svn commit: r44356 - in translations/nl_NL.ISO8859-1/books/handbook: bsdinstall firewalls
Remko Lodder
remko at FreeBSD.org
Wed Mar 26 15:01:48 UTC 2014
Author: remko
Date: Wed Mar 26 15:01:47 2014
New Revision: 44356
URL: http://svnweb.freebsd.org/changeset/doc/44356
Log:
Import work in progress for the firewalls chapter. This brings the
chapter on par with the translation target revision. Also add a
placeholder chapter for bsdinstall so that it should be possible
to build the handbook again.
There is an external error from docbook.sourceforge.net
though which prevents the build from properly running, not sure
what causes that yet.
Facilitated by: Snow B.V.
Modified:
translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml
translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml
Modified: translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml Wed Mar 26 13:19:57 2014 (r44355)
+++ translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml Wed Mar 26 15:01:47 2014 (r44356)
@@ -1,36 +1,341 @@
<?xml version="1.0" encoding="iso-8859-1"?>
<!--
- The FreeBSD Dutch Documentation Project
+ The FreeBSD Documentation Project
$FreeBSD$
- %SOURCE% en_US.ISO8859-1/books/handbook/bsdinstall/chapter.xml
- %SRCID% 0
+ %SOURCE% en_US.ISO8859-1/books/handbook/bsdinstall/chapter.xml
+ %SRCID% 43633
-->
-<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="bsdinstall">
- <info><title>&os; 9.<replaceable>X</replaceable> en nieuwer installeren</title>
+
+<chapter xmlns="http://docbook.org/ns/docbook"
+ xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
+ xml:id="bsdinstall">
+
+ <info>
+ <title>Het installeren van &os; 9.<replaceable>X</replaceable>
+ en later</title>
+
<authorgroup>
- <author><personname><firstname>Jim</firstname><surname>Mock</surname></personname><contrib>Geherstructureerd, gereorganiseerd en delen herschreven
- door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Jim</firstname>
+ <surname>Mock</surname>
+ </personname>
+
+ <contrib>Geherstructeerd, gereorganiseerd en delen herschreven
+ door </contrib>
+ </author>
</authorgroup>
+
<authorgroup>
- <author><personname><firstname>Randy</firstname><surname>Pratt</surname></personname><contrib>De handleiding van sysinstall, schermafdrukken en algemene
- kopij door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Randy</firstname>
+ <surname>Pratt</surname>
+ </personname>
+
+ <contrib>De walkthrough door sysinstall, de screenshots en
+ generale kopij door </contrib>
+ </author>
</authorgroup>
+
<authorgroup>
- <author><personname><firstname>Gavin</firstname><surname>Atkinson</surname></personname><contrib>Bijgwerkt voor bsdinstall door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Gavin</firstname>
+ <surname>Atkinson</surname>
+ </personname>
- <author><personname><firstname>Warren</firstname><surname>Block</surname></personname></author>
+ <contrib>Bijgewerkt voor bsdinstall door </contrib>
+ </author>
+
+ <author>
+ <personname>
+ <firstname>Warren</firstname>
+ <surname>Block</surname>
+ </personname>
+ </author>
</authorgroup>
</info>
-
-
<sect1 xml:id="bsdinstall-synopsis">
- <title>Overzicht</title>
+ <title>Synopsis</title>
+
+ <para>Wordt vertaald.</para>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-hardware">
+ <title>Hardware Requirements</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect2 xml:id="bsdinstall-hardware-minimal">
+ <title>Minimal Configuration</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-hardware-supported">
+ <title>Supported Hardware</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-pre">
+ <title>Pre-Installation Tasks</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect2 xml:id="bsdinstall-where">
+ <title>Decide Where to Install &os;</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect3 xml:id="bsdinstall-where-i386">
+ <title>Disk Layouts for &os;/&arch.i386; and
+ &os;/&arch.amd64;</title>
+
+ <para>Wordt vertaald.</para>
+ </sect3>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-collect-network-information">
+ <title>Collect Network Information</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-installation-media">
+ <title>Prepare the Installation Media</title>
+
+ <para>Wordt vertaald.</para>
+
+ <procedure xml:id="bsdinstall-installation-media-memory-stick">
+ <step>
+ <title>Acquire the Memory Stick Image</title>
+
+ <para>Wordt vertaald.</para>
+ </step>
+ </procedure>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-start">
+ <title>Starting the Installation</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect2 xml:id="bsdinstall-starting">
+ <title>Booting</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect3 xml:id="bsdinstall-starting-i386">
+ <title>Booting on &i386; and &arch.amd64;</title>
+
+ <para>Wordt vertaald.</para>
+ </sect3>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-view-probe">
+ <title>Reviewing the Device Probe Results</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="using-bsdinstall">
+ <title>Introducing <application>bsdinstall</application></title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect2 xml:id="bsdinstall-keymap">
+ <title>Selecting the Keymap Menu</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-hostname">
+ <title>Setting the Hostname</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-components">
+ <title>Selecting Components to Install</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-netinstall">
+ <title>Installing from the Network</title>
+
+ <para>Wordt vertaald.</para>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-partitioning">
+ <title>Allocating Disk Space</title>
+
+ <para>Wordt vertaald.</para>
+
+ <sect2 xml:id="bsdinstall-part-guided">
+ <title>Guided Partitioning</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-part-manual">
+ <title>Manual Partitioning</title>
+
+ <para>Wordt vertaald.</para>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-final-warning">
+ <title>Committing to the Installation</title>
+
+ <para>Wordt vertaald.</para>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-post">
+ <title>Post-Installation</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect2 xml:id="bsdinstall-post-root">
+ <title>Setting the <systemitem
+ class="username">root</systemitem> Password</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-config-network-dev">
+ <title>Configuring Network Interfaces</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect3 xml:id="bsdinstall-configure-net-wireless">
+ <title>Configuring a Wireless Network Interface</title>
+
+ <para>Wordt vertaald</para>
+ </sect3>
+
+ <sect3 xml:id="bsdinstall-ipv4">
+ <title>Configuring IPv4 Networking</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect4 xml:id="bsdinstall-net-ipv4-dhcp-config">
+ <title>IPv4 DHCP Network Configuration</title>
+
+ <para>Wordt vertaald</para>
+ </sect4>
+
+ <sect4 xml:id="bsdinstall-net-ipv4-static-config">
+ <title>IPv4 Static Network Configuration</title>
+
+ <para>Wordt vertaald</para>
+ </sect4>
+ </sect3>
+
+ <sect3 xml:id="bsdinstall-ipv6">
+ <title>Configuring IPv6 Networking</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect4 xml:id="bsdinstall-net-ipv6-slaac-config">
+ <title>IPv6 Stateless Address Autoconfiguration</title>
+
+ <para>Wordt vertaald</para>
+ </sect4>
+
+ <sect4 xml:id="bsdinstall-net-ipv6-static-config">
+ <title>IPv6 Static Network Configuration</title>
+
+ <para>Wordt vertaald</para>
+ </sect4>
+ </sect3>
+
+ <sect3 xml:id="bsdinstall-net-dns">
+ <title>Configuring <acronym>DNS</acronym></title>
+
+ <para>Wordt vertaald</para>
+ </sect3>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-timezone">
+ <title>Setting the Time Zone</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-sysconf">
+ <title>Selecting Services to Enable</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-crashdump">
+ <title>Enabling Crash Dumps</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-addusers">
+ <title>Add Users</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-final-conf">
+ <title>Final Configuration</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-freebsdboot">
+ <title>&os; Booting and Shutdown</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect3 xml:id="bsdinstall-freebsdboot-i386">
+ <title>&os;/&arch.i386; Booting</title>
+
+ <para>Wordt vertaald</para>
+ </sect3>
+ </sect2>
+
+ <sect2 xml:id="bsdinstall-shutdown">
+ <title>&os; Shutdown</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+ </sect1>
+
+ <sect1 xml:id="bsdinstall-install-trouble">
+ <title>Troubleshooting</title>
+
+ <para>Wordt vertaald</para>
+
+ <sect2>
+ <title>What to Do If Something Goes Wrong</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+
+ <sect2>
+ <title>Troubleshooting Questions and Answers</title>
+
+ <para>Wordt vertaald</para>
+ </sect2>
+ </sect1>
- <indexterm><primary>installatie</primary></indexterm>
+ <sect1 xml:id="using-live-cd">
+ <title>Using the Live CD</title>
- <para>Wordt nog vertaald.</para>
+ <para>Wordt vertaald</para>
</sect1>
</chapter>
Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Wed Mar 26 13:19:57 2014 (r44355)
+++ translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Wed Mar 26 15:01:47 2014 (r44356)
@@ -5,7 +5,7 @@
$FreeBSD$
%SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.xml
- %SRCID% 40732
+ %SRCID% 43328
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="firewalls">
<info><title>Firewalls</title>
@@ -2968,11 +2968,10 @@ sh /etc/ipf.rules.script</programlisting
geeft aan dat al het overige verkeer op die interface in die
richting geblokkeerd en gelogd moet worden.</para>
- <!-- XXX REMKO 2821 vd 4374 -->
<para>In het onderdeel Uitgaand staan alleen regels met
<literal>pass</literal> die parameters bevatten om
- uniek individuele diensten identificeren die het publieke Internet mogen
- benaderen. Bij al die regels staan de opties
+ uniek individuele diensten te identificeren die het publieke
+ Internet mogen benaderen. Bij al die regels staan de opties
<literal>quick</literal>, <literal>on</literal>,
<literal>proto</literal>, <literal>port</literal> en
<literal>keep state</literal> aan. De regels met
@@ -2983,62 +2982,54 @@ sh /etc/ipf.rules.script</programlisting
<para>In het onderdeel Inkomend staan eerst alle regels voor het
blokkeren van ongewenste pakketten, om twee redenen.
- Als eerste kan het zo zijn dat kwaadaardige pakketten gedeeltelijk
- overeenkomen met legitiem verkeer. Deze pakketten moeten worden
- weggegooid in plaats van binnengelaten te worden, gebaseerd op hun
- gedeeltelijke match met de <literal>allow</literal>-regels. De tweede
- reden is dat bekende en oninteressante verwerpingen stil geblokkeerd
- kunnen worden in plaats van gevangen en gelogd te worden door de
- laatste regels in de sectie. De laatste regel in elke sectie blokkeert
- en logt alle pakketten en kan worden gebruikt voor het wettelijke bewijs
- nodig om degenen die uw systeem aanvallen aan te klagen.</para>
-
- <para>Waar ook gezorgd voor moet worden is dat al het verkeer dat wordt
- geweigerd geen antwoord verstuurd. Ongeldige pakketten dienen gewoon te
- verdwijnen. Zo weet een aanvaller niet of een pakket het doelsysteem
- wel heeft bereikt. Zo kan een aanvaller geen informatie verzamelen
- over een systeem: hoe minder informatie er over een systeem
- beschikbaar is, hoe meer tijd iemand erin moet steken voordat
- er iets slechts gedaan kan worden. Regels die een optie <literal>log
- first</literal> bevatten, zullen alleen de eerste keer dat de
- gebeurtenis voorkomt de gebeurtenis loggen. Deze optie is opgenomen in
- de voorbeeldregel <literal>nmap OS fingerpint</literal>. Het
- gereedschap <package>security/nmap</package> wordt vaak
- door aanvallers gebruikt om het besturingssysteem van uw server
- proberen te achterhalen.</para>
+ Als eerste kan het zo zijn dat kwaadaardige pakketten
+ gedeeltelijk overeenkomen met legitiem verkeer. Deze
+ pakketten moeten worden weggegooid in plaats van binnengelaten
+ te worden, gebaseerd op hun gedeeltelijke match met de
+ <literal>allow</literal>-regels. De tweede reden is dat
+ bekende en oninteressante verwerpingen stil geblokkeerd kunnen
+ worden in plaats van gevangen en gelogd te worden door de
+ laatste regels in de sectie.</para>
+
+ <para>De ruleset moet ervoor zorgen dat er geen antwoord wordt
+ verstuurd voor ongewenst verkeer. Ongeldige pakketten moeten
+ stil worden geweigerd zodat de aanvaller geen informatie heeft
+ of het pakket wel of niet aangekomen is. Regels die een
+ <literal>log first></literal> bevatten, loggen alleen de
+ gebeurtenis de eerste keer dat deze gebeurtenis voorkomt. Deze
+ optie komt voor in de voorbeeld <literal>nmap OS
+ fingerprint</literal> regel. Het gereedschap
+ <package>security/nmap</package> wordt vaak door aanvallers
+ gebruikt om het besturingssysteem van uw server proberen te
+ achterhalen.</para>
<para>We raden aan om telkens als er logmeldingen van een regel
met de optie <literal>log first</literal> komen,
<command>ipfstat -hio</command> uit te voeren om te
- bekijken hoe vaak de regel van toepassing is geweest. Een groot aantal
- overeenkomsten geeft gewoonlijk aan dat de firewall overspoeld wordt,
- met andere woorden aangevallen wordt.</para>
-
- <para>Het bestand <filename>/etc/services</filename> kan gebruikt worden
- om onbekende poortnummers op te zoeken. Ook kan <uri xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</uri>
- worden bezocht en het poortnummer worden opgezocht om het doel van een
- bepaalde poort uit te vinden.</para>
+ bekijken hoe vaak de regel van toepassing is geweest. Een
+ groot aantal overeenkomsten geeft gewoonlijk aan dat de
+ firewall overspoeld wordt of wordt aangevallen.</para>
+
+ <para>Om onbekende poort nummers op te zoeken kan gekeken worden
+ in <filename>/etc/services</filename>. Ook kan <uri
+ xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</uri></para>
<para>Op de volgende link worden poortnummers van Trojans
beschreven: <uri xlink:href="http://www.sans.org/security-resources/idfaq/oddports.php">http://www.sans.org/security-resources/idfaq/oddports.php</uri>.</para>
- <para>De onderstaande set regels is een complete en erg veilige
- <literal>inclusieve</literal> set met regels voor een firewall die is
- getest op productiesystemen. Deze set met regels is eenvoudig aan te
- passen voor uw eigen systeem. Maak gewoon commentaar van elke
- <literal>pass</literal>-regel voor een dienst die niet gewenst
- is.</para>
-
- <para>Logberichten die niet gewenst zijn, zijn uit te sluiten door een
- <literal>block</literal>-regel toe te voegen in het begin van het
- onderdeel Inkomend.</para>
-
- <para>Voor de onderstaande regels dient de
- <filename>dc0</filename> interfacenaam in iedere regel
- vervangen te worden door de echte interfacenaam van de netwerkkaart
- in het systeem die met het publieke Internet is verbonden.
- Voor gebruikers van PPP zou dat <filename>tun0</filename>
- zijn.</para>
+ <para>De onderstaande set regels vormt een
+ <literal>inclusive</literal> firewall ruleset welke
+ makkelijk aangepast kan worden door <literal>pass</literal>
+ regels die niet nodig zijn te voorzien van een commentaar
+ teken.</para>
+
+ <para>Logberichten die niet gewenst zijn, zijn uit te sluiten
+ door een <literal>block</literal>-regel toe te voegen in het
+ begin van het onderdeel Inkomend.</para>
+
+ <para>Verander de <filename>dc0</filename> interfacenaam in elke
+ regel naar de interfacenaam die gebruikt wordt het systeem
+ aan het Internet te koppelen.</para>
<para>Dit zou de inhoud van <filename>/etc/ipf.rules</filename>
kunnen zijn:</para>
@@ -3230,85 +3221,40 @@ block in log first quick on dc0 all
</indexterm>
<para><acronym>NAT</acronym> staat voor <emphasis>Network Address
- Translation</emphasis> (netwerkadres vertaling). In &linux; heet dit
- IP Masquerading. Een van de vele mogelijkheden die IPF
- <acronym>NAT</acronym> kan bieden is het delen van
- één <acronym>IP</acronym> adres op het publieke
- Internet met een LAN achter een firewall.</para>
-
- <para>De vraag zou kunnen rijzen waarom iemand dat zou willen.
- ISP's wijzen normaliter namelijk dynamisch een
- <acronym>IP</acronym> adres toe aan hun niet-commerciële
- gebruikers. Dynamisch betekent hier dat het
- <acronym>IP</acronym>-adres iedere dat er wordt ingebeld of
- dat het kabel- of xDSL-modem uit- en aangeschakeld wordt
- anders kan zijn. Dit dynamische <acronym>IP</acronym>-adres wordt
- gebruikt om uw systeem op het publieke Internet te identificeren.</para>
-
- <para>Stel dat er vijf PC's in een huis staan en iedere
- computer in dat huis heeft toegang tot Internet nodig. Dan
- zouden er bij een ISP vijf individuele accounts moeten zijn
- en vijf telefoonlijnen om dat te realiseren.</para>
-
- <para>Met <acronym>NAT</acronym> is er maar één
- account bij een ISP nodig. De andere vier PC's moeten met kabels
- op een switch worden aangesloten waarop ook een &os; systeem is
- aangesloten dat binnen uw LAN als gateway gaat opereren.
- <acronym>NAT</acronym> zal automatisch de private LAN
- <acronym>IP</acronym> adressen van alle PC's vertalen naar
- een enkel publiek <acronym>IP</acronym>-adres als de
- pakketten de firewall naar het Internet verlaten.</para>
-
- <para>Er is een speciale reeks van <acronym>IP</acronym>-adressen
- gereserveerd voor <acronym>NAT</acronym> op private LANs.
- Volgens RFC 1918 kunnen de volgende reeksen
- <acronym>IP</acronym>-adressen gebruikt worden op private
- netwerken die nooit direct op het publieke Internet
- gerouteerd worden.</para>
+ Translation</emphasis> (netwerkadres vertaling). In &linux;
+ heet dit <quote>IP Masquerading</quote>. De IPF
+ <acronym>NAT</acronym> functie stelt het private LAN achter de
+ firewall in staat om één enkel door de ISP toegewezen
+ <acronym>IP</acronym> te delen, ook al is dat adres dynamisch
+ toegewezen. NAT stelt elke computer in het LAN in staat om een
+ verbinding met het internet te maken zonder dat de ISP betaald
+ hoeft te worden voor meerdere Internet accounts of IP
+ adressen.</para>
+
+ <para><acronym>NAT</acronym> zal automatisch het private LAN
+ IP adres vertalen naar het enkele publieke IP adres zodra het
+ pakketje de firewall verlaat richting het publieke Internet.
+ Daarnaast vertaald het de pakketten ook terug voor terugkomende
+ pakketten.</para>
+
+ <para>Volgens RFC1918 zijn de volgende IP reeksen gereserveerd
+ voor private netwerken welke nooit direct gerouteerd worden
+ naar het publieke Internet, waardoor ze gebruikt kunnen worden
+ voor NAT:</para>
- <informaltable frame="none" pgwide="1">
- <tgroup cols="3">
- <colspec colwidth="1*"/>
-
- <colspec colwidth="1*"/>
-
- <colspec colwidth="1*"/>
-
- <tbody>
- <row>
- <entry>Eerste IP</entry>
-
- <entry>–</entry>
-
- <entry>Laatste IP</entry>
- </row>
-
- <row>
- <entry><systemitem class="ipaddress">10.0.0.0</systemitem></entry>
-
- <entry>–</entry>
-
- <entry><systemitem class="ipaddress">10.255.255.255</systemitem></entry>
- </row>
-
- <row>
- <entry><systemitem class="ipaddress">172.16.0.0</systemitem></entry>
-
- <entry>–</entry>
-
- <entry><systemitem class="ipaddress">172.31.255.255</systemitem></entry>
- </row>
-
- <row>
- <entry><systemitem class="ipaddress">192.168.0.0</systemitem></entry>
+ <itemizedlist>
+ <listitem>
+ <para><literal>10.0.0.0/8</literal></para>
+ </listitem>
- <entry>–</entry>
+ <listitem>
+ <para><literal>172.16.0.0/12</literal></para>
+ </listitem>
- <entry><systemitem class="ipaddress">192.168.255.255</systemitem></entry>
- </row>
- </tbody>
- </tgroup>
- </informaltable>
+ <listitem>
+ <para><literal>192.168.0.0/16</literal></para>
+ </listitem>
+ </itemizedlist>
</sect2>
<sect2>
@@ -3327,13 +3273,15 @@ block in log first quick on dc0 all
opgeslagen in <filename>/etc/ipnat.rules</filename>. Meer details
staan in &man.ipnat.8;.</para>
- <para>Bij het maken van wijzigingen aan de
- <acronym>NAT</acronym>-regels nadat <acronym>NAT</acronym>
- gestart is, wordt aangeraden de wijziging aan het bestand met
- regels te maken en daarna <command>ipnat</command>
- <option>-CF</option> te gebruiken om alle actieve
- <acronym>NAT</acronym>-regels te wissen. Daarna kunnen de regels uit
- het bestand weer als volgt geladen worden:</para>
+ <para>Wanneer het bestand waarin de <acronym>NAT</acronym> regels
+ staan wordt bewerkt nadat <acronym>NAT</acronym> gestart is,
+ moet <command>ipnat</command> gestart worden met de opties
+ <option>-CF</option> om de interne in gebruik zijnde
+ <acronym>NAT</acronym> regels te verwijderen, en de huidige
+ inhoud van de translatietabel leeg te gooien.</para>
+
+ <para>Om de <acronym>NAT</acronym> regels opnieuw in te laden
+ moet er een commando als de volgende worden uitgevoerd:</para>
<screen>&prompt.root; <userinput>ipnat -CF -f /etc/ipnat.rules</userinput></screen>
@@ -3367,7 +3315,7 @@ block in log first quick on dc0 all
&man.ipnat.5;.</para>
<para>De syntaxis voor een <acronym>NAT</acronym> regel ziet er
- ongeveer als volgt uit:</para>
+ als volgt uit:</para>
<programlisting>map <replaceable>IF</replaceable> <replaceable>LAN_IP_REEKS</replaceable> -> <replaceable>PUBLIEK_ADRES</replaceable></programlisting>
@@ -3378,11 +3326,12 @@ block in log first quick on dc0 all
door de aanduiding van de externe interface.</para>
<para><replaceable>LAN_IP_REEKS</replaceable> is de reeks die
- clients op een LAN gebruiken, meestal iets van <systemitem class="ipaddress">192.168.1.0/24</systemitem>.</para>
+ clients op een LAN gebruiken, meestal iets van
+ <systemitem class="ipaddress">192.168.1.0/24</systemitem>.</para>
<para><replaceable>PUBLIEK_ADRES</replaceable> kan het publieke
- <acronym>IP</acronym> adres zijn of een speciaal sleutelwoord
- <literal>0.32</literal>, wat betekent dat het
+ vaste <acronym>IP</acronym> adres zijn of een speciaal
+ sleutelwoord <literal>0/32</literal>, wat betekent dat het
<acronym>IP</acronym> adres van <replaceable>IF</replaceable>
gebruikt moet worden.</para>
</sect2>
@@ -3390,24 +3339,21 @@ block in log first quick on dc0 all
<sect2>
<title>Hoe <acronym>NAT</acronym> werkt</title>
- <para>Een pakket komt vanaf het LAN aan bij de firewall en
- heeft een publieke bestemming. Het wordt verwerkt door de
- filterregels voor inkomend verkeer en daarna krijgt
- <acronym>NAT</acronym> de kans zijn regels op het pakket toe
- te passen. De regels worden van boven naar beneden toegepast
- en de eerste regel die van toepassing is wint.
- <acronym>NAT</acronym> controleert voor alle regels het
- pakket op interfacenaam en bron <acronym>IP</acronym> adres.
- Als de interfacenaam van een pakket past bij een
- <acronym>NAT</acronym> regel dan wordt het bron
- <acronym>IP</acronym> adres van dat pakket gecontroleerd, dat
- is dus een <acronym>IP</acronym> adres op het private LAN,
- om te bekijken of het valt in de reeks die is opgegeven aan
- de linkerkant van een <acronym>NAT</acronym> regel. Als ook
- dat klopt, dan wordt het bron <acronym>IP</acronym> adres van
- het pakket vervangen (<quote>rewritten</quote>) door een
- publiek <acronym>IP</acronym> adres dat verkregen kan zijn
- met het sleutelwoord <literal>0.32</literal>.
+ <para>In IPF, wanneer er een pakket aankomt op de firewall
+ vanaf het LAN netwerk met een publiekelijk doel, passeert
+ deze de uitgaande filter regels. Hierna gaat het pakket
+ langs de <acronym>NAT</acronym> regels, welke van top-down
+ worden toegepast, waarbij de eerst overeenkomende regel
+ wint. <acronym>NAT</acronym> test elke van zijn regels
+ aan de interface van het pakket en het bron IP adres.
+ Wanneer de interface van het pakket overeenkomt met een
+ <acronym>NAT</acronym> regel zal het bron IP adres van
+ het pakket worden bekeken of deze in de gespecificeerde
+ IP reeks valt aan de linkerkant van de pijl in de
+ <acronym>NAT</acronym> regel. Wanneer deze overeenkomt
+ zal het bron IP adres van het pakket worden herschreven
+ naar het publiekelijke IP adres verkregen door het
+ <literal>0/32</literal> sleutelwoord.
<acronym>NAT</acronym> werkt dan zijn interne
<acronym>NAT</acronym> tabel bij, zodat als er een pakket uit
die sessie terugkomt van het publieke Internet, dat pakket
@@ -3466,10 +3412,9 @@ block in log first quick on dc0 all
<programlisting>map dc0 192.168.1.0/24 -> 0.32 portmap tcp/udp 20000:60000</programlisting>
- <para>Het kan nog eenvoudiger door gebruik te maken van het
- sleutelwoord <literal>auto</literal> zodat
- IP<acronym>NAT</acronym> zelf bepaalt welke poorten gebruikt
- kunnen worden:</para>
+ <para>Daarnaast is er het sleutelwoord <literal>auto</literal>
+ welke IP<acronym>NAT</acronym> gebruikt om te bepalen welke
+ poorten gebruikt kunnen worden:</para>
<programlisting>map dc0 192.168.1.0/24 -> 0.32 portmap tcp/udp auto</programlisting>
</sect3>
@@ -3505,17 +3450,17 @@ block in log first quick on dc0 all
<sect2>
<title>Poorten omleiden</title>
- <para>Het is erg gebruikelijk om een webserver, mailserver,
+ <para>Het is gebruikelijk om een webserver, mailserver,
database server en DNS server op verschillende computers
op een LAN te draaien. Het uitgaande verkeer van die
servers kan dan met <acronym>NAT</acronym> afgehandeld
worden, maar er moet ook ingesteld worden dat inkomend
- verkeer bij de juiste computer terecht komt.
- IP<acronym>NAT</acronym> gebruikt daarvoor de opties in
- <acronym>NAT</acronym> waarmee verkeer omgeleid kan worden.
- Als bijvoorbeeld een webserver op het LAN-adres <systemitem class="ipaddress">10.0.10.25</systemitem> draait en het enkele publieke
- <acronym>IP</acronym> adres zou <systemitem class="ipaddress">20.20.20.5</systemitem> zijn, dan zou de regel er als volgt
- uit zien:</para>
+ verkeer bij de juiste server terecht komt. Bijvoorbeeld
+ bij een webserver welke opereert op het LAN adres
+ <systemitem class="ipaddress">10.0.10.25</systemitem>
+ en gebruik maakt het enkele publieke IP adres
+ <systemitem class="ipaddress">20.20.20.5</systemitem> zou
+ de volgende regel kunnen gebruiken:</para>
<programlisting>rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting>
@@ -3523,9 +3468,9 @@ block in log first quick on dc0 all
<programlisting>rdr dc0 0.0.0.0/32 port 80 -> 10.0.10.25 port 80</programlisting>
- <para>Voor een DNS server op een LAN die ook vanuit Internet
- bereikbaar met zijn en die draait op <systemitem class="ipaddress">10.0.10.33</systemitem> zou de regel er als
- volgt uit zien:</para>
+ <para>Voor een DNS server op het lan met het private adres
+ <systemitem class="ipaddress">10.0.10.33</systemitem> welke
+ publieke DNS verzoeken moet krijgen:</para>
<programlisting>rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp</programlisting>
</sect2>
@@ -3533,17 +3478,12 @@ block in log first quick on dc0 all
<sect2>
<title>FTP en <acronym>NAT</acronym></title>
- <para>FTP is dinosaurus uit het tijdperk van voor Internet was
- zoals het nu is, toen onderzoeksinstellingen met elkaar
- verbonden waren via huurlijnen en FTP de aangewezen methode
- was om bestanden met elkaar uit te wisselen. Maar bij het
- gebruik van FTP worden gebruikersnaam en wachtwoord als
- platte tekst verzonden en het protocol is nooit aangepast.
- FTP is er in twee smaken: actief en passief. Het verschil
- zit 'm in hoe het datakanaal wordt opgezet. De passieve
- variant is veiliger voor een gebruiker omdat bij deze variant
- beide communicatiekanalen door de cliënt zelf worden opgezet.
- Op de volgende pagina zijn details over FTP na te lezen: <uri xlink:href="http://www.slacksite.com/other/ftp.html">http://www.slacksite.com/other/ftp.html</uri>.</para>
+ <para>FTP heeft twee modi, actieve en passieve mode. Het
+ verschil zit hem erin hoe het data kanaal wordt verkregen.
+ Passieve mode is veiliger omdat het data kanaal wordt verkregen
+ via de client zelf. Voor een goede uitleg over FTP en de
+ verschillende modussen zie: <uri
+ xlink:href="http://www.slacksite.com/other/ftp.html">http://www.slacksite.com/other/ftp.html</uri>.</para>
<sect3>
<title>IP<acronym>NAT</acronym>-regels</title>
@@ -3574,20 +3514,14 @@ block in log first quick on dc0 all
<programlisting>map dc0 10.0.10.0/29 -> 0/32</programlisting>
- <para>De FTP-afbeeldregel hoort voor de
- normale regels te staan. Alle pakketten worden als eerste
- vergeleken met de eerste regel en zo verder. Eerst wordt
- gekeken over de interfacenaam overeenkomt, daarna het
- bron <acronym>IP</acronym> adres van het LAN en dan of het
- een FTP pakket is. Als dat allemaal klopt, dan maakt de
- speciale FTP proxy een tijdelijke filterregel die de
- pakketten uit de FTP sessie naar binnen en buiten doorlaat
- en ook NAT toepast op de FTP pakketten. Alle pakketten
- van het LAN die niet van het protocoltype FTP zijn en dus
- niet bij de eerste regel passen, worden tegen de derde
- regel gehouden die van toepassing is vanwege de interface
- en bron <acronym>IP</acronym> adres, zodat er dan
- <acronym>NAT</acronym> op toegepast wordt.</para>
+ <para>De FTP <literal>map</literal> regels gaan voor de
+ <literal>NAT</literal> regel zodat wanneer het pakket
+ overeenkomt met een FTP regel, de FTP proxy tijdelijke
+ regels aanmaakt om FTP pakketten te laten doorgaan en
+ <literal>NAT</literal> vertalingen te laten ondergaan.
+ Alle LAN pakketten welke geen FTP zijn, komen niet overeen
+ met de FTP regels maar zullen <literal>NAT</literal>
+ ondergaan als ze overeenkomen met de derde regel.</para>
</sect3>
<sect3>
@@ -3620,41 +3554,26 @@ pass in quick on rl0 proto tcp from any
<secondary>IPFW</secondary>
</indexterm>
- <para>IPFIREWALL (<acronym>IPFW</acronym>) is een firewall die binnen &os;
- wordt ontwikkeld en onderhouden door vrijwillige leden van de
- staf. Het maakt gebruik van verouderde staatloze regels en een
- verouderde techniek om te realiseren wat eenvoudige stateful
- logica zou kunnen heten.</para>
-
- <para>De verzameling voorbeeldregels van IPFW (die in
- <filename>/etc/rc.firewall</filename> en
- <filename>/etc/rc.firewall6</filename> staan) uit de standaard
- &os;-installatie is redelijk eenvoudig en niet voorbereid om
- zonder wijzigingen gebruikt te worden. Het voorbeeld maakt geen
- gebruik van stateful filteren, wat een voordeel is in de meeste
- situaties. Daarom worden deze regels niet als basis gebruikt in
- dit onderdeel.</para>
-
- <para>De staatloze syntaxis van IPFW is krachtig door de
- technisch geavanceerde mogelijkheden van de regelsyntaxis die
- de kennis van de gemiddelde gebruiker van firewalls ver
- overstijgt. IPFW is gericht op de professionele gebruiker
- of de gevorderde thuisgebruiker die hoge eisen stelt aan de
- wijze waarop er met pakketten wordt omgegaan. Voordat de
- kracht van de IPFW regels echt ingezet kan worden, moet de
- gebruiker veel weten over de verschillende protocollen en
- de wijze waarop pakketten in elkaar zitten. Het tot op dat
- niveau behandelen van stof valt buiten de doelstellingen van
- dit Handboek.</para>
-
- <para>IPFW bestaat uit zeven componenten: de verwerkingseenheid
- voor de firewallregels, verantwoording, loggen, regels met
- <literal>divert</literal> (omleiden) waarmee
- <acronym>NAT</acronym> gebruikt kan worden en de speciale
- gevorderde mogelijkheden voor bandbreedtebeheer met DUMMYNET, de
- <literal>fwd rule</literal> forward-mogelijkheid, de bridge-mogelijkheden
- en de ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als
- IPv6.</para>
+ <para><acronym>IPFW</acronym> is een stateful firewall geschreven
+ voor &os;, welke ook een traffic shaper, een pakket scheduler
+ en in-kernel NAT levert.</para>
+
+ <para>&os; levert een voorbeeld ruleset in
+ <filename>/etc/rc.firewall</filename>. De voorbeeld
+ ruleset definieert een aantal firewall type's voor veel
+ voorkomende scenario's om beginnende gebruikers te ondersteunen
+ met het maken van een geschikte ruleset. &man.ipfw.8; levert een
+ krachtige syntax welke gebruikt kan worden door geavanceerde
+ gebruikers om eigen rulesets te maken welke geschikt is voor
+ het niveau van beveiliging voor een omgeving.</para>
+
+ <para>IPFW bestaat uit meerdere componenten: de kernel firewall
+ filter regel verwerker en de geintregeerde pakket accounting
+ faciliteiten, de log faciliteiten, de <literal>divert</literal>
+ regel welke <acronym>NAT</acronym> inschakelt, de dummynet
+ traffic shaper faciliteiten, de <literal>fwd rule</literal>
+ doorstuur faciliteit, de bridge faciliteit en de ipstealth
+ faciliteit. IPFW ondersteund zowel IPv4 als IPv6.</para>
<sect2 xml:id="firewalls-ipfw-enable">
<title>IPFW inschakelen</title>
@@ -3665,24 +3584,20 @@ pass in quick on rl0 proto tcp from any
<secondary>inschakelen</secondary>
</indexterm>
- <para>IPFW zit bij de basisinstallatie van &os; als een losse
- tijdens runtime laadbare module. Het systeem laadt de kernelmodule
+ <para>IPFW zit bij de basisinstallatie van &os; als een
+ runtime laadbare module. Het systeem laadt de kernelmodule
dynamisch als in <filename>rc.conf</filename> de regel
- <literal>firewall_enable="YES"</literal> staat. IPFW hoeft
- niet in de &os; kernel gecompileerd te worden.</para>
-
- <para>Na het rebooten van een systeem met
- <literal>firewall_enable="YES"</literal> in
- <filename>rc.conf</filename> is het volgende bericht op het
- scherm te zien tijdens het booten:</para>
+ <literal>firewall_enable="YES"</literal> staat. Nadat het
+ systeem herstart is wordt de volgende wit uitgelichte melding
+ getoond op het scherm als onderdeel van het opstart proces:</para>
<screen>ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled</screen>
- <para>In de laadbare module zit de mogelijkheid om te loggen
- gecompileerd. Er is een knop in <filename>/etc/sysctl.conf</filename>
- om loggen aan te zetten en de uitgebreide loglimiet in te stellen. Door
- deze regels toe te voegen, staat loggen aan bij toekomstige
- herstarts:</para>
+ <para>De laadbare module bevat logging mogelijkheden. Om
+ logging in te schakelen en de verbose log limieten in te
+ stellen moeten de volgende regels worden toegevoegd aan
+ <filename>/etc/sysctl.conf</filename> voordat er herstart
+ wordt.</para>
<programlisting>net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5</programlisting>
@@ -3715,9 +3630,9 @@ net.inet.ip.fw.verbose_limit=5</programl
<secondary>kernelopties</secondary>
</indexterm>
- <para>Het is niet verplicht om IPFW in te schakelen door het
- mee te compileren in de &os; kernel. Dit wordt alleen beschreven als
- achtergrondinformatie.</para>
+ <para>Voor de gebruikers die IPFW statisch in de kernel willen
+ compileren zijn de volgende opties beschikbaar voor de custom
+ kernel configuratie:</para>
<programlisting>options IPFIREWALL</programlisting>
@@ -3726,18 +3641,18 @@ net.inet.ip.fw.verbose_limit=5</programl
<programlisting>options IPFIREWALL_VERBOSE</programlisting>
- <para>Met <literal>IPFIREWALL_VERBOSE</literal> wordt het
- loggen van pakketten die worden verwerkt met IPFW mogelijk
- die het sleutelwoord <literal>log</literal> in een regel hebben
- staan.</para>
+ <para>Deze optie schakelt het loggen van pakketten in welke
+ IPFW passeren met het sleutelwoord <literal>log</literal> in
+ de ruleset.</para>
<programlisting>options IPFIREWALL_VERBOSE_LIMIT=5</programlisting>
- <para>Limiteert het aantal pakketten dat per regel wordt gelogd
- via &man.syslogd.8;. Deze optie kan gebruikt worden in
- vijandige omgevingen waar de activiteit van een firewall gelogd
- moet worden. Hierdoor kan een mogelijke ontzegging van dienst
- aanval door het vol laten lopen van syslog voorkomen worden.</para>
+ <para>Deze optie limiteert de hoeveelheid pakketten welke gelogd
+ worden via &man.syslogd.8; per regel. Deze optie kan gebruikt
+ worden in vijandige omgevingen waar de activiteit van een
+ firewall gelogd moet worden. Hierdoor kan een mogelijke
+ ontzegging van dienst aanval door het vol laten lopen van
+ syslog voorkomen worden.</para>
<indexterm>
<primary>kernelopties</primary>
@@ -3747,10 +3662,9 @@ net.inet.ip.fw.verbose_limit=5</programl
<programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT</programlisting>
- <para>Met <literal>IPFIREWALL_DEFAULT_TO_ACCEPT</literal> wordt
- standaard alles door de firewall doorgelaten. Dit wordt
- aangeraden als iemand voor het eerst een firewall
- opzet.</para>
+ <para>Met deze optie wordt alles standaard door de firewall
+ doorgelaten, wat een goed idee is als de firewall voor de
+ eerste keer wordt ingesteld.</para>
<indexterm>
<primary>kernelopties</primary>
@@ -3760,8 +3674,8 @@ net.inet.ip.fw.verbose_limit=5</programl
<programlisting>options IPDIVERT</programlisting>
- <para>Met <literal>IPDIVERT</literal> wordt de
- <acronym>NAT</acronym> functionaliteit ingeschakeld.</para>
+ <para>Met deze optie wordt de <acronym>NAT</acronym>
+ functionaliteit ingeschakeld.</para>
<note>
<para>De firewall zal alle binnenkomende en uitgaande pakketten
@@ -3789,56 +3703,47 @@ net.inet.ip.fw.verbose_limit=5</programl
<itemizedlist>
<listitem>
- <para><literal>open</literal> — laat al het verkeer door.</para>
+ <para><literal>open</literal>: laat al het verkeer door.</para>
</listitem>
<listitem>
- <para><literal>client</literal> — beschermt alleen deze
+ <para><literal>client</literal>: beschermt alleen deze
machine.</para>
</listitem>
<listitem>
- <para><literal>simple</literal> — beschermt het hele
+ <para><literal>simple</literal>: beschermt het hele
netwerk.</para>
</listitem>
<listitem>
- <para><literal>closed</literal> — blokkeert alle IP-verkeer,
+ <para><literal>closed</literal>: blokkeert alle IP-verkeer,
behalve voor lokaal verkeer.</para>
</listitem>
<listitem>
- <para><literal>UNKNOWN</literal> — voorkomt het laden
+ <para><literal>UNKNOWN</literal>: voorkomt het laden
de firewall-regels.</para>
</listitem>
<listitem>
- <para><filename>bestandsnaam</filename>
- — absoluut pad naar een bestand dat firewall-regels
- bevat.</para>
+ <para><filename>bestandsnaam</filename>:absoluut pad naar
+ een bestand dat firewall-regels bevat.</para>
</listitem>
*** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
More information about the svn-doc-translations
mailing list