From owner-svn-doc-all@FreeBSD.ORG Tue Mar 25 15:25:18 2014 Return-Path: Delivered-To: svn-doc-all@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id BF124983; Tue, 25 Mar 2014 15:25:18 +0000 (UTC) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id A9C91B3E; Tue, 25 Mar 2014 15:25:18 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.8/8.14.8) with ESMTP id s2PFPIiM052295; Tue, 25 Mar 2014 15:25:18 GMT (envelope-from remko@svn.freebsd.org) Received: (from remko@localhost) by svn.freebsd.org (8.14.8/8.14.8/Submit) id s2PFPIXO052294; Tue, 25 Mar 2014 15:25:18 GMT (envelope-from remko@svn.freebsd.org) Message-Id: <201403251525.s2PFPIXO052294@svn.freebsd.org> From: Remko Lodder Date: Tue, 25 Mar 2014 15:25:18 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org Subject: svn commit: r44352 - translations/nl_NL.ISO8859-1/books/handbook/firewalls X-SVN-Group: doc-translations MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Tue, 25 Mar 2014 15:34:05 +0000 X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 25 Mar 2014 15:25:18 -0000 Author: remko Date: Tue Mar 25 15:25:18 2014 New Revision: 44352 URL: http://svnweb.freebsd.org/changeset/doc/44352 Log: Update work in progress, this file is almost up to date with the translation target. Facilitated by: Snow B.V. Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Tue Mar 25 13:17:16 2014 (r44351) +++ translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Tue Mar 25 15:25:18 2014 (r44352) @@ -2022,18 +2022,16 @@ block drop out quick on $ext_if from any IPFILTER is een cross-platform open source firewall, welke geporteerd is naar de &os;, NetBSD, OpenBSD en &solaris; besturingssystemen. - XXX RL 1920 IPFILTER is gebaseerd op een firewall aan de kernelkant en een NAT mechanisme dat gecontroleerd en gemonitord kan worden door programma's in userland. De - firewallregels kunnen ingesteld of verwijderd worden met het - hulpprogramma &man.ipf.8;. De NAT regels - kunnen ingesteld of verwijderd worden met &man.ipnat.8;. Het - programma &man.ipfstat.8; kan actuele statistieken leveren voor - de kernelonderdelen van IPFILTER. &man.ipmon.8; kan acties van - IPFILTER wegschrijven naar logboekbestanden van het - systeem. + firewallregels kunnen ingesteld of verwijderd via &man.ipf.8; + De NAT regels kunnen ingesteld of verwijderd + worden met &man.ipnat.8;. Actuele statistieken voor de kernel + onderdelen van IPFILTER kunnen worden getoond met &man.ipfstat.8; + Om acties van IPFILTER naar de systeem logbestanden weg te + schrijven kan &man.ipmon.8; gebruikt worden. IPF is oorspronkelijk geschreven met logica die regels verwerkte volgens het principe de laatst passende regel @@ -2043,9 +2041,8 @@ block drop out quick on $ext_if from any toegevoegd waarmee de logica van het verwerken van regels drastisch is gemoderniseerd. In de officiële documentatie van IPF worden alleen de regels en verwerkingslogica - behandeld. De moderne functies worden alleen behandeld als - opties, waardoor hun nut dat er een veel betere en veiligere firewall mee - te maken volledig onderbelicht blijft. + behandeld en de gemoderniseerde functies worden alleen + behandeld als additionele opties. De instructies in dit hoofdstuk zijn gebaseerd op regels die gebruik maken van de optie quick en de @@ -2071,17 +2068,15 @@ block drop out quick on $ext_if from any inschakelen - IPF zit in de basisinstallatie van &os; als een aparte + IPF zit in de basisinstallatie van &os; als een run time laadbare module. Een systeem laadt de - IPF kernel laadbare module dynamisch als - ipfilter_enable="YES" in - rc.conf staat. Voor de laadbare module - zijn de opties logging en default - pass all ingeschakeld. IPF hoeft niet in de - kernel gecompileerd te worden om het standaardgedrag te - wijzigen naar block all. Dat is mogelijk - door op het einde van de regelverzameling een regel block - all toe te voegen die al het verkeer blokkeert. + module dynamisch als ipfilter_enable="YES" + in rc.conf staat. Voor de laadbare module + zijn de opties logging en default pass all + ingeschakeld. Om de standaard aan te passen naar + block all moet er een + block all regel aan het einde van de + ruleset worden toegevoegd. @@ -2111,15 +2106,11 @@ block drop out quick on $ext_if from any kernelopties - Het is niet verplicht om IPF in te schakelen door de - volgende opties in de &os; kernel te compileren. Dit wordt - alleen beschreven als achtergrondinformatie. Door IPF in de - kernel te compileren wordt de laadbare module niet - gebruikt. - - Voorbeeld kernelinstellingen voor IPF staan beschreven in - de /usr/src/sys/i386/conf/LINTin de - kernelbroncode en worden hier beschreven: + Voor gebruikers die het wenselijk vinden om IPF + ondersteuning in de kernel te compileren en een + custom kernel zijn de volgende opties die ook in + /usr/src/sys/conf/NOTES staan + beschreven beschikbaar: options IPFILTER options IPFILTER_LOG @@ -2129,10 +2120,10 @@ options IPFILTER_DEFAULT_BLOCKIPFILTER firewall in. options IPFILTER_LOG schakelt de - optie in waarmee IPF verkeer kan loggen door het naar het + optie in waarmee IPF verkeer kan loggen via het ipl pakketloggende - pseudo-apparaat te schrijven voor iedere regel met het - sleutelwoord log erin. + pseudo-apparaat voor iedere regel met het sleutelwoord + log erin. options IPFILTER_DEFAULT_BLOCK wijzigt het standaardgedrag zodat ieder pakket waarop geen @@ -2173,11 +2164,10 @@ ipnat_rules="/etc/ipnat.rules" # best ipf - Het commando &man.ipf.8; wordt gebruikt om het bestand met - firewallregels te laden. Gewoonlijk wordt er een bestand - aangemaakt waarin de situatieafhankelijke regels staan - waarmee in één keer de bestaande regels kunnen - worden vervangen: + Om de ruleset te laden wordt &man.ipf.8; gebruikt. + Afwijkende regels worden normaal gesproken in een bestand + geplaatst waarna het volgende commando gebruikt kan worden + om de bestaande regels te vervangen: &prompt.root; ipf -Fa -f /etc/ipf.rules @@ -2309,12 +2299,11 @@ Packet log flags set: (0) De daemon wordt gebruikt als continu een systeemlogboek bijgewerkt moet worden zodat het mogelijk is om - gebeurtenissen in het verleden te bekijken. Zo zijn &os; en - IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde - mogelijkheden om automatisch syslogs te roteren. Daarom is - het beter om de uitvoer naar &man.syslogd.8; te schrijven - dan naar een gewoon bestand. In de standaardversie van - rc.conf is te zien dat de instelling + gebeurtenissen in het verleden te bekijken. &oss; heeft een + ingebouwde mogelijkheid om automatisch systeem logs te roteren. + Daarom is het beter om de uitvoer naar &man.syslogd.8; te + schrijven dan naar een gewoon bestand. In de standaardversie + van rc.conf is te zien dat de instelling ipmon_flags de waarde heeft: @@ -2323,40 +2312,36 @@ Packet log flags set: (0) # v = log tcp window, ack, seq # n = vertaal IP & poort naar namen - De voordelen van loggen zijn duidelijk. Het biedt de - mogelijkheid om na het feit informatie na te zien als: welke - pakketten heeft de firewall laten vallen, waar kwamen ze - vandaan en waar gingen ze heen? Dit zijn allemaal voordelen - als het gaat om uitvinden waar een aanvaller vandaan komt en - wat deze heeft geprobeerd. + Logging biedt de mogelijkheid om achteraf informatie terug + te bekijken, zoals welke adressen er gedropt werden, vanaf + welke adressen men kwam en waar ze naartoe gingen. Dit zijn + allemaal voordelen als het gaat om uitvinden waar een + aanvaller vandaan komt en wat deze heeft geprobeerd. - Zelfs als loggen is ingeschakeld, logt IPF nog niets uit - zichzelf. De beheerder van de firewall beslist welke regels in de + Zelfs als loggen is ingeschakeld, logt IPF standaard niets. + De beheerder van de firewall beslist welke regels in de regelverzameling iets weg moeten schrijven door het sleutelwoord log aan die regels toe te voegen. Gewoonlijk worden alleen deny regels gelogd. Het is heel normaal om als laatste regel een - deny regel aan de set met regels toe te - voegen waar het sleutelwoord log in staat. - Zo krijgt een beheerder alle pakketten te zien waarop geen - enkele regel van toepassing was. + weiger alle verkeer regel aan de set met regels + toe te voegen waar het sleutelwoord log in + staat. Zo krijgt een beheerder alle pakketten te zien waarop + geen enkele regel van toepassing was. Loggen met IPMON - Syslogd heeft een eigen methode - om logboekgegevens te scheiden. Het maakt gebruik van speciale - groepen die facility en level + &man.syslogd.8; heeft een eigen methode om logboekgegevens + te scheiden. Het maakt gebruik van groepen die + facility en level heten. &man.ipmon.8; in mode gebruikt - local0 - als facilitynaam. Alle door &man.ipmon.8; gelogde - gegevens gaan standaard naar de naam security. - De nu volgende levels - kunnen gebruikt worden om de gelogde gegevens nog verder uit - elkaar te trekken als dat gewenst is. + local0 als facility naam. + De volgende levels kunnen worden gebruikt om het gelogde + verkeer nog verder te scheiden: LOG_INFO – pakketten gelogd met het sleutelwoord "log" als actie in plaats van pass of block. LOG_NOTICE – gelogde pakketten die ook zijn doorgelaten @@ -2367,41 +2352,31 @@ LOG_ERR – gelogde pakketten die ee Om IPFILTER alle gelogde gegevens naar /var/log/ipfilter.log te laten schrijven, - dient dat bestand vooraf te bestaan. Dat kan met het volgende - commando: + moet vooraf het bestand bestaan: &prompt.root; touch /var/log/ipfilter.log - De functionaliteit van &man.syslogd.8; wordt beheerd met - instellingen in /etc/syslog.conf. - Dit bestand biedt aanzienlijke - flexibiliteit in hoe syslog omgaat met - systeemberichten die door softwaretoepassingen als IPF worden - gegeven. - - Zo kan de volgende instelling toegevoegd worden aan - /etc/syslog.conf: + &man.syslogd.8; wordt bedient door definities in + /etc/syslog.conf. Dit bestand levert + behoorlijke flexibiliteit over hoe + syslog met systeem meldingen + omgaat zoals software applicaties als IPF. + + Om alle gelogde berichten naar een gespecificeerd + bestand te schrijven, moet het volgende statement + worden toegevoegd aan /etc/syslog.conf: local0.* /var/log/ipfilter.log - Het deel local0.* - betekent dat alle logberichten naar de aangegeven plaats - geschreven moeten worden. - - Om de wijzigingen in - /etc/syslog.conf actief te maken kan er opnieuw - opgestart worden of is het mogelijk de daemon &man.syslogd.8; een schop - te geven zodat /etc/syslog.conf opnieuw - wordt ingelezen met /etc/rc.d/syslogd - reload. Het PID (procesnummer) is te achterhalen - door een overzicht van taken te tonen met - ps -ax. Het PID is het nummer in de - linker kolom voor de regel waarop syslog - staat. + Om de wijzigingen te activeren en om &man.syslogd.8; + te instrueren om het gewijzigde + /etc/syslog.conf opnieuw te lezen + moet het service syslogd reload gedraaid + worden. Vaak wordt vergeten /etc/newsyslog.conf te wijzigen om het - nieuw aangemaakte logboekbestand te laten roteren. + aangemaakte logboekbestand te laten roteren. @@ -2419,18 +2394,16 @@ LOG_ERR – gelogde pakketten die ee De tijd waarop het pakket is ontvangen weergegeven als HH:MM:SS.F voor uren, minuten, seconden en fracties - van een seconde. De fractie kan meerdere cijfers lang - zijn. + van een seconde. De naam van de interface waarop het pakket is - ontvangen, bijvoorbeeld - dc0. + ontvangen. - De groep en regelnummer van de regel, bijvoorbeeld + De groep en regelnummer van de regel in het formaat @0:17. @@ -2441,22 +2414,21 @@ LOG_ERR – gelogde pakketten die ee De acties: p voor doorgelaten - (passed), b voor - geblokkeerd (blocked), - S voor een verkeerd pakket - (short packet), n voor + b voor geblokkeerd, S + voor een verkeerd pakket, n voor dat er geen enkele regel van toepassing was, L voor een logboekregel. De volgorde - waarin deze acties getoond worden is: S, p, b, n, L. Een + waarin deze acties getoond worden is: S, + p, b, + n, L. Een hoofdletter P of B betekent dat het pakket gelogd is vanwege een globale - instelling, niet vanwege één regel in het - bijzonder. + instelling, niet vanwege één regel in het bijzonder. - De adressen. Dit zijn eigenlijk drie velden: het - bronadres en poort gescheiden door een komma, het symbool + De adressen geschreven in drie velden: hetbronadres en + poort gescheiden door een komma, het symbool -> en het bestemmingsadres en poort, bijvoorbeeld: 209.53.17.22,80 -> 198.73.220.17,1722. @@ -2508,8 +2480,7 @@ LOG_ERR – gelogde pakketten die ee compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;. Velden waarvoor substitutie van toepassing is worden - vooraf gegaan door het dollarteken - $. + vooraf gegaan door een $. Definities worden niet vooraf gegaan door het voorvoegsel $. @@ -2551,12 +2522,11 @@ pass out quick on $oif proto tcp EOF ################## Einde IPF regels script ######################## - Dat is alles. De regels zijn niet van belang in dit - voorbeeld, maar tonen hoe substitutievelden worden - gedefinieerd en hoe ze worden gebruikt. Als het bovenstaande - voorbeeld de inhoud van - /etc/ipf.rules.script was, dan konden deze regels - herladen worden door het vanaf de commandoregel aan te roepen: + De regels zijn niet van belang in dit voorbeeld, maar + richt zich op hoe de substitutievelden worden gevuld. Als dit + voorbeeld zich in een bestand bevond genaamd + /etc/ipf.rules.script was, dan konden + deze regels herladen worden door het draaien van: &prompt.root; sh /etc/ipf.rules.script @@ -2573,8 +2543,8 @@ EOF cat en zet het commentaarteken bij de regel die begint met /sbin/ipf. Plaats ipfilter_enable="YES" in - /etc/rc.conf zoals gewoonlijk en start - het script eenmalig na elke wijziging om + /etc/rc.conf en start het script + eenmalig na elke wijziging om /etc/ipf.rules te maken of bij te werken. @@ -2595,35 +2565,35 @@ EOF sh /etc/ipf.rules.script De permissies op dit script moeten zijn: lezen,schrijven - en uitvoeren voor de gebruiker root. + en uitvoeren voor de gebruiker + root: &prompt.root; chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh - Als het systeem nu herstart, worden de regels via het + Als het systeem nu herstart, worden de IPF regels via het script gestart. - Sets van IPF regels + IPF rulesets - Een set regels is een groep IPF-regels - die is gemaakt om pakketten toe te staan of te blokkeren op - basis van de eigenschappen van dat pakket. De - bi-directionele uitwisseling van pakketten tussen hosts + Een ruleset bevat een groep van IPF regels welke verkeer + toestaan of weigeren gebaseerd op de waarden in het pakket. + Het bidirectioneel uitwisselen van pakketten tussen machines bestaat uit een gesprek dat een sessie heet. De set van firewallregels verwerkt zowel de pakketten die arriveren van het publieke Internet, als de pakketten die door het systeem zijn geproduceerd als een antwoord erop. Elke - TCP/IP-dienst (telnet, www, mail, enzovoorts) is - vooraf gedefinieerd door een protocol en bevoorrechte (luister)poort. - Pakketten bedoeld voor een speciale dienst beginnen bij het bronadres - gebruik makend van een onbevoorrechte (hogere orde) poort en komen aan - bij de specifieke dienstpoort op het bestemmingsadres. Alle - bovengenoemde parameters (poorten en adressen) kunnen gebruikt worden - als selectiecriteria om regels aan te maken die diensten zullen toestaan - of blokkeren. + TCP/IP-dienst is + vooraf gedefinieerd door een protocol en luisterpoort. + Pakketten bedoeld voor een speciale dienst beginnen bij het + bronadres gebruik makend van een onbevoorrechte poort en komen + aan bij de specifieke dienstpoort op het bestemmingsadres. + Alle bovengenoemde parameters (poorten en adressen) kunnen + gebruikt worden als selectiecriteria om regels aan te maken + die diensten zullen toestaan of blokkeren. IPFILTER @@ -2631,27 +2601,13 @@ sh /etc/ipf.rules.scriptvolgorde regelverwerking - IPF is oorspronkelijk geschreven met logica die regels - verwerkte volgens het principe de laatst passende - regel wint en gebruikte toen alleen staatloze regels. - In de loop der tijd is IPF verbeterd en zijn de opties - quick en keep state toegevoegd - waarmee de logica van het verwerken van regels drastisch is - gemoderniseerd. - - De instructies in dit hoofdstuk zijn gebaseerd op regels - die gebruik maken van de optie quick - en de stateful optie keep state. Dit - is het raamwerk waarmee een set van inclusieve firewallregels - wordt samengesteld. - Werk bij het wijzigen van firewallregels zeer - voorzichtig. Met sommige instellingen is een - server niet meer bereikbaar. Om het - veilig te spelen is het aan te raden de eerste instellingen - vanaf het console te maken, in plaats van via - ssh. + voorzichtig. Met sommige instellingen kunnen + ervoor zorgen dat de beheerder niet meer bij de server + kan komen. Om veilig te zijn is het aan te raden om de + eerste instellingen vanaf de console te maken, in plaats + van op afstand via ssh. @@ -2667,7 +2623,7 @@ sh /etc/ipf.rules.scriptDe regelsyntaxis die hier wordt besproken is versimpeld door alleen de moderne stateful regels en de eerste van toepassing zijnde regel wint te belichten. De - complete regelsyntaxis is na te lezen in &man.ipf.8;. + regelsyntaxis is na te lezen in &man.ipf.8;. Het karakter # wordt gebruikt om het begin van een opmerking te markeren en zowel op een eigen @@ -2718,9 +2674,9 @@ sh /etc/ipf.rules.script ACTIE - De actie geeft aan wat er met het pakket gedaan moet - worden als het van toepassing is op de rest van de - filterregel. Iedere regel moet een + Het actie sleutelwoord geeft aan wat er met het pakket + gedaan moet worden als het van toepassing is op de rest van + de filterregel. Iedere regel moet een actie hebben. De volgende acties zijn mogelijk: block geeft aan dat het pakket @@ -2739,7 +2695,7 @@ sh /etc/ipf.rules.scriptin of out - zijn en één van de twee moet gecodeerd worden, anders + zijn en één van de twee moet gebruikt worden, anders is de regel syntactisch onjuist. in betekent dat de regel van @@ -2758,32 +2714,26 @@ sh /etc/ipf.rules.script log geeft aan dat het pakket naar het - ipl logboekbestand geschreven moeten - worden (zoals verderop beschreven staat in de paragraaf - Loggen) als de regel van toepassing is op - het pakket. + &man.ipl.4; logboekbestand geschreven moeten worden als de + regel van toepassing is op het pakket. quick geeft aan dat als een regel van toepassing is, dat de laatste regel moet zijn die wordt - gecontroleerd, waardoor er een pad wordt - kortgesloten waardoor de volgende regels voor - dat pakket niet meer gecontroleerd worden. Deze optie is - voor de moderne regels eigenlijk verplicht. + gecontroleerd, waarna verdere evaluatie van regels niet meer + zal plaatsvinden. on geeft de interface aan die in de parameters meegenomen moet worden. De namen van interfaces kunnen getoond worden met &man.ifconfig.8;. Als deze optie wordt gebruikt, kan een regel alleen van toepassing zijn als het pakket door de aangegeven interface gaat in de richting - die is aangegeven - (in/out). Ook deze - optie is verplicht voor de moderne regels. + die is aangegeven. Als een pakket wordt gelogd, dan worden de koppen van het - pakket weggeschreven naar het ipl - pakketloggende pseudo-apparaat. Direct na het - sleutelwoord log mogen de volgende opties - gebruikt worden (in de aangegeven volgorde): + pakket weggeschreven naar het &man.ipl.4; pakketloggende + pseudo-apparaat. Direct na het sleutelwoord + log mogen de volgende opties + gebruikt worden in de aangegeven volgorde: body geeft aan dat de eerste 128 bytes van de inhoud van het pakket worden opgeslagen na de @@ -2791,12 +2741,9 @@ sh /etc/ipf.rules.scriptfirst; als het sleutelwoord log samen met een optie keep - state wordt gebruikt, wordt het aangeraden om - deze optie ook te gebruiken zodat alleen het pakket dat als - eerste in de sessie van toepassing was en niet ook alle - pakketten die daarna in de sessie volgens - keep state van toepassing - zijn. + state wordt gebruikt, deze optie is aangeraden + zodat alleen het eerste pakket van de sessie wordt gelogged + en niet elk pakket dat de stateful connectie matcht. @@ -2817,9 +2764,8 @@ sh /etc/ipf.rules.scriptproto is het sleutelwoord dat moet worden aangegeven samen met een van de - sleutelwoorden uit de subopties. De waarde geeft een bepaald - protocol aan dat van toepassing moet zijn. Ook deze optie is - verplicht voor de moderne regels. + sleutelwoorden uit de subopties. De suboptie geeft een + specifiek protocol aan welke van toepassing moet zijn. tcp/udp, tcp, udp, icmp of ieder @@ -2835,9 +2781,8 @@ sh /etc/ipf.rules.script BRON_ADR/BEST_ADR - Het sleutelwoord all is in feite - hetzelfde als from any to any zonder - overige parameters. + Het sleutelwoord all is gelijk aan + from any to any zonder andere parameters. from bron to bestemming; de sleutelwoorden from en @@ -2847,16 +2792,20 @@ sh /etc/ipf.rules.scriptIP-adres aangegeven worden. any is een bijzonder sleutelwoord dat van toepassing is op ieder - IP-adres. Voorbeelden van gebruik: from - any to any of from 0.0.0.0/0 to any of - from any to 0.0.0.0/0 of from 0.0.0.0 to - any of from any to 0.0.0.0. - - Het is vaak lastig om te komen tot een reeks IP-adressen die zich - niet gemakkelijk laten uitdrukken met de gepunte numerieke vorm/ - maskerlengte notatie. De port net-mgmt/ipcalc kan gebruikt worden om de - berekeningen te vereenvoudigen. Aanvullende informatie is beschikbaar - op de webpagina van het gereedschap: http://jodies.de/ipcalc. + IP-adres. Voorbeelden van gebruik: + from any to any of + from 0.0.0.0/0 to any of + from any to 0.0.0.0/0 of + from 0.0.0.0 to any of + from any to 0.0.0.0. + + Het is vaak lastig om te komen tot een reeks IP-adressen + die zich niet gemakkelijk laten uitdrukken met de gepunte + numerieke vorm/ maskerlengte notatie. De port + net-mgmt/ipcalc kan gebruikt worden om de + berekeningen te vereenvoudigen. Aanvullende informatie is + beschikbaar op de webpagina van het gereedschap: + http://jodies.de/ipcalc. @@ -2873,25 +2822,24 @@ sh /etc/ipf.rules.scriptto object, dan wordt het vergeleken met het poortnummer van de - bestemming. Het gebruik van het to object - is in de moderne regels verplicht en neemt de vorm aan van - from any to any port = 80. - - Enkelvoudige poortvergelijkingen kunnen op verschillende manieren - gedaan worden met een aantal verschillende operatoren. - Er kunnen ook reeksen van poorten ingesteld worden. - - poort "=" | "!=" | "<" | ">" | "<=" | ">=" | - "eq" | "ne" | "lt" | "gt" | "le" | "ge" - - Reeksen van poorten worden met de volgende optie - aangegeven: poort <> | >< - - - De volgende twee parameters die betrekking hebben op - bron en bestemming, zijn verplicht in de moderne - regels. - + bestemming. Voorbeeld gebruik hiervan is from any + to any port = 80. + + Enkelvoudige poortvergelijkingen kunnen op verschillende + manieren gedaan worden met een aantal verschillende + operatoren. In plaats van = zoals + getoond in het voorbeeld hierboven, kunnen de volgende + operatoren worden gebruikt: !=, + <, >, + <=, >=, + eq, ne, + lt, gt, + le en ge. + + Om poort reeksen te specificeren moeten er twee + poortnummers worden geplaatst tussen + <> of + ><. @@ -2913,10 +2861,6 @@ sh /etc/ipf.rules.scriptkeep state geeft aan dat in een regel met pass voor alle pakketten die van toepassing zijn stateful gefilterd moet worden. - - - Deze optie is voor moderne regels verplicht. - @@ -2931,41 +2875,40 @@ sh /etc/ipf.rules.scriptMet stateful filteren wordt verkeer benaderd als een uitwisseling van pakketten tussen twee kanten die een sessie - zijn. Als het is ingeschakeld, dan maakt het - mechanisme dynamisch interne - regels voor pakketten die in de sessie horen te volgen. Het - kan bekijken of de karakteristieken van de sessie tussen - verzender en ontvanger de juiste procedure volgen. Alle - pakketten die niet passen in de sessie, worden automatisch - geblokkeerd. - - keep state staat ook - ICMP-pakketten toe die gerelateerd zijn aan een - TCP- of UDP-sessie. Dus als er - een ICMP-type 3 code 4 komt in antwoord op - websurfen, dat wordt toegestaan van binnen naar buiten door een - keep state regel, dan wordt dat toegelaten. - Pakketten waarvan IPF zeker is dat ze onderdeel zijn van de - sessie worden toegelaten, zelfs als ze van een ander protocol - zijn. - - Wat er gebeurt: pakketten die naar buiten gaan op de - interface die met Internet is verbonden worden eerst - vergeleken met de dynamische staattabel. Als een pakket - voldoet aan de verwachting van het volgende pakket in de - sessie, dan mag het de firewall verlaten en wordt de - toestand van de sessie in de dynamische toestandstabel bijgewerkt. - Pakketten die niet bij een reeds actieve sessie horen, worden tegen de - uitgaande regelverzameling gecontroleerd. + zijn. Wanneer deze actief is genereert + keep-state dynamisch interne regels voor + elk verwacht pakket welke uitgewisseld wordt tijdens de sessie. + Het heeft voldoende mogelijkheden om te zien of een pakketje + geldig is voor een bepaalde sessie of niet. Elk pakket welke + niet goed in de sessie template past wordt automatisch + geweigerd. + + IPF stateful filtering staat ook ICMP + pakketten toe als deze gerelateerd zijn aan een bestaande + TCP of UDP sessie. Dus + als een ICMP type 3 code 4 pakket een + reactie is op een sessie gestart via een keep state regel, zal + deze automatisch worden toegestaan. Elk pakket waarvan IPF + zeker kan zijn dat deze onderdeel is van een actieve sessie, + ook al is het een ander protocol, wordt toegestaan. + + Pakketten die uitgaand zijn op een interface welke + verbonden is met het Internet, worden allereerst gecontroleerd + in de dynamische staattabel. Als het pakket overeenkomt met + de verwachting van het volgende pakket in de sessie, mag deze + de firewall verlaten en wordt de toestand van de sessie + bijgewerkt in de staattabel. Pakketten die niet bij een reeds + actieve sessie horen, worden vergeleken met de regels voor het + uitgaande verkeer. Pakketten die binnenkomen op de interface die met Internet is verbonden worden eerst vergeleken met de dynamische staattabel. Als een pakket voldoet aan de verwachting van het volgende pakket in de sessie, dan mag het - de firewall verlaten en wordt de toestand van de sessie in de dynamische - toestandstabel bijgewerkt. Pakketten die niet bij een reeds actieve - sessie horen, worden vergeleken met de regelverzameling voor - binnenkomend verkeer. + de firewall verlaten en wordt de toestand van de sessie in de + dynamische toestandstabel bijgewerkt. Pakketten die niet bij + een reeds actieve sessie horen, worden vergeleken met de + regelverzameling voor binnenkomend verkeer. Als de sessie wordt beëindigd wordt het uit de dynamische staattabel verwijderd. @@ -2985,42 +2928,39 @@ sh /etc/ipf.rules.script Voorbeeld van inclusieve regels - De onderstaande regels zijn een voorbeeld van hoe een - erg veilige inclusieve firewall opgezet kan worden. Een - inclusieve firewall staat alleen diensten toe die passen bij - de pass-regels en blokkeert al het - overige verkeer. Firewalls die bedoeld zijn om andere machines te - beschermen, ook wel netwerk-firewalls genoemd, dienen - tenminste twee interfaces te hebben, die over het algemeen zijn - ingesteld om de ene kant te vertrouwen (het LAN) maar - niet de andere (het publieke Internet). Ook kan een firewall worden - ingesteld om alleen het systeem te beschermen waarop het - draait—dit wordt een host-gebaseerde firewall - genoemd, en is in het bijzonder geschikt voor servers op een onvertrouwd - netwerk. - - Alle &unix; systemen en dus ook &os; zijn zo ontworpen - dat ze voor interne communicatie de interface - lo0 en IP adres - 127.0.0.1 gebruiken. De - firewall moet dit interne verkeer gewoon doorgang laten - vinden. + De onderstaande regels zijn een voorbeeld van een + inclusieve firewall, welke alleen diensten toelaat welke + passen bij de pass-regels en blokkeert + al het overige verkeer. Netwerk firewalls die bedoeld zijn + om andere machines te beveiligen, zouden minstenst twee + interfaces moeten hebben en zijn veelal geconfigureerd om het + LAN te vertrouwen en het publieke Internet + niet. Ook kan een firewall worden ingesteld om alleen het + systeem waar deze op actief is te beschermen, wat vaak voorkomt + bij servers op onveilige netwerken of een desktop systeem welke + niet beveiligd wordt door een firewall op het netwerk. + + &os; gebruikt lo0 en het IP adres + 127.0.0.1 voor + interne communicatie met het besturingssysteem. De firewall + regels moeten regels bevatten die deze communicatie vrijelijk + toestaat. Voor de interface die is verbonden met het publieke - Internet worden regels gemaakt waarmee de toegang voor uitgaande en - binnenkomende verbindingen worden geautoriseerd en beheerst. - Dit kan de PPP-interface tun0 zijn of de - netwerkkaart die is verbonden met een xDSL- of kabelmodem. + Internet worden regels gemaakt waarmee de toegang voor + uitgaande en binnenkomende verbindingen worden geautoriseerd + en beheerst. In gevallen dat er één of meer netwerkkaarten zijn aangesloten op private netwerksegmenten kunnen er regels - op de firewall nodig zijn om pakketten die van die LAN-interfaces - afkomen vrije doorgang te geven naar elkaar en/of naar buiten - (het Internet). - - De regels worden opgedeeld in drie onderdelen: eerst de vertrouwde - interfaces, dan het publieke uitgaande interface en als laatste het - onvertrouwde publieke binnenkomende interfaces. + op de firewall nodig zijn om pakketten die van die + LAN-interfaces afkomen vrije doorgang te geven naar elkaar + en/of het Internet. + + De regels worden opgedeeld in drie onderdelen: de vertrouwde + interfaces, dan het publieke uitgaande interface en als + laatste de onvertrouwde publieke binnenkomende + interface. In iedere sectie moeten zo staan dat de regels die het meest gebruikt worden vóór de regels die minder @@ -3028,6 +2968,7 @@ sh /etc/ipf.rules.script + In het onderdeel Uitgaand staan alleen regels met pass die parameters bevatten om uniek individuele diensten identificeren die het publieke Internet mogen