Date: Tue, 25 Mar 2014 15:25:18 +0000 (UTC) From: Remko Lodder <remko@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org Subject: svn commit: r44352 - translations/nl_NL.ISO8859-1/books/handbook/firewalls Message-ID: <201403251525.s2PFPIXO052294@svn.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: remko Date: Tue Mar 25 15:25:18 2014 New Revision: 44352 URL: http://svnweb.freebsd.org/changeset/doc/44352 Log: Update work in progress, this file is almost up to date with the translation target. Facilitated by: Snow B.V. Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Tue Mar 25 13:17:16 2014 (r44351) +++ translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Tue Mar 25 15:25:18 2014 (r44352) @@ -2022,18 +2022,16 @@ block drop out quick on $ext_if from any <para>IPFILTER is een cross-platform open source firewall, welke geporteerd is naar de &os;, NetBSD, OpenBSD en &solaris; besturingssystemen.</para> - XXX RL 1920 <para>IPFILTER is gebaseerd op een firewall aan de kernelkant en een <acronym>NAT</acronym> mechanisme dat gecontroleerd en gemonitord kan worden door programma's in userland. De - firewallregels kunnen ingesteld of verwijderd worden met het - hulpprogramma &man.ipf.8;. De <acronym>NAT</acronym> regels - kunnen ingesteld of verwijderd worden met &man.ipnat.8;. Het - programma &man.ipfstat.8; kan actuele statistieken leveren voor - de kernelonderdelen van IPFILTER. &man.ipmon.8; kan acties van - IPFILTER wegschrijven naar logboekbestanden van het - systeem.</para> + firewallregels kunnen ingesteld of verwijderd via &man.ipf.8; + De <acronym>NAT</acronym> regels kunnen ingesteld of verwijderd + worden met &man.ipnat.8;. Actuele statistieken voor de kernel + onderdelen van IPFILTER kunnen worden getoond met &man.ipfstat.8; + Om acties van IPFILTER naar de systeem logbestanden weg te + schrijven kan &man.ipmon.8; gebruikt worden.</para> <para>IPF is oorspronkelijk geschreven met logica die regels verwerkte volgens het principe <quote>de laatst passende regel @@ -2043,9 +2041,8 @@ block drop out quick on $ext_if from any toegevoegd waarmee de logica van het verwerken van regels drastisch is gemoderniseerd. In de officiële documentatie van IPF worden alleen de regels en verwerkingslogica - behandeld. De moderne functies worden alleen behandeld als - opties, waardoor hun nut dat er een veel betere en veiligere firewall mee - te maken volledig onderbelicht blijft.</para> + behandeld en de gemoderniseerde functies worden alleen + behandeld als additionele opties.</para> <para>De instructies in dit hoofdstuk zijn gebaseerd op regels die gebruik maken van de optie <literal>quick</literal> en de @@ -2071,17 +2068,15 @@ block drop out quick on $ext_if from any <secondary>inschakelen</secondary> </indexterm> - <para>IPF zit in de basisinstallatie van &os; als een aparte + <para>IPF zit in de basisinstallatie van &os; als een <quote>run time</quote> laadbare module. Een systeem laadt de - IPF kernel laadbare module dynamisch als - <literal>ipfilter_enable="YES"</literal> in - <filename>rc.conf</filename> staat. Voor de laadbare module - zijn de opties <literal>logging</literal> en <literal>default - pass all</literal> ingeschakeld. IPF hoeft niet in de - kernel gecompileerd te worden om het standaardgedrag te - wijzigen naar <literal>block all</literal>. Dat is mogelijk - door op het einde van de regelverzameling een regel <literal>block - all</literal> toe te voegen die al het verkeer blokkeert.</para> + module dynamisch als <literal>ipfilter_enable="YES"</literal> + in <filename>rc.conf</filename> staat. Voor de laadbare module + zijn de opties logging en <literal>default pass all</literal> + ingeschakeld. Om de standaard aan te passen naar + <literal>block all</literal> moet er een + <literal>block all</literal> regel aan het einde van de + ruleset worden toegevoegd.</para> </sect2> <sect2> @@ -2111,15 +2106,11 @@ block drop out quick on $ext_if from any <secondary>kernelopties</secondary> </indexterm> - <para>Het is niet verplicht om IPF in te schakelen door de - volgende opties in de &os; kernel te compileren. Dit wordt - alleen beschreven als achtergrondinformatie. Door IPF in de - kernel te compileren wordt de laadbare module niet - gebruikt.</para> - - <para>Voorbeeld kernelinstellingen voor IPF staan beschreven in - de <filename>/usr/src/sys/i386/conf/LINT</filename>in de - kernelbroncode en worden hier beschreven:</para> + <para>Voor gebruikers die het wenselijk vinden om IPF + ondersteuning in de kernel te compileren en een + custom kernel zijn de volgende opties die ook in + <filename>/usr/src/sys/conf/NOTES</filename> staan + beschreven beschikbaar:</para> <programlisting>options IPFILTER options IPFILTER_LOG @@ -2129,10 +2120,10 @@ options IPFILTER_DEFAULT_BLOCK</programl voor de <quote>IPFILTER</quote> firewall in.</para> <para><literal>options IPFILTER_LOG</literal> schakelt de - optie in waarmee IPF verkeer kan loggen door het naar het + optie in waarmee IPF verkeer kan loggen via het <filename>ipl</filename> pakketloggende - pseudo-apparaat te schrijven voor iedere regel met het - sleutelwoord <literal>log</literal> erin.</para> + pseudo-apparaat voor iedere regel met het sleutelwoord + <literal>log</literal> erin.</para> <para><literal>options IPFILTER_DEFAULT_BLOCK</literal> wijzigt het standaardgedrag zodat ieder pakket waarop geen @@ -2173,11 +2164,10 @@ ipnat_rules="/etc/ipnat.rules" # best <indexterm><primary><command>ipf</command></primary></indexterm> - <para>Het commando &man.ipf.8; wordt gebruikt om het bestand met - firewallregels te laden. Gewoonlijk wordt er een bestand - aangemaakt waarin de situatieafhankelijke regels staan - waarmee in één keer de bestaande regels kunnen - worden vervangen:</para> + <para>Om de ruleset te laden wordt &man.ipf.8; gebruikt. + Afwijkende regels worden normaal gesproken in een bestand + geplaatst waarna het volgende commando gebruikt kan worden + om de bestaande regels te vervangen:</para> <screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen> @@ -2309,12 +2299,11 @@ Packet log flags set: (0)</screen> <para>De daemon wordt gebruikt als continu een systeemlogboek bijgewerkt moet worden zodat het mogelijk is om - gebeurtenissen in het verleden te bekijken. Zo zijn &os; en - IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde - mogelijkheden om automatisch syslogs te roteren. Daarom is - het beter om de uitvoer naar &man.syslogd.8; te schrijven - dan naar een gewoon bestand. In de standaardversie van - <filename>rc.conf</filename> is te zien dat de instelling + gebeurtenissen in het verleden te bekijken. &oss; heeft een + ingebouwde mogelijkheid om automatisch systeem logs te roteren. + Daarom is het beter om de uitvoer naar &man.syslogd.8; te + schrijven dan naar een gewoon bestand. In de standaardversie + van <filename>rc.conf</filename> is te zien dat de instelling <literal>ipmon_flags</literal> de waarde <option>-Ds</option> heeft:</para> @@ -2323,40 +2312,36 @@ Packet log flags set: (0)</screen> # v = log tcp window, ack, seq # n = vertaal IP & poort naar namen</programlisting> - <para>De voordelen van loggen zijn duidelijk. Het biedt de - mogelijkheid om na het feit informatie na te zien als: welke - pakketten heeft de firewall laten vallen, waar kwamen ze - vandaan en waar gingen ze heen? Dit zijn allemaal voordelen - als het gaat om uitvinden waar een aanvaller vandaan komt en - wat deze heeft geprobeerd.</para> + <para>Logging biedt de mogelijkheid om achteraf informatie terug + te bekijken, zoals welke adressen er gedropt werden, vanaf + welke adressen men kwam en waar ze naartoe gingen. Dit zijn + allemaal voordelen als het gaat om uitvinden waar een + aanvaller vandaan komt en wat deze heeft geprobeerd.</para> - <para>Zelfs als loggen is ingeschakeld, logt IPF nog niets uit - zichzelf. De beheerder van de firewall beslist welke regels in de + <para>Zelfs als loggen is ingeschakeld, logt IPF standaard niets. + De beheerder van de firewall beslist welke regels in de regelverzameling iets weg moeten schrijven door het sleutelwoord <literal>log</literal> aan die regels toe te voegen. Gewoonlijk worden alleen <literal>deny</literal> regels gelogd.</para> <para>Het is heel normaal om als laatste regel een - <literal>deny</literal> regel aan de set met regels toe te - voegen waar het sleutelwoord <literal>log</literal> in staat. - Zo krijgt een beheerder alle pakketten te zien waarop geen - enkele regel van toepassing was.</para> + <quote>weiger alle verkeer</quote> regel aan de set met regels + toe te voegen waar het sleutelwoord <literal>log</literal> in + staat. Zo krijgt een beheerder alle pakketten te zien waarop + geen enkele regel van toepassing was.</para> </sect2> <sect2> <title>Loggen met IPMON</title> - <para><application>Syslogd</application> heeft een eigen methode - om logboekgegevens te scheiden. Het maakt gebruik van speciale - groepen die <quote>facility</quote> en <quote>level</quote> + <para>&man.syslogd.8; heeft een eigen methode om logboekgegevens + te scheiden. Het maakt gebruik van groepen die + <quote>facility</quote> en <quote>level</quote> heten. &man.ipmon.8; in <option>-Ds</option> mode gebruikt - <literal>local0</literal> - als <quote>facility</quote>naam. Alle door &man.ipmon.8; gelogde - gegevens gaan standaard naar de naam <literal>security</literal>. - De nu volgende levels - kunnen gebruikt worden om de gelogde gegevens nog verder uit - elkaar te trekken als dat gewenst is.</para> + <literal>local0</literal> als <quote>facility</quote> naam. + De volgende levels kunnen worden gebruikt om het gelogde + verkeer nog verder te scheiden:</para> <screen>LOG_INFO – pakketten gelogd met het sleutelwoord "log" als actie in plaats van pass of block. LOG_NOTICE – gelogde pakketten die ook zijn doorgelaten @@ -2367,41 +2352,31 @@ LOG_ERR – gelogde pakketten die ee <para>Om IPFILTER alle gelogde gegevens naar <filename>/var/log/ipfilter.log</filename> te laten schrijven, - dient dat bestand vooraf te bestaan. Dat kan met het volgende - commando:</para> + moet vooraf het bestand bestaan:</para> <screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen> - <para>De functionaliteit van &man.syslogd.8; wordt beheerd met - instellingen in <filename>/etc/syslog.conf</filename>. - Dit bestand biedt aanzienlijke - flexibiliteit in hoe <application>syslog</application> omgaat met - systeemberichten die door softwaretoepassingen als IPF worden - gegeven.</para> - - <para>Zo kan de volgende instelling toegevoegd worden aan - <filename>/etc/syslog.conf</filename>:</para> + <para>&man.syslogd.8; wordt bedient door definities in + <filename>/etc/syslog.conf</filename>. Dit bestand levert + behoorlijke flexibiliteit over hoe + <application>syslog</application> met systeem meldingen + omgaat zoals software applicaties als IPF.</para> + + <para>Om alle gelogde berichten naar een gespecificeerd + bestand te schrijven, moet het volgende statement + worden toegevoegd aan <filename>/etc/syslog.conf</filename>:</para> <programlisting>local0.* /var/log/ipfilter.log</programlisting> - <para>Het deel <literal>local0.*</literal> - betekent dat alle logberichten naar de aangegeven plaats - geschreven moeten worden.</para> - - <para>Om de wijzigingen in - <filename>/etc/syslog.conf</filename> actief te maken kan er opnieuw - opgestart worden of is het mogelijk de daemon &man.syslogd.8; een schop - te geven zodat <filename>/etc/syslog.conf</filename> opnieuw - wordt ingelezen met <command>/etc/rc.d/syslogd - reload</command>. Het PID (procesnummer) is te achterhalen - door een overzicht van taken te tonen met - <command>ps -ax</command>. Het PID is het nummer in de - linker kolom voor de regel waarop <quote>syslog</quote> - staat.</para> + <para>Om de wijzigingen te activeren en om &man.syslogd.8; + te instrueren om het gewijzigde + <filename>/etc/syslog.conf</filename> opnieuw te lezen + moet het <command>service syslogd reload</command> gedraaid + worden.</para> <para>Vaak wordt vergeten <filename>/etc/newsyslog.conf</filename> te wijzigen om het - nieuw aangemaakte logboekbestand te laten roteren.</para> + aangemaakte logboekbestand te laten roteren.</para> </sect2> <sect2> @@ -2419,18 +2394,16 @@ LOG_ERR – gelogde pakketten die ee <listitem> <para>De tijd waarop het pakket is ontvangen weergegeven als HH:MM:SS.F voor uren, minuten, seconden en fracties - van een seconde. De fractie kan meerdere cijfers lang - zijn.</para> + van een seconde.</para> </listitem> <listitem> <para>De naam van de interface waarop het pakket is - ontvangen, bijvoorbeeld - <filename>dc0</filename>.</para> + ontvangen.</para> </listitem> <listitem> - <para>De groep en regelnummer van de regel, bijvoorbeeld + <para>De groep en regelnummer van de regel in het formaat <literal>@0:17</literal>.</para> </listitem> </orderedlist> @@ -2441,22 +2414,21 @@ LOG_ERR – gelogde pakketten die ee <orderedlist> <listitem> <para>De acties: <literal>p</literal> voor doorgelaten - (<quote>passed</quote>), <literal>b</literal> voor - geblokkeerd (<quote>blocked</quote>), - <literal>S</literal> voor een verkeerd pakket - (<quote>short packet</quote>), <literal>n</literal> voor + <literal>b</literal> voor geblokkeerd, <literal>S</literal> + voor een verkeerd pakket, <literal>n</literal> voor dat er geen enkele regel van toepassing was, <literal>L</literal> voor een logboekregel. De volgorde - waarin deze acties getoond worden is: S, p, b, n, L. Een + waarin deze acties getoond worden is: <literal>S</literal>, + <literal>p</literal>, <literal>b</literal>, + <literal>n</literal>, <literal>L</literal>. Een hoofdletter <literal>P</literal> of <literal>B</literal> betekent dat het pakket gelogd is vanwege een globale - instelling, niet vanwege één regel in het - bijzonder.</para> + instelling, niet vanwege één regel in het bijzonder.</para> </listitem> <listitem> - <para>De adressen. Dit zijn eigenlijk drie velden: het - bronadres en poort gescheiden door een komma, het symbool + <para>De adressen geschreven in drie velden: hetbronadres en + poort gescheiden door een komma, het symbool -> en het bestemmingsadres en poort, bijvoorbeeld: <literal>209.53.17.22,80 -> 198.73.220.17,1722</literal>.</para> </listitem> @@ -2508,8 +2480,7 @@ LOG_ERR – gelogde pakketten die ee compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;.</para> <para>Velden waarvoor substitutie van toepassing is worden - vooraf gegaan door het dollarteken - <literal>$</literal>.</para> + vooraf gegaan door een <literal>$</literal>.</para> <para>Definities worden niet vooraf gegaan door het voorvoegsel $.</para> @@ -2551,12 +2522,11 @@ pass out quick on $oif proto tcp EOF ################## Einde IPF regels script ########################</programlisting> - <para>Dat is alles. De regels zijn niet van belang in dit - voorbeeld, maar tonen hoe substitutievelden worden - gedefinieerd en hoe ze worden gebruikt. Als het bovenstaande - voorbeeld de inhoud van - <filename>/etc/ipf.rules.script</filename> was, dan konden deze regels - herladen worden door het vanaf de commandoregel aan te roepen:</para> + <para>De regels zijn niet van belang in dit voorbeeld, maar + richt zich op hoe de substitutievelden worden gevuld. Als dit + voorbeeld zich in een bestand bevond genaamd + <filename>/etc/ipf.rules.script</filename> was, dan konden + deze regels herladen worden door het draaien van:</para> <screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen> @@ -2573,8 +2543,8 @@ EOF <literal>cat</literal> en zet het commentaarteken bij de regel die begint met <literal>/sbin/ipf</literal>. Plaats <literal>ipfilter_enable="YES"</literal> in - <filename>/etc/rc.conf</filename> zoals gewoonlijk en start - het script eenmalig na elke wijziging om + <filename>/etc/rc.conf</filename> en start het script + eenmalig na elke wijziging om <filename>/etc/ipf.rules</filename> te maken of bij te werken.</para> </listitem> @@ -2595,35 +2565,35 @@ EOF sh /etc/ipf.rules.script</programlisting> <para>De permissies op dit script moeten zijn: lezen,schrijven - en uitvoeren voor de gebruiker <systemitem class="username">root</systemitem>.</para> + en uitvoeren voor de gebruiker + <systemitem class="username">root</systemitem>:</para> <screen>&prompt.root; <userinput>chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh</userinput></screen> </listitem> </itemizedlist> - <para>Als het systeem nu herstart, worden de regels via het + <para>Als het systeem nu herstart, worden de IPF regels via het script gestart.</para> </sect2> <sect2> - <title>Sets van IPF regels</title> + <title>IPF rulesets</title> - <para>Een set regels is een groep IPF-regels - die is gemaakt om pakketten toe te staan of te blokkeren op - basis van de eigenschappen van dat pakket. De - bi-directionele uitwisseling van pakketten tussen hosts + <para>Een ruleset bevat een groep van IPF regels welke verkeer + toestaan of weigeren gebaseerd op de waarden in het pakket. + Het bidirectioneel uitwisselen van pakketten tussen machines bestaat uit een gesprek dat een sessie heet. De set van firewallregels verwerkt zowel de pakketten die arriveren van het publieke Internet, als de pakketten die door het systeem zijn geproduceerd als een antwoord erop. Elke - <acronym>TCP/IP</acronym>-dienst (telnet, www, mail, enzovoorts) is - vooraf gedefinieerd door een protocol en bevoorrechte (luister)poort. - Pakketten bedoeld voor een speciale dienst beginnen bij het bronadres - gebruik makend van een onbevoorrechte (hogere orde) poort en komen aan - bij de specifieke dienstpoort op het bestemmingsadres. Alle - bovengenoemde parameters (poorten en adressen) kunnen gebruikt worden - als selectiecriteria om regels aan te maken die diensten zullen toestaan - of blokkeren.</para> + <acronym>TCP/IP</acronym>-dienst is + vooraf gedefinieerd door een protocol en luisterpoort. + Pakketten bedoeld voor een speciale dienst beginnen bij het + bronadres gebruik makend van een onbevoorrechte poort en komen + aan bij de specifieke dienstpoort op het bestemmingsadres. + Alle bovengenoemde parameters (poorten en adressen) kunnen + gebruikt worden als selectiecriteria om regels aan te maken + die diensten zullen toestaan of blokkeren.</para> <indexterm> <primary>IPFILTER</primary> @@ -2631,27 +2601,13 @@ sh /etc/ipf.rules.script</programlisting <secondary>volgorde regelverwerking</secondary> </indexterm> - <para>IPF is oorspronkelijk geschreven met logica die regels - verwerkte volgens het principe <quote>de laatst passende - regel wint</quote> en gebruikte toen alleen staatloze regels. - In de loop der tijd is IPF verbeterd en zijn de opties - <quote>quick</quote> en <quote>keep state</quote> toegevoegd - waarmee de logica van het verwerken van regels drastisch is - gemoderniseerd.</para> - - <para>De instructies in dit hoofdstuk zijn gebaseerd op regels - die gebruik maken van de optie <quote>quick</quote> - en de stateful optie <quote>keep state</quote>. Dit - is het raamwerk waarmee een set van inclusieve firewallregels - wordt samengesteld.</para> - <warning> <para>Werk bij het wijzigen van firewallregels <emphasis>zeer - voorzichtig</emphasis>. Met sommige instellingen is een - server <emphasis>niet meer bereikbaar</emphasis>. Om het - veilig te spelen is het aan te raden de eerste instellingen - vanaf het console te maken, in plaats van via - <application>ssh</application>.</para> + voorzichtig</emphasis>. Met sommige instellingen kunnen + ervoor zorgen dat de beheerder niet meer bij de server + kan komen. Om veilig te zijn is het aan te raden om de + eerste instellingen vanaf de console te maken, in plaats + van op afstand via <application>ssh</application>.</para> </warning> </sect2> @@ -2667,7 +2623,7 @@ sh /etc/ipf.rules.script</programlisting <para>De regelsyntaxis die hier wordt besproken is versimpeld door alleen de moderne stateful regels en de <quote>eerste van toepassing zijnde regel wint</quote> te belichten. De - complete regelsyntaxis is na te lezen in &man.ipf.8;.</para> + regelsyntaxis is na te lezen in &man.ipf.8;.</para> <para>Het karakter <literal>#</literal> wordt gebruikt om het begin van een opmerking te markeren en zowel op een eigen @@ -2718,9 +2674,9 @@ sh /etc/ipf.rules.script</programlisting <sect3> <title>ACTIE</title> - <para>De actie geeft aan wat er met het pakket gedaan moet - worden als het van toepassing is op de rest van de - filterregel. Iedere regel <emphasis>moet</emphasis> een + <para>Het actie sleutelwoord geeft aan wat er met het pakket + gedaan moet worden als het van toepassing is op de rest van + de filterregel. Iedere regel <emphasis>moet</emphasis> een actie hebben. De volgende acties zijn mogelijk:</para> <para><literal>block</literal> geeft aan dat het pakket @@ -2739,7 +2695,7 @@ sh /etc/ipf.rules.script</programlisting expliciet wordt aangegeven op welke zijde van de in/uit deze van toepassing is. Het volgende sleutelwoord moet <literal>in</literal> of <literal>out</literal> - zijn en één van de twee moet gecodeerd worden, anders + zijn en één van de twee moet gebruikt worden, anders is de regel syntactisch onjuist.</para> <para><literal>in</literal> betekent dat de regel van @@ -2758,32 +2714,26 @@ sh /etc/ipf.rules.script</programlisting </note> <para><literal>log</literal> geeft aan dat het pakket naar het - <filename>ipl</filename> logboekbestand geschreven moeten - worden (zoals verderop beschreven staat in de paragraaf - <quote>Loggen</quote>) als de regel van toepassing is op - het pakket.</para> + &man.ipl.4; logboekbestand geschreven moeten worden als de + regel van toepassing is op het pakket.</para> <para><literal>quick</literal> geeft aan dat als een regel van toepassing is, dat de laatste regel moet zijn die wordt - gecontroleerd, waardoor er een pad wordt - <quote>kortgesloten</quote> waardoor de volgende regels voor - dat pakket niet meer gecontroleerd worden. Deze optie is - voor de moderne regels eigenlijk verplicht.</para> + gecontroleerd, waarna verdere evaluatie van regels niet meer + zal plaatsvinden.</para> <para><literal>on</literal> geeft de interface aan die in de parameters meegenomen moet worden. De namen van interfaces kunnen getoond worden met &man.ifconfig.8;. Als deze optie wordt gebruikt, kan een regel alleen van toepassing zijn als het pakket door de aangegeven interface gaat in de richting - die is aangegeven - (<literal>in</literal>/<literal>out</literal>). Ook deze - optie is verplicht voor de moderne regels.</para> + die is aangegeven.</para> <para>Als een pakket wordt gelogd, dan worden de koppen van het - pakket weggeschreven naar het <acronym>ipl</acronym> - pakketloggende pseudo-apparaat. Direct na het - sleutelwoord <literal>log</literal> mogen de volgende opties - gebruikt worden (in de aangegeven volgorde):</para> + pakket weggeschreven naar het &man.ipl.4; pakketloggende + pseudo-apparaat. Direct na het sleutelwoord + <literal>log</literal> mogen de volgende opties + gebruikt worden in de aangegeven volgorde:</para> <para><literal>body</literal> geeft aan dat de eerste 128 bytes van de inhoud van het pakket worden opgeslagen na de @@ -2791,12 +2741,9 @@ sh /etc/ipf.rules.script</programlisting <para><literal>first</literal>; als het sleutelwoord <literal>log</literal> samen met een optie <literal>keep - state</literal> wordt gebruikt, wordt het aangeraden om - deze optie ook te gebruiken zodat alleen het pakket dat als - eerste in de sessie van toepassing was en niet ook alle - pakketten die daarna in de sessie volgens - <literal>keep state</literal> van toepassing - zijn.</para> + state</literal> wordt gebruikt, deze optie is aangeraden + zodat alleen het eerste pakket van de sessie wordt gelogged + en niet elk pakket dat de stateful connectie matcht.</para> </sect3> <sect3> @@ -2817,9 +2764,8 @@ sh /etc/ipf.rules.script</programlisting <para><literal>proto</literal> is het <option>subject</option> sleutelwoord dat moet worden aangegeven samen met een van de - sleutelwoorden uit de subopties. De waarde geeft een bepaald - protocol aan dat van toepassing moet zijn. Ook deze optie is - verplicht voor de moderne regels.</para> + sleutelwoorden uit de subopties. De suboptie geeft een + specifiek protocol aan welke van toepassing moet zijn.</para> <para><literal>tcp/udp</literal>, <literal>tcp</literal>, <literal>udp</literal>, <literal>icmp</literal> of ieder @@ -2835,9 +2781,8 @@ sh /etc/ipf.rules.script</programlisting <sect3> <title>BRON_ADR/BEST_ADR</title> - <para>Het sleutelwoord <literal>all</literal> is in feite - hetzelfde als <literal>from any to any</literal> zonder - overige parameters.</para> + <para>Het sleutelwoord <literal>all</literal> is gelijk aan + <quote>from any to any</quote> zonder andere parameters.</para> <para><literal>from bron to bestemming</literal>; de sleutelwoorden <literal>from</literal> en @@ -2847,16 +2792,20 @@ sh /etc/ipf.rules.script</programlisting bestemmings-<acronym>IP</acronym>-adres aangegeven worden. <literal>any</literal> is een bijzonder sleutelwoord dat van toepassing is op ieder - <acronym>IP</acronym>-adres. Voorbeelden van gebruik: <literal>from - any to any</literal> of <literal>from 0.0.0.0/0 to any</literal> of - <literal>from any to 0.0.0.0/0</literal> of <literal>from 0.0.0.0 to - any</literal> of <literal>from any to 0.0.0.0</literal>.</para> - - <para>Het is vaak lastig om te komen tot een reeks IP-adressen die zich - niet gemakkelijk laten uitdrukken met de gepunte numerieke vorm/ - maskerlengte notatie. De port <package>net-mgmt/ipcalc</package> kan gebruikt worden om de - berekeningen te vereenvoudigen. Aanvullende informatie is beschikbaar - op de webpagina van het gereedschap: <uri xlink:href="http://jodies.de/ipcalc">http://jodies.de/ipcalc</uri>.</para>; + <acronym>IP</acronym>-adres. Voorbeelden van gebruik: + <literal>from any to any</literal> of + <literal>from 0.0.0.0/0 to any</literal> of + <literal>from any to 0.0.0.0/0</literal> of + <literal>from 0.0.0.0 to any</literal> of + <literal>from any to 0.0.0.0</literal>.</para> + + <para>Het is vaak lastig om te komen tot een reeks IP-adressen + die zich niet gemakkelijk laten uitdrukken met de gepunte + numerieke vorm/ maskerlengte notatie. De port + <package>net-mgmt/ipcalc</package> kan gebruikt worden om de + berekeningen te vereenvoudigen. Aanvullende informatie is + beschikbaar op de webpagina van het gereedschap: + <uri xlink:href="http://jodies.de/ipcalc">http://jodies.de/ipcalc</uri>.</para>; </sect3> <sect3> @@ -2873,25 +2822,24 @@ sh /etc/ipf.rules.script</programlisting dan wordt het vergeleken met het poortnummer van de bron en als het onderdeel is van het <literal>to</literal> object, dan wordt het vergeleken met het poortnummer van de - bestemming. Het gebruik van het <literal>to</literal> object - is in de moderne regels verplicht en neemt de vorm aan van - <literal>from any to any port = 80</literal>.</para> - - <para>Enkelvoudige poortvergelijkingen kunnen op verschillende manieren - gedaan worden met een aantal verschillende operatoren. - Er kunnen ook reeksen van poorten ingesteld worden.</para> - - <para>poort "=" | "!=" | "<" | ">" | "<=" | ">=" | - "eq" | "ne" | "lt" | "gt" | "le" | "ge"</para> - - <para>Reeksen van poorten worden met de volgende optie - aangegeven: poort <> | ><</para> - - <warning> - <para>De volgende twee parameters die betrekking hebben op - bron en bestemming, zijn verplicht in de moderne - regels.</para> - </warning> + bestemming. Voorbeeld gebruik hiervan is <literal>from any + to any port = 80</literal>.</para> + + <para>Enkelvoudige poortvergelijkingen kunnen op verschillende + manieren gedaan worden met een aantal verschillende + operatoren. In plaats van <literal>=</literal> zoals + getoond in het voorbeeld hierboven, kunnen de volgende + operatoren worden gebruikt: <literal>!=</literal>, + <literal><</literal>, <literal>></literal>, + <literal><=</literal>, <literal>>=</literal>, + <literal>eq</literal>, <literal>ne</literal>, + <literal>lt</literal>, <literal>gt</literal>, + <literal>le</literal> en <literal>ge</literal>.</para> + + <para>Om poort reeksen te specificeren moeten er twee + poortnummers worden geplaatst tussen + <literal><></literal> of + <literal>><</literal>.</para> </sect3> <sect3> @@ -2913,10 +2861,6 @@ sh /etc/ipf.rules.script</programlisting <para><literal>keep state</literal> geeft aan dat in een regel met <literal>pass</literal> voor alle pakketten die van toepassing zijn stateful gefilterd moet worden.</para> - - <note> - <para>Deze optie is voor moderne regels verplicht.</para> - </note> </sect3> </sect2> @@ -2931,41 +2875,40 @@ sh /etc/ipf.rules.script</programlisting <para>Met stateful filteren wordt verkeer benaderd als een uitwisseling van pakketten tussen twee kanten die een sessie - zijn. Als het is ingeschakeld, dan maakt het - <option>keep state</option> mechanisme dynamisch interne - regels voor pakketten die in de sessie horen te volgen. Het - kan bekijken of de karakteristieken van de sessie tussen - verzender en ontvanger de juiste procedure volgen. Alle - pakketten die niet passen in de sessie, worden automatisch - geblokkeerd.</para> - - <para><literal>keep state</literal> staat ook - <acronym>ICMP</acronym>-pakketten toe die gerelateerd zijn aan een - <acronym>TCP</acronym>- of <acronym>UDP</acronym>-sessie. Dus als er - een <acronym>ICMP</acronym>-type 3 code 4 komt in antwoord op - websurfen, dat wordt toegestaan van binnen naar buiten door een - <literal>keep state</literal> regel, dan wordt dat toegelaten. - Pakketten waarvan IPF zeker is dat ze onderdeel zijn van de - sessie worden toegelaten, zelfs als ze van een ander protocol - zijn.</para> - - <para>Wat er gebeurt: pakketten die naar buiten gaan op de - interface die met Internet is verbonden worden eerst - vergeleken met de dynamische staattabel. Als een pakket - voldoet aan de verwachting van het volgende pakket in de - sessie, dan mag het de firewall verlaten en wordt de - toestand van de sessie in de dynamische toestandstabel bijgewerkt. - Pakketten die niet bij een reeds actieve sessie horen, worden tegen de - uitgaande regelverzameling gecontroleerd.</para> + zijn. Wanneer deze actief is genereert + <literal>keep-state</literal> dynamisch interne regels voor + elk verwacht pakket welke uitgewisseld wordt tijdens de sessie. + Het heeft voldoende mogelijkheden om te zien of een pakketje + geldig is voor een bepaalde sessie of niet. Elk pakket welke + niet goed in de sessie template past wordt automatisch + geweigerd.</para> + + <para>IPF stateful filtering staat ook <acronym>ICMP</acronym> + pakketten toe als deze gerelateerd zijn aan een bestaande + <acronym>TCP</acronym> of <acronym>UDP</acronym> sessie. Dus + als een <acronym>ICMP</acronym> type 3 code 4 pakket een + reactie is op een sessie gestart via een keep state regel, zal + deze automatisch worden toegestaan. Elk pakket waarvan IPF + zeker kan zijn dat deze onderdeel is van een actieve sessie, + ook al is het een ander protocol, wordt toegestaan.</para> + + <para>Pakketten die uitgaand zijn op een interface welke + verbonden is met het Internet, worden allereerst gecontroleerd + in de dynamische staattabel. Als het pakket overeenkomt met + de verwachting van het volgende pakket in de sessie, mag deze + de firewall verlaten en wordt de toestand van de sessie + bijgewerkt in de staattabel. Pakketten die niet bij een reeds + actieve sessie horen, worden vergeleken met de regels voor het + uitgaande verkeer.</para> <para>Pakketten die binnenkomen op de interface die met Internet is verbonden worden eerst vergeleken met de dynamische staattabel. Als een pakket voldoet aan de verwachting van het volgende pakket in de sessie, dan mag het - de firewall verlaten en wordt de toestand van de sessie in de dynamische - toestandstabel bijgewerkt. Pakketten die niet bij een reeds actieve - sessie horen, worden vergeleken met de regelverzameling voor - binnenkomend verkeer.</para> + de firewall verlaten en wordt de toestand van de sessie in de + dynamische toestandstabel bijgewerkt. Pakketten die niet bij + een reeds actieve sessie horen, worden vergeleken met de + regelverzameling voor binnenkomend verkeer.</para> <para>Als de sessie wordt beëindigd wordt het uit de dynamische staattabel verwijderd.</para> @@ -2985,42 +2928,39 @@ sh /etc/ipf.rules.script</programlisting <sect2> <title>Voorbeeld van inclusieve regels</title> - <para>De onderstaande regels zijn een voorbeeld van hoe een - erg veilige inclusieve firewall opgezet kan worden. Een - inclusieve firewall staat alleen diensten toe die passen bij - de <literal>pass</literal>-regels en blokkeert al het - overige verkeer. Firewalls die bedoeld zijn om andere machines te - beschermen, ook wel <quote>netwerk-firewalls</quote> genoemd, dienen - tenminste twee interfaces te hebben, die over het algemeen zijn - ingesteld om de ene kant te vertrouwen (het <acronym>LAN</acronym>) maar - niet de andere (het publieke Internet). Ook kan een firewall worden - ingesteld om alleen het systeem te beschermen waarop het - draait—dit wordt een <quote>host-gebaseerde firewall</quote> - genoemd, en is in het bijzonder geschikt voor servers op een onvertrouwd - netwerk.</para> - - <para>Alle &unix; systemen en dus ook &os; zijn zo ontworpen - dat ze voor interne communicatie de interface - <filename>lo0</filename> en <acronym>IP</acronym> adres - <systemitem class="ipaddress">127.0.0.1</systemitem> gebruiken. De - firewall moet dit interne verkeer gewoon doorgang laten - vinden.</para> + <para>De onderstaande regels zijn een voorbeeld van een + inclusieve firewall, welke alleen diensten toelaat welke + passen bij de <literal>pass</literal>-regels en blokkeert + al het overige verkeer. Netwerk firewalls die bedoeld zijn + om andere machines te beveiligen, zouden minstenst twee + interfaces moeten hebben en zijn veelal geconfigureerd om het + <acronym>LAN</acronym> te vertrouwen en het publieke Internet + niet. Ook kan een firewall worden ingesteld om alleen het + systeem waar deze op actief is te beschermen, wat vaak voorkomt + bij servers op onveilige netwerken of een desktop systeem welke + niet beveiligd wordt door een firewall op het netwerk.</para> + + <para>&os; gebruikt <filename>lo0</filename> en het IP adres + <systemitem class="ipaddress">127.0.0.1</systemitem> voor + interne communicatie met het besturingssysteem. De firewall + regels moeten regels bevatten die deze communicatie vrijelijk + toestaat.</para> <para>Voor de interface die is verbonden met het publieke - Internet worden regels gemaakt waarmee de toegang voor uitgaande en - binnenkomende verbindingen worden geautoriseerd en beheerst. - Dit kan de PPP-interface <filename>tun0</filename> zijn of de - netwerkkaart die is verbonden met een xDSL- of kabelmodem.</para> + Internet worden regels gemaakt waarmee de toegang voor + uitgaande en binnenkomende verbindingen worden geautoriseerd + en beheerst.</para> <para>In gevallen dat er één of meer netwerkkaarten zijn aangesloten op private netwerksegmenten kunnen er regels - op de firewall nodig zijn om pakketten die van die LAN-interfaces - afkomen vrije doorgang te geven naar elkaar en/of naar buiten - (het Internet).</para> - - <para>De regels worden opgedeeld in drie onderdelen: eerst de vertrouwde - interfaces, dan het publieke uitgaande interface en als laatste het - onvertrouwde publieke binnenkomende interfaces.</para> + op de firewall nodig zijn om pakketten die van die + LAN-interfaces afkomen vrije doorgang te geven naar elkaar + en/of het Internet.</para> + + <para>De regels worden opgedeeld in drie onderdelen: de vertrouwde + interfaces, dan het publieke uitgaande interface en als + laatste de onvertrouwde publieke binnenkomende + interface.</para> <para>In iedere sectie moeten zo staan dat de regels die het meest gebruikt worden vóór de regels die minder @@ -3028,6 +2968,7 @@ sh /etc/ipf.rules.script</programlisting geeft aan dat al het overige verkeer op die interface in die richting geblokkeerd en gelogd moet worden.</para> + <!-- XXX REMKO 2821 vd 4374 --> <para>In het onderdeel Uitgaand staan alleen regels met <literal>pass</literal> die parameters bevatten om uniek individuele diensten identificeren die het publieke Internet mogen
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201403251525.s2PFPIXO052294>