Date: Tue, 1 Sep 2009 21:34:43 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 168063 for review Message-ID: <200909012134.n81LYhJk048663@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=168063 Change 168063 by rene@rene_self on 2009/09/01 21:34:21 MFen handbook/firewalls up to the new line 2553. Also make <parameter> and "ruleset" usage more consistent. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#11 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#11 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml - %SRCID% 1.89 + %SRCID% 1.89 -> update to 1.90 before submit/commit (small one :-) ) --> <chapter id="firewalls"> @@ -256,14 +256,14 @@ <title>De laadbare kernelmodule voor PF gebruiken</title> <para>Sinds de uitgave van &os; 5.3 wordt PF geleverd in de - basisinstallatie als een aparte runtime laadbare module. Het + basisinstallatie als een aparte tijdens runtime laadbare module. Het systeem zal de PF kernelmodule dynamisch laden wanneer het statement <literal>pf_enable="YES"</literal> voor &man.rc.conf.5; aanwezig is. De <acronym>PF</acronym> module zal echter niet geladen worden als het systeem geen instellingenbestand - met een <acronym>PF</acronym> ruleset kan vinden. De + met een <acronym>PF</acronym>-regelverzameling kan vinden. De standaardplaats is <filename>/etc/pf.conf</filename>. Indien uw - <acronym>PF</acronym> ruleset ergens anders staat, voeg dan + <acronym>PF</acronym>-regelverzameling ergens anders staat, voeg dan <literal>pf_rules="<replaceable>/pad/pf.rules</replaceable>"</literal> aan uw instellingenbestand <filename>/etc/rc.conf</filename> toe om de plaats te specificeren.</para> @@ -457,7 +457,7 @@ <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry> <entry>Controleer <filename>/etc/pf.conf</filename> op - fouten, maar laad de ruleset niet</entry> + fouten, maar laad de regelverzameling niet</entry> </row> </tbody> </tgroup> @@ -600,8 +600,8 @@ pass all</literal> ingeschakeld. IPF hoeft niet in de kernel gecompileerd te worden om het standaardgedrag te wijzigen naar <literal>block all</literal>. Dat is mogelijk - door op het einde van de ruleset een regel <literal>block all</literal> - toe te voegen die al het verkeer blokkeert.</para> + door op het einde van de regelverzameling een regel <literal>block + all</literal> toe te voegen die al het verkeer blokkeert.</para> </sect2> <sect2> @@ -1159,8 +1159,8 @@ gemoderniseerd.</para> <para>De instructies in dit hoofdstuk zijn gebaseerd op regels - die gebruik maken van de optie <parameter>quick</parameter> - en de stateful optie <parameter>keep state</parameter>. Dit + die gebruik maken van de optie <quote>quick</quote> + en de stateful optie <quote>keep state</quote>. Dit is het raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld.</para> @@ -1257,8 +1257,8 @@ <para>Een verplicht onderdeel voor iedere filterregel waarin expliciet wordt aangegeven op welke zijde van de in/uit deze van toepassing is. Het volgende sleutelwoord moet - <parameter>in</parameter> of <parameter>out</parameter> - zijn en één van de twee moet gecodeerd wworden, anders + <literal>in</literal> of <literal>out</literal> + zijn en één van de twee moet gecodeerd worden, anders is de regel syntactisch onjuist.</para> <para><literal>in</literal> betekent dat de regel van @@ -2161,7 +2161,7 @@ <programlisting>map dc0 10.0.10.0/29 -> 0/32</programlisting> - <para>De FTP <parameter>map</parameter> regel hoort voor de + <para>De FTP map-regel hoort voor de normale regels te staan. Alle pakketten worden als eerste vergeleken met de eerste regel en zo verder. Eerst wordt gekeken over de interfacenaam overeenkomt, daarna het @@ -2207,8 +2207,8 @@ <secondary>IPFW</secondary> </indexterm> - <para>IPFIREWALL (IPFW) is een firewall die binnen &os; wordt - ontwikkeld en onderhouden door vrijwilligers, leden van de + <para>IPFIREWALL (<acronym>IPFW</acronym>) is een firewall die binnen &os; + wordt ontwikkeld en onderhouden door vrijwillige leden van de staf. Het maakt gebruik van verouderde staatloze regels en een verouderde techniek om te realiseren wat eenvoudige stateful logica zou kunnen heten.</para> @@ -2232,15 +2232,15 @@ gebruiker veel weten over de verschillende protocollen en de wijze waarop pakketten in elkaar zitten. Het tot op dat niveau behandelen van stof valt buiten de doelstellingen van - dit boek.</para> + dit Handboek.</para> <para>IPFW bestaat uit zeven componenten: de verwerkingseenheid voor de firewallregels, verantwoording, loggen, regels met - <parameter>divert</parameter> (omleiden) waarmee + <literal>divert</literal> (omleiden) waarmee <acronym>NAT</acronym> gebruikt kan worden en de speciale - gevorderde mogelijkheden voor bandbreedte management DUMMYNET, de - 'fwd rule' forward-mogelijkheid, de bridge-mogelijkheden en de - ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als + gevorderde mogelijkheden voor bandbreedtebeheer met DUMMYNET, de + <literal>fwd rule</literal> forward-mogelijkheid, de bridge-mogelijkheden + en de ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als IPv6.</para> <sect2 id="firewalls-ipfw-enable"> @@ -2253,8 +2253,8 @@ </indexterm> <para>IPFW zit bij de basisinstallatie van &os; als een losse - in runtime laadbare module. Het systeem laadt de kernel - module dynamisch als in <filename>rc.conf</filename> + tijdens runtime laadbare module. Het systeem laadt de kernelmodule + dynamisch als in <filename>rc.conf</filename> de regel <literal>firewall_enable="YES"</literal> staat. IPFW hoeft niet in de &os; kernel gecompileerd te worden, tenzij het nodig is dat <acronym>NAT</acronym> beschikbaar is.</para> @@ -2267,11 +2267,13 @@ <screen>ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled</screen> <para>In de laadbare module zit de mogelijkheid om te loggen - gecompileerd. In <filename>/etc/sysctl.conf</filename> kan een - instelling gemaakt worden waardoor loggen na volgende herstarts - wordt ingeschakeld:</para> + gecompileerd. Er is een knop in <filename>/etc/sysctl.conf</filename> + om loggen aan te zetten en de uitgebreide loglimiet in te stellen. Door + deze regels toe te voegen, staat loggen aan bij toekomstige + herstarts:</para> - <programlisting>net.inet.ip.fw.verbose_limit=5</programlisting> + <programlisting>net.inet.ip.fw.verbose=1 +net.inet.ip.fw.verbose_limit=5</programlisting> </sect2> <sect2 id="firewalls-ipfw-kernel"> @@ -2304,9 +2306,7 @@ <para>Het is niet verplicht om IPFW in te schakelen door het mee te compileren in de &os; kernel, tenzij de <acronym>NAT</acronym> functionaliteit beschikbaar moet zijn. - Dit wordt alleen beschreven als achtergrondinformatie. - Door IPFW in de kernel te compileren wordt de laadbare module - niet gebruikt.</para> + Dit wordt alleen beschreven als achtergrondinformatie.</para> <programlisting>options IPFIREWALL</programlisting> @@ -2317,8 +2317,8 @@ <para>Met <literal>IPFIREWALL_VERBOSE</literal> wordt het loggen van pakketten die worden verwerkt met IPFW mogelijk - als het sleutelwoord <option>log</option> in een regel - staat.</para> + die het sleutelwoord <literal>log</literal> in een regel hebben + staan.</para> <programlisting>options IPFIREWALL_VERBOSE_LIMIT=5</programlisting> @@ -2326,7 +2326,7 @@ via &man.syslogd.8;. Deze optie kan gebruikt worden in vijandige omgevingen waar de activiteit van een firewall gelogd moet worden. Hierdoor kan een mogelijke ontzegging van dienst - aanval door syslog flooding voorkomen worden.</para> + aanval door het vol laten lopen van syslog voorkomen worden.</para> <indexterm> <primary>kernelopties</primary> @@ -2352,12 +2352,12 @@ <para>Met <literal>IPDIVERT</literal> wordt de <acronym>NAT</acronym> functionaliteit ingeschakeld.</para> - <warning> - <para>Als <literal>IPFIREWALL_DEFAULT_TO_ACCEPT</literal> - niet wordt gebruikt of de regels van de firewall staan geen - verkeer toe, dan worden alle pakketten van en naar de - machine waar dit voor geldt geblokkeerd.</para> - </warning> + <note> + <para>De firewall zal alle binnenkomende en uitgaande pakketten + blokkeren als de kerneloptie + <literal>IPFIREWALL_DEFAULT_TO_ACCEPT</literal> of een regel om deze + verbindingen expliciet toe te staan ontbreekt.</para> + </note> </sect2> <sect2 id="firewalls-ipfw-rc"> @@ -2378,7 +2378,7 @@ <itemizedlist> <listitem> - <para><literal>open</literal> — pass all traffic.</para> + <para><literal>open</literal> — laat al het verkeer door.</para> </listitem> <listitem> @@ -2392,18 +2392,19 @@ </listitem> <listitem> - <para><literal>closed</literal> — blokkeert alle IP - verkeer, behalve voor lokaal verkeer.</para> + <para><literal>closed</literal> — blokkeert alle IP-verkeer, + behalve voor lokaal verkeer.</para> </listitem> <listitem> <para><literal>UNKNOWN</literal> — voorkomt het laden - de firewall regels.</para> + de firewall-regels.</para> </listitem> <listitem> - <para><filename>bestandsnaam</filename> — absoluut pad - naar een bestand dat firewall regels bevat.</para> + <para><filename><replaceable>bestandsnaam</replaceable></filename> + — absoluut pad naar een bestand dat firewall-regels + bevat.</para> </listitem> </itemizedlist> @@ -2414,17 +2415,17 @@ <literal>firewall_type</literal> variabele naar een absoluut pad van een bestand, welke <emphasis>firewall regels</emphasis> bevat, zonder enige specifieke opties voor &man.ipfw.8;. Een - simpel voorbeeld van een ruleset bestand kan zijn:</para> + simpel voorbeeld van een regelverzameling bestand kan zijn:</para> <programlisting>add block in all add block out all</programlisting> - <para>Aan de andere kant is het mogelijk om de - <literal>firewall_script</literal> variabele te zetten naar een - absoluut pad van een uitvoerbaar bestand, welke inclusief + <para>Aan de andere kant is het mogelijk om de variabele + <literal>firewall_script</literal> in te stellen op een + absoluut pad van een uitvoerbaar script, welke inclusief <command>ipfw</command> commando's uitgevoerd wordt tijdens het - opstarten van het systeem. Een geldig ruleset script dat - gelijkwaardig is aan het ruleset bestand hierboven, zou het + opstarten van het systeem. Een geldig script met regels dat + gelijkwaardig is aan het bestand met regels hierboven, zou het volgende zijn:</para> <programlisting>#!/bin/sh @@ -2475,10 +2476,10 @@ <indexterm><primary><command>ipfw</command></primary></indexterm> - <para><command>ipfw</command> wordt gebruikt om met de hand - regels toe te voegen of te verwijderen als IPFW actief is. - Het probleem met deze methode is dat, als het systeem down - wordt gebracht, alle regels die gewijzigd of verwijderd zijn + <para>Gewoonlijk wordt <command>ipfw</command> gebruikt om met de hand + enkelvoudige regels toe te voegen of te verwijderen als IPFW actief is. + Het probleem met deze methode is dat, als het systeem wordt uitgezet + alle regels die gewijzigd of verwijderd zijn verloren gaan. Door alle regels in een bestand op te nemen dat bij het booten wordt geladen of door het bestand waarin de wijzigingen zijn gemaakt als een machine draait te laden @@ -2488,8 +2489,9 @@ de firewall op het scherm getoond worden. De verantwoordingsmogelijkeden van &man.ipfw.8; maken dynamisch tellers aan voor iedere regel en houden die bij - voor alle pakketten die van toepassing zijn op die regel. - Dit biedt ook een mogelijkheid om een regel te testen.</para> + voor alle pakketten die van toepassing zijn op die regel. Tijdens het + testen van een regel is het afbeelden van de regel met zijn teller + een van de manieren om te bepalen of de regel werkt.</para> <para>Om alle regels in volgorde te tonen:</para> @@ -2523,30 +2525,30 @@ <screen>&prompt.root; <userinput>ipfw zero</userinput></screen> - <para>Alleen de tellers voor regel + <para>Alleen de tellers voor regel met nummer <replaceable>NUM</replaceable> op nul stellen:</para> - <screen>&prompt.root; <userinput>ipfw zero NUM</userinput></screen> + <screen>&prompt.root; <userinput>ipfw zero <replaceable>NUM</replaceable></userinput></screen> </sect2> <sect2 id="firewalls-ipfw-rules"> <title>Sets van IPFW regels</title> - <para>Een set regels is een groep &man.ipfw.8; regels die is + <para>Een verzameling regels is een groep IPFW-regels die is gemaakt om pakketten toe te staan of te blokkeren op basis - van de eigenschappen van dat pakket. De bi-directionele + van de inhoud van dat pakket. De bi-directionele uitwisseling van pakketten tussen hosts bestaat uit een - gesprek dat een sessie heet. De set van firewallregels - beoordeelt pakketten twee keer: als het aankomt van de host - op het publieke Internet en als het de host weer verlaat op - de weg terug naar de host op het publieke Internet. Iedere - <acronym>TCP</acronym>/<acronym>IP</acronym> dienst als - telnet, www, mail, etc, heeft zijn eigen protocol, bron - <acronym>IP</acronym> adres en bestemmings - <acronym>IP</acronym> adres of de bron- en bestemmingspoort. - Deze attributen vormen de basis voor het opstellen van - regels waarmee diensten toegelaten of geblokkeerd kunnen - worden.</para> + gesprek dat een sessie heet. De verzameling van firewallregels + beoordeelt zowel de pakketten die aankomen van de host + op het publieke Internet als de pakketten die op het systeem ontstaan + als antwoord daarop. Iedere <acronym>TCP/IP</acronym>-dienst als + telnet, www, mail, etc, heeft zijn eigen protocol en bevoorrechte + (luister)poort. Pakketten bestemd voor een specifieke poort verlaten + het bronadres via een onbevoorrechte (hogere) poort en doelen op de + specifieke dienstpoort op het bestemmingsadres. Alle bovenstaande + parameters (poorten en addressen) kunnen gebruikt worden als + selectiecriteria om regels aan te maken die diensten doorlaten of + blokkeren.</para> <indexterm> <primary>IPFW</primary> @@ -2561,8 +2563,8 @@ actieveld van de regel uitgevoerd. Dit wordt de <quote>de eerst passende regel wint</quote> zoekmethode genoemd. Als een pakket bij geen enkele regel past, dan - wordt de standaardregel 65535 toegepast, die alle pakketten - weigert zonder een antwoord terug te sturen naar de + wordt de verpichte standaardregel 65535 van IPFW toegepast, die alle + pakketten weigert zonder een antwoord terug te sturen naar de verzender.</para> <note> @@ -2572,26 +2574,15 @@ </note> <para>De instructies in dit onderdeel zijn gebaseerd op regels - die gebruik maken van de stateful opties <parameter>keep - state</parameter>, <parameter>limit</parameter>, - <parameter>in</parameter>/<parameter>out</parameter> en - <parameter>via</parameter>. Dit is het raamwerk waarmee een + die gebruik maken van de stateful opties <literal>keep + state</literal>, <literal>limit</literal>, + <literal>in</literal>, <literal>out</literal> en + <literal>via</literal>. Dit is het raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld.</para> - <para>Een inclusieve firewall staat alleen diensten toe die - voldoen aan de regels. Op die manier kan er in de hand - gehouden worden welke diensten van binnen de firewall naar - buiten mogen en welke diensten op het private netwerk vanaf - het Internet bereikbaar zijn. Al het andere verkeer wordt - vanuit het ontwerp standaard geblokkeerd en gelogd. - Inclusieve firewalls zijn veel veiliger dan exclusieve - firewalls. Het is ook de enige wijze voor de opzet van een - firewall die in dit hoofdstuk wordt behandeld.</para> - <warning> - <para>Er wordt aangeraden voorzichtig te zijn als er vanaf - het netwerk aan de firewallregels wordt gewerkt omdat het - gevaar bestaat buitengesloten te worden.</para> + <para>Wees voorzichtig tijdens het werken met firewall-regels, het is + gemakkelijk om uzelf uit te sluiten.</para> </warning> <sect3 id="firewalls-ipfw-rules-syntax"> @@ -2657,14 +2648,11 @@ <para>Vergelijkt het pakket met de tabel met dynamische regels. Als het erin staat, dan wordt de actie van de dynamisch door deze regel gemaakte regel uitgevoerd. - Anders wordt er verder gezocht door de regels. Een - regel met <parameter>check–state</parameter> heeft - geen selectiecriteria. Als er geen regel met - <parameter>check–state</parameter> in de set met - regels staat, dan wordt de tabel met dynamische regels - bij het eerste voorkomen van - <parameter>keep–state</parameter> of - <parameter>limit</parameter> gecontroleerd.</para> + Anders wordt er verder gezocht door de regels. Een regel met + check–state heeft geen selectiecriteria. Als er geen regel + met check–state in de set met regels staat, dan wordt de + tabel met dynamische regels bij het eerste voorkomen van + keep–state of limit gecontroleerd.</para> <para><parameter>deny | drop</parameter></para> @@ -2680,21 +2668,19 @@ <parameter>logamount</parameter></para> <para>Als een regel met het sleutelwoord - <parameter>log</parameter> van toepassing is op een + <literal>log</literal> van toepassing is op een pakket, dan wordt er een bericht naar &man.syslogd.8; geschreven met de faciliteitsnaam SECURITY. Er wordt alleen een bericht geschreven als het aantal voor die regel - gelogde pakketten niet groter is dan de instelling - <parameter>logamount</parameter>. Als - <parameter>logamount</parameter> niet is ingesteld, dan - wordt de limiet uit de &man.sysctl.8; variabele - net.inet.ip.fw.verbose_limit gehaald. In beide gevallen - bestaat er in het geval de waarde nul is geen limiet. + gelogde pakketten niet groter is dan de instelling van de parameter + logamount. Als er geen <literal>logamount</literal> is ingesteld, + dan wordt de limiet uit de &man.sysctl.8; variabele + <literal>net.inet.ip.fw.verbose_limit</literal> gehaald. In beide + gevallen bestaat er in het geval de waarde nul is geen limiet. Als de limiet is bereikt, dan kan het loggen weer ingeschakeld worden door de teller voor het loggen weer - op nul te stellen voor die regel met - <command>ipfw</command> - <parameter>zero</parameter>.</para> + op nul te zetten voor die regel met het commando + <command>ipfw reset log</command>.</para> <note> <para>Er wordt gelogd als een pakket zeker past bij een
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200909012134.n81LYhJk048663>