From owner-p4-projects@FreeBSD.ORG Mon May 12 12:29:28 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 42C6810656B1; Mon, 12 May 2008 12:29:28 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 0072B10656AC for ; Mon, 12 May 2008 12:29:27 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id D33BF8FC2E for ; Mon, 12 May 2008 12:29:27 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m4CCTRQ2099232 for ; Mon, 12 May 2008 12:29:27 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m4CCTRBC099230 for perforce@freebsd.org; Mon, 12 May 2008 12:29:27 GMT (envelope-from pgj@FreeBSD.org) Date: Mon, 12 May 2008 12:29:27 GMT Message-Id: <200805121229.m4CCTRBC099230@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 141507 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 12 May 2008 12:29:28 -0000 http://perforce.freebsd.org/chv.cgi?CH=141507 Change 141507 by pgj@disznohal on 2008/05/12 12:29:26 Cleanup in Chapter 28. Affected files ... .. //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 (text+ko) ==== @@ -21,8 +21,8 @@ Brad Davis - SGML formátumra alakította és - aktualizálta: + SGML formátumúra alakította + és aktualizálta: @@ -48,28 +48,28 @@ vagy továbbengedik ezeket vagy megállítják. A tûzfalak szabályai a csomagok egy vagy több - jellemzõjét veszik szemügyre, amik lehetnek - mondjuk a protokoll típusa, a forrás vagy cél - hálózati címe, esetleg a forrás- vagy - a célport. + jellemzõjét veszik szemügyre, amelyek lehetnek + például a protokoll típusa, a forrás + vagy cél hálózati címe, esetleg a + forrás- vagy a célport. A tûzfalak jelentõs mértékben képesek gyarapítani egy gép vagy egy hálózat védelmét. Leginkább a - következõkre tudjuk felhasználni ezeket: + következõkre tudjuk felhasználni: - a belsõ hálózatunkban futó - alkalmazások, szolgáltatások, gépek - megvédésére és + A belsõ hálózatunkban futó + alkalmazások, szolgáltatások, + gépek megvédésére és elszigetelésére az internetrõl érkezõ nem kívánt forgalom ellen - a belsõ hálózatban levõ + A belsõ hálózatban levõ gépek elérését tudjuk korlátozni vagy letiltani az interneten elérhetõ szolgáltatások @@ -77,14 +77,14 @@ - a hálózati címfordítás + A hálózati címfordítás (Network Address Translation, NAT) beállításához, ahol a belsõ hálózatunk privát IP-címeket használnak és egy közös kapcsolaton keresztül - érik el az internetet (vagy egyetlen - IP-cím, vagy pedig automatikusan + érik el az internetet (egyetlen + IP-címmel, vagy pedig automatikusan kiosztott publikus címekkel). @@ -96,30 +96,30 @@ hogyan adjuk meg helyesen a csomagok szûrését leíró - szabályokat + szabályokat; a &os;-be épített tûzfalak közti - különbségeket + különbségeket; hogyan állítsuk be és használjuk az OpenBSD PF - tûzfalát + tûzfalát; hogyan állítsuk be és használjuk az IPFILTER - tûzfalat + tûzfalat; hogyan állítsuk be és használjuk az IPFW - tûzfalat + tûzfalat. @@ -128,9 +128,10 @@ a &os;-hez és az internethez kötõdõ - alapvetõ fogalmak ismerete + alapvetõ fogalmak ismerete. + @@ -153,23 +154,23 @@ szabály és minden mást blokkolnak. Az inkluzív tûzfalak általában - biztonságosabbak az exkluzív társaiknál, - mivel esetükben jelentõs mértékben - visszaszorul az átfolyó nem kívánatos - forgalom. + biztonságosabbak az exkluzív + társaiknál, mivel esetükben jelentõs + mértékben visszaszorul a nem kívánatos + átfolyó forgalom. - A védelem még tovább fokozható az - állapottartó tûzfalak (stateful - firewall) használatával. Ilyenkor a tûzfal - szemmel tartja a rajta keresztül megnyitott kapcsolatokat, - és vagy csak a már meglevõ kapcsolathoz - tartozó forgalmat engedi át vagy nyit egy - újat. Az állapottartó tûzfalak - hátránya, hogy a Denial of Service - (DoS) típusú - támadásokkal szemben sokkal - sérülékenyebbek, amikor az új - kapcsolatok nagyon gyorsan jönnek létre. A + Ez a típusú védelem még + tovább fokozható az állapottartó + tûzfalak (stateful firewall) + használatával. Ilyenkor a tûzfal szemmel + tartja a rajta keresztül megnyitott kapcsolatokat, és + vagy csak a már meglevõ kapcsolathoz tartozó + forgalmat engedi át, vagy nyit egy újat. Az + állapottartó tûzfalak hátránya, + hogy a Denial of Service (DoS) + típusú támadásokkal szemben sokkal + sérülékenyebbek olyan helyzetekben, amikor az + új kapcsolatok nagyon gyorsan jönnek létre. A legtöbb tûzfal esetében azonban tudjuk vegyíteni az állapottartó és nem állapottartó viselkedést, és ezzel egy @@ -182,13 +183,13 @@ Tûzfalak A &os; alaprendszerébe három - különbözõ tûzfalat építettek - be. Ezek: az IPFILTER (másik - nevén IPF), az - IPFIREWALL (más néven - IPFW) és az OpenBSD - csomagszûrõje (Packet Filter, azaz - PF). A forgalom + különbözõ tûzfalat + építettek be, melyek a következõk: az + IPFILTER (másik nevén + IPF), az IPFIREWALL + (más néven IPFW) és az + OpenBSD csomagszûrõje (Packet + Filter, azaz PF). A forgalom szabályozására (vagyis alapvetõen a sávszélesség kihasználtságának @@ -208,21 +209,21 @@ érkezõ vagy onnan távozó csomagokról, habár megoldásaik teljesen máshogy mûködnek és a szabályok - felírási módja is eltér. + megadási módja is eltér. - A &os; azért tartalmaz egyszerre ennyi tûzfalat, - mert az emberek elvárásai és igényei - egyénenként eltérnek. Egyikõjük - sem tekinthetõ a legjobbnak. + A &os; azért tartalmaz egyszerre ennyiféle + tûzfalat, mert az emberek elvárásai és + igényei eltérnek. Egyikük sem tekinthetõ + a legjobbnak. A szerzõ egyébként az IPFILTER megoldását részesíti elõnyben, mivel egy hálózati címfordítást alkalmazó környezetben sokkal könnyebb vele megfogalmazni az állapottartó szabályokat, - valamint tartalmaz egy beépített FTP proxy-t is, - amivel a kimenõ FTP kapcsolatok - beállítása tovább + valamint tartalmaz egy beépített FTP proxyt is, + amivel így a kimenõ FTP kapcsolatok + beállítása még tovább egyszerûsödik. Mivel az összes tûzfal a csomagok @@ -250,18 +251,17 @@ PF - 2003. júliusában az OpenBSD - PF néven ismert - csomagszûrõjét átírták - &os;-re és elérhetõvé tették a - &os; Portgyûjteményének - részeként. A PF programot - beépítetten tartalmazó elsõ - kiadás pedig 2004. novemberében a &os; 5.3 - volt. A PF egy teljes, mindentudó - tûzfal, ami támogatja az ún. - ALTQ (Alternate Queuing, vagyis a - váltóbesorolás) + 2003 júliusában az OpenBSD PF + néven ismert csomagszûrõjét + átírták &os;-re és + elérhetõvé tették a &os; + Portgyûjteményének részeként. A + PF programot beépítetten + tartalmazó elsõ kiadás pedig 2004 + novemberében a &os; 5.3 volt. A PF + egy teljes, mindentudó tûzfal, amely támogatja + az ún. ALTQ (Alternate Queuing, vagyis + a váltóbesorolás) megoldást. Az ALTQ lehetõvé teszi a sávszélesség korlátozását a szolgáltatás @@ -270,26 +270,26 @@ különbözõ szolgáltatások a szûrési szabályok mentén garantált sávszélességhez juthatnak. - Az OpenBSD projekt kiváló munkát végez + Az OpenBSD Projekt kiváló munkát végez a PF felhasználói útmutatójának karbantartásával, amely így most nem lesz része a kézikönyvnek, hiszen ez csak az erõforrások kétszerezése lenne. - A PF &os;-n történõ - használatáról a honlapon - olvashatunk többet (angolul). + A + címen olvashatunk többet arról (angolul), hogy a + PF-et hogyan használjunk &os;-n. A PF engedélyezése - A PF a &os; 5.3 verziója utáni - kiadásokban az alaprendszer része, amit a rendszer - mûködése közben egy külön modul - betöltésével aktiválhatunk. Ha az - rc.conf állományban megadjuk - a pf_enable="YES" sort, akkor a rendszer + A PF a &os; 5.3 verziója utáni + kiadásokban az alaprendszer része, amelyet a + rendszer mûködése közben egy + külön modul betöltésével + aktiválhatunk. Ha az rc.conf + állományban megadjuk a + pf_enable="YES" sort, akkor a rendszer magától be is tölti a PF-hez tartozó rendszermag modult. Ez a betölthetõ modul egyébként még a &man.pflog.4; @@ -297,16 +297,16 @@ engedélyezi. - A modul feltételezi a options - INET és device bpf sorok - jelenlétét. Hacsak nem adtuk meg &os; - 6.0-RELEASE elõtti verzióban a - NOINET6, ill. az utáni + A modul feltételezi az options + INET és a device bpf sorok + jelenlétét. Hacsak nem adtuk meg + &os; 6.0-RELEASE elõtti verziókban a + NOINET6, illetve az utána következõ verziókban a NO_INET6 beállítást (például a &man.make.conf.5; állományban) a rendszer - fordítására vonatkozóan, akkor a + fordítására vonatkozóan, akkor az options INET6 beállításra is szükség lesz. @@ -320,8 +320,8 @@ vagy letiltani. Ebben a példában a - pf engedélyezését - láthatjuk: + pf + engedélyezését láthatjuk: &prompt.root; pfctl -e @@ -380,15 +380,16 @@ A device pflog megadásával keletkezik egy &man.pflog.4; pszeudo hálózati - eszköz, amivel egy &man.bpf.4; leíróra - érkezõ forgalmat tudunk naplózni. A - &man.pflogd.8; démon használható - ezután tõle származó naplózott - adatok rögzítésére. + eszköz, amellyel egy &man.bpf.4; eszközre + érkezõ forgalmat tudunk naplózni. + Ezután a &man.pflogd.8; démon + használható tõle származó + naplózott adatok + rögzítésére. A device pfsync engedélyezi a &man.pfsync.4; pszeudo hálózati eszköz - létrejöttét, ami az ún. + létrejöttét, amely az ún. állapotváltások megfigyelésére alkalmas. Mivel ez nem része a betölthetõ modulnak, ezért egy @@ -422,26 +423,27 @@ Ha a tûzfalunk mögött egy helyi hálózat is meghúzódik, akkor az ott levõ gépek számára valamilyen - módon tudni kell továbbítani a csomagokat + módon tudnunk kell továbbítani a csomagokat vagy címfordítást kell végezni, így ez a beállítás is mindenképpen kelleni fog: - gateway_enable="YES" # az átjárói funkciók engedélyezése + gateway_enable="YES" # az átjáró funkciók engedélyezése - Az <acronym>ALTQ</acronym> engedélyezése + Az <acronym>ALTQ</acronym> + engedélyezése Az ALTQ kizárólag csak úgy érhetõ el, ha belefordítjuk a &os; rendszermagjába. Az ALTQ nem minden hálózati kártya részérõl támogatott. Az &man.altq.4; man oldalán - megtalálhatjuk a &os; aktuális - kiadásában szereplõ támogató - meghajtók listáját. A következõ + megtalálhatjuk azokat a meghajtókat, amelyek a + &os; aktuális kiadásában + támogatottak. A következõ beállítások az ALTQ további lehetõségeit igyekeznek engedélyezni. @@ -464,7 +466,7 @@ kapcsolatunkhoz tartozó sávszélességet különbözõ osztályokra vagy sorokra - tudjuk szedni, és a szûrési + tudjuk bontani és a szûrési szabályoknak megfelelõen osztályozni segítségükkel a forgalmat. @@ -526,7 +528,7 @@ telepítésében alapértelmezés szerint az /etc/pf.conf állomány látja el ennek szerepét, - ami számos hasznos példát és + amely számos hasznos példát és magyarázatot tartalmaz. Noha a &os; saját /etc/pf.conf @@ -536,7 +538,7 @@ használatossal. A pf tûzfal beállításával az OpenBSD csapat által írt nagyszerû írás - foglalkozik, ami a címrõl érhetõ el (angolul). @@ -545,11 +547,11 @@ útmutatóját olvasgatva azonban soha nem szabad elfelejtenünk, hogy &os; egyes változatai a pf különbözõ - verzióit tartalmazzák. A &os; 5.X - ágában az OpenBSD 3.5 + verzióit tartalmazzák. A &os; 5.X + változataiban az OpenBSD 3.5 pf tûzfalát, míg - a &os; 6.X változataiban az OpenBSD 3.7 szerinti - verzióját találjuk. + a &os; 6.X változataiban az OpenBSD 3.7 + szerinti verzióját találjuk. A &a.pf; kitûnõ hely a @@ -579,7 +581,7 @@ Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem kötõdik egyik rendszerhez sem: ez egy olyan nyílt - forráskódú alkalmazás, amit + forráskódú alkalmazás, amelyet átírtak &os;, NetBSD, OpenBSD, &sunos;, HP/UX és &solaris; operációs rendszerekre. Az IPFILTER karbantartása és támogatása @@ -588,24 +590,24 @@ Az IPFILTER egy rendszermag oldalán mûködõ tûzfalazási és egy - címfordítási mechanizmusra alapszik, amit + címfordítási mechanizmusra alapszik, amelyet felhasználói programokkal tudunk felügyelni - és vezérelni. A tûzfal szabályai a + és vezérelni. A tûzfal szabályai az &man.ipf.8; segédprogrammal állíthatóak be vagy törölhetõek. A hálózati címfordításra vonatkozó - szabályokat a &man.ipnat.1; segédprogrammal - állíthatjuk be vagy törölhetjük. A + szabályokat az &man.ipnat.1; segédprogrammal + állíthatjuk be vagy törölhetjük. Az &man.ipfstat.8; segédprogram képes futás közben statisztikákat készíteni az IPFILTER rendszermagban elhelyezkedõ részeinek - viselkedésérõl. A &man.ipmon.8; program pedig + viselkedésérõl. Az &man.ipmon.8; program pedig az IPFILTER cselekvéseit képes a rendszernaplókba feljegyezni. Az IPF eredetileg olyan szabályfeldolgozási - módszer szerint készült, amiben az + módszer szerint készült, amelyben az utolsó egyezõ szabály nyer és csak állapotnélküli szabályokat ismert. Az idõ múlásával az IPF @@ -627,23 +629,23 @@ lehetõvé. A szakaszban szereplõ utasításokban olyan - szabályok szerepelnek, amik kihasználják a + szabályok szerepelnek, amelyek kihasználják a quick és keep state opciókat. Ezek az inkluzív tûzfalszabályok létrehozásának alapjai. Az inkluzív tûzfalak csak olyan csomagokat - engednek keresztül, amik megfelelnek a szabályoknak. - Ezen módon képesek vagyunk megmondani, hogy a - tûzfal mögül milyen szolgáltatások - érhetõek el az interneten és - segítségével azt is megadhatjuk, hogy az - internetrõl a belsõ hálózatunkon milyen - szolgáltatásokat érhetnek el. A tûzfal - alapból minden mást visszautasít és - naplóz. Az inkluzív tûzfalak sokkal de sokkal - megbízhatóbbak az exkluzív + engednek keresztül, amelyek megfelelnek a + szabályoknak. Ezen módon képesek vagyunk + megmondani, hogy a tûzfal mögül milyen + szolgáltatások érhetõek el az interneten + és segítségével azt is megadhatjuk, + hogy az internetrõl a belsõ hálózatunkon + milyen szolgáltatásokat érhetnek el. A + tûzfal alapból minden mást visszautasít + és naplóz. Az inkluzív tûzfalak sokkal, + de sokkal megbízhatóbbak az exkluzív tûzfalaknál, ezért itt most csak ilyenekkel foglalkozunk. @@ -658,7 +660,7 @@ url="http://www.phildev.net/ipf/index.html"> címen érhetõek el (angolul). - A nyílt forrású IPFilter + A nyílt forrású IPFILTER levelezési lista kereshetõ archívumait a címen találjuk (angolul). @@ -741,13 +743,13 @@ Az options IPFILTER_LOG hatására az IPF az ipl - csomagnaplózó pszeudoeszközre jegyzi fel a + csomagnaplózó pszeudo eszközre jegyzi fel a forgalmat — minden olyan szabály esetén, ahol megjelenik a log kulcsszó. Az options IPFILTER_DEFAULT_BLOCK megváltoztatja az alapértelmezett - viselkedést, tehát minden olyan csomag, ami nem + viselkedést, tehát minden olyan csomag, amely nem illeszkedik a tûzfal valamelyik pass típusú (átengedõ) szabályára, blokkolásra kerül. @@ -775,19 +777,20 @@ ipmon_flags="-Ds" # D = indítás démonként # s = naplózás a syslog használatával # v = a tcp ablak, ack, seq csomagok naplózása - # n = az IP címek és portok feloldása + # n = az IP-címek és portok feloldása - Ha olyan helyi hálózatunk bújik meg a - tûzfal mögött, ami egy fenntartott privát - IP-címtartományt használ, akkor még - a következõ utasításokra is - szükségünk lesz a + Ha olyan helyi hálózat áll meg a + tûzfal mögött, amely egy fenntartott + privát IP-címtartományt használ, + akkor még a következõ + utasításokra is szükségünk lesz a címfordítás bekapcsolásához: gateway_enable="YES" # a helyi hálózat átjárója ipnat_enable="YES" # az ipnat funkció elindítása ipnat_rules="/etc/ipnat.rules" # az ipnat mûködéséhez szükséges definíciók + @@ -805,10 +808,10 @@ &prompt.root; ipf -Fa -f /etc/ipf.rules - A az összes belsõ + Az az összes belsõ szabály törlését jelenti. - A jelzi, hogy egy + Az jelzi, hogy egy állományból kell beolvasni a betöltendõ szabályokat. @@ -830,16 +833,16 @@ beállításokat. Az &man.ipf.8; parancs a szabályokat - tároló állományt egy szabványos - szöveges állománynak tekinti, semmilyen - szimbolikus helyettesítést alkalmazó - szkriptet nem fogad el. + tároló állományt egy + szabványos szöveges állománynak + tekinti, semmilyen szimbolikus helyettesítést + alkalmazó szkriptet nem fogad el. - Azonban lehetõségünk van olyan IPF + Lehetõségünk van azonban olyan IPF szabályokat készíteni, amelyek kiaknázzák a szkriptek szimbolikus helyettesítésének lehetõségeit. - Errõl bõvebben ld. . @@ -855,15 +858,15 @@ Az &man.ipfstat.8; alapértelmezés szerint a - tûzfal legutóbbi indítása vagy a - statisztika számlálóinak a ipf - -Z paranccsal történt - lenullázása óta beérkezett és - kiment forgalomból a felhasználók - által megadott szabályoknak megfelelõ - csomagok alapján összegyûjtött - statisztikák lekérdezésére és - megjelenítésére használatos. + arra használatos, hogy le tudjuk kérdezni + és megjeleníteni a tûzfalhoz tartozó + számlálók értékeit, amelyek a + legutóbbi indítás vagy az ipf + -Z parancs által kiadott + lenullázásuk óta a bejövõ vagy + kimenõ forgalomból a megadott szabályoknak + megfelelõ csomagok alapján gyûjtenek össze + statisztikákat. A parancs mûködésének részleteit az &man.ipfstat.8; man oldalon @@ -932,8 +935,8 @@ Az ipfstat parancs talán egyik legfontosabb funkciója a - kapcsolóval csalható elõ, aminek - utasítására a rendszerben aktív + kapcsolóval csalható elõ, melynek + hatására a rendszerben aktív állapotok táblázatát mutatja meg ugyanúgy, ahogy a &man.top.1; a &os; rendszerben futó programokat. Amikor a tûzfalunk @@ -945,7 +948,7 @@ kiegészítésképpen megadható alkapcsolók megadásával kiválaszthatjuk azt a cél vagy forrás - IP-címet, portot vagy protokollt, amit valós + IP-címet, portot vagy protokollt, amelyet valós idõben meg akarunk figyelni. Ennek részleteit az &man.ipfstat.8; man oldalán láthatjuk. @@ -972,18 +975,17 @@ kapjuk meg. A démon mód abban az esetben hasznos, ha - folyamatosan naplózni akarjuk a rendszerben - történõ eseményeket, majd ezeket - késõbb átnézni. Így - képes egymással együttmûködni a - &os; és az IPFILTER. A &os; beépítve - tartalmaz olyan lehetõséget, aminek - révén magától cseréli a - rendszernaplókat. Ezért ha - átküldjük a syslogd démonnak a - naplózandó üzeneteket, akkor sokkal jobban - járunk, mintha egyszerûen csak mezei - állományba naplóznánk. Az + folyamatosan naplózni akarjuk a rendszerben zajló + eseményeket, majd késõbb ezeket + átnézni. Így képes egymással + együttmûködni a &os; és az IPFILTER. A + &os; beépítve tartalmaz olyan + lehetõséget, aminek révén + magától cseréli a rendszernaplókat. + Ezért ha átküldjük a syslogd + démonnak a naplózandó üzeneteket, + akkor sokkal jobban járunk, mintha egyszerûen csak + mezei állományba naplóznánk. Az rc.conf alapértelmezései között az ipmon_flags beállítás a @@ -1017,9 +1019,10 @@ Egyáltalán nem ritka, hogy a szabályrendszer végén egy alapértelmezés szerint mindent eldobó - szabály áll, ami naplóz. Ezzel - lehetõségünk nyílik azokat a csomagokat, - amelyek egyetlen szabályra sem illeszkedtek. + szabály áll, amely naplóz. Ezzel + lehetõségünk nyílik + rögzíteni azokat a csomagokat, amelyek egyetlen + szabályra sem illeszkedtek. @@ -1071,8 +1074,8 @@ security.* /var/log/ipfilter.log A security.* megadásával az - összes ilyen típusú üzenet egy elõre - rögzített helyre kerül. + összes ilyen típusú üzenet egy + elõre rögzített helyre kerül. Az /etc/syslog.conf állományban elvégzett @@ -1097,34 +1100,35 @@ A naplózott üzenetek formátuma Az ipmon által létrehozott - üzenetek láthatatlan karakterekkel elválasztott + üzenetek whitespace karakterekkel elválasztott adatmezõkbõl állnak. A következõ mezõk az összes üzenet esetében megjelennek: - a csomag megérkezésének + A csomag megérkezésének dátuma - a csomag megérkezésének - idõpontja. ÓÓ:PP:MM.E alakban jelennek meg - az órák, percek, másodpercek és - ezredmásodpercek (ami több számjegy - hosszú is lehet) szerint + A csomag megérkezésének + idõpontja. ÓÓ:PP:MM.E alakban jelennek + meg az órák, percek, másodpercek + és ezredmásodpercek (ez több + számjegy hosszú is lehet) szerint - annak a felületnek a neve, ahol a csomag - feldolgozásra került, pl. + Annak a felületnek a neve, ahol a csomag + feldolgozásra került, például dc0 - a szabályhoz tartozó csoport és - sorszám, pl. @0:17 + A szabályhoz tartozó csoport és + sorszám, például + @0:17 @@ -1133,7 +1137,7 @@ - cselekvés: a p mint átment (passed), b + Cselekvés: a p mint átment (passed), b mint blokkolt (blocked), S mint rövid csomag (short packet), n mint egyik szabályra sem illeszkedett (not match), L mint naplózás (log). A @@ -1143,26 +1147,29 @@ csomagot egy felsõbb szintû beállítás miatt naplózták, nem egy szabály - hatására + hatására. - címek: ez tulajdonképpen három mezõt takar: a forrás - címet és portot (melyet egy vesszõ választ el), a - -> jelet és cél címet és portot. Például: - 209.53.17.22,80 -> 198.73.220.17,1722 + Címek: ez tulajdonképpen három + mezõt takar: a forrás címet és + portot (melyet egy vesszõ választ el), a -> + jelet és cél címet és portot. + Például: 209.53.17.22,80 -> + 198.73.220.17,1722. - a PR után a protokoll neve - vagy száma olvasható, pl. PR tcp + A PR után a protokoll neve + vagy száma olvasható, például + PR tcp. - a len csomaghoz tartozó + A len csomaghoz tartozó fejléc és törzsének teljes - hosszát jelöli, pl. len 20 - 40 + hosszát jelöli, például + len 20 40. @@ -1175,8 +1182,8 @@ oldalán olvashatjuk. Amennyiben a csomag ICMP, a sort két mezõ - zárja, melyek közül az elsõ tartalma mindig - ICMP, és ezt egy perjellel + zárja, melyek közül az elsõ tartalma + mindig ICMP, és ezt egy perjellel elválasztva az ICMP üzenet típusa és altípusa követi. Tehát például az ICMP 3/3 a nem elérhetõ port @@ -1189,33 +1196,35 @@ helyettesítéssel Az IPF használatában gyakorlott - felhasználók közül néhányan - képesek olyan stílusú - szabályrendszert készíteni, ahol - szimbolikus helyettesítést használnak. - Ennek az egyik legnagyobb elõnye az, hogy ilyenkor - elég csak a szimbolikus névhez tartozó - értéket megváltoztatni és amikor a - szkript lefut, akkor az összes rá hivatkozó - szabályba ez kerül be. Szkript lévén - a szimbolikus helyettesítéssel ki tudjuk emelni a - gyakran használt értékeket és + felhasználók közül + néhányan képesek olyan + stílusú szabályrendszert + készíteni, ahol szimbolikus + helyettesítést használnak. Ennek az egyik + legnagyobb elõnye az, hogy ilyenkor elég csak a + szimbolikus névhez tartozó értéket + megváltoztatni és amikor a szkript lefut, akkor az + összes rá hivatkozó szabályba ez + kerül be. Szkript lévén a szimbolikus + helyettesítéssel ki tudjuk emelni a gyakran + használt értékeket és behelyettesíteni ezeket több helyre. Ezt a most következõ példában láthatjuk. Az itt alkalmazott felírás kompatibilis az sh, - csh és tcsh shellekkel. + csh és tcsh parancsértelmezõkkel. A szimbolikus helyettesítést egy dollárjellel fejezzük ki: $. A szimbolikus mezõkben nem szerepel a $ - jelölés. + jelölés. A szimbolikus mezõ tartalmát kettõs - idézõjelbe (") tesszük. + idézõjelbe (") + tesszük. Kezdjük így el a szabályok írását: @@ -1251,12 +1260,15 @@ EOF ################## Itt az IPF szkript vége ######################## - Ennyi lenne. A példában szereplõ szabályok most nem - annyira lényegesek, a hangsúly most igazából a szimbolikus - helyettesítésen és annak használatán van. Ha a fenti példát az - /etc/ipf.rules.script állományba mentjük, - akkor ezeket a szabályokat a következõ paranccsal újra tudjuk - tölteni: + Ennyi lenne. A példában szereplõ + szabályok most nem annyira lényegesek, a + hangsúly most igazából a szimbolikus + helyettesítésen és annak + használatán van. Ha a fenti példát + az /etc/ipf.rules.script + állományba mentjük, akkor ezeket a + szabályokat a következõ paranccsal újra + tudjuk tölteni: &prompt.root; sh /etc/ipf.rules.script @@ -1271,7 +1283,7 @@ - vegyük ki megjegyzésbõl a + Vegyük ki megjegyzésbõl a cat paranccsal kezdõdõ sort, és tegyük megjegyzésbe az /sbin/ipf kezdetût. A megszokottak @@ -1282,24 +1294,24 @@ után futtassuk le a szkriptet az /etc/ipf.rules állomány létrehozásához vagy - frissítéséhez + frissítéséhez. - tiltsuk le az IPFILTER aktiválását - a rendszerindításkor, tehát írjuk - bele az ipfilter_enable="NO" sort (ami - mellesleg az alapértelmezett értéke) az - /etc/rc.conf - állományba + Tiltsuk le az IPFILTER aktiválását + a rendszerindításkor, tehát + írjuk bele az ipfilter_enable="NO" + sort (ami mellesleg az alapértelmezett + értéke) az /etc/rc.conf + állományba. - tegyünk egy, az alábbi szkripthez + Tegyünk egy, az alábbi szkripthez hasonlót az /usr/local/etc/rc.d/ könyvtárba. A szkriptnek adjuk valamilyen értelmes nevet, például ipf.loadrules.sh. Az .sh kiterjesztés - használata kötelezõ + használata kötelezõ. #!/bin/sh sh /etc/ipf.rules.script @@ -1327,14 +1339,15 @@ át kell engedni vagy vissza kell tartani. A gépek közt két irányban áramló csomagok egy munkamenet alapú társalgást - formáznak meg. A tûzfal szabályrendszere - minden csomagot kétszer dolgoz fel: egyszer, amikor befut - az internetrõl, illetve még egyszer, amikor - visszavándorol az internet irányába. - Mindegyik TCP/IP szolgáltatást (pl. telnet, www, + képeznek. A tûzfal szabályrendszere minden + csomagot kétszer dolgoz fel: egyszer, amikor befut az + internetrõl, illetve még egyszer, amikor + visszatér az internetre. Mindegyik TCP/IP + szolgáltatást (például telnet, www, levelezés stb.) elõre meghatározza a - protokollja, cél és forrás IP-címe - vagy portja. Ez az alapja a szolgáltatások + hozzátartozó protokoll, cél és + forrás IP-cím vagy port. Ez az alapja a + szolgáltatások engedélyezésérõl vagy tiltásáról szóló szabályok megfogalmazásának. @@ -1352,7 +1365,7 @@ szabályokat ismert. Az idõk folyamán az IPF szabályai kiegészültek a quick és az állapottartásra vonatkozó - keep state opciókkal, aminek + keep state opciókkal, amelynek köszönhetõen óriási mértékben korszerûsödött a szabályok feldolgozása. @@ -1375,7 +1388,7 @@ internetrõl a magánhálózatunkon. A tûzfal minden mást elutasít és alapértelmezés szerint naplóz. Az - inkluzív tûzfalak sokkal de sokkal + inkluzív tûzfalak sokkal, de sokkal biztonságosabbak az exkluzív tûzfalaknál, ezért itt most csak ezzel az egyetlen típussal foglalkozunk. @@ -1392,7 +1405,8 @@ érdekében javasoljuk, hogy a tûzfal alapjait elõször helyi konzolról építsük fel, ne pedig - távolról, pl. ssh + távolról, például + ssh segítségével. @@ -1408,22 +1422,22 @@ A szabályok felépítésének - bemutatását itt most leszûkítjük a - modern állapottartó szabályokra és + bemutatását itt most leszûkítjük + a modern állapottartó szabályokra és az elsõ illeszkedõ szabály nyer típusú feldolgozásra. A szabályok felírásának régebbi módjai az &man.ipf.8; man oldalon találhatóak. A # karakterrel egy megjegyzés - kezdetét jelezzük, és általában a - sor végén vagy egy külön sorban bukkan + kezdetét jelezzük, és általában + a sor végén vagy egy külön sorban bukkan fel. Az üres sorokat a rendszer nem veszi figyelembe. A szabályok kulcsszavakat tartalmaznak. Ezeknek a - kulcsszavaknak balról jobbra haladva adott sorrendben kell - szerepelniük. A kulcsszavakat kiemeltük. Egyes + kulcsszavaknak balról jobbra haladva adott sorrendben + kell szerepelniük. A kulcsszavakat kiemeltük. Egyes kulcsszavakhoz további beállítások is tartozhatnak, amelyek maguk is kulcsszavak lehetnek, és még további opciókkal @@ -1443,11 +1457,13 @@ BE-KI = in | out OPCIÓK = log | quick | on - felületnév + felületnév SZÛRÉS = proto - érték | forrás/cél IP | port = - szám | flags beállítás + érték | + forrás/cél IP | port = + szám | flags + beállítás >>> TRUNCATED FOR MAIL (1000 lines) <<<