From owner-p4-projects@FreeBSD.ORG Sun Sep 6 20:14:43 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 333BD10656A5; Sun, 6 Sep 2009 20:14:43 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id E9EE810656A3 for ; Sun, 6 Sep 2009 20:14:42 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id D7D398FC18 for ; Sun, 6 Sep 2009 20:14:42 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n86KEgvS020108 for ; Sun, 6 Sep 2009 20:14:42 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n86KEgb0020106 for perforce@freebsd.org; Sun, 6 Sep 2009 20:14:42 GMT (envelope-from rene@FreeBSD.org) Date: Sun, 6 Sep 2009 20:14:42 GMT Message-Id: <200909062014.n86KEgb0020106@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 168253 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 06 Sep 2009 20:14:43 -0000 http://perforce.freebsd.org/chv.cgi?CH=168253 Change 168253 by rene@rene_self on 2009/09/06 20:13:45 MFen handbook/firewalls 1.86 -> 1.90 Spellcheck pending Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#12 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#12 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml - %SRCID% 1.89 -> update to 1.90 before submit/commit (small one :-) ) + %SRCID% 1.90 --> @@ -2413,12 +2413,13 @@ ipfw firewall. één daarvan is door het zetten van de firewall_type variabele naar een absoluut - pad van een bestand, welke firewall regels - bevat, zonder enige specifieke opties voor &man.ipfw.8;. Een - simpel voorbeeld van een regelverzameling bestand kan zijn: + pad van een bestand, welke firewall-regels + bevat, zonder enige specifieke opties voor &man.ipfw.8;. Het volgende + is een eenvoudig voorbeeld van een bestand met regelverzamelingen dat + al het inkomend en uitgaand verkeer blokkeert: - add block in all -add block out all + add deny in +add deny out Aan de andere kant is het mogelijk om de variabele firewall_script in te stellen op een @@ -2432,8 +2433,8 @@ ipfw -q flush -ipfw add block in all -ipfw add block out all +ipfw add deny in +ipfw add deny out Als firewall_type is gezet naar @@ -2696,7 +2697,7 @@ Selectie De sleutelwoorden in deze paragraaf beschrijven de - attributen van een pakket die bekeken worden bij het + attributen van een pakket die gecontroleerd worden bij het bepalen of een regel wel of niet op een pakket van toepassing is. De attributen waarop gecontroleerd kan worden moeten in de beschreven volgorde gebruikt @@ -2714,37 +2715,38 @@ De sleutelwoorden from en to worden gebruikt om te bekijken - of een regel van toepassing is op IP - adressen. Een regel moet zowel bron- als + of een regel van toepassing is op IP-adressen. + Een regel moet zowel bron- als bestemmingsadressen bevatten. any is een bijzonder sleutelwoord dat van toepassing is op alle - IP adressen. me is + IP-adressen. me is een bijzonder sleutelwoord dat van toepassing is op alle - IP adressen die ingesteld zijn op - interfaces van een &os; systeem. Zo kan dit onderdeel dus + IP-adressen die ingesteld zijn op + interfaces van een &os; systeem om de PC waarop de firewall draait + te vertegenwoordigen (deze machine). Zo kan dit onderdeel bijvoorbeeld de volgende vormen aannemen: from me to any, from any to me, from 0.0.0.0/0 to any, from any to 0.0.0.0/0, from 0.0.0.0 to any, - from any to 0.0.0.0, + from any to 0.0.0.0 of from me to 0.0.0.0. - IP adressen mogen ingevoerd worden + IP-adressen mogen ingevoerd worden in de vorm numeriek, door punten gescheiden - adres/maskerlengte of als een enkelvoudig - IP adres in de vorm numeriek, door - punten gescheiden. De volgende link kan hulp verschaffen - bij het schrijven van IP adressen in - de vorm adres/maskerlengte: Dit attribuut - is verpicht. + adres/maskerlengte (CIDR-notatie) of als een enkelvoudig + IP-adres in de vorm numeriek, door + punten gescheiden. De port net-mgmt/ipcalc kan gebruikt worden om + de berekeningen e vereenvoudigen. Aanvullende informatie is + beschikbaar op de webpagina van het programma: . poortnummer Wordt gebruikt voor protocollen die poortnummers - ondersteunen (als TCP en UDP). Het - gebruik van een poortnummer is verplicht. Er mogen ook + ondersteunen (als TCP en UDP). + Het gebruik van een poortnummer is verplicht. Er mogen ook dienstnamen uit /etc/services gebruikt worden in plaats van nummers. @@ -2787,7 +2789,7 @@ bestemmingspoort gebruikt worden. limit en keep–state kunnen niet in - dezelfde regel gebruikt worden. + dezelfde regel gebruikt worden. De optie limit geeft dezelfde mogelijkheden als keep–state en voegt daar zijn eigen mogelijkheden aan toe. @@ -2811,8 +2813,8 @@ verwachting van een sessie passen worden automatisch als fout geblokkeerd. - check–state wordt gebruikt - om aan te geven waar IPFW regels tegen de mogelijkheden + De optie check–state wordt gebruikt + om aan te geven waar IPFW-regels tegen de mogelijkheden voor dynamische regels gehouden moeten worden. Als er een passende regel bij een pakket wordt gevonden, dan kan dat pakket de firewall verlaten en wordt een nieuwe regel @@ -2825,7 +2827,7 @@ voor een aanval die SYN–flood heet, waarmee wordt geprobeerd een zeer groot aantal regels aan te laten maken. Om deze aanval tegen te gaan, is de optie - limit beschikbaar. Met deze + limit beschikbaar. Met deze optie kan het maximaal aantal simultane sessies geregeld worden op basis van bron en bestemmingsvelden. Als het aantal sessies gelijk aan het maximale aantal sessies is, @@ -2851,14 +2853,14 @@ Zelfs als logging is ingeschakeld logt IPFW nog niets uit zichzelf. De beheerder van de firewall beslist welke actieve regels iets weg moeten schrijven door het - sleutelwoord log aan die regels toe + sleutelwoord log aan die regels toe te voegen. Gewoonlijk worden alleen - deny regels gelogd. Dit geldt - bijvoorbeeld voor de deny regel + deny-regels gelogd. Dit geldt + bijvoorbeeld voor de deny-regel voor inkomende ICMP pings. Het is - gebruikelijk om de standaard ipfw regel - te dupliceren, daar log in op te - nemen, en deze als laatste in de set met regels te + gebruikelijk om de standaardregel ipfw default deny + everything te dupliceren, daar log in op + te nemen, en deze als laatste in de verzameling met regels te plaatsen. Zo zijn alle pakketten te zien die niet voldeden aan ook maar één regel. @@ -2867,8 +2869,8 @@ die uiteindelijk een schijf kunnen vullen. Een DoS aanval om een schijf met logs te vullen is een van de oudst bekende typen DoS aanvallen. Logberichten van de firewall worden - niet alleen naar &man.syslogd.8; geschreven, maar ook op - het root console getoond waar ze snel + niet alleen naar syslogd geschreven, maar + ook op het root console getoond waar ze snel erg vervelend kunnen worden. De kerneloptie @@ -2878,7 +2880,7 @@ Als deze optie is ingeschakeld, worden in dit geval maximaal vijf berichten voor dezelfde regel gemeld. Als er meer berichten op dezelfde regel zouden zijn, zou dat als - volgt aan &man.syslogd.8; gemeld worden: + volgt aan syslogd gemeld worden: last message repeated 45 times @@ -2894,21 +2896,20 @@ waarin de regels staan en stellen dat zo op dat het als script uitgevoerd kan worden. Het grootste voordeel van deze methode is dat de firewallregels allemaal vervangen - kunnen worden zonder dat het systeem geboot moet worden. + kunnen worden zonder dat het systeem opnieuw gestart moet worden. Deze methode is ook erg geschikt voor het testen van regels omdat de procedure zo vaak als nodig uitgevoerd kan worden. Omdat het een script is, kan er gebruik gemaakt worden van substitutie zodat veel gebruikte waarden verduidelijkt - kunnen worden. In het volgende voorbeeld wordt hier - gebruik van gemaakt. + en in meerdere regels toegepast kunnen worden. In het volgende + voorbeeld wordt hier gebruik van gemaakt. De syntaxis die in het script wordt gebruikt is - compatibel met de shells sh, - csh en tcsh. Velden - waarvoor substitutie van toepassing is worden vooraf gegaan + compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;. + Velden waarvoor substitutie van toepassing is worden vooraf gegaan door het dollarteken $. Definities worden niet vooraf gegaan door het voorvoegsel $. De waarden - van een definitie moet omsloten worden door "dubbele + van een substitie moet omsloten worden door "dubbele aanhalingstekens". Een bestand met regels kan als volgt beginnen: @@ -2934,7 +2935,7 @@ een voorbeeld om het gebruik van substitutie te illustreren. - Als het bovenstaande voorbeeld het de inhoud van + Als het bovenstaande voorbeeld de inhoud van /etc/ipfw.rules was, dan kon het herladen worden met het volgende commando: @@ -2956,16 +2957,17 @@ - Set met stateful regels + Verzmeling van stateful regels - De volgende set met regels, waarin geen gebruik gemaakt + De volgende verzameling van regels, waarin geen gebruik gemaakt wordt van NAT, is een voorbeeld van hoe een erg veilige inclusieve firewall kan worden opgezet. Een inclusieve firewall laat alleen diensten toe waarvoor - pass regels van toepassing zijn en - blokkeert al het andere verkeer. Alle firewalls hebben - tenminste twee interfaces waarvoor regels moeten zijn die - de firewall in staat stellen zijn werk te doen. + pass regels van toepassing zijn en + blokkeert al het andere verkeer. Firewalls die ontworpen zijn om + hele netwerksegmenten te beschermen hebben tenminste twee interfaces + waarvoor regels moeten zijn die de firewall in staat stellen zijn + werk te doen. Alle &unix; systemen en dus ook &os; zijn zo ontworpen dat ze voor interne communicatie de interface @@ -2978,13 +2980,14 @@ Internet worden regels gemaakt waarmee sessies naar het Internet mogelijk gemaakt worden en toegang wordt gegeven voor pakketten die uit die sessies terug komen. Dit kan - de PPP interface tun0 zijn of de + de gebruikers-PPP-interface + tun0 zijn of de netwerkkaart die is verbonden met een xDSL of kabelmodem. In gevallen dat er meer dan één netwerkkaart is aangesloten op het private netwerk achter - de firewall, moeten er op de firewall regels zijn om het + de firewall, moeten er op de firewall-regels zijn om het verkeer tussen die interfaces vrije doorgang te geven. @@ -3000,23 +3003,25 @@ interface in die richting geblokkeerd en gelogd moet worden. - In het onderdeel Uitgaand staan alleen regels met - allow die parameters bevatten om - individuele diensten beschikbaar te maken zodat er Internet - toegang is. Al die regels moeten gebruik maken van - proto, port, - in/out, via - en keep-state. De regels met - proto tcp maken ook gebruik van - setup om te bekijken of het een + In het onderdeel Uitgaand van de volgende verzameling regels staan + alleen regels met allow die parameters bevatten om + individuele diensten beschikbaar te maken die publieke toegang + tot Internet mogen hebben Al die regels moeten gebruik maken van de + opties proto, port, + in/out, via + en keep-state. De regels met + proto tcp maken ook gebruik van + setup om te bekijken of het een pakket betreft voor het opzetten van een sessie om de stateful functionaliteit aan te sturen. - In het onderdeel Inkomend staan alle regels voor het - blokkeren van ongewenste pakketten eerst om twee redenen. - Als eerste kan het zo zijn dat wat er wordt geblokkeerd - later toegestaan zou worden door regels die diensten - toestaan. De tweede reden is dat nu ongewenste pakketten + In het onderdeel Inkomend staan als eerste alle regels voor het + blokkeren van ongewenste pakketten, om twee redenen. + Als eerste kan het zo zijn dat kwaadaardige pakketten gedeeltelijk + overeenkomen met legitiem verkeer. Deze regels moeten worden + geblokkeerd in plaats van te worden binnengelaten, gebasserd op hun + gedeeltelijke overeenkomst met allow-regels. + De tweede reden is dat nu ongewenste pakketten die vaak voorkomen en die bij voorkeur niet in de logboeken voorkomen niet meer van toepassing zijn op de laatste regel van het onderdeel waarin ze zouden worden gelogd. Met de @@ -3025,15 +3030,15 @@ bewijsmateriaal zijn in een zaak tegen iemand die heeft geprobeerd een systeem aan te vallen. - Voor al het verkeer dat wordt geweigerd wordt geen - antwoord gestuurd. Die pakketten verdwijnen gewoon. Zo - weet een aanvaller niet of een pakket het doelsysteem wel + Iets waarop u ook moet letten is dat voor al het verkeer dat wordt + geweigerd geen antwoord wordt gestuurd. Die pakketten verdwijnen + gewoon. Zo weet een aanvaller niet of een pakket het doelsysteem wel heeft bereikt. Zo kan een aanvaller geen informatie verzamelen over een systeem: hoe minder informatie er over een systeem beschikbaar is, hoe veiliger het is. Als er - pakketten gelogd worden waarvan de beheerder het poortnummer - niet herkent, dan is de functie van dat poortnummer na te - zoeken in /etc/services of op /etc/services of op . Op de volgende link worden poortnummers van Trojans beschreven: Voorbeeld van een set inclusieve regels - Het volgende voorbeeld is een complete inclusieve set + Het volgende voorbeeld is een complete inclusieve verzameling van regels die geen gebruik maakt van NAT. - Deze set met regels is een aanrader en eenvoudig aan te - passen door commentaar te maken van een regel voor een - dienst die niet gewenst is. Logberichten die niet gewenst - zijn, zijn uit te sluiten door ze met een regel te - blokkeren in het begin van het onderdeel Inkomend. Voor de - onderstaande regels dient de dc0 - interfacenaam in iedere regel vervangen te worden door de - interfacenaam van de netwerkkaart in het systeem die met + Deze verzameling van regels is veilig om deze regels op uw eigen + systemen te gebruiken. Dit kan door commentaar te maken van een + pass-regel voor een dienst die niet gewenst is. + Logberichten die niet gewenst zijn, zijn uit te sluiten door een + deny-regel toe te voegen aan het onderdeel + Inkomend. Voor de onderstaande regels dient de interfacenaam + dc0 in iedere regel vervangen te worden door + de interfacenaam van de netwerkkaart in het systeem die met het publieke Internet is verbonden. Voor gebruikers van - PPP zou dat tun0 zijn. + PPP zou dat tun0 + zijn. - Er zit een structuur in de regels: + Er zit een merkbare structuur in het gebruik van deze + regels: - Alle regels die controleren op het verzoek voor het - opzetten van een sessie gebruiken - keep–state. + Alle regels die een verzoek zijn voor het opzetten van een + sessie gebruiken keep–state. - Alle diensten die vanaf Internet bereikbaar zijn - gebruiken limit om - flooding te voorkomen. + Alle diensten die vanaf Internet bereikbaar zijn gebruiken de + optie limit om flooding te + voorkomen. - Alle regels gebruiken in of - out om de richting aan te - geven. + Alle regels gebruiken in of + out om de richting aan te geven. - Alle regels gebruiken via - interfacenaam om aan te geven op welke + Alle regels gebruiken via + interfacenaam om aan te geven op welke interface de regel van toepassing is. @@ -3194,7 +3199,7 @@ $cmd 00315 deny tcp from any to any 113 in via $pif # Blokkeer alle Netbios diensten. 137=naam, 138=datagram, 139=sessie. -# Netbios is de Windows® bestandsdeeldienst. +# Netbios is de Windows® bestandsdeeldienst. # Blokkeer Windows hosts2 name server verzoeken 81. $cmd 00320 deny tcp from any to any 137 in via $pif $cmd 00321 deny tcp from any to any 138 in via $pif @@ -3249,8 +3254,8 @@ Om NAT met IPFW te gebruiken moeten een extra aantal instellingen gemaakt worden. In het instellingenbestand voor de kernel moet option - IPDIVERT toegevoegd worden aan de andere - IPFIREWALL opties. + IPDIVERT toegevoegd worden aan de andere opties van + IPFIREWALL. Naast de normale IPFW opties in /etc/rc.conf zijn de volgende @@ -3260,18 +3265,18 @@ natd_interface="rl0" # interfacenaam voor de publieke Internet NIC natd_flags="–dynamic –m" # –m = behoud poortnummers als mogelijk - Stateful regels samen met de - divert natd regel gebruiken maakt - het schrijven van regels veel gecompliceerder. De plaats - van de regels met check–state - en divert natd zijn van kritiek + Stateful regels samen met de regel + divert natd (Network Address Translation) gebruiken + maakt het schrijven van regels veel gecompliceerder. De plaats + van de regels met check–state + en divert natd zijn van kritiek belang. De logica bestaat niet langer uit het eenvoudigweg van boven naar beneden doorwerken van de regels. Er wordt dan ook een nieuw type actie gebruik: - skipto. Bij het gebruik van - skipto is het verplicht iedere regel + skipto. Bij het gebruik van + skipto is het verplicht iedere regel te nummeren zodat duidelijk is waar een - skipto precies heen springt. + skipto precies heen springt. Hieronder staat een groep regels zonder commentaar waarin een manier om pakketten door de groep regels te @@ -3280,58 +3285,55 @@ De verwerking begint met de eerste regel en er wordt steeds een volgende regel gecontroleerd tot het einde wordt bereikt of totdat een regel op het gecontroleerde - pakket van toepassing is, op dat pakket wordt toegepast - en de verwerking van regels daardoor stopt. In het - voorbeeld zijn de regels 100, 101, 450, 500, en 510 van - belang. Die regels regelen de vertaling van inkomende en + pakket van toepassing is, en het pakket uit de firewall wordt + vrijgelaten. In het voorbeeld zijn de regels 100, 101, 450, 500, en + 510 van belang. Die regels regelen de vertaling van inkomende en uitgaande pakketten zodat er in de tabel met de - dynamische keep–state regels - altijd het private IP adres staat. + dynamische keep–state-regels + altijd het private IP-adres staat. Daarnaast is het van belang op te merken dat er in alle - allow en - deny regels de richting van het - pakket wordt gecontroleerd (inkomend of uitgaand) en over - welke interface het pakket gaat. Merk ook op dat alle + allow- en deny-regels de + richting van het pakket wordt gecontroleerd (inkomend of uitgaand) en + over welke interface het pakket gaat. Merk ook op dat alle uitgaande verzoeken voor het starten van een sessie met - een skipto naar regel 500 gaan voor + een skipto naar regel 500 gaan voor NAT. Stel dat een gebruiker zijn webbrowser gebruikt om een - webpagina op te halen. Webpagina's gebruiken poort 80 voor - communicatie. Er komt een pakket de firewall binnen dat - niet past bij regel 100 omdat het naar buiten gaat en niet - naar binnen. Het komt voorbij regel 101 omdat dit het - eerste pakket is en er dus nog niets voor in de dynamische - keep-state tabel staat. Als het pakket bij 125 aankomt + webpagina op te halen. Webpagina's worden over poort 80 verzonden. + Er komt een pakket de firewall binnen dat niet past bij regel 100 + omdat het naar buiten gaat en niet naar binnen. Het komt voorbij + regel 101 omdat dit het eerste pakket is en er dus nog niets over in + de dynamische keep-state tabel staat. Als het pakket bij 125 aankomt blijkt het te passen bij die regel. Het gaat naar buiten door de interface aan het publieke Internet. Het pakket - heeft dan nog steeds het bron IP adres + heeft dan nog steeds het bron-IP-adres van het private LAN. Als blijkt dat deze regel geldt, dan gebeuren er twee dingen: door - keep–state wordt er een regel + keep–state wordt er een regel in de dynamische keep–state tabel gezet en wordt de aangegeven actie uitgevoerd. De actie is onderdeel van de informatie uit de dynamische tabel. In dit geval is het - skipto 500. In regel 500 wordt - NAT op het IP adres - van het pakket toegepast en dan kan het weg. Het volgende + skipto rule 500. In regel 500 wordt + NAT op het IP-adres + van het pakket toegepast en dan kan het weg. Dit is van groot belang. Dit pakket komt aan op zijn - bestemming en als er een antwoord terug komt, dan begint de - verwerking van dat pakket weer van voor af aan. Nu voldoet + bestemming en als er een pakket als antwoord terug komt, dan begint de + verwerking van het antwoordpakket weer van voor af aan. Nu voldoet het aan regel 100 en dus wordt het bestemmingsadres - vertaald naar het bijbehorende IP adres + vertaald naar het bijbehorende IP-adres op het LAN. Daarna past het bij de - check–state regel en wordt een + check–state-regel en wordt een vermelding in de tabel gevonden wat betekent dat er een bestaande sessie is en wordt het doorgelaten naar het LAN. Het gaat dan naar de PC op het LAN die als eerste een pakket heeft verzonden en die verstuurt een nieuw pakket - met de vraag om een volgend segment met data naar de + met de vraag om een volgend segment met gegevens naar de server. Nu blijkt bij controle van de - check–state regel dat die op + check–state-regel dat die op het pakket van toepassing moet zijn en er staat een vermelding in de tabel voor uitgaand verkeer. Daarom wordt - de bijbehorende actie skipto 500 + de bijbehorende actie skipto rule 500 uitgevoerd. Het pakket springt naar regel 500, er wordt NAT op toegepast en het kan zijn weg vervolgen. @@ -3339,27 +3341,27 @@ Wat betreft binnenkomende pakketten wordt alles dat onderdeel is van een bestaande sessie automatisch afgehandeld door de - check–state regel en de juist - geplaatste divert natd regels. Nu hoeven - alleen de foute pakketten nog geweigerd te worden en moet - ondersteuning voor inkomende diensten ingesteld worden. In - dit geval draait er een Apache server op de gateway machine + check–state-regel en de correct + geplaatste divert natd-regels. Nu hoeven + alleen de foute pakketten nog geweigerd te worden en moeten + de inkomende diensten doorgelaten worden. In + dit geval draait er een Apache server op de firewall-machine die vanaf Internet bereikbaar moet zijn. Het nieuwe inkomende pakket past bij regel 100 en het - IP adres wordt aangepast aan het interne - IP adres van de gateway machine. Dat + IP-adres wordt aangepast aan het interne + IP-adres van de firewall-machine. Dat pakket wordt dan gecontroleerd op alle ongewenste eigenschappen en komt uiteindelijk aan bij regel 425 die van toepassing blijkt te zijn. In dat geval kunnen er twee dingen gebeuren: de pakketregel wordt in de dynamische keep–state tabel gezet, maar nu wordt het aantal nieuwe - sessies dat van het bron IP adres komt - gelimiteerd tot twee. Dit is een bescherming tegen DoS - aanvallen op de dienst die op dat poortnummer wordt - aangeboden. De actie is allow, dus het - pakket wordt tot het LAN toegelaten. Voor het antwoord - herkent de check–state regel dat het - pakket bij een bestaande sessie hoort, stuurt het naar regel + sessies dat van het bron IP-adres komt + gelimiteerd tot twee. Dit is een bescherming tegen DoS-aanvallen + op de dienst die op dat poortnummer wordt aangeboden. De actie is + allow, dus het pakket wordt tot het LAN toegelaten. + Voor het pakket dat als antwoord wordt verstuurd herkent de + check–state regel dat het + pakket bij een bestaande sessie hoort. Het stuurt het naar regel 500 voor NAT en stuurt het via de uitgaande interface weg. @@ -3503,8 +3505,8 @@ ################################################################# # Interface aan het publieke Internet (onderdeel Inkomend). -# Inspecteert pakketten die van het publieke Internet komen -# met als bestemming de host zelf of het private netwerk. +# Inspecteert pakketten die van het publieke Internet komen met +# als bestemming deze gatweay-server zelf of het private netwerk. ################################################################# # Blokkeer al het verkeer voor niet-routeerbare of gereserveerde