PERFORCE change 162172 for review
Gabor Pali
pgj at FreeBSD.org
Sat May 16 18:58:42 UTC 2009
http://perforce.freebsd.org/chv.cgi?CH=162172
Change 162172 by pgj at petymeg on 2009/05/16 18:57:49
MFen (doc):
1.86 -> 1.87 hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml
Affected files ...
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 edit
Differences ...
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#16 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml
- %SRCID% 1.86
+ %SRCID% 1.87
-->
<chapter id="firewalls" lang="hu">
@@ -155,19 +155,38 @@
Csak azt a forgalmat engedik át, amirõl van
szabály és minden mást blokkolnak.</para>
- <para>Az inkluzív tûzfalak általában
- biztonságosabbak az exkluzív
- társaiknál, mivel esetükben jelentõs
- mértékben visszaszorul a nem kívánatos
- átfolyó forgalom.</para>
+ <para>Az inkluzív tûzfalak alkalmazásával
+ sokkal jobban kezünkbentudjuk tartani a
+ hálózatunk kimenõ forgalmát,
+ ezért leginkább az internetes
+ szolgáltatásokat futtató rendszerek
+ esetében bizonyulhat jobb választásnak.
+ Emellett az internetrõl a hálózatunk
+ felé irányuló forgalmat is képes
+ szabályozni. Ekkor az egyetlen szabályra sem
+ illeszkedõ csomagokat egyszerûen eldobjuk és
+ naplózzuk. Az inkluzív tûzfalak
+ általában biztonságosabbak az exkluzív
+ típusú társaiknál, mivel
+ esetükben jelentõs mértékben visszaszorul
+ a nem kívánatos átfolyó
+ forgalom.</para>
+
+ <note>
+ <para>Hacsak nem emeljük ki külön, a fejezet
+ további részében minden
+ példaként megadott szabályrendszer
+ inkluzív tûzfalat hoz létre.</para>
+ </note>
<para>Ez a típusú védelem még
- tovább fokozható az <quote>állapottartó
- tûzfalak</quote> (stateful firewall)
- használatával. Ilyenkor a tûzfal szemmel
- tartja a rajta keresztül megnyitott kapcsolatokat, és
- vagy csak a már meglevõ kapcsolathoz tartozó
- forgalmat engedi át, vagy nyit egy újat. Az
+ tovább fokozható az
+ <quote>állapottartó tûzfalak</quote> (stateful
+ firewall) használatával. Az ilyen
+ típusú tûzfalak szemmel tartják a rajtuk
+ keresztül megnyitott kapcsolatokat, és vagy csak a
+ már meglevõ kapcsolathoz tartozó forgalmat
+ engedik át vagy nyitnak egy újat. Az
állapottartó tûzfalak hátránya,
hogy a <quote>Denial of Service</quote> (<acronym>DoS</acronym>)
típusú támadásokkal szemben sokkal
@@ -199,10 +218,10 @@
beépített csomagot tartalmaz: ez az &man.altq.4;
és a &man.dummynet.4;. Általában a Dummynet
az <acronym>IPFW</acronym>, míg az <acronym>ALTQ</acronym>
- a <acronym>PF</acronym> partnere. Az <acronym>IPFILTER</acronym>
- esetében maga az <acronym>IPFILTER</acronym> végzi a
- címfordítást és a szûrést,
- a sávszélességet pedig az
+ a <acronym>PF</acronym> partnere. Az IPFILTER esetében
+ maga az IPFILTER végzi a címfordítást
+ és a szûrést, a
+ sávszélességet pedig az
<acronym>IPFW</acronym> a &man.dummynet.4;
<emphasis>vagy</emphasis> a <acronym>PF</acronym> az
<acronym>ALTQ</acronym> segítségével. Az
@@ -232,8 +251,7 @@
fejlécének bizonyos mezõinek alapján
dolgozik, ezért a tûzfal
szabályrendszerét megalkotó egyénnek
- teljesen tisztában kell lennie a
- <acronym>TCP</acronym>/<acronym>IP</acronym>
+ teljesen tisztában kell lennie a <acronym>TCP/IP</acronym>
mûködésével, továbbá azzal,
hogy ezekben a mezõkben milyen értékek
szerepelhetnek és ezeket hogyan használják
@@ -387,9 +405,9 @@
megoldásával párosítva így
akár hibatûrõ tûzfalak is
kialakíthatóak a <acronym>PF</acronym>-fel. A
- <acronym>CARP</acronym>-ról bõvebb
- ismertetést a kézikönyv <xref
- linkend="carp">e ad.</para>
+ <acronym>CARP</acronym> megoldásáról a
+ kézikönyvben bõvebb ismertetést a <xref
+ linkend="carp"> ad.</para>
<para>A <acronym>PF</acronym> rendszermag
konfigurációs beállításai a
@@ -592,10 +610,10 @@
<acronym>ALTQ</acronym> rendszert engedélyezi.</para>
<para>Az <literal>options ALTQ_CBQ</literal> engedélyezi a
- osztályozás alapú besorolást (Class
- Based Queuing, <acronym>CBQ</acronym>). A
- <acronym>CBQ</acronym> használatával a
- kapcsolatunkhoz tartozó
+ osztályozás alapú besorolást
+ (<emphasis>Class Based Queuing</emphasis>,
+ <acronym>CBQ</acronym>). A <acronym>CBQ</acronym>
+ használatával a kapcsolatunkhoz tartozó
sávszélességet
különbözõ osztályokra vagy sorokra
tudjuk bontani és a szûrési
@@ -603,17 +621,18 @@
segítségükkel a forgalmat.</para>
<para>Az <literal>options ALTQ_RED</literal> a véletlen
- korai észlelés (Random Early Detection,
- <acronym>RED</acronym>) használatát
- engedélyezi. A <acronym>RED</acronym> a
- hálózati forgalomban keletkezõ
- torlódások elkerülésére
- alkalmas. A <acronym>RED</acronym> ezt a
- problémát úgy oldja meg, hogy méri a
- sorok hosszát és összeveti a
- hozzátartozó minimális és
- maximális küszöbértékekkel. Ha a
- sor hossza meghaladja a számára elõírt
+ korai észlelés (<emphasis>Random Early
+ Detection</emphasis>, <acronym>RED</acronym>)
+ használatát engedélyezi. A
+ <acronym>RED</acronym> a hálózati forgalomban
+ keletkezõ torlódások
+ elkerülésére alkalmas. A
+ <acronym>RED</acronym> ezt a problémát úgy
+ oldja meg, hogy méri a sorok hosszát és
+ összeveti a hozzátartozó minimális
+ és maximális
+ küszöbértékekkel. Ha a sor hossza
+ meghaladja a számára elõírt
maximális értéket, akkor az új
csomagokat eldobja. Nevéhez hûen a
<acronym>RED</acronym> az eldobásra ítélt
@@ -627,18 +646,19 @@
<para>Az <literal>options ALTQ_HFSC</literal> a pártatlan
hierachikus szolgáltatási görbe alapú
- csomagütemezõt (Hierarchical Fair Service Curve Packet
- Scheduler, <acronym>HFSC</acronym>) engedélyezi. Vele
- kapcsolatban a <ulink
- url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>
+ csomagütemezõt (<emphasis>Hierarchical Fair Service
+ Curve Packet Scheduler</emphasis>, <acronym>HFSC</acronym>)
+ engedélyezi. Vele kapcsolatban a <ulink
+ url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>
címen találhatunk bõvebben
olvasnivalót (angolul).</para>
<para>Az <literal>options ALTQ_PRIQ</literal> a prioritásos
- besorolást (Priority Queuing, <acronym>PRIQ</acronym>)
- teszi elérhetõvé. A <acronym>PRIQ</acronym>
- mindig elsõként a nagyobb értékû
- sorban levõ forgalmat továbbítja.</para>
+ besorolást (<emphasis>Priority Queuing</emphasis>,
+ <acronym>PRIQ</acronym>) teszi elérhetõvé. A
+ <acronym>PRIQ</acronym> mindig elsõként a nagyobb
+ értékû sorban levõ forgalmat
+ továbbítja.</para>
<para>Az <literal>options ALTQ_NOPCC</literal> az
<acronym>ALTQ</acronym> <acronym>SMP</acronym>, vagyis
@@ -657,11 +677,6 @@
<secondary>IPFILTER</secondary>
</indexterm>
- <note>
- <para>Ez a szakasz fejlesztés alatt áll. Ennek
- megfelelõen a tartalma nem minden esetben pontos.</para>
- </note>
-
<para>Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem
kötõdik egyik rendszerhez sem: ez egy olyan nyílt
forráskódú alkalmazás, amelyet
@@ -700,10 +715,10 @@
drámai mértékben
korszerûsítették a szabályok
feldolgozásának elvét. Az IPF hivatalos
- dokumentációja tartalmazza a régi
- szabályok létrehozását és azok
- feldolgozásának leírását. A
- korszerûsített funkciók csak
+ dokumentációja csak a régi szabályok
+ létrehozását és azok
+ feldolgozásának leírását
+ tartalmazza. A korszerûsített funkciók csak
kiegészítésképpen jelennek meg,
és az általuk felkínált
elõnyök megértése egy sokkal magasabb
@@ -718,34 +733,20 @@
tûzfalszabályok létrehozásának
alapjai.</para>
- <para>Az inkluzív tûzfalak csak olyan csomagokat
- engednek keresztül, amelyek megfelelnek a
- szabályoknak. Ezen módon képesek vagyunk
- megmondani, hogy a tûzfal mögül milyen
- szolgáltatások érhetõek el az interneten
- és segítségével azt is megadhatjuk,
- hogy az internetrõl a belsõ hálózatunkon
- milyen szolgáltatásokat érhetnek el. A
- tûzfal alapból minden mást visszautasít
- és naplóz. Az inkluzív tûzfalak sokkal,
- de sokkal megbízhatóbbak az exkluzív
- tûzfalaknál, ezért itt most csak ilyenekkel
- foglalkozunk.</para>
-
<para>A régi típusú szabályokról
a <ulink
- url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
+ url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
és <ulink
- url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>
+ url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>
címeken olvashatunk (angolul).</para>
<para>Az IPF gyakran ismételt kérdései a <ulink
- url="http://www.phildev.net/ipf/index.html"></ulink> címen
+ url="http://www.phildev.net/ipf/index.html"></ulink> címen
érhetõek el (angolul).</para>
<para>A nyílt forrású IPFILTER
levelezési lista kereshetõ archívumait a <ulink
- url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>
+ url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>
címen találjuk (angolul).</para>
<sect2>
@@ -881,8 +882,8 @@
<indexterm><primary><command>ipf</command></primary></indexterm>
- <para>Az <command>ipf</command> parancs használható
- a szabályokat tartalmazó állomány
+ <para>Az &man.ipf.8; parancs használható a
+ szabályokat tartalmazó állomány
betöltésére. Általában egy
állományba írjuk össze a tûzfal
szabályait és ezzel a paranccsal
@@ -1049,7 +1050,7 @@
<para>Az <command>ipmon</command> megfelelõ
mûködéséhez be kell kapcsolnunk a
- rendszermag IPFILTER_LOG
+ rendszermag <literal>IPFILTER_LOG</literal>
beállítását. Ez a parancs
két különbözõ módban
használható. Ha parancsot a <option>-D</option>
@@ -1065,7 +1066,7 @@
&os; beépítve tartalmaz olyan
lehetõséget, aminek révén
magától cseréli a rendszernaplókat.
- Ezért ha átküldjük a syslogd
+ Ezért ha átküldjük a &man.syslogd.8;
démonnak a naplózandó üzeneteket,
akkor sokkal jobban járunk, mintha egyszerûen csak
mezei állományba naplóznánk. Az
@@ -1141,12 +1142,13 @@
<screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen>
- <para>A syslog mûködését az
+ <para>A &man.syslogd.8; mûködését az
<filename>/etc/syslog.conf</filename> állományban
szereplõ definíciók vezérlik. A
<filename>syslog.conf</filename> állomány
számottevõ mértékben képes
- meghatározni azt, ahogy a syslog az IPF és a
+ meghatározni azt, ahogy a
+ <application>syslog</application> az IPF és a
hozzá hasonló alkalmazásoktól kapott
rendszerszintû üzeneteket kezeli.</para>
@@ -1167,8 +1169,8 @@
újraindítjuk a
számítógépet vagy az
<command>/etc/rc.d/syslogd reload</command> paranccsal
- megkérjük a syslog programot, hogy olvassa
- újra az <filename>/etc/syslog.conf</filename>
+ megkérjük a &man.syslogd.8; démont, hogy
+ olvassa újra az <filename>/etc/syslog.conf</filename>
állományt.</para>
<para>Az imént létrehozott naplót ne
@@ -1203,7 +1205,7 @@
</listitem>
<listitem>
- <para>Annak a felületnek a neve, ahol a csomag
+ <para>Azon interfész a neve, ahol a csomag
feldolgozásra került, például
<devicename>dc0</devicename></para>
</listitem>
@@ -1295,8 +1297,9 @@
következõ példában
láthatjuk.</para>
- <para>Az itt alkalmazott felírás kompatibilis az sh,
- csh és tcsh parancsértelmezõkkel.</para>
+ <para>Az itt alkalmazott felírás kompatibilis az
+ &man.sh.1;, &man.csh.1; és &man.tcsh.1;
+ parancsértelmezõkkel.</para>
<para>A szimbolikus helyettesítést egy
dollárjellel fejezzük ki:
@@ -1314,7 +1317,7 @@
<programlisting>######### Az IPF szabályait tartalmazó szkript eleje ###########
-oif="dc0" # a kimenõ felület neve
+oif="dc0" # a kimenõ interfész neve
odns="192.0.2.11" # az internet szolgáltató névszerverének IP-címe
myip="192.0.2.7" # a szolgáltatótól kapott statikus IP-címünk
ks="keep state"
@@ -1389,7 +1392,8 @@
állományba.</para>
<para>Tegyünk egy, az alábbi szkripthez
- hasonlót az <filename>/usr/local/etc/rc.d/</filename>
+ hasonlót az <filename
+ class="directory">/usr/local/etc/rc.d/</filename>
könyvtárba. A szkriptnek adjuk valamilyen
értelmes nevet, például
<filename>ipf.loadrules.sh</filename>. Az
@@ -1416,24 +1420,29 @@
<sect2>
<title>Szabályrendszerek az IPF-ben</title>
- <para>Az ipf esetében a szabályrendszer olyan
+ <para>Az IPF esetében a szabályrendszer olyan
szabályokból áll, amelyek a
csomagokról tartalmuk alapján eldöntik, hogy
át kell engedni vagy vissza kell tartani. A gépek
közt két irányban áramló
csomagok egy munkamenet alapú társalgást
- képeznek. A tûzfal szabályrendszere minden
- csomagot kétszer dolgoz fel: egyszer, amikor befut az
- internetrõl, illetve még egyszer, amikor
- visszatér az internetre. Mindegyik TCP/IP
- szolgáltatást (például telnet, www,
- levelezés stb.) elõre meghatározza a
- hozzátartozó protokoll, cél és
- forrás IP-cím vagy port. Ez az alapja a
- szolgáltatások
- engedélyezésérõl vagy
- tiltásáról szóló
- szabályok megfogalmazásának.</para>
+ képeznek. A tûzfalhoz tartozó
+ szabályrendszer egyaránt feldolgozza a
+ internetrõl a hálózatunk felé
+ igyekvõ csomagokat, illetve a hálózatunk
+ ezekre adott válaszait. Az egyes
+ <acronym>TCP/IP</acronym> szolgáltatásokat (mint
+ például telnet, www, levelezés stb.) a
+ hozzájuk tartozó protokol és
+ szabványos (fogadó) portszám írja
+ le. Ezekre a forrásról általában
+ valamilyen nem szabványos (magasabb
+ értékû) portról érkeznek
+ csomagok. Ekkor a kommunikáció összes
+ paramétere (vagyis a portok és címek)
+ bármelyike alapján definiálhatunk
+ blokkolást vagy továbbengedést
+ leíró szabályokat.</para>
<indexterm>
<primary>IPFILTER</primary>
@@ -1462,20 +1471,6 @@
létrehozásának egyik
alapeszköze.</para>
- <para>Az inkluzív tûzfalak csak olyan
- szolgáltatásokat engednek át, amelyek
- megfelelnek valamelyik szabálynak. Ezzel
- lényegében meg tudjuk adni, hogy milyen
- szolgáltatások érhetõek el a
- tûzfal mögül az internet felé, valamint az
- internetrõl a magánhálózatunkon. A
- tûzfal minden mást elutasít és
- alapértelmezés szerint naplóz. Az
- inkluzív tûzfalak sokkal, de sokkal
- biztonságosabbak az exkluzív
- tûzfalaknál, ezért itt most csak ezzel az
- egyetlen típussal foglalkozunk.</para>
-
<warning>
<para>A tûzfal szabályainak
összeállítása során
@@ -1540,7 +1535,7 @@
<para><replaceable>BE-KI</replaceable> = in | out</para>
<para><replaceable>OPCIÓK</replaceable> = log | quick | on
- <replaceable>felületnév</replaceable></para>
+ <replaceable>interfész</replaceable></para>
<para><replaceable>SZÛRÉS</replaceable> = proto
<replaceable>érték</replaceable> |
@@ -1595,20 +1590,19 @@
esetében kötelezõ egyértelmûen
nyilatkozunk arról, hogy a bemenõ vagy a
kimenõ forgalomra vonatkozik. Ezért a
- következõ kulcsszó vagy az <quote>in</quote>
- vagy pedig az <quote>out</quote>, de közülük
- egyszerre csak az egyiket szabad használni,
- máskülönben a szabály hibásnak
- minõsül.</para>
+ következõ kulcsszó vagy az
+ <literal>in</literal> vagy pedig az <literal>out</literal>, de
+ közülük egyszerre csak az egyiket szabad
+ használni, máskülönben a
+ szabály hibásnak minõsül.</para>
<para>Az <literal>in</literal> jelenti, hogy a szabályt
- az internet felõl az adott felületen
+ az internet felõl az adott interfészen
beérkezõ csomagokra kell alkalmazni.</para>
<para>Az <literal>out</literal> jelenti, hogy a szabályt
- az internet felé az adott felületen
+ az internet felé az adott interfészen
kiküldött csomagokra kell alkalmazni.</para>
-
</sect3>
<sect3>
@@ -1640,10 +1634,10 @@
<para>Az <literal>on</literal> használatával a
szûrés feltételei közé
bevonhatjuk a csomaghoz tartozó hálózati
- felületet. Itt a felületek az &man.ifconfig.8;
- által megjelenített formában
- adhatóak meg. Az opció
- megadásával csak az adott felületen az
+ interfészt. Itt az interfészek az
+ &man.ifconfig.8; által megjelenített
+ formában adhatóak meg. Az opció
+ megadásával csak az adott interfészen az
adott irányba (befelé/kifelé)
közlekedõ csomagokra fog illeszkedni a
szabály. Ez az opció a
@@ -1652,12 +1646,12 @@
nélkülözhetetlen.</para>
<para>Amikor naplózunk egy csomagot, akkor a
- hozzátartozó fejléc az IPL
- csomagnaplózó pszeudo eszközhöz
- kerül. A log kulcsszó után
- közvetlenül a következõ
- minõsítõk szerepelhetnek (a
- következõ sorrendben):</para>
+ hozzátartozó fejléc az
+ <acronym>IPL</acronym> csomagnaplózó pszeudo
+ eszközhöz kerül. A <literal>log</literal>
+ kulcsszó után közvetlenül a
+ következõ minõsítõk szerepelhetnek
+ (a következõ sorrendben):</para>
<para>A <literal>body</literal> jelzi, hogy a csomag
tartalmának elsõ 128 byte-ját még
@@ -1665,13 +1659,12 @@
<para>A <literal>first</literal> minõsítõt
akkor érdemes használnunk, amikor a
- <literal>log</literal> kulcsszót a <quote>keep
- state</quote> opcióval együtt alkalmazzuk, mivel
+ <literal>log</literal> kulcsszót a <literal>keep
+ state</literal> opcióval együtt alkalmazzuk, mivel
ilyenkor csak a szabályt kialakító csomag
kerül naplózásra és nem minden
olyan, ami illeszkedik az állapottartási
feltételekre.</para>
-
</sect3>
<sect3>
@@ -1732,15 +1725,17 @@
felépítése: a <literal>from</literal>
és <literal>to</literal> kulcsszavak az IP-címek
illesztésére használhatóak.
- Ilyenkor a szabályokban a forrás ÉS a
- cél paramétereknek is szerepelniük kell.
- Az <literal>any</literal> egy olyan speciális
+ Ilyenkor a szabályokban a forrás
+ <emphasis>és</emphasis> a cél
+ paramétereknek is szerepelniük kell. Az
+ <literal>any</literal> egy olyan speciális
kulcsszó, amely tetszõleges IP-címre
illeszkedik. Néhány példa az
- alkalmazására: <quote>from any to any</quote>
- vagy <quote>from 0.0.0.0/0 to any</quote>, <quote>from any to
- 0.0.0.0/0</quote>, <quote>from 0.0.0.0/0 to any</quote> vagy
- <quote>from any to 0.0.0.0</quote>.</para>
+ alkalmazására: <literal>from any to
+ any</literal> vagy <literal>from 0.0.0.0/0 to any</literal>,
+ <literal>from any to 0.0.0.0/0</literal>, <literal>from
+ 0.0.0.0/0 to any</literal> vagy <literal>from any to
+ 0.0.0.0</literal>.</para>
<para>Az IP-címek megadhatóak pontozott numerikus
formában a hálózati maszk bitekben
@@ -1749,12 +1744,16 @@
<para>Nincs lehetõség olyan
IP-címtartományok illesztésére,
- amelyek nem adhatóak meg kényelmesen a maszk
- hosszával. A hálózati maszkok
- hosszának megállapításban
- segíthet a következõ (angol nyelvû)
- honlap: <ulink url="http://jodies.de/ipcalc"></ulink>.</para>
-
+ amelyek nem adhatóak meg kényelmesen ponttal
+ elválasztott számok és maszk
+ hosszával. A <filename
+ role="package">net-mgmt/ipcalc</filename> port az ilyen
+ számításokat könnyíti meg. A
+ hálózati maszkok hosszának
+ megállapításban segíthet az
+ említett segédprogram (angol nyelvû)
+ honlapja: <ulink
+ url="http://jodies.de/ipcalc"></ulink>.</para>
</sect3>
<sect3>
@@ -1769,18 +1768,19 @@
portok számát vagy az
<filename>/etc/services</filename> állományban
szereplõ nevüket. Amikor a port egy
- <quote>from</quote> típusú objektum
+ <literal>from</literal> típusú objektum
leírásában jelenik meg, akkor
automatikusan a forrásportot jelenti, míg a
- <quote>to</quote> objektum leírásában
+ <literal>to</literal> objektum leírásában
pedig a célportot. A <literal>to</literal>
objektumoknál a port megadása elengedhetetlen a
korszerûsített szabályfeldolgozás
elõnyeinek kihasználásához.
- Példa: <quote>from any to any port = 80</quote>.</para>
+ Példa: <literal>from any to any port =
+ 80</literal>.</para>
- <para>A portokat különbözõ mûveletek
- segítségével, numerikusan
+ <para>Az egyes portokat különbözõ
+ mûveletek segítségével, numerikusan
hasonlíthatjuk össze, ahol akár
porttartományt is megadhatunk.</para>
@@ -1799,7 +1799,6 @@
korszerûsített szabályfeldolgozás
mûködéséhez.</para>
</warning>
-
</sect3>
<sect3>
@@ -1884,7 +1883,7 @@
<para>Ami ilyenkor történik:</para>
- <para>Az internethez csatlakozó felületen
+ <para>Az internethez csatlakozó interfészen
keresztül kifelé haladó csomagokat
elõször egy dinamikus állapottábla
alapján illesztjük, és ha a csomag
@@ -1892,20 +1891,22 @@
következõként várt csomagra, akkor
átmegy a tûzfalon és a dinamikus
állapottáblában frissül a kapcsolat
- állapota, a fennmaradó csomagok pedig a
- kimenõ szabályrendszer szerint kerülnek
+ állapota. Az aktív munkameneten kívül
+ csomagok pedig egyszerûen a kimenõ
+ szabályrendszer szerint kerülnek
ellenõrzésre.</para>
<para>Hasonlóan az elõzõhöz, az internethez
- csatlakozó felületen keresztül befelé
- haladó csomagokat elõször egy dinamikus
- állapottábla alapján illesztjük,
- és ha a csomag illeszkedik az aktív kapcsolatban
- következõként várt csomagra, akkor
- átmegy a tûzfalon és a dinamikus
- állapottáblában frissül a kapcsolat
- állapota, a fennmaradó csomagok pedig a
- bejövõ szabályrendszer szerint kerülnek
+ csatlakozó interfészen keresztül
+ befelé haladó csomagokat elõször egy
+ dinamikus állapottábla alapján
+ illesztjük, és ha a csomag illeszkedik az
+ aktív kapcsolatban következõként
+ várt csomagra, akkor átmegy a tûzfalon
+ és a dinamikus állapottáblában
+ frissül a kapcsolat állapota. Az aktív
+ munkamenethez nem tartozó csomagok pedig egyszerûen
+ a bejövõ szabályrendszer szerint kerülnek
ellenõrzésre.</para>
<para>Amikor egy kapcsolat befejezõdik, automatikusan
@@ -1929,7 +1930,6 @@
nyújtani a behatolók részérõl
alkalmazott megannyi különbözõ
támadási módszer ellen.</para>
-
</sect2>
<sect2>
@@ -1942,67 +1942,82 @@
inkluzív tûzfalak csak a szabályainak
megfelelõ szolgáltatásokat engedik
keresztül, és alapértelmezés szerint
- minden mást blokkolnak. Minden tûzfal
- legalább két felülettel dolgozik, melyek
- mindegyikéhez írnunk kell szabályokat a
- tûzfal megfelelõ
- mûködéséhez.</para>
+ minden mást blokkolnak. Egy hálózat
+ gépeit védõ tûzfalnak, amelyet gyakran
+ <quote>hálózati tûzfalnak</quote> (network
+ firewall) is neveznek, legalább két
+ hálózati interfésszel kell rendelkeznie.
+ Ezeket az interfészeket általában
+ úgy állítják be, hogy
+ tökéletesen megbíznak az egyik oldalban (a
+ helyi hálózatban), a másikban (az
+ internetben) pedig egyáltalán nem. A
+ tûzfalat egyébként úgy is
+ beállíthatjuk, hogy csak a tûzfalat
+ mûködtetõ gépet védje — ezt
+ <quote>egyrendszeres tûzfalnak</quote> (host based
+ firewall) nevezik. Az ilyen típusú
+ megoldásokat nem biztonságos
+ hálózaton keresztül kommunikáló
+ szervereknél alkalmaznak.</para>
<para>Mindegyik &unix;-típusú rendszert,
köztük a &os;-t is úgy
alakították ki, hogy az operációs
rendszeren belüli kommunikáció az
- <devicename>lo0</devicename> felületen és a <hostid
- role="ipaddr">127.0.0.1</hostid> IP-címen keresztül
- történik. A tûzfal szabályai
- között feltétlenül szerepelniük kell
- olyanoknak, amelyek lehetõvé teszik ezen a
- speciális felületen a csomagok zavartalan
- mozgását.</para>
+ <devicename>lo0</devicename> interfészen és a
+ <hostid role="ipaddr">127.0.0.1</hostid> IP-címen
+ keresztül történik. A tûzfal
+ szabályai között feltétlenül
+ szerepelniük kell olyanoknak, amelyek lehetõvé
+ teszik ezen a speciális intefészen a csomagok
+ zavartalan mozgását.</para>
- <para>Az internetre csatlakozó felülethez kell
- rendelni a kifelé haladó forgalom
- hitelesítését és az internetrõl
- befelé irányuló
- hozzáférés vezérlését.
- Ez lehet a felhasználói PPP által
- létrehozott <devicename>tun0</devicename> felület
- vagy a DSL-, illetve kábelmodemhez csatlakozó
+ <para>Az internetre csatlakozó interfészhez kell
+ rendelni a kifelé és befelé haladó
+ forgalom hitelesítését é a
+ hozzáférésének
+ vezérlését. Ez lehet a
+ felhasználói PPP által létrehozott
+ <devicename>tun0</devicename> interfész vagy a DSL-,
+ illetve kábelmodemhez csatlakozó
hálózati kártya.</para>
<para>Ahol egy vagy több hálózati kártya
- is csatlakozik a tûzfal mögött elhelyezkedõ
- helyi magánhálózathoz, ott ezeket a
- felületeket úgy kell felvenni a tûzfal
- szabályai közé, hogy a helyi
- hálózaton zajló forgalmat ne
- akadályozzuk.</para>
+ is csatlakozik több különbözõ helyi
+ hálózathoz, úgy kell
+ beállítani a hozzájuk tartozó
+ interfészeket, hogy egymás felé és
+ az internet felé képesek legyenek küldeni
+ és fogadni.</para>
<para>A szabályokat elõször három nagy
- csoportba kell szerveznünk: az összes szabadon
- forgalmazó felület, az internet felé
- haladó kimenõ forgalom és az internet
- felõl befelé haladó forgalom.</para>
+ csoportba kell szerveznünk: elõször jönnek a
+ megbízható interfészek, ezeket követik
+ az internet felé mutató interfészek,
+ végül internet felõl jövõ, nem
+ megbízható interfészeke.</para>
<para>Az egyes csoportokban szereplõ szabályokat
úgy kell megadni, hogy közülük elõre
kerüljenek a leggyakrabban alkalmazottak, és a
csoport utolsó szabálya blokkoljon és
- naplózzon minden csomagot az adott felületen
+ naplózzon minden csomagot az adott interfészen
és irányban.</para>
<para>A kimenõ forgalomat vezérlõ
- szabályrendszer csak <quote>pass</quote> (tehát
- átengedõ) szabályokat tartalmazhat, amelyek
- bentrõl az interneten elérhetõ
- szolgáltatásokat azonosítják
- egyértelmûen. Az összes ilyen
- szabályban meg kell jelenni a <quote>quick</quote>,
- <quote>on</quote>, <quote>proto</quote>, <quote>port</quote>
- és <quote>keep state</quote>
- beállításoknak. A <quote>proto tcp</quote>
- szabályok esetében meg kell adni a
- <quote>flag</quote> opciót is, amivel fel tudjuk
+ szabályrendszer csak <literal>pass</literal>
+ (tehát átengedõ) szabályokat
+ tartalmazhat, amelyek bentrõl az interneten
+ elérhetõ szolgáltatásokat
+ azonosítják egyértelmûen. Az
+ összes ilyen szabályban meg kell jelenni a
+ <literal>quick</literal>, <literal>on</literal>,
+ <literal>proto</literal>, <literal>port</literal> és
+ <literal>keep state</literal>
+ beállításoknak. A <literal>proto
+ tcp</literal> szabályok esetében meg kell adni a
+ <literal>flag</literal> opciót is, amivel fel tudjuk
ismertetni a kapcsolatok keletkezését és
ezen keresztül aktiválni az
állapottartást.</para>
@@ -2010,53 +2025,57 @@
<para>A bejövõ forgalmat vezérlõ
szabályrendszerben elõször az eldobni
kívánt csomagokat kell megadni, aminek két
- eltérõ oka van. Elõször is a blokkolt
- elemek lehetnek egy egyébként szabályos
- csomag részei, amit a késõbbiekben a
- hitelesített szolgáltatások alapján
- beengedünk. Másodszor ezzel az olyan
- rendszertelenül érkezõ csomagokat tudjuk
- blokkolni, amelyeket nem akarunk a naplóban látni,
- mivel ilyenkor a csoport utolsójaként megadott
- blokkoló és naplózó
- szabályhoz már nem jut el. A csoport
- utolsó tagjaként megadott szabály blokkolja
- és naplózza az illétektelen
- hozzáféréseket, amit akár jogi
- bizonyítékként is felhasználhatunk a
- rendszerünket megtámadók ellen.</para>
+ eltérõ oka van. Elõször is
+ elõfordulhat, hogy a veszélyes csomagok
+ részleges illeszkedés miatt szabályosnak
+ tûnnek. Az ilyen csomagokat értelemszerûen nem
+ lenne szabad beengedni a szabályok részleges
+ megfelelése alapján. A másodszor az eleve
+ ismerten problémás és értelmetlen
+ csomagokat csendben el kellene vetni, mielõtt a szakaszhoz
+ tartozó utolsó szabály fogná meg
+ és naplózná. Ez az utolsó
+ szabály egyébként szükség
+ esetén felhasználható a
+ támadók elleni bizonyítékok
+ begyûjtésére.</para>
<para>A másik, amire még oda kell figyelnünk,
hogy a blokkolt csomagok esetében semmilyen válasz
- nem keletkezik, egyszerûen csak eltûnnek. Így
- a támadó nem fogja tudni, hogy a csomagjai vajon
- elérték-e a rendszerünket. Minél
- kevesebb információt tudnak
+ nem keletkezzen, egyszerûen csak tûnjenek el.
+ Így a támadó nem fogja tudni, hogy a
+ csomagjai vajon elérték-e a rendszerünket.
+ Minél kevesebb információt tudnak
összegyûjteni a rendszerünkrõl a
támadók, annál több idõt kell
szánniuk csínytevéseik
- kieszelésére. Javasolt a beérkezõ
- <quote>OS fingerprint</quote> jellegû
- kéréseket az elsõ alkalmommal
- naplózni, mert ez az elsõ jele annak, amikor valaki
- meg akar támadni minket.</para>
+ kieszelésére. A <literal>log first</literal>
+ opciót tartalmazó szabályok csak az
+ illeszkedésnél fogják naplózni a
+ hozzájuk tartozó eseményt. Erre
+ láthatunk példát az <literal>nmap OS
+ fingerprint</literal> szabálynál. Az <filename
+ role="package">security/nmap</filename> segédprogramot
+ a támadók gyakran alkalmazzák a
+ megtámadni kívánt szerver
+ operációs rendszerének
+ felderítésére.</para>
- <para>Amikor a <quote>log first</quote> szabály
- alapján keletkezõ üzeneteket akarjuk
- látni, hívjuk meg a <command>ipfstat
- -hio</command> parancsot, ahol megjelenik, hogy melyik
- szabályra mennyi csomag illeszkedett. Ennek
- alapján el tudjuk dönteni, hogy éppen
- elárasztanak-e bennünket, tehát meg akarnak-e
- támadni.</para>
+ <para>Minden <literal>log first</literal> opcióval megadott
+ szabály illeszkedésénél a
+ <command>ipfstat -hio</command> parancs
+ meghatározódik az eddigi illeszkedések
+ aktuális száma. Nagyobb értékek
+ esetében következtethetünk arra, hogy a
+ rendszerünket megtámadták (vagyis csomagokkal
+ árasztják éppen el).</para>
- <para>Ha ismeretlen porthoz tartozó csomagokat
- naplózunk, akkor az <filename>/etc/services</filename>
- állományban vagy a <ulink
- url="http://www.securitystats.com/tools/portsearch.php"></ulink>
- (angol nyelvû) honlap segítségével
- tudjuk kideríteni, hogy pontosan melyik portról
- van szó.</para>
+ <para>Az ismeretlen portszámok
+ felderítésére az
+ <filename>/etc/services</filename> állomány,
+ esetleg a <ulink
+ url="http://www.securitystats.com/tools/portsearch.php"></ulink>
+ (angol nyelvû) honlap használható.</para>
<para>Érdemes továbbá megnézni a
trójai programok által használt portokat a
@@ -2066,26 +2085,26 @@
<para>A következõ szabályrendszer egy olyan
biztonságos <quote>inkluzív</quote>
- típusú tûzfal, amelyet maga a szerzõ is
- használ. Ha ezt átvesszük egy az egyben,
- akkor abból semmilyen bajunk nem származhat.
- Egyszerûen csak vegyük ki azokat a szabályokat,
- amelyek olyan szolgáltatásokra vonatkoznak, amiket
- nem akarunk hitelesíteni.</para>
+ típusú tûzfal, amelyet éles rendszeren
+ is használnak. Ezt a rendszerünkön nem
+ használt szolgáltatásokra vonatkozó
+ <literal>pass</literal> szabályok
+ törlésével könnyedén a
+ saját igényeink szerint
+ alakíthatjuk.</para>
- <para>Ha nem akarunk látni bizonyos üzeneteket a
- naplóban, akkor vegyünk fel hozzájuk egy
- <quote>block</quote> típusú szabályt a
- befelé irányuló forgalomhoz tartozó
+ <para>Ha nem akarunk látni bizonyos üzeneteket, akkor
+ vegyünk fel hozzájuk egy <literal>block</literal>
+ típusú szabályt a befelé
+ irányuló forgalomhoz tartozó
szabályok közé.</para>
- <para>Ne felejtsük el minden szabályban
- átírni a <devicename>dc0</devicename> felület
- nevét annak a hálózati
- kártyának a felületére, amelyen
- keresztül csatlakozunk az internethez. A
- felhasználói PPP esetében ez a
- <devicename>tun0</devicename> lesz.</para>
+ <para>A szabályokban írjuk át a
+ <devicename>dc0</devicename> interfész nevét annak
+ a hálózati kártyának az
+ interfészére, amelyen keresztül csatlakozunk
+ az internethez. A felhasználói PPP
+ esetében ez a <devicename>tun0</devicename> lesz.</para>
<para>Tehát a következõket kell beírni az
<filename>/etc/ipf.rules</filename>
@@ -2100,13 +2119,13 @@
#pass in quick on xl0 all
#################################################################
-# A belsõ felületen szintén ne korlátozzunk semmit.
+# A belsõ interfészen szintén ne korlátozzunk semmit.
#################################################################
pass in quick on lo0 all
pass out quick on lo0 all
#################################################################
-# Az internet felé forgalmazó felület (kimenõ kapcsolatok)
+# Az internet felé forgalmazó interfész (kimenõ kapcsolatok)
# A saját hálózatunkról belülrõl vagy errõl az átjáróról
# kezdeményezett kapcsolatokat vizsgáljuk az internet felé.
#################################################################
@@ -2155,14 +2174,14 @@
# mindenképpen szükségünk lesz.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
-# Kifelé engedélyezzük a biztonságos FTP, telnet és SCP szolgáltatások
-# elérését az SSH (secure shell) használatával.
+# Kifelé engedélyezzük az ssh/sftp/scp # (biztonságos telnet/rlogin/FTP)
+# szolgáltatások # elérését az SSH (secure shell) használatával.
pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Kifelé engedélyezzük a nem biztonságos telnet elérését.
pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
-# Kifelé engedélyezzük FreeBSD CVSUP funkcióját.
+# Kifelé engedélyezzük FreeBSD CVSUp funkcióját.
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
# Kifelé engedélyezzük a pinget.
@@ -2172,12 +2191,11 @@
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Minden mást eldobunk és naplózzuk az elsõ elõfordulásukat.
-# Ezzel a szabállyal állítjuk be, hogy alapértelmezés szerint minden
-# blokkolva legyen.
+# Ez a szabály blokkol alapértelmezés szerint mindent.
block out log first quick on dc0 all
#################################################################
-# Az internet felõli felület (bejövõ kapcsolatok)
+# Az internet felõli interfész (bejövõ kapcsolatok)
# A saját hálózatunk felé vagy erre az átjáróra
# nyitott kapcsolatokat vizsgáljuk az internet felõl.
#################################################################
@@ -2248,19 +2266,17 @@
# Töröljük ezt a szabályt, ha nem használunk telnet szervert.
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
-# Befelé engedélyezzük az internetrõl érkezõ biztonságos FTP, telnet és SCP
-# kapcsolatokat az SSH (secure shell) használatával.
+# Befelé engedélyezzük az internetrõl # érkezõ ssh/sftp/scp (biztonságos
+# telnet/rlogin/FTP) # kapcsolatokat az SSH (secure shell) használatával.
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Minden mást dobjuk el és naplózzuk az elsõ elõfordulásukat.
# Az elsõ alkalom naplózásával elejét tudjuk venni a "Denial of
# Service" típusú támadásoknak, amivel egyébként lehetséges lenne a
# napló elárasztása.
-# Ez a szabály gondoskodik arról, hogy a rendszer alapértelmezés
-# szerint mindent eldobjon.
+# Ez a szabály blokkol alapértelmezés szerint mindent.
block in log first quick on dc0 all
################### Itt van a szabályok vége ##############################</programlisting>
-
</sect2>
<sect2>
@@ -2278,8 +2294,8 @@
<see>NAT</see>
</indexterm>
- <para>A <acronym>NAT</acronym> jelentése <quote>Network
- Address Translation</quote>, vagyis hálózati
+ <para>A <acronym>NAT</acronym> jelentése <emphasis>Network
+ Address Translation</emphasis>, vagyis hálózati
címfordítás. A &linux; esetében ezt
<quote>IP masqueradingnak</quote>, vagyis IP maszkolásnak
hívják. A hálózati
@@ -2301,9 +2317,8 @@
utal, hogy a címünk minden alkalommal
változik, amikor betárcsázunk a
szolgáltatóhoz vagy amikor ki- és
- bekapcsoljuk a modemünket. Ez az IP-cím lesz az,
- ami alapján az interneten elérhetõek
- leszünk.</para>
+ bekapcsoljuk a modemünket. Ez a dinamikus IP-cím
+ fog azonosítani minket az interneten.</para>
<para>Most tegyük fel, hogy öt gépünk van
otthon, viszont csak egyetlen elõfizetéssel
@@ -2329,22 +2344,6 @@
esetében mindez visszafelé történik
meg.</para>
- <para>A hálózati címfordítás
- gyakran a szolgáltató engedélye vagy
- éppen tudta nélkül történik,
- és ha a szolgáltató rájön,
- akkor a legtöbb esetben ez az elõfizetés
- megszûntetésével jár. Az üzleti
- felhasználók jóval többet fizetnek az
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list