
van <acronym>TCP</acronym>. De letters staan voor
de mogelijke vlaggen die bekeken kunnen worden in de
- kop van een <acronym>TCP</acronym> pakket.</para>
+ kop van een <acronym>TCP</acronym>-pakket.</para>
<para>In de moderne regels wordt de optie <literal>flags
S</literal> gebruikt om het verzoek tot het starten van
@@ -1463,9 +1460,10 @@
pakketten die niet passen in de sessie, worden automatisch
geblokkeerd.</para>
- <para><literal>keep state</literal> staat ook ICMP pakketten toe
- die gerelateerd zijn aan een <acronym>TCP</acronym> of UDP
- sessie. Dus als er een ICMP type 3 code 4 komt in antwoord op
+ <para><literal>keep state</literal> staat ook
+ <acronym>ICMP</acronym>-pakketten toe die gerelateerd zijn aan een
+ <acronym>TCP</acronym>- of <acronym>UDP</acronym>-sessie. Dus als er
+ een <acronym>ICMP</acronym>-type 3 code 4 komt in antwoord op
websurfen, dat wordt toegestaan van binnen naar buiten door een
<literal>keep state</literal> regel, dan wordt dat toegelaten.
Pakketten waarvan IPF zeker is dat ze onderdeel zijn van de
@@ -1477,19 +1475,20 @@
vergeleken met de dynamische staattabel. Als een pakket
voldoet aan de verwachting van het volgende pakket in de
sessie, dan mag het de firewall verlaten en wordt de
- staattabel bijgewerkt. De overige pakketten worden
- vergeleken met de set van regels voor uitgaand
- verkeer.</para>
+ toestand van de sessie in de dynamische toestandstabel bijgewerkt.
+ Pakketten die niet bij een reeds actieve sessie horen, worden tegen de
+ uitgaande regelverzameling gecontroleerd.</para>
<para>Pakketten die binnenkomen op de interface die met
Internet is verbonden worden eerst vergeleken met de
dynamische staattabel. Als een pakket voldoet aan de
verwachting van het volgende pakket in de sessie, dan mag het
- de firewall verlaten en wordt de staattabel bijgewerkt. De
- overige pakketten worden vergeleken met de set van regels
- voor uitgaand verkeer.</para>
+ de firewall verlaten en wordt de toestand van de sessie in de dynamische
+ toestandstabel bijgewerkt. Pakketten die niet bij een reeds actieve
+ sessie horen, worden vergeleken met de regelverzameling voor
+ binnenkomend verkeer.</para>
- <para>Als de sessie wordt beëindigd wordt hij uit de
+ <para>Als de sessie wordt beëindigd wordt het uit de
dynamische staattabel verwijderd.</para>
<para>Met stateful filteren is het mogelijk om de focus te
@@ -1510,10 +1509,16 @@
<para>De onderstaande regels zijn een voorbeeld van hoe een
erg veilige inclusieve firewall opgezet kan worden. Een
inclusieve firewall staat alleen diensten toe die passen bij
- de <parameter>pass</parameter> regels en blokkeert al het
- overige verkeer. Alle firewalls hebben tenminste twee
- interfaces waarop regels van toepassing zijn om de firewall
- te laten werken.</para>
+ de <literal>pass</literal>-regels en blokkeert al het
+ overige verkeer. Firewalls die bedoeld zijn om andere machines te
+ beschermen, ook wel <quote>netwerk-firewalls</quote> genoemd, dienen
+ tenminste twee inferfaces te hebben, die over het algemeen zijn
+ ingesteld om de ene kant te vertrouwen (het <acronym>LAN</acronym>) maar
+ niet de andere (het publieke Internet). Ook kan een firewall worden
+ ingesteld om alleen het systeem te beschermen waarop het
+ draait—dit wordt een <quote>host-gebaseerde firewall</quote>
+ genoemd, en is in het bijzonder geschikt voor servers op een onvertrouwd
+ netwerk.</para>
<para>Alle &unix; systemen en dus ook &os; zijn zo ontworpen
dat ze voor interne communicatie de interface
@@ -1523,21 +1528,20 @@
vinden.</para>
<para>Voor de interface die is verbonden met het publieke
- Internet worden regels gemaakt waarmee sessies naar het
- Internet mogelijk gemaakt worden en toegang wordt gegeven
- voor pakketten die uit die sessies terug komen. Dit kan
- de PPP interface <devicename>tun0</devicename> zijn of de
- netwerkkaart die is verbonden met een xDSL of
- kabelmodem.</para>
+ Internet worden regels gemaakt waarmee de toegang voor uitgaande en
+ binnenkomende verbindingen worden geauthoriseerd en beheersd.
+ Dit kan de PPP-interface <devicename>tun0</devicename> zijn of de
+ netwerkkaart die is verbonden met een xDSL- of kabelmodem.</para>
<para>In gevallen dat er één of meer netwerkkaarten
- zijn aangesloten op het LAN achter de firewall, dan moeten er
- op de firewall regels zijn om het verkeer tussen die interfaces
- vrije doorgang te geven.</para>
+ zijn aangesloten op private netwerksegmenten kunnen er regels
+ op de firewall nodig zijn om pakketten die van die LAN-interfaces
+ afkomen vrije doorgang te geven naar elkaar en/of naar buiten
+ (het Internet).</para>
- <para>De regels worden opgedeeld in drie onderdelen: alle
- interfaces met vrije doorgang, uitgaand op publieke
- interfaces en inkomend op publieke interfaces.</para>
+ <para>De regels worden opgedeeld in drie onderdelen: eerst de vertrouwde
+ interfaces, dan het publieke uitgaande interface en als laatste het
+ onvertrouwde publieke binnenkomende interfaces.</para>
<para>In iedere sectie moeten zo staan dat de regels die het
meest gebruikt worden vóór de regels die minder
@@ -1546,70 +1550,74 @@
richting geblokkeerd en gelogd moet worden.</para>
<para>In het onderdeel Uitgaand staan alleen regels met
- <parameter>pass</parameter> die parameters bevatten om
- individuele diensten beschikbaar te maken zodat er Internet
- toegang is. Al die regels moeten gebruik maken van
- <parameter>quick</parameter>, <parameter>on</parameter>,
- <parameter>proto</parameter>, <parameter>port</parameter> en
- <parameter>keep state</parameter>. De regels met
- <parameter>proto tcp</parameter> maken ook gebruik van
- <parameter>flag</parameter> om te bekijken of het een pakket
+ <literal>pass</literal> die parameters bevatten om
+ uniek individuele diensten identificeren die het publieke Internet mogen
+ benaderen. Bij al die regels staan de opties
+ <literal>quick</literal>, <literal>on</literal>,
+ <literal>proto</literal>, <literal>port</literal> en
+ <literal>keep state</literal> aan. De regels met
+ <literal>proto tcp</literal> maken ook gebruik van de optie
+ <literal>flag</literal> om te bekijken of het een pakket
betreft voor het opzetten van een sessie om de stateful
functionaliteit aan te sturen.</para>
- <para>In het onderdeel Inkomend staan alle regels voor het
- blokkeren van ongewenste pakketten eerst om twee redenen.
- Als eerste kan het zo zijn dat wat er wordt geblokkeerd
- later toegestaan zou worden door regels die diensten
- toestaan. De tweede reden is dat nu ongewenste pakketten
- die vaak voor komen en die bij voorkeur niet in de
- logboeken voor komen niet meer van toepassing zijn op de
- laatste regel van het onderdeel waarin ze zouden worden
- gelogd. Met de laatste regel van dit onderdeel worden
- alle overige pakketten geblokkeerd en gelogd en ze kunnen
- bewijsmateriaal zijn in een zaak tegen iemand die heeft
- geprobeerd een systeem aan te vallen.</para>
+ <para>In het onderdeel Inkomend staan eerst alle regels voor het
+ blokkeren van ongewenste pakketten, om twee redenen.
+ Als eerste kan het zo zijn dat kwaadardige pakketten gedeeltelijk
+ overeenkomen met legitiem verkeer. Deze pakketten moeten worden
+ weggegooid in plaats van binnengelaten te worden, gebaseerd op hun
+ gedeeltelijke match met de <literal>allow</literal>-regels. De tweede
+ reden is dat bekende en oninteressante verwerpingen stil geblokkeerd
+ kunnen worden in plaats van gevangen en gelogd te worden door de
+ laatste regels in de sectie. De laatste regel in elke sectie blokkeert
+ en logt alle pakketten en kan worden gebruikt voor het wettelijke bewijs
+ nodig om degenen die uw systeem aanvallen aan te klagen.</para>
- <para>Voor al het verkeer dat wordt geweigerd wordt geen
- antwoord gestuurd. De pakketten verdwijnen gewoon. Zo weet
- een aanvaller niet of een pakket het doelsysteem wel heeft
- bereikt. Zo kan een aanvaller geen informatie verzamelen
+ <para>Waar ook gezorgd voor moet worden is dat al het verkeer dat wordt
+ geweigerd geen antwoord verstuurd. Ongeldige pakketten dienen gewoon te
+ verdwijnen. Zo weet een aanvaller niet of een pakket het doelsysteem
+ wel heeft bereikt. Zo kan een aanvaller geen informatie verzamelen
over een systeem: hoe minder informatie er over een systeem
beschikbaar is, hoe meer tijd iemand erin moet steken voordat
- er iets slechts gedaan kan worden. Zo wordt bijvoorbeeld
- een inkomend verzoek van een <quote>nmap OS fingerprint</quote>
- gelogd omdat een aanvaller zoiets zou proberen.</para>
+ er iets slechts gedaan kan worden. Regels die een optie <literal>log
+ first</literal> bevatten, zullen alleen de eerste keer dat de
+ gebeurtenis voorkomt de gebeurtenis loggen. Deze optie is opgenomen in
+ de voorbeeldregel <literal>nmap OS fingerpint</literal>. Het
+ gereedschap <filename role="package">security/nmap</filename> wordt vaak
+ door aanvallers gebruikt om het besturingssysteem van uw server
+ proberen te achterhalen.</para>
- <para>We raden aan om als er logmeldingen komen van een regel
+ <para>We raden aan om telkens als er logmeldingen komen van een regel
met <literal>log first</literal> het commando
<command>ipfstat -hio</command> uit te voeren om te
- bekijken hoe vaak de regel van toepassing is geweest om te
- kijken of de firewall overspoeld wordt, m.a.w. aangevallen
- wordt.</para>
+ bekijken hoe vaak de regel van toepassing is geweest. Een groot aantal
+ overeenkomsten geeft gewoonlijk aan dat de firewall overspoeld wordt,
+ m.a.w. aangevallen wordt.</para>
- <para>Als er pakketten gelogd worden waarvan de beheerder het
- poortnummer niet herkent, dan is de functie van dat poortnummer
- na te zoeken in <filename>/etc/services</filename> of op <ulink
- url="http://www.securitystats.com/tools/portsearch.php"></ulink>.</para>
+ <para>Het bestand <filename>/etc/services</filename> kan gebruikt worden
+ om onbekende poortnummers op te zoeken. Ook kan <ulink
+ url="http://www.securitystats.com/tools/portsearch.php"></ulink>
+ worden bezocht en het poortnummer worden opgezocht om het doel van een
+ bepaalde poort uit te vinden.</para>
<para>Op de volgende link worden poortnummers van Trojans
beschreven: <ulink
url="http://www.simovits.com/trojans/trojans.html"></ulink>.</para>
<para>De onderstaande set regels is een complete en erg veilige
- inclusieve set met regels voor een firewall die de auteur
- zelf heeft gebruikt op zijn systeem. Deze set met regels is
- een aanrader en eenvoudig aan te passen door commentaar te
- maken van een regel voor een dienst die niet gewenst
+ <literal>inclusieve</literal> set met regels voor een firewall die is
+ getest op productiesystemen. Deze set met regels is eenvoudig aan te
+ passen voor uw eigen systeem. Maak gewoon commentaar van elke
+ <literal>pass</literal>-regel voor een dienst die niet gewenst
is.</para>
- <para>Logberichten die niet gewenst zijn, zijn uit te sluiten
- door ze met een regel te blokkeren in het begin van het
+ <para>Logberichten die niet gewenst zijn, zijn uit te sluiten door een
+ <literal>block</literal>-regel toe te voegen in het begin van het
onderdeel Inkomend.</para>
<para>Voor de onderstaande regels dient de
<devicename>dc0</devicename> interfacenaam in iedere regel
- vervangen te worden door de interfacenaam van de netwerkkaart
+ vervangen te worden door de echte interfacenaam van de netwerkkaart
in het systeem die met het publieke Internet is verbonden.
Voor gebruikers van PPP zou dat <devicename>tun0</devicename>
zijn.</para>
@@ -1634,8 +1642,8 @@
#################################################################
# Interface aan het publieke Internet (onderdeel Uitgaand).
# Inspecteer verzoeken om een sessie te starten van achter de
-# firewall op het private netwerk of vanaf de server zelf naar
-# het publieke Internet.
+# firewall op het private netwerk of vanaf deze gateway-server
+# naar het publieke Internet.
#################################################################
# Geef toegang tot de DNS server van de ISP.
@@ -1667,41 +1675,41 @@
# Sta Time toe.
pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state
-# Sta NNTP nieuws toe.
+# Sta uitgaand NNTP nieuws toe.
pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state
-# Sta lokale en LAN gebruiker toe niet beveiligde FTP te gebruiken
+# Sta uitgaande lokale niet beveiligde FTP (ook van LAN-gebruikers) toe
# (zowel passieve als actieve modes). Deze functie maakt gebruik van
-# de in IPNAT ingebouwde FTP proxy die in het bestand met nat regels
+# de in IP-NAT ingebouwde FTP-proxy die in het bestand met NAT-regels
# staat om dit in één regel te laten werken. Als er met
# pkg_add pakketten toegevoegd moeten kunnen worden op een systeem, dan
# is deze regel nodig.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
-# Sta beveiligde FTP, Telnet en SCP toe.
+# Sta uitgaande SSH/SFTP/SCP toe (vervangingen van telnet/rlogin/FTP)
# Deze functie maakt gebruik van SSH (secure shell)
pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Sta uitgaande niet beveiligde telnet toe.
pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
-# Sta de &os; CVSUP functie toe.
+# Sta de &os; CVSUP-functie toe.
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
# Sta ping toe naar het publieke Internet.
pass out quick on dc0 proto icmp from any to any icmp–type 8 keep state
-# Sta whois toe vanaf overal naar het publieke Internet.
+# Sta whois toe vanaf het LAN naar het publieke Internet.
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Blokkeer en log het eerste voorkomen van al het andere dat probeert
-# buiten te komen. Deze regel dwingt de 'block all' logica af.
+# buiten te komen. Deze regel implementeert de standaard-blokkade.
block out log first quick on dc0 all
#################################################################
# Interface aan het publieke Internet (onderdeel Inkomend).
# Inspecteert pakketten die van het publieke Internet komen
-# met als bestemming de host zelf of het private netwerk.
+# met als bestemming deze gateway-server of het private netwerk.
#################################################################
# Blokkeer al het verkeer voor niet–routeerbare of gereserveerde
@@ -1730,7 +1738,7 @@
block in quick on dc0 all with opt ssrr
# Blokkeer pogingen voor nmap OS fingerprint.
-# Log first occurrence of these so I can get their IP address
+# Blokkeer het eerste voorkomen ervan voor de IP-adressen
block in log first quick on dc0 proto tcp from any to any flags FUP
# Blokkeer alles met speciale opties.
@@ -1768,14 +1776,14 @@
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Sta beveiligde FTP, telnet en SCP toe vanaf Internet.
-# Deze functie gebruik SSH (secure shell).
+# Deze functie gebruikt SSH (secure shell).
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Blokkeer en log het eerste voorkomen van al het andere dat probeert
# binnen te komen. Het loggen van alleen het eerste voorkomen stopt
# een ontzegging van dienst aanval die gericht is op het laten
-# vollopen van de partitie waarop de logboeken staan. Deze regel dwingt
-# de 'block all' logica af.
+# vollopen van de partitie waarop de logboeken staan. Deze regel implmenteert
+# de standaard blokkade.
block in log first quick on dc0 all
################### Einde van de regels ###################################</programlisting>
</sect2>
@@ -1803,8 +1811,8 @@
<see>NAT</see>
</indexterm>
- <para><acronym>NAT</acronym> staat voor Network Address
- Translation (netwerkadres vertaling). In &linux; heet dit IP
+ <para><acronym>NAT</acronym> staat voor <emphasis>Network Address
+ Translation</emphasis> (netwerkadres vertaling). In &linux; heet dit IP
Masquerading. Een van de vele mogelijkheden die IPF
<acronym>NAT</acronym> kan bieden is het delen van
één <acronym>IP</acronym> adres op het publieke
@@ -1814,11 +1822,10 @@
ISP's wijzen normaliter namelijk dynamisch een
<acronym>IP</acronym> adres toe aan hun niet-commerciële
gebruikers. Dynamisch betekent hier dat het
- <acronym>IP</acronym> adres iedere dat er wordt ingebeld of
- dat de kabel- of xDSL-modem uit- en aangeschakeld wordt
- anders kan zijn. Dit <acronym>IP</acronym> adres is het
- adres waarmee een netwerkapparaat bekend is op het publieke
- Internet.</para>
+ <acronym>IP</acronym>-adres iedere dat er wordt ingebeld of
+ dat het kabel- of xDSL-modem uit- en aangeschakeld wordt
+ anders kan zijn. Dit dynamische <acronym>IP</acronym>-adres wordt
+ gebruikt om uw systeem op het publieke Internet te identificeren.</para>
<para>Stel dat er vijf PC's in een huis staan en iedere
computer in dat huis heeft toegang tot Internet nodig. Dan
@@ -1826,28 +1833,18 @@
en vijf telefoonlijnen om dat te realiseren.</para>
<para>Met <acronym>NAT</acronym> is er maar één
- account bij een ISP nodig en moeten er vier PC's met kabels
- op een switch aangesloten waarop ook een &os; systeem is
- aangesloten dat als gateway gaat opereren.
+ account bij een ISP nodig. De andere vier PC's moeten met kabels
+ op een switch worden aangesloten waarop ook een &os; systeem is
+ aangesloten dat binnen uw LAN als gateway gaat opereren.
<acronym>NAT</acronym> zal automatisch de private LAN
<acronym>IP</acronym> adressen van alle PC's vertalen naar
- een enkel publiek <acronym>IP</acronym> adres als de
+ een enkel publiek <acronym>IP</acronym>-adres als de
pakketten de firewall naar het Internet verlaten.</para>
- <para><acronym>NAT</acronym> wordt vaak gebruikt zonder
- toestemming of wetenschap van een ISP en in de meeste
- gevallen is het, als het wordt ontdekt, grond voor een ISP
- om de account op te zeggen. Commerciële gebruikers
- betalen veel meer voor hun Internet verbindingen en krijgen
- vaak een reeks statische <acronym>IP</acronym> adressen die
- nooit verandert. Een ISP verwacht en staat toe dat
- commerciële gebruikers <acronym>NAT</acronym> inzetten
- voor connectiviteit voor hun interne netwerk.</para>
-
- <para>Er is een speciale reeks van <acronym>IP</acronym>
- adressen gereserveerd voor <acronym>NAT</acronym> op LANs.
+ <para>Er is een speciale reeks van <acronym>IP</acronym>-adressen
+ gereserveerd voor <acronym>NAT</acronym> op private LANs.
Volgens RFC 1918 kunnen de volgende reeksen
- <acronym>IP</acronym> adressen gebruikt worden op private
+ <acronym>IP</acronym>-adressen gebruikt worden op private
netwerken die nooit direct op het publieke Internet
gerouteerd worden.</para>
@@ -1913,12 +1910,12 @@
</filename>. Meer details staan in &man.ipnat.1;.</para>
<para>Bij het maken van wijzigingen aan de
- <acronym>NAT</acronym> regels nadat <acronym>NAT</acronym>
+ <acronym>NAT</acronym>-regels nadat <acronym>NAT</acronym>
gestart is, wordt aangeraden de wijziging aan het bestand met
- regels te maken en daarna met <command>ipnat</command>
- <option>-CF</option> alle actieve <acronym>NAT</acronym> regels
- te wissen. Daarna kunnen de regels uit het bestand weer als
- volgt geladen worden:</para>
+ regels te maken en daarna het commando <command>ipnat</command>
+ <option>-CF</option> te gebruiken om alle actieve
+ <acronym>NAT</acronym>-regels te wissen. Daarna kunnen de regels uit
+ het bestand weer als volgt geladen worden:</para>
<screen>&prompt.root; <userinput>ipnat -CF -f /etc/ipnat.rules</userinput></screen>
@@ -2067,7 +2064,7 @@
te veel adressen zijn om te bedienen met één
<acronym>IP</acronym> adres. Als er een blok van publiekelijke
IP adressen beschikbaar is, dan kunnen deze adressen
- gebruikt worden in een poel, welke door
+ gebruikt worden in een <quote>poel</quote>, welke door
IP<acronym>NAT</acronym> gebruikt kan worden om
één van de adressen te gebruiken als uitgaand
adres.</para>
@@ -2099,11 +2096,11 @@
verkeer bij de juiste computer terecht komt.
IP<acronym>NAT</acronym> gebruikt daarvoor de opties in
<acronym>NAT</acronym> waarmee verkeer omgeleid kan worden.
- Als bijvoorbeeld een webserver op <hostid
- role="ipaddr">10.0.10.25</hostid> draait en het publieke
+ Als bijvoorbeeld een webserver op het LAN-adres <hostid
+ role="ipaddr">10.0.10.25</hostid> draait en het enkele publieke
<acronym>IP</acronym> adres zou <hostid
- role="ipaddr">20.20.20.5</hostid> zijn, dan zou dit mogelijk
- zijn met één van de volgende twee regels:</para>
+ role="ipaddr">20.20.20.5</hostid> zijn, dan zou de regel er als volgt
+ uit zien:</para>
<programlisting>rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting>
@@ -2131,17 +2128,16 @@
FTP is er in twee smaken: actief en passief. Het verschil
zit 'm in hoe het datakanaal wordt opgezet. De passieve
variant is veiliger voor een gebruiker omdat bij deze variant
- beide communicatiekanalen door de client zelf worden opgezet.
- Op de volgende link zijn details over FTP na te lezen:
- <ulink
+ beide communicatiekanalen door de cliënt zelf worden opgezet.
+ Op de volgende pagina zijn details over FTP na te lezen: <ulink
url="http://www.slacksite.com/other/ftp.html"></ulink>.</para>
<sect3>
- <title>IP<acronym>NAT</acronym> regels</title>
+ <title>IP<acronym>NAT</acronym>-regels</title>
- <para>IP<acronym>NAT</acronym> heeft een een speciale FTP proxy
+ <para>IP<acronym>NAT</acronym> heeft een een speciale FTP-proxy
ingebouwd die kan worden ingeschakeld met een
- <acronym>NAT</acronym> <literal>map</literal> regel. Die kan
+ <acronym>NAT</acronym>-<literal>map</literal>-regel. Die kan
al het uitgaande verkeer monitoren wat betreft
opstartverzoeken voor sessies voor actieve en passieve FTP en
dynamisch tijdelijke filterregels maken die alleen het
@@ -2184,9 +2180,9 @@
<sect3>
<title>IP<acronym>NAT</acronym> FTP filterregels</title>
- <para>Als de <acronym>NAT</acronym> FTP proxy wordt gebruikt
+ <para>Als de <acronym>NAT</acronym>-FTP-proxy wordt gebruikt
is er maar één filterregel voor FTP
- nodig. Zonder de FTP proxy zouden er drie regels nodig
+ nodig. Zonder de FTP-proxy zouden er drie regels nodig
zijn:</para>
<programlisting># Sta LAN client toe te FTP-en naar Internet
More information about the p4-projects
mailing list