PERFORCE change 168253 for review

Rene Ladan rene at FreeBSD.org
Sun Sep 6 20:14:43 UTC 2009


http://perforce.freebsd.org/chv.cgi?CH=168253

Change 168253 by rene at rene_self on 2009/09/06 20:13:45

	MFen handbook/firewalls 1.86 -> 1.90
	Spellcheck pending

Affected files ...

.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#12 edit

Differences ...

==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#12 (text+ko) ====

@@ -4,7 +4,7 @@
      $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $
 
      %SOURCE%	en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml
-     %SRCID%	1.89 -> update to 1.90 before submit/commit (small one :-) )
+     %SRCID%	1.90
 -->
 
 <chapter id="firewalls">
@@ -2413,12 +2413,13 @@
 	<application>ipfw</application> firewall.  &eacute;&eacute;n
 	daarvan is door het zetten van de
 	<literal>firewall_type</literal> variabele naar een absoluut
-	pad van een bestand, welke <emphasis>firewall regels</emphasis>
-	bevat, zonder enige specifieke opties voor &man.ipfw.8;.  Een
-	simpel voorbeeld van een regelverzameling bestand kan zijn:</para>
+	pad van een bestand, welke <emphasis>firewall-regels</emphasis>
+	bevat, zonder enige specifieke opties voor &man.ipfw.8;.  Het volgende
+	is een eenvoudig voorbeeld van een bestand met regelverzamelingen dat
+	al het inkomend en uitgaand verkeer blokkeert:</para>
 
-      <programlisting>add block in  all
-add block out all</programlisting>
+      <programlisting>add deny in
+add deny out</programlisting>
 
       <para>Aan de andere kant is het mogelijk om de variabele
 	<literal>firewall_script</literal> in te stellen op een
@@ -2432,8 +2433,8 @@
 
 ipfw -q flush
 
-ipfw add block in  all
-ipfw add block out all</programlisting>
+ipfw add deny in
+ipfw add deny out</programlisting>
 
       <note>
 	<para>Als <literal>firewall_type</literal> is gezet naar
@@ -2696,7 +2697,7 @@
 	  <title>Selectie</title>
 
 	  <para>De sleutelwoorden in deze paragraaf beschrijven de
-	    attributen van een pakket die bekeken worden bij het
+	    attributen van een pakket die gecontroleerd worden bij het
 	    bepalen of een regel wel of niet op een pakket van
 	    toepassing is.  De attributen waarop gecontroleerd kan
 	    worden moeten in de beschreven volgorde gebruikt
@@ -2714,37 +2715,38 @@
 
 	  <para>De sleutelwoorden <literal>from</literal> en
 	    <literal>to</literal> worden gebruikt om te bekijken
-	    of een regel van toepassing is op <acronym>IP</acronym>
-	    adressen.  Een regel moet zowel bron- als
+	    of een regel van toepassing is op <acronym>IP</acronym>-adressen.
+	    Een regel moet <emphasis>zowel</emphasis> bron- als
 	    bestemmingsadressen bevatten.  <literal>any</literal> is
 	    een bijzonder sleutelwoord dat van toepassing is op alle
-	    <acronym>IP</acronym> adressen.  <literal>me</literal> is
+	    <acronym>IP</acronym>-adressen.  <literal>me</literal> is
 	    een bijzonder sleutelwoord dat van toepassing is op alle
-	    <acronym>IP</acronym> adressen die ingesteld zijn op
-	    interfaces van een &os; systeem.  Zo kan dit onderdeel dus
+	    <acronym>IP</acronym>-adressen die ingesteld zijn op
+	    interfaces van een &os; systeem om de PC waarop de firewall draait
+	    te vertegenwoordigen (deze machine).  Zo kan dit onderdeel
 	    bijvoorbeeld de volgende vormen aannemen:
 	    <literal>from me to any</literal>,
 	    <literal>from any to me</literal>,
 	    <literal>from 0.0.0.0/0 to any</literal>,
 	    <literal>from any to 0.0.0.0/0</literal>,
 	    <literal>from 0.0.0.0 to any</literal>,
-	    <literal>from any to 0.0.0.0</literal>,
+	    <literal>from any to 0.0.0.0</literal> of
 	    <literal>from me to 0.0.0.0</literal>.
-	    <acronym>IP</acronym> adressen mogen ingevoerd worden
+	    <acronym>IP</acronym>-adressen mogen ingevoerd worden
 	    in de vorm numeriek, door punten gescheiden
-	    adres/maskerlengte of als een enkelvoudig
-	    <acronym>IP</acronym> adres in de vorm numeriek, door
-	    punten gescheiden.  De volgende link kan hulp verschaffen
-	    bij het schrijven van <acronym>IP</acronym> adressen in
-	    de vorm adres/maskerlengte: <ulink
-	      url="http://jodies.de/ipcalc"></ulink>  Dit attribuut
-	    is verpicht.</para>
+	    adres/maskerlengte (CIDR-notatie) of als een enkelvoudig
+	    <acronym>IP</acronym>-adres in de vorm numeriek, door
+	    punten gescheiden.  De port <filename
+	      role="package">net-mgmt/ipcalc</filename> kan gebruikt worden om
+	    de berekeningen e vereenvoudigen.  Aanvullende informatie is
+	    beschikbaar op de webpagina van het programma: <ulink
+	      url="http://jodies.de/ipcalc"></ulink>.</para>
 
 	  <para><parameter>poortnummer</parameter></para>
 
 	  <para>Wordt gebruikt voor protocollen die poortnummers
-	    ondersteunen (als <acronym>TCP</acronym> en UDP).  Het
-	    gebruik van een poortnummer is verplicht.  Er mogen ook
+	    ondersteunen (als <acronym>TCP</acronym> en <acronym>UDP</acronym>).
+	    Het gebruik van een poortnummer is verplicht.  Er mogen ook
 	    dienstnamen uit <filename>/etc/services</filename>
 	    gebruikt worden in plaats van nummers.</para>
 
@@ -2787,7 +2789,7 @@
 	    bestemmingspoort gebruikt worden.
 	    <parameter>limit</parameter> en
 	    <parameter>keep&ndash;state</parameter> kunnen niet in
-	    dezelfde regel gebruikt worden.
+	    dezelfde regel gebruikt worden.  De optie
 	    <parameter>limit</parameter> geeft dezelfde mogelijkheden
 	    als <parameter>keep&ndash;state</parameter> en voegt daar
 	    zijn eigen mogelijkheden aan toe.</para>
@@ -2811,8 +2813,8 @@
 	  verwachting van een sessie passen worden automatisch als
 	  fout geblokkeerd.</para>
 
-	<para><parameter>check&ndash;state</parameter> wordt gebruikt
-	  om aan te geven waar IPFW regels tegen de mogelijkheden
+	<para>De optie <literal>check&ndash;state</literal> wordt gebruikt
+	  om aan te geven waar IPFW-regels tegen de mogelijkheden
 	  voor dynamische regels gehouden moeten worden.  Als er
 	  een passende regel bij een pakket wordt gevonden, dan kan
 	  dat pakket de firewall verlaten en wordt een nieuwe regel
@@ -2825,7 +2827,7 @@
 	  voor een aanval die SYN&ndash;flood heet, waarmee wordt
 	  geprobeerd een zeer groot aantal regels aan te laten maken.
 	  Om deze aanval tegen te gaan, is de optie
-	  <parameter>limit</parameter> beschikbaar.  Met deze
+	  <literal>limit</literal> beschikbaar.  Met deze
 	  optie kan het maximaal aantal simultane sessies geregeld
 	  worden op basis van bron en bestemmingsvelden.  Als het
 	  aantal sessies gelijk aan het maximale aantal sessies is,
@@ -2851,14 +2853,14 @@
 	<para>Zelfs als logging is ingeschakeld logt IPFW nog niets
 	  uit zichzelf.  De beheerder van de firewall beslist welke
 	  actieve regels iets weg moeten schrijven door het
-	  sleutelwoord <parameter>log</parameter> aan die regels toe
+	  sleutelwoord <literal>log</literal> aan die regels toe
 	  te voegen.  Gewoonlijk worden alleen
-	  <parameter>deny</parameter> regels gelogd.  Dit geldt
-	  bijvoorbeeld voor de <parameter>deny</parameter> regel
+	  <literal>deny</literal>-regels gelogd.  Dit geldt
+	  bijvoorbeeld voor de <literal>deny</literal>-regel
 	  voor inkomende <acronym>ICMP</acronym> pings.  Het is
-	  gebruikelijk om de standaard <command>ipfw</command> regel
-	  te dupliceren, daar <parameter>log</parameter> in op te
-	  nemen, en deze als laatste in de set met regels te
+	  gebruikelijk om de standaardregel <quote>ipfw default deny
+	    everything</quote> te dupliceren, daar <literal>log</literal> in op
+	  te nemen, en deze als laatste in de verzameling met regels te
 	  plaatsen.  Zo zijn alle pakketten te zien die niet voldeden
 	  aan ook maar &eacute;&eacute;n regel.</para>
 
@@ -2867,8 +2869,8 @@
 	  die uiteindelijk een schijf kunnen vullen.  Een DoS aanval
 	  om een schijf met logs te vullen is een van de oudst bekende
 	  typen DoS aanvallen.  Logberichten van de firewall worden
-	  niet alleen naar &man.syslogd.8; geschreven, maar ook op
-	  het <username>root</username> console getoond waar ze snel
+	  niet alleen naar <application>syslogd</application> geschreven, maar
+	  ook op het <username>root</username> console getoond waar ze snel
 	  erg vervelend kunnen worden.</para>
 
 	<para>De kerneloptie
@@ -2878,7 +2880,7 @@
 	  Als deze optie is ingeschakeld, worden in dit geval
 	  maximaal vijf berichten voor dezelfde regel gemeld.  Als er
 	  meer berichten op dezelfde regel zouden zijn, zou dat als
-	  volgt aan &man.syslogd.8; gemeld worden:</para>
+	  volgt aan <application>syslogd</application> gemeld worden:</para>
 
 	<programlisting>last message repeated 45 times</programlisting>
 
@@ -2894,21 +2896,20 @@
 	  waarin de regels staan en stellen dat zo op dat het als
 	  script uitgevoerd kan worden.  Het grootste voordeel van
 	  deze methode is dat de firewallregels allemaal vervangen
-	  kunnen worden zonder dat het systeem geboot moet worden.
+	  kunnen worden zonder dat het systeem opnieuw gestart moet worden.
 	  Deze methode is ook erg geschikt voor het testen van regels
 	  omdat de procedure zo vaak als nodig uitgevoerd kan worden.
 	  Omdat het een script is, kan er gebruik gemaakt worden van
 	  substitutie zodat veel gebruikte waarden verduidelijkt
-	  kunnen worden.  In het volgende voorbeeld wordt hier
-	  gebruik van gemaakt.</para>
+	  en in meerdere regels toegepast kunnen worden.  In het volgende
+	  voorbeeld wordt hier gebruik van gemaakt.</para>
 
 	<para>De syntaxis die in het script wordt gebruikt is
-	  compatibel met de shells <command>sh</command>,
-	  <command>csh</command> en <command>tcsh</command>.  Velden
-	  waarvoor substitutie van toepassing is worden vooraf gegaan
+	  compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;.
+	  Velden waarvoor substitutie van toepassing is worden vooraf gegaan
 	  door het dollarteken &dollar;.  Definities worden niet
 	  vooraf gegaan door het voorvoegsel &dollar;.  De waarden
-	  van een definitie moet omsloten worden door "dubbele
+	  van een substitie moet omsloten worden door "dubbele
 	  aanhalingstekens".</para>
 
 	<para>Een bestand met regels kan als volgt beginnen:</para>
@@ -2934,7 +2935,7 @@
 	  een voorbeeld om het gebruik van substitutie te
 	  illustreren.</para>
 
-	<para>Als het bovenstaande voorbeeld het de inhoud van
+	<para>Als het bovenstaande voorbeeld de inhoud van
 	  <filename>/etc/ipfw.rules</filename> was, dan kon het
 	  herladen worden met het volgende commando:</para>
 
@@ -2956,16 +2957,17 @@
       </sect3>
 
       <sect3>
-	<title>Set met stateful regels</title>
+	<title>Verzmeling van stateful regels</title>
 
-	<para>De volgende set met regels, waarin geen gebruik gemaakt
+	<para>De volgende verzameling van regels, waarin geen gebruik gemaakt
 	  wordt van <acronym>NAT</acronym>, is een voorbeeld van hoe
 	  een erg veilige inclusieve firewall kan worden opgezet.
 	  Een inclusieve firewall laat alleen diensten toe waarvoor
-	  <parameter>pass</parameter> regels van toepassing zijn en
-	  blokkeert al het andere verkeer.  Alle firewalls hebben
-	  tenminste twee interfaces waarvoor regels moeten zijn die
-	  de firewall in staat stellen zijn werk te doen.</para>
+	  <literal>pass</literal> regels van toepassing zijn en
+	  blokkeert al het andere verkeer.  Firewalls die ontworpen zijn om
+	  hele netwerksegmenten te beschermen hebben tenminste twee interfaces
+	  waarvoor regels moeten zijn die de firewall in staat stellen zijn
+	  werk te doen.</para>
 
 	<para>Alle &unix; systemen en dus ook &os; zijn zo ontworpen
 	  dat ze voor interne communicatie de interface
@@ -2978,13 +2980,14 @@
 	  Internet worden regels gemaakt waarmee sessies naar het
 	  Internet mogelijk gemaakt worden en toegang wordt gegeven
 	  voor pakketten die uit die sessies terug komen.  Dit kan
-	  de PPP interface <devicename>tun0</devicename> zijn of de
+	  de gebruikers-<acronym>PPP</acronym>-interface
+	  <devicename>tun0</devicename> zijn of de
 	  netwerkkaart die is verbonden met een xDSL of
 	  kabelmodem.</para>
 
 	<para>In gevallen dat er meer dan &eacute;&eacute;n
 	  netwerkkaart is aangesloten op het private netwerk achter
-	  de firewall, moeten er op de firewall regels zijn om het
+	  de firewall, moeten er op de firewall-regels zijn om het
 	  verkeer tussen die interfaces vrije doorgang te
 	  geven.</para>
 
@@ -3000,23 +3003,25 @@
 	  interface in die richting geblokkeerd en gelogd moet
 	  worden.</para>
 
-	<para>In het onderdeel Uitgaand staan alleen regels met
-	  <parameter>allow</parameter> die parameters bevatten om
-	  individuele diensten beschikbaar te maken zodat er Internet
-	  toegang is.  Al die regels moeten gebruik maken van
-	  <parameter>proto</parameter>, <parameter>port</parameter>,
-	  <parameter>in/out</parameter>, <parameter>via</parameter>
-	  en <parameter>keep-state</parameter>.  De regels met
-	  <parameter>proto tcp</parameter> maken ook gebruik van
-	  <parameter>setup</parameter> om te bekijken of het een
+	<para>In het onderdeel Uitgaand van de volgende verzameling regels staan
+	  alleen regels met <literal>allow</literal> die parameters bevatten om
+	  individuele diensten beschikbaar te maken die publieke toegang
+	  tot Internet mogen hebben   Al die regels moeten gebruik maken van de
+	  opties <literal>proto</literal>, <literal>port</literal>,
+	  <literal>in/out</literal>, <literal>via</literal>
+	  en <literal>keep-state</literal>.  De regels met
+	  <literal>proto tcp</literal> maken ook gebruik van
+	  <literal>setup</literal> om te bekijken of het een
 	  pakket betreft voor het opzetten van een sessie om de
 	  stateful functionaliteit aan te sturen.</para>
 
-	<para>In het onderdeel Inkomend staan alle regels voor het
-	  blokkeren van ongewenste pakketten eerst om twee redenen.
-	  Als eerste kan het zo zijn dat wat er wordt geblokkeerd
-	  later toegestaan zou worden door regels die diensten
-	  toestaan.  De tweede reden is dat nu ongewenste pakketten
+	<para>In het onderdeel Inkomend staan als eerste alle regels voor het
+	  blokkeren van ongewenste pakketten, om twee redenen.
+	  Als eerste kan het zo zijn dat kwaadaardige pakketten gedeeltelijk
+	  overeenkomen met legitiem verkeer.  Deze regels moeten worden
+	  geblokkeerd in plaats van te worden binnengelaten, gebasserd op hun
+	  gedeeltelijke overeenkomst met <literal>allow</literal>-regels.
+	  De tweede reden is dat nu ongewenste pakketten
 	  die vaak voorkomen en die bij voorkeur niet in de logboeken
 	  voorkomen niet meer van toepassing zijn op de laatste regel
 	  van het onderdeel waarin ze zouden worden gelogd.  Met de
@@ -3025,15 +3030,15 @@
 	  bewijsmateriaal zijn in een zaak tegen iemand die heeft
 	  geprobeerd een systeem aan te vallen.</para>
 
-	<para>Voor al het verkeer dat wordt geweigerd wordt geen
-	  antwoord gestuurd.  Die pakketten verdwijnen gewoon.  Zo
-	  weet een aanvaller niet of een pakket het doelsysteem wel
+	<para>Iets waarop u ook moet letten is dat voor al het verkeer dat wordt
+	  geweigerd geen antwoord wordt gestuurd.  Die pakketten verdwijnen
+	  gewoon.  Zo weet een aanvaller niet of een pakket het doelsysteem wel
 	  heeft bereikt.  Zo kan een aanvaller geen informatie
 	  verzamelen over een systeem: hoe minder informatie er over
 	  een systeem beschikbaar is, hoe veiliger het is.  Als er
-	  pakketten gelogd worden waarvan de beheerder het poortnummer
-	  niet herkent, dan is de functie van dat poortnummer na te
-	  zoeken in <filename>/etc/services</filename> of op <ulink
+	  pakketten gelogd worden met een onbekend poortnummer, dan is de
+	  functie van dat poortnummer na te zoeken in
+	  <filename>/etc/services</filename> of op <ulink
 	    url="http://www.securitystats.com/tools/portsearch.php"></ulink>.
 	  Op de volgende link worden poortnummers van Trojans
 	  beschreven: <ulink
@@ -3043,43 +3048,43 @@
       <sect3>
 	<title>Voorbeeld van een set inclusieve regels</title>
 
-	<para>Het volgende voorbeeld is een complete inclusieve set
+	<para>Het volgende voorbeeld is een complete inclusieve verzameling van
 	  regels die geen gebruik maakt van <acronym>NAT</acronym>.
-	  Deze set met regels is een aanrader en eenvoudig aan te
-	  passen door commentaar te maken van een regel voor een
-	  dienst die niet gewenst is.  Logberichten die niet gewenst
-	  zijn, zijn uit te sluiten door ze met een regel te
-	  blokkeren in het begin van het onderdeel Inkomend.  Voor de
-	  onderstaande regels dient de <devicename>dc0</devicename>
-	  interfacenaam in iedere regel vervangen te worden door de
-	  interfacenaam van de netwerkkaart in het systeem die met
+	  Deze verzameling van regels is veilig om deze regels op uw eigen
+	  systemen te gebruiken.  Dit kan door commentaar te maken van een
+	  <literal>pass</literal>-regel voor een dienst die niet gewenst is.
+	  Logberichten die niet gewenst zijn, zijn uit te sluiten door een
+	  <literal>deny</literal>-regel toe te voegen aan het onderdeel
+	  Inkomend.  Voor de onderstaande regels dient de interfacenaam
+	  <devicename>dc0</devicename> in iedere regel vervangen te worden door
+	  de interfacenaam van de netwerkkaart in het systeem die met
 	  het publieke Internet is verbonden.  Voor gebruikers van
-	  PPP zou dat <devicename>tun0</devicename> zijn.</para>
+	  <acronym>PPP</acronym> zou dat <devicename>tun0</devicename>
+	  zijn.</para>
 
-	<para>Er zit een structuur in de regels:</para>
+	<para>Er zit een merkbare structuur in het gebruik van deze
+	  regels:</para>
 
 	<itemizedlist>
 	  <listitem>
-	    <para>Alle regels die controleren op het verzoek voor het
-	      opzetten van een sessie gebruiken
-	      <parameter>keep&ndash;state</parameter>.</para>
+	    <para>Alle regels die een verzoek zijn voor het opzetten van een
+		sessie gebruiken <literal>keep&ndash;state</literal>.</para>
 	  </listitem>
 
 	  <listitem>
-	    <para>Alle diensten die vanaf Internet bereikbaar zijn
-	      gebruiken <parameter>limit</parameter> om
-	      <quote>flooding</quote> te voorkomen.</para>
+	    <para>Alle diensten die vanaf Internet bereikbaar zijn gebruiken de
+	      optie <literal>limit</literal> om <quote>flooding</quote> te
+	      voorkomen.</para>
 	  </listitem>
 
 	  <listitem>
-	    <para>Alle regels gebruiken <parameter>in</parameter> of
-	      <parameter>out</parameter> om de richting aan te
-	      geven.</para>
+	    <para>Alle regels gebruiken <literal>in</literal> of
+	      <literal>out</literal> om de richting aan te geven.</para>
 	  </listitem>
 
 	  <listitem>
-	    <para>Alle regels gebruiken <parameter>via
-	      interfacenaam</parameter> om aan te geven op welke
+	    <para>Alle regels gebruiken <literal>via</literal>
+	      <replaceable>interfacenaam</replaceable> om aan te geven op welke
 	      interface de regel van toepassing is.</para>
 	  </listitem>
 	</itemizedlist>
@@ -3194,7 +3199,7 @@
 &dollar;cmd 00315 deny tcp from any to any 113 in via &dollar;pif
 
 # Blokkeer alle Netbios diensten. 137=naam, 138=datagram, 139=sessie.
-# Netbios is de Windows® bestandsdeeldienst.
+# Netbios is de Windows&reg; bestandsdeeldienst.
 # Blokkeer Windows hosts2 name server verzoeken 81.
 &dollar;cmd 00320 deny tcp from any to any 137 in via &dollar;pif
 &dollar;cmd 00321 deny tcp from any to any 138 in via &dollar;pif
@@ -3249,8 +3254,8 @@
 	<para>Om <acronym>NAT</acronym> met IPFW te gebruiken moeten
 	  een extra aantal instellingen gemaakt worden.  In het
 	  instellingenbestand voor de kernel moet <literal>option
-	  IPDIVERT</literal> toegevoegd worden aan de andere
-	  IPFIREWALL opties.</para>
+	    IPDIVERT</literal> toegevoegd worden aan de andere opties van
+	  IPFIREWALL.</para>
 
 	<para>Naast de normale IPFW opties in
 	  <filename>/etc/rc.conf</filename> zijn de volgende
@@ -3260,18 +3265,18 @@
 natd_interface="rl0"                # interfacenaam voor de publieke Internet NIC
 natd_flags="&ndash;dynamic &ndash;m"            # &ndash;m = behoud poortnummers als mogelijk</programlisting>
 
-	<para>Stateful regels samen met de
-	  <parameter>divert</parameter> natd regel gebruiken maakt
-	  het schrijven van regels veel gecompliceerder.  De plaats
-	  van de regels met <parameter>check&ndash;state</parameter>
-	  en <parameter>divert natd</parameter> zijn van kritiek
+	<para>Stateful regels samen met de regel
+	  <literal>divert natd</literal> (Network Address Translation) gebruiken
+	  maakt het schrijven van regels veel gecompliceerder.  De plaats
+	  van de regels met <literal>check&ndash;state</literal>
+	  en <literal>divert natd</literal> zijn van kritiek
 	  belang.  De logica bestaat niet langer uit het eenvoudigweg
 	  van boven naar beneden doorwerken van de regels.  Er wordt
 	  dan ook een nieuw type actie gebruik:
-	  <parameter>skipto</parameter>.  Bij het gebruik van
-	  <parameter>skipto</parameter> is het verplicht iedere regel
+	  <literal>skipto</literal>.  Bij het gebruik van
+	  <literal>skipto</literal> is het verplicht iedere regel
 	  te nummeren zodat duidelijk is waar een
-	  <parameter>skipto</parameter> precies heen springt.</para>
+	  <literal>skipto</literal> precies heen springt.</para>
 
 	<para>Hieronder staat een groep regels zonder commentaar
 	  waarin een manier om pakketten door de groep regels te
@@ -3280,58 +3285,55 @@
 	<para>De verwerking begint met de eerste regel en er wordt
 	  steeds een volgende regel gecontroleerd tot het einde
 	  wordt bereikt of totdat een regel op het gecontroleerde
-	  pakket van toepassing is, op dat pakket wordt toegepast
-	  en de verwerking van regels daardoor stopt.  In het
-	  voorbeeld zijn de regels 100, 101, 450, 500, en 510 van
-	  belang.  Die regels regelen de vertaling van inkomende en
+	  pakket van toepassing is, en het pakket uit de firewall wordt
+	  vrijgelaten.  In het voorbeeld zijn de regels 100, 101, 450, 500, en
+	  510 van belang.  Die regels regelen de vertaling van inkomende en
 	  uitgaande pakketten zodat er in de tabel met de
-	  dynamische <parameter>keep&ndash;state</parameter> regels
-	  altijd het private <acronym>IP</acronym> adres staat.
+	  dynamische <literal>keep&ndash;state</literal>-regels
+	  altijd het private <acronym>IP</acronym>-adres staat.
 	  Daarnaast is het van belang op te merken dat er in alle
-	  <parameter>allow</parameter> en
-	  <parameter>deny</parameter> regels de richting van het
-	  pakket wordt gecontroleerd (inkomend of uitgaand) en over
-	  welke interface het pakket gaat.  Merk ook op dat alle
+	  <literal>allow</literal>- en <literal>deny</literal>-regels de
+	  richting van het pakket wordt gecontroleerd (inkomend of uitgaand) en
+	  over welke interface het pakket gaat.  Merk ook op dat alle
 	  uitgaande verzoeken voor het starten van een sessie met
-	  een <parameter>skipto</parameter> naar regel 500 gaan voor
+	  een <literal>skipto</literal> naar regel 500 gaan voor
 	  <acronym>NAT</acronym>.</para>
 
 	<para>Stel dat een gebruiker zijn webbrowser gebruikt om een
-	  webpagina op te halen.  Webpagina's gebruiken poort 80 voor
-	  communicatie.  Er komt een pakket de firewall binnen dat
-	  niet past bij regel 100 omdat het naar buiten gaat en niet
-	  naar binnen.  Het komt voorbij regel 101 omdat dit het
-	  eerste pakket is en er dus nog niets voor in de dynamische
-	  keep-state tabel staat.  Als het pakket bij 125 aankomt
+	  webpagina op te halen.  Webpagina's worden over poort 80 verzonden.
+	  Er komt een pakket de firewall binnen dat niet past bij regel 100
+	  omdat het naar buiten gaat en niet naar binnen.  Het komt voorbij
+	  regel 101 omdat dit het eerste pakket is en er dus nog niets over in
+	  de dynamische keep-state tabel staat.  Als het pakket bij 125 aankomt
 	  blijkt het te passen bij die regel.  Het gaat naar buiten
 	  door de interface aan het publieke Internet.  Het pakket
-	  heeft dan nog steeds het bron <acronym>IP</acronym> adres
+	  heeft dan nog steeds het bron-<acronym>IP</acronym>-adres
 	  van het private LAN.  Als blijkt dat deze regel geldt, dan
 	  gebeuren er twee dingen: door
-	  <parameter>keep&ndash;state</parameter> wordt er een regel
+	  <literal>keep&ndash;state</literal> wordt er een regel
 	  in de dynamische keep&ndash;state tabel gezet en wordt de
 	  aangegeven actie uitgevoerd.  De actie is onderdeel van de
 	  informatie uit de dynamische tabel.  In dit geval is het
-	  <literal>skipto 500</literal>.  In regel 500 wordt
-	  <acronym>NAT</acronym> op het <acronym>IP</acronym> adres
-	  van het pakket toegepast en dan kan het weg.  Het volgende
+	  <literal>skipto rule 500</literal>.  In regel 500 wordt
+	  <acronym>NAT</acronym> op het <acronym>IP</acronym>-adres
+	  van het pakket toegepast en dan kan het weg.  Dit
 	  is van groot belang.  Dit pakket komt aan op zijn
-	  bestemming en als er een antwoord terug komt, dan begint de
-	  verwerking van dat pakket weer van voor af aan.  Nu voldoet
+	  bestemming en als er een pakket als antwoord terug komt, dan begint de
+	  verwerking van het antwoordpakket weer van voor af aan.  Nu voldoet
 	  het aan regel 100 en dus wordt het bestemmingsadres
-	  vertaald naar het bijbehorende <acronym>IP</acronym> adres
+	  vertaald naar het bijbehorende <acronym>IP</acronym>-adres
 	  op het LAN.  Daarna past het bij de
-	  <parameter>check&ndash;state</parameter> regel en wordt een
+	  <literal>check&ndash;state</literal>-regel en wordt een
 	  vermelding in de tabel gevonden wat betekent dat er een
 	  bestaande sessie is en wordt het doorgelaten naar het LAN.
 	  Het gaat dan naar de PC op het LAN die als eerste een
 	  pakket heeft verzonden en die verstuurt een nieuw pakket
-	  met de vraag om een volgend segment met data naar de
+	  met de vraag om een volgend segment met gegevens naar de
 	  server.  Nu blijkt bij controle van de
-	  <parameter>check&ndash;state</parameter> regel dat die op
+	  <literal>check&ndash;state</literal>-regel dat die op
 	  het pakket van toepassing moet zijn en er staat een
 	  vermelding in de tabel voor uitgaand verkeer.  Daarom wordt
-	  de bijbehorende actie <parameter>skipto 500</parameter>
+	  de bijbehorende actie <literal>skipto rule 500</literal>
 	  uitgevoerd.  Het pakket springt naar regel 500, er wordt
 	  <acronym>NAT</acronym> op toegepast en het kan zijn weg
 	  vervolgen.</para>
@@ -3339,27 +3341,27 @@
 	<para>Wat betreft binnenkomende pakketten wordt alles dat
 	  onderdeel is van een bestaande sessie automatisch
 	  afgehandeld door de
-	  <literal>check&ndash;state</literal> regel en de juist
-	  geplaatste <literal>divert natd</literal> regels.  Nu hoeven
-	  alleen de foute pakketten nog geweigerd te worden en moet
-	  ondersteuning voor inkomende diensten ingesteld worden.  In
-	  dit geval draait er een Apache server op de gateway machine
+	  <literal>check&ndash;state</literal>-regel en de correct
+	  geplaatste <literal>divert natd</literal>-regels.  Nu hoeven
+	  alleen de foute pakketten nog geweigerd te worden en moeten
+	  de inkomende diensten doorgelaten worden.  In
+	  dit geval draait er een Apache server op de firewall-machine
 	  die vanaf Internet bereikbaar moet zijn.  Het nieuwe
 	  inkomende pakket past bij regel 100 en het
-	  <acronym>IP</acronym> adres wordt aangepast aan het interne
-	  <acronym>IP</acronym> adres van de gateway machine.  Dat
+	  <acronym>IP</acronym>-adres wordt aangepast aan het interne
+	  <acronym>IP</acronym>-adres van de firewall-machine.  Dat
 	  pakket wordt dan gecontroleerd op alle ongewenste
 	  eigenschappen en komt uiteindelijk aan bij regel 425 die
 	  van toepassing blijkt te zijn.  In dat geval kunnen er twee
 	  dingen gebeuren: de pakketregel wordt in de dynamische
 	  keep&ndash;state tabel gezet, maar nu wordt het aantal nieuwe
-	  sessies dat van het bron <acronym>IP</acronym> adres komt
-	  gelimiteerd tot twee.  Dit is een bescherming tegen DoS
-	  aanvallen op de dienst die op dat poortnummer wordt
-	  aangeboden.  De actie is <literal>allow</literal>, dus het
-	  pakket wordt tot het LAN toegelaten.  Voor het antwoord
-	  herkent de <literal>check&ndash;state</literal> regel dat het
-	  pakket bij een bestaande sessie hoort, stuurt het naar regel
+	  sessies dat van het bron <acronym>IP</acronym>-adres komt
+	  gelimiteerd tot twee.  Dit is een bescherming tegen DoS-aanvallen
+	  op de dienst die op dat poortnummer wordt aangeboden.  De actie is
+	  <literal>allow</literal>, dus het pakket wordt tot het LAN toegelaten.
+	  Voor het pakket dat als antwoord wordt verstuurd herkent de
+	  <literal>check&ndash;state</literal> regel dat het
+	  pakket bij een bestaande sessie hoort.  Het stuurt het naar regel
 	  500 voor <acronym>NAT</acronym> en stuurt het via de
 	  uitgaande interface weg.</para>
 
@@ -3503,8 +3505,8 @@
 
 #################################################################
 # Interface aan het publieke Internet (onderdeel Inkomend).
-# Inspecteert pakketten die van het publieke Internet komen
-# met als bestemming de host zelf of het private netwerk.
+# Inspecteert pakketten die van het publieke Internet komen met
+# als bestemming deze gatweay-server zelf of het private netwerk.
 #################################################################
 
 # Blokkeer al het verkeer voor niet-routeerbare of gereserveerde


More information about the p4-projects mailing list