From owner-p4-projects@FreeBSD.ORG Fri Aug 28 20:43:32 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 0C1571065678; Fri, 28 Aug 2009 20:43:32 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id C41CD1065676 for ; Fri, 28 Aug 2009 20:43:31 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id B20C28FC08 for ; Fri, 28 Aug 2009 20:43:31 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n7SKhV3B068220 for ; Fri, 28 Aug 2009 20:43:31 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n7SKhVvE068218 for perforce@freebsd.org; Fri, 28 Aug 2009 20:43:31 GMT (envelope-from rene@FreeBSD.org) Date: Fri, 28 Aug 2009 20:43:31 GMT Message-Id: <200908282043.n7SKhVvE068218@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 167932 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 28 Aug 2009 20:43:32 -0000 http://perforce.freebsd.org/chv.cgi?CH=167932 Change 167932 by rene@rene_self on 2009/08/28 20:43:06 MFen handbook/firewall up to the new line 640 Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#8 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#8 (text+ko) ==== @@ -2,7 +2,6 @@ The FreeBSD Dutch Documentation Project $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $ - $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.33 2006/01/05 21:13:21 siebrand Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml %SRCID% 1.89 @@ -153,9 +152,11 @@ door ze heen gaat aanzienlijk verminderen. - Tenzij anders aangegeven, creëeren alle configuratie- - en voorbeelden van regelverzamelingen inclusieve firewalls. + Tenzij anders aangegeven, creëeren alle configuraties + en voorbeelden van regelverzamelingen in dit hoofdstuk inclusieve + firewalls. + De beveiliging kan nog verder vergroot worden met een stateful firewall. Dit type firewall houdt bij welke connecties er door de firewall tot stand zijn gekomen @@ -180,15 +181,14 @@ beheersen van bandbreedtegebruik): &man.altq.4; en &man.dummynet.4;. Dummynet is traditioneel sterk verbonden met IPFW en ALTQ met - PF. Het vormgeven van verkeer voor - IPFILTER kan momenteel gedaan worden met - IPFILTER voor NAT en filtering en + PF. Het vormgeven van verkeer voor IPFILTER kan + momenteel gedaan worden met IPFILTER voor NAT en filtering en IPFW met &man.dummynet.4; of door PF met ALTQ te gebruiken. IPFW en PF gebruiken allemaal regels om de toegang van pakketten tot een - systeem te regelen, hoewel ze dat op andere manieren doen en de - syntaxis voor regels anders is. + systeem te regelen, hoewel ze dat op andere manieren doen en ze + een andere regelsyntaxis hebben. De reden dat er meerdere firewallpakketten in &os; zitten is dat verschillende mensen verschillende eisen en voorkeuren @@ -202,7 +202,7 @@ Omdat alle firewalls gebaseerd zijn op het inspecteren van aangegeven controlevelden in pakketten, moet iemand die sets van - firewallregels opstelt begrijpen hoe TCP/IP + firewallregels opstelt begrijpen hoe TCP/IP werkt, welke waarde de controlevelden kunnen hebben en hoe die waarden gebruikt worden in normaal verkeer. Op de volgende webpagina wordt een prima uitleg gegeven: - De OpenBSD Packet Filter (PF) en - <acronym>ALTQ</acronym> + De OpenBSD Packet Filter (PF) en <acronym>ALTQ</acronym> firewall @@ -261,7 +260,7 @@ systeem zal de PF kernelmodule dynamisch laden wanneer het statement pf_enable="YES" voor &man.rc.conf.5; aanwezig is. De PF module - zal echter niet laden als het systeem geen instellingenbestand + zal echter niet geladen worden als het systeem geen instellingenbestand met een PF ruleset kan vinden. De standaardplaats is /etc/pf.conf. Indien uw PF ruleset ergens anders staat, voeg dan @@ -320,8 +319,8 @@ PF wordt gebruikt prijsgeeft. Het kan worden gecombineerd met &man.carp.4; om failover firewalls aan te maken die gebruik maken van PF. Meer informatie - over CARP kan gevonden worden in hoofdstuk 29 van het handboek. + over CARP kan gevonden worden in van het Handboek. De kernelopties voor PF kunnen gevonden worden in /usr/src/sys/conf/NOTES en zijn @@ -488,34 +487,34 @@ options ALTQ schakelt het ALTQ raamwerk in. - options ALTQ_CBQ schakelt Class Based - Queuing (CBQ) in. Met + options ALTQ_CBQ schakelt Class Based + Queuing (CBQ) in. Met CBQ kan de bandbreedte van een verbinding worden opgedeeld in verschillende klassen of wachtrijen om verkeer te prioriteren op basis van filterregels. - options ALTQ_RED schakelt Random Early - Detection (RED) in. RED - wordt gebruikt om netwerkverstopping te voorkomen. - RED doet dit door de lengte van de wachtrij - te meten en die te vergelijken met de minimale en maximale + options ALTQ_RED schakelt Random Early + Detection (RED) in. + RED wordt gebruikt om netwerkverstopping te + voorkomen. RED doet dit door de lengte van de + wachtrij te meten en die te vergelijken met de minimale en maximale drempelwaarden voor de wachtrij. Als de wachtrij groter is dan de maximale waarde worden alle nieuwe pakketten genegeerd. Het werkt naar zijn naam, dus RED negeert willekeurig pakketten van verschillende verbindingen. - options ALTQ_RIO schakelt Random Early - Detection In and Out in. + options ALTQ_RIO schakelt Random Early + Detection In and Out in. options ALTQ_HFSC schakelt de - Hierarchical Fair Service Curve Packet Scheduler in. Meer - informatie over HFSC staat op Hierarchical Fair Service Curve Packet Scheduler + in. Meer informatie over HFSC staat op . - options ALTQ_PRIQ schakelt Priority - Queuing (PRIQ) in. PRIQ - laat verkeerd dat in een hogere wachtrij staat altijd eerder - door. + options ALTQ_PRIQ schakelt Priority + Queuing (PRIQ) in. + PRIQ laat verkeer dat in een hogere wachtrij staat + altijd eerder door. options ALTQ_NOPCC schakelt SMP ondersteuning voor @@ -533,11 +532,6 @@ IPFILTER - - Aan dit onderdeel wordt nog gewerkt. De inhoud is wellicht - niet altijd volledig en juist. - - Darren Reed is de auteur van IPFILTER, dat niet afhankelijk is van één besturingssysteem. Het is een open source applicatie die is geporteerd naar &os;, NetBSD, OpenBSD, @@ -563,10 +557,10 @@ quick en keep state toegevoegd waarmee de logica van het verwerken van regels drastisch is gemoderniseerd. In de officiële documentatie - van IPF worden de verouderde regels en verwerkingslogica + van IPF worden alleen de regels en verwerkingslogica behandeld. De moderne functies worden alleen behandeld als - opties, waardoor hun nut dat er een veiliger firewall mee te - maken volledig onderbelicht blijft. + opties, waardoor hun nut dat er een veel betere en veiligere firewall mee + te maken volledig onderbelicht blijft. De instructies in dit hoofdstuk zijn gebaseerd op regels die gebruik maken van de optie quick en de @@ -574,16 +568,6 @@ raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld. - Een inclusieve firewall staat alleen pakketten toe die - voldoen aan de regels. Op die manier kan er in de hand - gehouden worden welke diensten van binnen de firewall naar - buiten mogen en welke diensten op het private netwerk vanaf - het Internet bereikbaar zijn. Al het andere verkeer wordt - vanuit het ontwerp standaard geblokkeerd en gelogd. - Inclusieve firewalls zijn veel veiliger dan exclusieve - firewalls. Het is ook de enige wijze voor de opzet van een - firewall die in dit hoofdstuk wordt behandeld. - Voor een gedetailleerde uitleg over de verwerking van de verouderde regels zie ingeschakeld. IPF hoeft niet in de kernel gecompileerd te worden om het standaardgedrag te wijzigen naar block all. Dat is mogelijk - door als laatste regel een regel toe te voegen die al het - verkeer blokkeert. + door op het einde van de ruleset een regel block all + toe te voegen die al het verkeer blokkeert. @@ -683,14 +667,15 @@ Beschikbare opties voor rc.conf - De volgende instellingen moeten in /etc/rc.conf - staan om IPF bij het booten te activeren: + De volgende instellingen moeten in /etc/rc.conf + staan om IPF bij het opstarten te activeren: ipfilter_enable="YES" # Start ipf firewall ipfilter_rules="/etc/ipf.rules" # laad regels uit het doelbestand ipmon_enable="YES" # Start IP monitor log ipmon_flags="-Ds" # D = start als daemon # s = log naar syslog + # v = log tcp window, ack, seq # n = vertaal IP & poort naar namen