From owner-svn-doc-all@FreeBSD.ORG Wed Mar 26 15:01:47 2014 Return-Path: Delivered-To: svn-doc-all@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id E7A0CC47; Wed, 26 Mar 2014 15:01:47 +0000 (UTC) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id D3215A04; Wed, 26 Mar 2014 15:01:47 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.8/8.14.8) with ESMTP id s2QF1lZd038278; Wed, 26 Mar 2014 15:01:47 GMT (envelope-from remko@svn.freebsd.org) Received: (from remko@localhost) by svn.freebsd.org (8.14.8/8.14.8/Submit) id s2QF1lCb038276; Wed, 26 Mar 2014 15:01:47 GMT (envelope-from remko@svn.freebsd.org) Message-Id: <201403261501.s2QF1lCb038276@svn.freebsd.org> From: Remko Lodder Date: Wed, 26 Mar 2014 15:01:47 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org Subject: svn commit: r44356 - in translations/nl_NL.ISO8859-1/books/handbook: bsdinstall firewalls X-SVN-Group: doc-translations MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 26 Mar 2014 15:01:48 -0000 Author: remko Date: Wed Mar 26 15:01:47 2014 New Revision: 44356 URL: http://svnweb.freebsd.org/changeset/doc/44356 Log: Import work in progress for the firewalls chapter. This brings the chapter on par with the translation target revision. Also add a placeholder chapter for bsdinstall so that it should be possible to build the handbook again. There is an external error from docbook.sourceforge.net though which prevents the build from properly running, not sure what causes that yet. Facilitated by: Snow B.V. Modified: translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml Wed Mar 26 13:19:57 2014 (r44355) +++ translations/nl_NL.ISO8859-1/books/handbook/bsdinstall/chapter.xml Wed Mar 26 15:01:47 2014 (r44356) @@ -1,36 +1,341 @@ - - &os; 9.<replaceable>X</replaceable> en nieuwer installeren + + + + + Het installeren van &os; 9.<replaceable>X</replaceable> + en later + - JimMockGeherstructureerd, gereorganiseerd en delen herschreven - door + + + Jim + Mock + + + Geherstructeerd, gereorganiseerd en delen herschreven + door + + - RandyPrattDe handleiding van sysinstall, schermafdrukken en algemene - kopij door + + + Randy + Pratt + + + De walkthrough door sysinstall, de screenshots en + generale kopij door + + - GavinAtkinsonBijgwerkt voor bsdinstall door + + + Gavin + Atkinson + - WarrenBlock + Bijgewerkt voor bsdinstall door + + + + + Warren + Block + + - - - Overzicht + Synopsis + + Wordt vertaald. + + + + Hardware Requirements + + Wordt vertaald. + + + Minimal Configuration + + Wordt vertaald. + + + + Supported Hardware + + Wordt vertaald. + + + + + Pre-Installation Tasks + + Wordt vertaald. + + + Decide Where to Install &os; + + Wordt vertaald. + + + Disk Layouts for &os;/&arch.i386; and + &os;/&arch.amd64; + + Wordt vertaald. + + + + + Collect Network Information + + Wordt vertaald. + + + + Prepare the Installation Media + + Wordt vertaald. + + + + Acquire the Memory Stick Image + + Wordt vertaald. + + + + + + + Starting the Installation + + Wordt vertaald. + + + Booting + + Wordt vertaald. + + + Booting on &i386; and &arch.amd64; + + Wordt vertaald. + + + + + Reviewing the Device Probe Results + + Wordt vertaald. + + + + + Introducing <application>bsdinstall</application> + + Wordt vertaald. + + + Selecting the Keymap Menu + + Wordt vertaald. + + + + Setting the Hostname + + Wordt vertaald. + + + + Selecting Components to Install + + Wordt vertaald. + + + + + Installing from the Network + + Wordt vertaald. + + + + Allocating Disk Space + + Wordt vertaald. + + + Guided Partitioning + + Wordt vertaald. + + + + Manual Partitioning + + Wordt vertaald. + + + + + Committing to the Installation + + Wordt vertaald. + + + + Post-Installation + + Wordt vertaald + + + Setting the <systemitem + class="username">root</systemitem> Password + + Wordt vertaald + + + + Configuring Network Interfaces + + Wordt vertaald + + + Configuring a Wireless Network Interface + + Wordt vertaald + + + + Configuring IPv4 Networking + + Wordt vertaald + + + IPv4 DHCP Network Configuration + + Wordt vertaald + + + + IPv4 Static Network Configuration + + Wordt vertaald + + + + + Configuring IPv6 Networking + + Wordt vertaald + + + IPv6 Stateless Address Autoconfiguration + + Wordt vertaald + + + + IPv6 Static Network Configuration + + Wordt vertaald + + + + + Configuring <acronym>DNS</acronym> + + Wordt vertaald + + + + + Setting the Time Zone + + Wordt vertaald + + + + Selecting Services to Enable + + Wordt vertaald + + + + Enabling Crash Dumps + + Wordt vertaald + + + + Add Users + + Wordt vertaald + + + + Final Configuration + + Wordt vertaald + + + + &os; Booting and Shutdown + + Wordt vertaald + + + &os;/&arch.i386; Booting + + Wordt vertaald + + + + + &os; Shutdown + + Wordt vertaald + + + + + Troubleshooting + + Wordt vertaald + + + What to Do If Something Goes Wrong + + Wordt vertaald + + + + Troubleshooting Questions and Answers + + Wordt vertaald + + - installatie + + Using the Live CD - Wordt nog vertaald. + Wordt vertaald Modified: translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Wed Mar 26 13:19:57 2014 (r44355) +++ translations/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Wed Mar 26 15:01:47 2014 (r44356) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.xml - %SRCID% 40732 + %SRCID% 43328 --> Firewalls @@ -2968,11 +2968,10 @@ sh /etc/ipf.rules.script - In het onderdeel Uitgaand staan alleen regels met pass die parameters bevatten om - uniek individuele diensten identificeren die het publieke Internet mogen - benaderen. Bij al die regels staan de opties + uniek individuele diensten te identificeren die het publieke + Internet mogen benaderen. Bij al die regels staan de opties quick, on, proto, port en keep state aan. De regels met @@ -2983,62 +2982,54 @@ sh /etc/ipf.rules.scriptIn het onderdeel Inkomend staan eerst alle regels voor het blokkeren van ongewenste pakketten, om twee redenen. - Als eerste kan het zo zijn dat kwaadaardige pakketten gedeeltelijk - overeenkomen met legitiem verkeer. Deze pakketten moeten worden - weggegooid in plaats van binnengelaten te worden, gebaseerd op hun - gedeeltelijke match met de allow-regels. De tweede - reden is dat bekende en oninteressante verwerpingen stil geblokkeerd - kunnen worden in plaats van gevangen en gelogd te worden door de - laatste regels in de sectie. De laatste regel in elke sectie blokkeert - en logt alle pakketten en kan worden gebruikt voor het wettelijke bewijs - nodig om degenen die uw systeem aanvallen aan te klagen. - - Waar ook gezorgd voor moet worden is dat al het verkeer dat wordt - geweigerd geen antwoord verstuurd. Ongeldige pakketten dienen gewoon te - verdwijnen. Zo weet een aanvaller niet of een pakket het doelsysteem - wel heeft bereikt. Zo kan een aanvaller geen informatie verzamelen - over een systeem: hoe minder informatie er over een systeem - beschikbaar is, hoe meer tijd iemand erin moet steken voordat - er iets slechts gedaan kan worden. Regels die een optie log - first bevatten, zullen alleen de eerste keer dat de - gebeurtenis voorkomt de gebeurtenis loggen. Deze optie is opgenomen in - de voorbeeldregel nmap OS fingerpint. Het - gereedschap security/nmap wordt vaak - door aanvallers gebruikt om het besturingssysteem van uw server - proberen te achterhalen. + Als eerste kan het zo zijn dat kwaadaardige pakketten + gedeeltelijk overeenkomen met legitiem verkeer. Deze + pakketten moeten worden weggegooid in plaats van binnengelaten + te worden, gebaseerd op hun gedeeltelijke match met de + allow-regels. De tweede reden is dat + bekende en oninteressante verwerpingen stil geblokkeerd kunnen + worden in plaats van gevangen en gelogd te worden door de + laatste regels in de sectie. + + De ruleset moet ervoor zorgen dat er geen antwoord wordt + verstuurd voor ongewenst verkeer. Ongeldige pakketten moeten + stil worden geweigerd zodat de aanvaller geen informatie heeft + of het pakket wel of niet aangekomen is. Regels die een + log first> bevatten, loggen alleen de + gebeurtenis de eerste keer dat deze gebeurtenis voorkomt. Deze + optie komt voor in de voorbeeld nmap OS + fingerprint regel. Het gereedschap + security/nmap wordt vaak door aanvallers + gebruikt om het besturingssysteem van uw server proberen te + achterhalen. We raden aan om telkens als er logmeldingen van een regel met de optie log first komen, ipfstat -hio uit te voeren om te - bekijken hoe vaak de regel van toepassing is geweest. Een groot aantal - overeenkomsten geeft gewoonlijk aan dat de firewall overspoeld wordt, - met andere woorden aangevallen wordt. - - Het bestand /etc/services kan gebruikt worden - om onbekende poortnummers op te zoeken. Ook kan http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers - worden bezocht en het poortnummer worden opgezocht om het doel van een - bepaalde poort uit te vinden. + bekijken hoe vaak de regel van toepassing is geweest. Een + groot aantal overeenkomsten geeft gewoonlijk aan dat de + firewall overspoeld wordt of wordt aangevallen. + + Om onbekende poort nummers op te zoeken kan gekeken worden + in /etc/services. Ook kan http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers Op de volgende link worden poortnummers van Trojans beschreven: http://www.sans.org/security-resources/idfaq/oddports.php. - De onderstaande set regels is een complete en erg veilige - inclusieve set met regels voor een firewall die is - getest op productiesystemen. Deze set met regels is eenvoudig aan te - passen voor uw eigen systeem. Maak gewoon commentaar van elke - pass-regel voor een dienst die niet gewenst - is. - - Logberichten die niet gewenst zijn, zijn uit te sluiten door een - block-regel toe te voegen in het begin van het - onderdeel Inkomend. - - Voor de onderstaande regels dient de - dc0 interfacenaam in iedere regel - vervangen te worden door de echte interfacenaam van de netwerkkaart - in het systeem die met het publieke Internet is verbonden. - Voor gebruikers van PPP zou dat tun0 - zijn. + De onderstaande set regels vormt een + inclusive firewall ruleset welke + makkelijk aangepast kan worden door pass + regels die niet nodig zijn te voorzien van een commentaar + teken. + + Logberichten die niet gewenst zijn, zijn uit te sluiten + door een block-regel toe te voegen in het + begin van het onderdeel Inkomend. + + Verander de dc0 interfacenaam in elke + regel naar de interfacenaam die gebruikt wordt het systeem + aan het Internet te koppelen. Dit zou de inhoud van /etc/ipf.rules kunnen zijn: @@ -3230,85 +3221,40 @@ block in log first quick on dc0 all NAT staat voor Network Address - Translation (netwerkadres vertaling). In &linux; heet dit - IP Masquerading. Een van de vele mogelijkheden die IPF - NAT kan bieden is het delen van - één IP adres op het publieke - Internet met een LAN achter een firewall. - - De vraag zou kunnen rijzen waarom iemand dat zou willen. - ISP's wijzen normaliter namelijk dynamisch een - IP adres toe aan hun niet-commerciële - gebruikers. Dynamisch betekent hier dat het - IP-adres iedere dat er wordt ingebeld of - dat het kabel- of xDSL-modem uit- en aangeschakeld wordt - anders kan zijn. Dit dynamische IP-adres wordt - gebruikt om uw systeem op het publieke Internet te identificeren. - - Stel dat er vijf PC's in een huis staan en iedere - computer in dat huis heeft toegang tot Internet nodig. Dan - zouden er bij een ISP vijf individuele accounts moeten zijn - en vijf telefoonlijnen om dat te realiseren. - - Met NAT is er maar één - account bij een ISP nodig. De andere vier PC's moeten met kabels - op een switch worden aangesloten waarop ook een &os; systeem is - aangesloten dat binnen uw LAN als gateway gaat opereren. - NAT zal automatisch de private LAN - IP adressen van alle PC's vertalen naar - een enkel publiek IP-adres als de - pakketten de firewall naar het Internet verlaten. - - Er is een speciale reeks van IP-adressen - gereserveerd voor NAT op private LANs. - Volgens RFC 1918 kunnen de volgende reeksen - IP-adressen gebruikt worden op private - netwerken die nooit direct op het publieke Internet - gerouteerd worden. + Translation (netwerkadres vertaling). In &linux; + heet dit IP Masquerading. De IPF + NAT functie stelt het private LAN achter de + firewall in staat om één enkel door de ISP toegewezen + IP te delen, ook al is dat adres dynamisch + toegewezen. NAT stelt elke computer in het LAN in staat om een + verbinding met het internet te maken zonder dat de ISP betaald + hoeft te worden voor meerdere Internet accounts of IP + adressen. + + NAT zal automatisch het private LAN + IP adres vertalen naar het enkele publieke IP adres zodra het + pakketje de firewall verlaat richting het publieke Internet. + Daarnaast vertaald het de pakketten ook terug voor terugkomende + pakketten. + + Volgens RFC1918 zijn de volgende IP reeksen gereserveerd + voor private netwerken welke nooit direct gerouteerd worden + naar het publieke Internet, waardoor ze gebruikt kunnen worden + voor NAT: - - - - - - - - - - - Eerste IP - - - - Laatste IP - - - - 10.0.0.0 - - - - 10.255.255.255 - - - - 172.16.0.0 - - - - 172.31.255.255 - - - - 192.168.0.0 + + + 10.0.0.0/8 + - + + 172.16.0.0/12 + - 192.168.255.255 - - - - + + 192.168.0.0/16 + + @@ -3327,13 +3273,15 @@ block in log first quick on dc0 all opgeslagen in /etc/ipnat.rules. Meer details staan in &man.ipnat.8;. - Bij het maken van wijzigingen aan de - NAT-regels nadat NAT - gestart is, wordt aangeraden de wijziging aan het bestand met - regels te maken en daarna ipnat - te gebruiken om alle actieve - NAT-regels te wissen. Daarna kunnen de regels uit - het bestand weer als volgt geladen worden: + Wanneer het bestand waarin de NAT regels + staan wordt bewerkt nadat NAT gestart is, + moet ipnat gestart worden met de opties + om de interne in gebruik zijnde + NAT regels te verwijderen, en de huidige + inhoud van de translatietabel leeg te gooien. + + Om de NAT regels opnieuw in te laden + moet er een commando als de volgende worden uitgevoerd: &prompt.root; ipnat -CF -f /etc/ipnat.rules @@ -3367,7 +3315,7 @@ block in log first quick on dc0 all &man.ipnat.5;. De syntaxis voor een NAT regel ziet er - ongeveer als volgt uit: + als volgt uit: map IF LAN_IP_REEKS -> PUBLIEK_ADRES @@ -3378,11 +3326,12 @@ block in log first quick on dc0 all door de aanduiding van de externe interface. LAN_IP_REEKS is de reeks die - clients op een LAN gebruiken, meestal iets van 192.168.1.0/24. + clients op een LAN gebruiken, meestal iets van + 192.168.1.0/24. PUBLIEK_ADRES kan het publieke - IP adres zijn of een speciaal sleutelwoord - 0.32, wat betekent dat het + vaste IP adres zijn of een speciaal + sleutelwoord 0/32, wat betekent dat het IP adres van IF gebruikt moet worden. @@ -3390,24 +3339,21 @@ block in log first quick on dc0 all Hoe <acronym>NAT</acronym> werkt - Een pakket komt vanaf het LAN aan bij de firewall en - heeft een publieke bestemming. Het wordt verwerkt door de - filterregels voor inkomend verkeer en daarna krijgt - NAT de kans zijn regels op het pakket toe - te passen. De regels worden van boven naar beneden toegepast - en de eerste regel die van toepassing is wint. - NAT controleert voor alle regels het - pakket op interfacenaam en bron IP adres. - Als de interfacenaam van een pakket past bij een - NAT regel dan wordt het bron - IP adres van dat pakket gecontroleerd, dat - is dus een IP adres op het private LAN, - om te bekijken of het valt in de reeks die is opgegeven aan - de linkerkant van een NAT regel. Als ook - dat klopt, dan wordt het bron IP adres van - het pakket vervangen (rewritten) door een - publiek IP adres dat verkregen kan zijn - met het sleutelwoord 0.32. + In IPF, wanneer er een pakket aankomt op de firewall + vanaf het LAN netwerk met een publiekelijk doel, passeert + deze de uitgaande filter regels. Hierna gaat het pakket + langs de NAT regels, welke van top-down + worden toegepast, waarbij de eerst overeenkomende regel + wint. NAT test elke van zijn regels + aan de interface van het pakket en het bron IP adres. + Wanneer de interface van het pakket overeenkomt met een + NAT regel zal het bron IP adres van + het pakket worden bekeken of deze in de gespecificeerde + IP reeks valt aan de linkerkant van de pijl in de + NAT regel. Wanneer deze overeenkomt + zal het bron IP adres van het pakket worden herschreven + naar het publiekelijke IP adres verkregen door het + 0/32 sleutelwoord. NAT werkt dan zijn interne NAT tabel bij, zodat als er een pakket uit die sessie terugkomt van het publieke Internet, dat pakket @@ -3466,10 +3412,9 @@ block in log first quick on dc0 all map dc0 192.168.1.0/24 -> 0.32 portmap tcp/udp 20000:60000 - Het kan nog eenvoudiger door gebruik te maken van het - sleutelwoord auto zodat - IPNAT zelf bepaalt welke poorten gebruikt - kunnen worden: + Daarnaast is er het sleutelwoord auto + welke IPNAT gebruikt om te bepalen welke + poorten gebruikt kunnen worden: map dc0 192.168.1.0/24 -> 0.32 portmap tcp/udp auto @@ -3505,17 +3450,17 @@ block in log first quick on dc0 all Poorten omleiden - Het is erg gebruikelijk om een webserver, mailserver, + Het is gebruikelijk om een webserver, mailserver, database server en DNS server op verschillende computers op een LAN te draaien. Het uitgaande verkeer van die servers kan dan met NAT afgehandeld worden, maar er moet ook ingesteld worden dat inkomend - verkeer bij de juiste computer terecht komt. - IPNAT gebruikt daarvoor de opties in - NAT waarmee verkeer omgeleid kan worden. - Als bijvoorbeeld een webserver op het LAN-adres 10.0.10.25 draait en het enkele publieke - IP adres zou 20.20.20.5 zijn, dan zou de regel er als volgt - uit zien: + verkeer bij de juiste server terecht komt. Bijvoorbeeld + bij een webserver welke opereert op het LAN adres + 10.0.10.25 + en gebruik maakt het enkele publieke IP adres + 20.20.20.5 zou + de volgende regel kunnen gebruiken: rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80 @@ -3523,9 +3468,9 @@ block in log first quick on dc0 all rdr dc0 0.0.0.0/32 port 80 -> 10.0.10.25 port 80 - Voor een DNS server op een LAN die ook vanuit Internet - bereikbaar met zijn en die draait op 10.0.10.33 zou de regel er als - volgt uit zien: + Voor een DNS server op het lan met het private adres + 10.0.10.33 welke + publieke DNS verzoeken moet krijgen: rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp @@ -3533,17 +3478,12 @@ block in log first quick on dc0 all FTP en <acronym>NAT</acronym> - FTP is dinosaurus uit het tijdperk van voor Internet was - zoals het nu is, toen onderzoeksinstellingen met elkaar - verbonden waren via huurlijnen en FTP de aangewezen methode - was om bestanden met elkaar uit te wisselen. Maar bij het - gebruik van FTP worden gebruikersnaam en wachtwoord als - platte tekst verzonden en het protocol is nooit aangepast. - FTP is er in twee smaken: actief en passief. Het verschil - zit 'm in hoe het datakanaal wordt opgezet. De passieve - variant is veiliger voor een gebruiker omdat bij deze variant - beide communicatiekanalen door de cliënt zelf worden opgezet. - Op de volgende pagina zijn details over FTP na te lezen: http://www.slacksite.com/other/ftp.html. + FTP heeft twee modi, actieve en passieve mode. Het + verschil zit hem erin hoe het data kanaal wordt verkregen. + Passieve mode is veiliger omdat het data kanaal wordt verkregen + via de client zelf. Voor een goede uitleg over FTP en de + verschillende modussen zie: http://www.slacksite.com/other/ftp.html. IP<acronym>NAT</acronym>-regels @@ -3574,20 +3514,14 @@ block in log first quick on dc0 all map dc0 10.0.10.0/29 -> 0/32 - De FTP-afbeeldregel hoort voor de - normale regels te staan. Alle pakketten worden als eerste - vergeleken met de eerste regel en zo verder. Eerst wordt - gekeken over de interfacenaam overeenkomt, daarna het - bron IP adres van het LAN en dan of het - een FTP pakket is. Als dat allemaal klopt, dan maakt de - speciale FTP proxy een tijdelijke filterregel die de - pakketten uit de FTP sessie naar binnen en buiten doorlaat - en ook NAT toepast op de FTP pakketten. Alle pakketten - van het LAN die niet van het protocoltype FTP zijn en dus - niet bij de eerste regel passen, worden tegen de derde - regel gehouden die van toepassing is vanwege de interface - en bron IP adres, zodat er dan - NAT op toegepast wordt. + De FTP map regels gaan voor de + NAT regel zodat wanneer het pakket + overeenkomt met een FTP regel, de FTP proxy tijdelijke + regels aanmaakt om FTP pakketten te laten doorgaan en + NAT vertalingen te laten ondergaan. + Alle LAN pakketten welke geen FTP zijn, komen niet overeen + met de FTP regels maar zullen NAT + ondergaan als ze overeenkomen met de derde regel. @@ -3620,41 +3554,26 @@ pass in quick on rl0 proto tcp from any IPFW - IPFIREWALL (IPFW) is een firewall die binnen &os; - wordt ontwikkeld en onderhouden door vrijwillige leden van de - staf. Het maakt gebruik van verouderde staatloze regels en een - verouderde techniek om te realiseren wat eenvoudige stateful - logica zou kunnen heten. - - De verzameling voorbeeldregels van IPFW (die in - /etc/rc.firewall en - /etc/rc.firewall6 staan) uit de standaard - &os;-installatie is redelijk eenvoudig en niet voorbereid om - zonder wijzigingen gebruikt te worden. Het voorbeeld maakt geen - gebruik van stateful filteren, wat een voordeel is in de meeste - situaties. Daarom worden deze regels niet als basis gebruikt in - dit onderdeel. - - De staatloze syntaxis van IPFW is krachtig door de - technisch geavanceerde mogelijkheden van de regelsyntaxis die - de kennis van de gemiddelde gebruiker van firewalls ver - overstijgt. IPFW is gericht op de professionele gebruiker - of de gevorderde thuisgebruiker die hoge eisen stelt aan de - wijze waarop er met pakketten wordt omgegaan. Voordat de - kracht van de IPFW regels echt ingezet kan worden, moet de - gebruiker veel weten over de verschillende protocollen en - de wijze waarop pakketten in elkaar zitten. Het tot op dat - niveau behandelen van stof valt buiten de doelstellingen van - dit Handboek. - - IPFW bestaat uit zeven componenten: de verwerkingseenheid - voor de firewallregels, verantwoording, loggen, regels met - divert (omleiden) waarmee - NAT gebruikt kan worden en de speciale - gevorderde mogelijkheden voor bandbreedtebeheer met DUMMYNET, de - fwd rule forward-mogelijkheid, de bridge-mogelijkheden - en de ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als - IPv6. + IPFW is een stateful firewall geschreven + voor &os;, welke ook een traffic shaper, een pakket scheduler + en in-kernel NAT levert. + + &os; levert een voorbeeld ruleset in + /etc/rc.firewall. De voorbeeld + ruleset definieert een aantal firewall type's voor veel + voorkomende scenario's om beginnende gebruikers te ondersteunen + met het maken van een geschikte ruleset. &man.ipfw.8; levert een + krachtige syntax welke gebruikt kan worden door geavanceerde + gebruikers om eigen rulesets te maken welke geschikt is voor + het niveau van beveiliging voor een omgeving. + + IPFW bestaat uit meerdere componenten: de kernel firewall + filter regel verwerker en de geintregeerde pakket accounting + faciliteiten, de log faciliteiten, de divert + regel welke NAT inschakelt, de dummynet + traffic shaper faciliteiten, de fwd rule + doorstuur faciliteit, de bridge faciliteit en de ipstealth + faciliteit. IPFW ondersteund zowel IPv4 als IPv6. IPFW inschakelen @@ -3665,24 +3584,20 @@ pass in quick on rl0 proto tcp from any inschakelen - IPFW zit bij de basisinstallatie van &os; als een losse - tijdens runtime laadbare module. Het systeem laadt de kernelmodule + IPFW zit bij de basisinstallatie van &os; als een + runtime laadbare module. Het systeem laadt de kernelmodule dynamisch als in rc.conf de regel - firewall_enable="YES" staat. IPFW hoeft - niet in de &os; kernel gecompileerd te worden. - - Na het rebooten van een systeem met - firewall_enable="YES" in - rc.conf is het volgende bericht op het - scherm te zien tijdens het booten: + firewall_enable="YES" staat. Nadat het + systeem herstart is wordt de volgende wit uitgelichte melding + getoond op het scherm als onderdeel van het opstart proces: ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled - In de laadbare module zit de mogelijkheid om te loggen - gecompileerd. Er is een knop in /etc/sysctl.conf - om loggen aan te zetten en de uitgebreide loglimiet in te stellen. Door - deze regels toe te voegen, staat loggen aan bij toekomstige - herstarts: + De laadbare module bevat logging mogelijkheden. Om + logging in te schakelen en de verbose log limieten in te + stellen moeten de volgende regels worden toegevoegd aan + /etc/sysctl.conf voordat er herstart + wordt. net.inet.ip.fw.verbose=1 net.inet.ip.fw.verbose_limit=5 @@ -3715,9 +3630,9 @@ net.inet.ip.fw.verbose_limit=5kernelopties - Het is niet verplicht om IPFW in te schakelen door het - mee te compileren in de &os; kernel. Dit wordt alleen beschreven als - achtergrondinformatie. + Voor de gebruikers die IPFW statisch in de kernel willen + compileren zijn de volgende opties beschikbaar voor de custom + kernel configuratie: options IPFIREWALL @@ -3726,18 +3641,18 @@ net.inet.ip.fw.verbose_limit=5options IPFIREWALL_VERBOSE - Met IPFIREWALL_VERBOSE wordt het - loggen van pakketten die worden verwerkt met IPFW mogelijk - die het sleutelwoord log in een regel hebben - staan. + Deze optie schakelt het loggen van pakketten in welke + IPFW passeren met het sleutelwoord log in + de ruleset. options IPFIREWALL_VERBOSE_LIMIT=5 - Limiteert het aantal pakketten dat per regel wordt gelogd - via &man.syslogd.8;. Deze optie kan gebruikt worden in - vijandige omgevingen waar de activiteit van een firewall gelogd - moet worden. Hierdoor kan een mogelijke ontzegging van dienst - aanval door het vol laten lopen van syslog voorkomen worden. + Deze optie limiteert de hoeveelheid pakketten welke gelogd + worden via &man.syslogd.8; per regel. Deze optie kan gebruikt + worden in vijandige omgevingen waar de activiteit van een + firewall gelogd moet worden. Hierdoor kan een mogelijke + ontzegging van dienst aanval door het vol laten lopen van + syslog voorkomen worden. kernelopties @@ -3747,10 +3662,9 @@ net.inet.ip.fw.verbose_limit=5options IPFIREWALL_DEFAULT_TO_ACCEPT - Met IPFIREWALL_DEFAULT_TO_ACCEPT wordt - standaard alles door de firewall doorgelaten. Dit wordt - aangeraden als iemand voor het eerst een firewall - opzet. + Met deze optie wordt alles standaard door de firewall + doorgelaten, wat een goed idee is als de firewall voor de + eerste keer wordt ingesteld. kernelopties @@ -3760,8 +3674,8 @@ net.inet.ip.fw.verbose_limit=5options IPDIVERT - Met IPDIVERT wordt de - NAT functionaliteit ingeschakeld. + Met deze optie wordt de NAT + functionaliteit ingeschakeld. De firewall zal alle binnenkomende en uitgaande pakketten @@ -3789,56 +3703,47 @@ net.inet.ip.fw.verbose_limit=5 - open — laat al het verkeer door. + open: laat al het verkeer door. - client — beschermt alleen deze + client: beschermt alleen deze machine. - simple — beschermt het hele + simple: beschermt het hele netwerk. - closed — blokkeert alle IP-verkeer, + closed: blokkeert alle IP-verkeer, behalve voor lokaal verkeer. - UNKNOWN — voorkomt het laden + UNKNOWN: voorkomt het laden de firewall-regels. - bestandsnaam - — absoluut pad naar een bestand dat firewall-regels - bevat. + bestandsnaam:absoluut pad naar + een bestand dat firewall-regels bevat. *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***