Date: Mon, 12 May 2008 12:29:27 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 141507 for review Message-ID: <200805121229.m4CCTRBC099230@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=141507 Change 141507 by pgj@disznohal on 2008/05/12 12:29:26 Cleanup in Chapter 28. Affected files ... .. //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/firewalls/chapter.sgml#7 (text+ko) ==== @@ -21,8 +21,8 @@ <author> <firstname>Brad</firstname> <surname>Davis</surname> - <contrib>SGML formátumra alakította és - aktualizálta: </contrib> + <contrib>SGML formátumúra alakította + és aktualizálta: </contrib> </author> </authorgroup> </chapterinfo> @@ -48,28 +48,28 @@ vagy továbbengedik ezeket vagy megállítják. A tûzfalak szabályai a csomagok egy vagy több - jellemzõjét veszik szemügyre, amik lehetnek - mondjuk a protokoll típusa, a forrás vagy cél - hálózati címe, esetleg a forrás- vagy - a célport.</para> + jellemzõjét veszik szemügyre, amelyek lehetnek + például a protokoll típusa, a forrás + vagy cél hálózati címe, esetleg a + forrás- vagy a célport.</para> <para>A tûzfalak jelentõs mértékben képesek gyarapítani egy gép vagy egy hálózat védelmét. Leginkább a - következõkre tudjuk felhasználni ezeket:</para> + következõkre tudjuk felhasználni:</para> <itemizedlist> <listitem> - <para>a belsõ hálózatunkban futó - alkalmazások, szolgáltatások, gépek - megvédésére és + <para>A belsõ hálózatunkban futó + alkalmazások, szolgáltatások, + gépek megvédésére és elszigetelésére az internetrõl érkezõ nem kívánt forgalom ellen</para> </listitem> <listitem> - <para>a belsõ hálózatban levõ + <para>A belsõ hálózatban levõ gépek elérését tudjuk korlátozni vagy letiltani az interneten elérhetõ szolgáltatások @@ -77,14 +77,14 @@ </listitem> <listitem> - <para>a hálózati címfordítás + <para>A hálózati címfordítás (Network Address Translation, <acronym>NAT</acronym>) beállításához, ahol a belsõ hálózatunk privát <acronym>IP</acronym>-címeket használnak és egy közös kapcsolaton keresztül - érik el az internetet (vagy egyetlen - <acronym>IP</acronym>-cím, vagy pedig automatikusan + érik el az internetet (egyetlen + <acronym>IP</acronym>-címmel, vagy pedig automatikusan kiosztott publikus címekkel).</para> </listitem> </itemizedlist> @@ -96,30 +96,30 @@ <listitem> <para>hogyan adjuk meg helyesen a csomagok szûrését leíró - szabályokat</para> + szabályokat;</para> </listitem> <listitem> <para>a &os;-be épített tûzfalak közti - különbségeket</para> + különbségeket;</para> </listitem> <listitem> <para>hogyan állítsuk be és használjuk az OpenBSD <application>PF</application> - tûzfalát</para> + tûzfalát;</para> </listitem> <listitem> <para>hogyan állítsuk be és használjuk az <application>IPFILTER</application> - tûzfalat</para> + tûzfalat;</para> </listitem> <listitem> <para>hogyan állítsuk be és használjuk az <application>IPFW</application> - tûzfalat</para> + tûzfalat.</para> </listitem> </itemizedlist> @@ -128,9 +128,10 @@ <itemizedlist> <listitem> <para>a &os;-hez és az internethez kötõdõ - alapvetõ fogalmak ismerete</para> + alapvetõ fogalmak ismerete.</para> </listitem> </itemizedlist> + </sect1> <sect1 id="firewalls-concepts"> @@ -153,23 +154,23 @@ szabály és minden mást blokkolnak.</para> <para>Az inkluzív tûzfalak általában - biztonságosabbak az exkluzív társaiknál, - mivel esetükben jelentõs mértékben - visszaszorul az átfolyó nem kívánatos - forgalom.</para> + biztonságosabbak az exkluzív + társaiknál, mivel esetükben jelentõs + mértékben visszaszorul a nem kívánatos + átfolyó forgalom.</para> - <para>A védelem még tovább fokozható az - <quote>állapottartó tûzfalak</quote> (stateful - firewall) használatával. Ilyenkor a tûzfal - szemmel tartja a rajta keresztül megnyitott kapcsolatokat, - és vagy csak a már meglevõ kapcsolathoz - tartozó forgalmat engedi át vagy nyit egy - újat. Az állapottartó tûzfalak - hátránya, hogy a <quote>Denial of Service</quote> - (<acronym>DoS</acronym>) típusú - támadásokkal szemben sokkal - sérülékenyebbek, amikor az új - kapcsolatok nagyon gyorsan jönnek létre. A + <para>Ez a típusú védelem még + tovább fokozható az <quote>állapottartó + tûzfalak</quote> (stateful firewall) + használatával. Ilyenkor a tûzfal szemmel + tartja a rajta keresztül megnyitott kapcsolatokat, és + vagy csak a már meglevõ kapcsolathoz tartozó + forgalmat engedi át, vagy nyit egy újat. Az + állapottartó tûzfalak hátránya, + hogy a <quote>Denial of Service</quote> (<acronym>DoS</acronym>) + típusú támadásokkal szemben sokkal + sérülékenyebbek olyan helyzetekben, amikor az + új kapcsolatok nagyon gyorsan jönnek létre. A legtöbb tûzfal esetében azonban tudjuk vegyíteni az állapottartó és nem állapottartó viselkedést, és ezzel egy @@ -182,13 +183,13 @@ <title>Tûzfalak</title> <para>A &os; alaprendszerébe három - különbözõ tûzfalat építettek - be. Ezek: az <emphasis>IPFILTER</emphasis> (másik - nevén <acronym>IPF</acronym>), az - <emphasis>IPFIREWALL</emphasis> (más néven - <acronym>IPFW</acronym>) és az <emphasis>OpenBSD - csomagszûrõje</emphasis> (Packet Filter, azaz - <acronym>PF</acronym>). A forgalom + különbözõ tûzfalat + építettek be, melyek a következõk: az + <emphasis>IPFILTER</emphasis> (másik nevén + <acronym>IPF</acronym>), az <emphasis>IPFIREWALL</emphasis> + (más néven <acronym>IPFW</acronym>) és az + <emphasis>OpenBSD csomagszûrõje</emphasis> (Packet + Filter, azaz <acronym>PF</acronym>). A forgalom szabályozására (vagyis alapvetõen a sávszélesség kihasználtságának @@ -208,21 +209,21 @@ érkezõ vagy onnan távozó csomagokról, habár megoldásaik teljesen máshogy mûködnek és a szabályok - felírási módja is eltér.</para> + megadási módja is eltér.</para> - <para>A &os; azért tartalmaz egyszerre ennyi tûzfalat, - mert az emberek elvárásai és igényei - egyénenként eltérnek. Egyikõjük - sem tekinthetõ a legjobbnak.</para> + <para>A &os; azért tartalmaz egyszerre ennyiféle + tûzfalat, mert az emberek elvárásai és + igényei eltérnek. Egyikük sem tekinthetõ + a legjobbnak.</para> <para>A szerzõ egyébként az IPFILTER megoldását részesíti elõnyben, mivel egy hálózati címfordítást alkalmazó környezetben sokkal könnyebb vele megfogalmazni az állapottartó szabályokat, - valamint tartalmaz egy beépített FTP proxy-t is, - amivel a kimenõ FTP kapcsolatok - beállítása tovább + valamint tartalmaz egy beépített FTP proxyt is, + amivel így a kimenõ FTP kapcsolatok + beállítása még tovább egyszerûsödik.</para> <para>Mivel az összes tûzfal a csomagok @@ -250,18 +251,17 @@ <secondary>PF</secondary> </indexterm> - <para>2003. júliusában az OpenBSD - <acronym>PF</acronym> néven ismert - csomagszûrõjét átírták - &os;-re és elérhetõvé tették a - &os; Portgyûjteményének - részeként. A <acronym>PF</acronym> programot - beépítetten tartalmazó elsõ - kiadás pedig 2004. novemberében a &os; 5.3 - volt. A <acronym>PF</acronym> egy teljes, mindentudó - tûzfal, ami támogatja az ún. - <acronym>ALTQ</acronym> (Alternate Queuing, vagyis a - <quote>váltóbesorolás</quote>) + <para>2003 júliusában az OpenBSD <acronym>PF</acronym> + néven ismert csomagszûrõjét + átírták &os;-re és + elérhetõvé tették a &os; + Portgyûjteményének részeként. A + <acronym>PF</acronym> programot beépítetten + tartalmazó elsõ kiadás pedig 2004 + novemberében a &os; 5.3 volt. A <acronym>PF</acronym> + egy teljes, mindentudó tûzfal, amely támogatja + az ún. <acronym>ALTQ</acronym> (Alternate Queuing, vagyis + a <quote>váltóbesorolás</quote>) megoldást. Az <acronym>ALTQ</acronym> lehetõvé teszi a sávszélesség korlátozását a szolgáltatás @@ -270,26 +270,26 @@ különbözõ szolgáltatások a szûrési szabályok mentén garantált sávszélességhez juthatnak. - Az OpenBSD projekt kiváló munkát végez + Az OpenBSD Projekt kiváló munkát végez a PF felhasználói útmutatójának karbantartásával, amely így most nem lesz része a kézikönyvnek, hiszen ez csak az erõforrások kétszerezése lenne.</para> - <para>A PF &os;-n történõ - használatáról a <ulink - url="http://pf4freebsd.love2party.net/"></ulink>; honlapon - olvashatunk többet (angolul).</para> + <para>A <ulink url="http://pf4freebsd.love2party.net/"></ulink>; + címen olvashatunk többet arról (angolul), hogy a + PF-et hogyan használjunk &os;-n.</para> <sect2> <title>A PF engedélyezése</title> - <para>A PF a &os; 5.3 verziója utáni - kiadásokban az alaprendszer része, amit a rendszer - mûködése közben egy külön modul - betöltésével aktiválhatunk. Ha az - <filename>rc.conf</filename> állományban megadjuk - a <literal>pf_enable="YES"</literal> sort, akkor a rendszer + <para>A PF a &os; 5.3 verziója utáni + kiadásokban az alaprendszer része, amelyet a + rendszer mûködése közben egy + külön modul betöltésével + aktiválhatunk. Ha az <filename>rc.conf</filename> + állományban megadjuk a + <literal>pf_enable="YES"</literal> sort, akkor a rendszer magától be is tölti a PF-hez tartozó rendszermag modult. Ez a betölthetõ modul egyébként még a &man.pflog.4; @@ -297,16 +297,16 @@ engedélyezi.</para> <note> - <para>A modul feltételezi a <literal>options - INET</literal> és <literal>device bpf</literal> sorok - jelenlétét. Hacsak nem adtuk meg &os; - 6.0-RELEASE elõtti verzióban a - <literal>NOINET6</literal>, ill. az utáni + <para>A modul feltételezi az <literal>options + INET</literal> és a <literal>device bpf</literal> sorok + jelenlétét. Hacsak nem adtuk meg + &os; 6.0-RELEASE elõtti verziókban a + <literal>NOINET6</literal>, illetve az utána következõ verziókban a <literal>NO_INET6</literal> beállítást (például a &man.make.conf.5; állományban) a rendszer - fordítására vonatkozóan, akkor a + fordítására vonatkozóan, akkor az <literal>options INET6</literal> beállításra is szükség lesz.</para> @@ -320,8 +320,8 @@ vagy letiltani.</para> <para>Ebben a példában a - <application>pf</application> engedélyezését - láthatjuk:</para> + <application>pf</application> + engedélyezését láthatjuk:</para> <screen>&prompt.root; <userinput>pfctl -e</userinput></screen> @@ -380,15 +380,16 @@ <para>A <literal>device pflog</literal> megadásával keletkezik egy &man.pflog.4; pszeudo hálózati - eszköz, amivel egy &man.bpf.4; leíróra - érkezõ forgalmat tudunk naplózni. A - &man.pflogd.8; démon használható - ezután tõle származó naplózott - adatok rögzítésére.</para> + eszköz, amellyel egy &man.bpf.4; eszközre + érkezõ forgalmat tudunk naplózni. + Ezután a &man.pflogd.8; démon + használható tõle származó + naplózott adatok + rögzítésére.</para> <para>A <literal>device pfsync</literal> engedélyezi a &man.pfsync.4; pszeudo hálózati eszköz - létrejöttét, ami az ún. + létrejöttét, amely az ún. <quote>állapotváltások</quote> megfigyelésére alkalmas. Mivel ez nem része a betölthetõ modulnak, ezért egy @@ -422,26 +423,27 @@ <para>Ha a tûzfalunk mögött egy helyi hálózat is meghúzódik, akkor az ott levõ gépek számára valamilyen - módon tudni kell továbbítani a csomagokat + módon tudnunk kell továbbítani a csomagokat vagy címfordítást kell végezni, így ez a beállítás is mindenképpen kelleni fog:</para> - <programlisting>gateway_enable="YES" # az átjárói funkciók engedélyezése</programlisting> + <programlisting>gateway_enable="YES" # az átjáró funkciók engedélyezése</programlisting> </sect2> <sect2> - <title>Az <acronym>ALTQ</acronym> engedélyezése</title> + <title>Az <acronym>ALTQ</acronym> + engedélyezése</title> <para>Az <acronym>ALTQ</acronym> kizárólag csak úgy érhetõ el, ha belefordítjuk a &os; rendszermagjába. Az <acronym>ALTQ</acronym> nem minden hálózati kártya részérõl támogatott. Az &man.altq.4; man oldalán - megtalálhatjuk a &os; aktuális - kiadásában szereplõ támogató - meghajtók listáját. A következõ + megtalálhatjuk azokat a meghajtókat, amelyek a + &os; aktuális kiadásában + támogatottak. A következõ beállítások az <acronym>ALTQ</acronym> további lehetõségeit igyekeznek engedélyezni.</para> @@ -464,7 +466,7 @@ kapcsolatunkhoz tartozó sávszélességet különbözõ osztályokra vagy sorokra - tudjuk szedni, és a szûrési + tudjuk bontani és a szûrési szabályoknak megfelelõen osztályozni segítségükkel a forgalmat.</para> @@ -526,7 +528,7 @@ telepítésében alapértelmezés szerint az <filename>/etc/pf.conf</filename> állomány látja el ennek szerepét, - ami számos hasznos példát és + amely számos hasznos példát és magyarázatot tartalmaz.</para> <para>Noha a &os; saját <filename>/etc/pf.conf</filename> @@ -536,7 +538,7 @@ használatossal. A <application>pf</application> tûzfal beállításával az OpenBSD csapat által írt nagyszerû írás - foglalkozik, ami a <ulink + foglalkozik, amely a <ulink url="http://www.openbsd.org/faq/pf/"></ulink>; címrõl érhetõ el (angolul).</para> @@ -545,11 +547,11 @@ útmutatóját olvasgatva azonban soha nem szabad elfelejtenünk, hogy &os; egyes változatai a <application>pf</application> különbözõ - verzióit tartalmazzák. A &os; 5.X - ágában az OpenBSD 3.5 + verzióit tartalmazzák. A &os; 5.X + változataiban az OpenBSD 3.5 <application>pf</application> tûzfalát, míg - a &os; 6.X változataiban az OpenBSD 3.7 szerinti - verzióját találjuk.</para> + a &os; 6.X változataiban az OpenBSD 3.7 + szerinti verzióját találjuk.</para> </warning> <para>A &a.pf; kitûnõ hely a @@ -579,7 +581,7 @@ <para>Az IPFILTER szerzõje Darren Reed. Az IPFILTER nem kötõdik egyik rendszerhez sem: ez egy olyan nyílt - forráskódú alkalmazás, amit + forráskódú alkalmazás, amelyet átírtak &os;, NetBSD, OpenBSD, &sunos;, HP/UX és &solaris; operációs rendszerekre. Az IPFILTER karbantartása és támogatása @@ -588,24 +590,24 @@ <para>Az IPFILTER egy rendszermag oldalán mûködõ tûzfalazási és egy - címfordítási mechanizmusra alapszik, amit + címfordítási mechanizmusra alapszik, amelyet felhasználói programokkal tudunk felügyelni - és vezérelni. A tûzfal szabályai a + és vezérelni. A tûzfal szabályai az &man.ipf.8; segédprogrammal állíthatóak be vagy törölhetõek. A hálózati címfordításra vonatkozó - szabályokat a &man.ipnat.1; segédprogrammal - állíthatjuk be vagy törölhetjük. A + szabályokat az &man.ipnat.1; segédprogrammal + állíthatjuk be vagy törölhetjük. Az &man.ipfstat.8; segédprogram képes futás közben statisztikákat készíteni az IPFILTER rendszermagban elhelyezkedõ részeinek - viselkedésérõl. A &man.ipmon.8; program pedig + viselkedésérõl. Az &man.ipmon.8; program pedig az IPFILTER cselekvéseit képes a rendszernaplókba feljegyezni.</para> <para>Az IPF eredetileg olyan szabályfeldolgozási - módszer szerint készült, amiben <quote>az + módszer szerint készült, amelyben <quote>az utolsó egyezõ szabály nyer</quote> és csak állapotnélküli szabályokat ismert. Az idõ múlásával az IPF @@ -627,23 +629,23 @@ lehetõvé.</para> <para>A szakaszban szereplõ utasításokban olyan - szabályok szerepelnek, amik kihasználják a + szabályok szerepelnek, amelyek kihasználják a <quote>quick</quote> és <quote>keep state</quote> opciókat. Ezek az inkluzív tûzfalszabályok létrehozásának alapjai.</para> <para>Az inkluzív tûzfalak csak olyan csomagokat - engednek keresztül, amik megfelelnek a szabályoknak. - Ezen módon képesek vagyunk megmondani, hogy a - tûzfal mögül milyen szolgáltatások - érhetõek el az interneten és - segítségével azt is megadhatjuk, hogy az - internetrõl a belsõ hálózatunkon milyen - szolgáltatásokat érhetnek el. A tûzfal - alapból minden mást visszautasít és - naplóz. Az inkluzív tûzfalak sokkal de sokkal - megbízhatóbbak az exkluzív + engednek keresztül, amelyek megfelelnek a + szabályoknak. Ezen módon képesek vagyunk + megmondani, hogy a tûzfal mögül milyen + szolgáltatások érhetõek el az interneten + és segítségével azt is megadhatjuk, + hogy az internetrõl a belsõ hálózatunkon + milyen szolgáltatásokat érhetnek el. A + tûzfal alapból minden mást visszautasít + és naplóz. Az inkluzív tûzfalak sokkal, + de sokkal megbízhatóbbak az exkluzív tûzfalaknál, ezért itt most csak ilyenekkel foglalkozunk.</para> @@ -658,7 +660,7 @@ url="http://www.phildev.net/ipf/index.html"></ulink>; címen érhetõek el (angolul).</para> - <para>A nyílt forrású IPFilter + <para>A nyílt forrású IPFILTER levelezési lista kereshetõ archívumait a <ulink url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>; címen találjuk (angolul).</para> @@ -741,13 +743,13 @@ <para>Az <literal>options IPFILTER_LOG</literal> hatására az IPF az <devicename>ipl</devicename> - csomagnaplózó pszeudoeszközre jegyzi fel a + csomagnaplózó pszeudo eszközre jegyzi fel a forgalmat — minden olyan szabály esetén, ahol megjelenik a <literal>log</literal> kulcsszó.</para> <para>Az <literal>options IPFILTER_DEFAULT_BLOCK</literal> megváltoztatja az alapértelmezett - viselkedést, tehát minden olyan csomag, ami nem + viselkedést, tehát minden olyan csomag, amely nem illeszkedik a tûzfal valamelyik <literal>pass</literal> típusú (átengedõ) szabályára, blokkolásra kerül.</para> @@ -775,19 +777,20 @@ ipmon_flags="-Ds" # D = indítás démonként # s = naplózás a syslog használatával # v = a tcp ablak, ack, seq csomagok naplózása - # n = az IP címek és portok feloldása</programlisting> + # n = az IP-címek és portok feloldása</programlisting> - <para>Ha olyan helyi hálózatunk bújik meg a - tûzfal mögött, ami egy fenntartott privát - IP-címtartományt használ, akkor még - a következõ utasításokra is - szükségünk lesz a + <para>Ha olyan helyi hálózat áll meg a + tûzfal mögött, amely egy fenntartott + privát IP-címtartományt használ, + akkor még a következõ + utasításokra is szükségünk lesz a címfordítás bekapcsolásához:</para> <programlisting>gateway_enable="YES" # a helyi hálózat átjárója ipnat_enable="YES" # az ipnat funkció elindítása ipnat_rules="/etc/ipnat.rules" # az ipnat mûködéséhez szükséges definíciók</programlisting> + </sect2> <sect2> @@ -805,10 +808,10 @@ <screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen> - <para>A <option>-Fa</option> az összes belsõ + <para>Az <option>-Fa</option> az összes belsõ szabály törlését jelenti.</para> - <para>A <option>-f</option> jelzi, hogy egy + <para>Az <option>-f</option> jelzi, hogy egy állományból kell beolvasni a betöltendõ szabályokat.</para> @@ -830,16 +833,16 @@ beállításokat.</para> <para>Az &man.ipf.8; parancs a szabályokat - tároló állományt egy szabványos - szöveges állománynak tekinti, semmilyen - szimbolikus helyettesítést alkalmazó - szkriptet nem fogad el.</para> + tároló állományt egy + szabványos szöveges állománynak + tekinti, semmilyen szimbolikus helyettesítést + alkalmazó szkriptet nem fogad el.</para> - <para>Azonban lehetõségünk van olyan IPF + <para>Lehetõségünk van azonban olyan IPF szabályokat készíteni, amelyek kiaknázzák a szkriptek szimbolikus helyettesítésének lehetõségeit. - Errõl bõvebben ld. <xref + Errõl bõvebben lásd <xref linkend="firewalls-ipf-rules-script">.</para> </sect2> @@ -855,15 +858,15 @@ </indexterm> <para>Az &man.ipfstat.8; alapértelmezés szerint a - tûzfal legutóbbi indítása vagy a - statisztika számlálóinak a <command>ipf - -Z</command> paranccsal történt - lenullázása óta beérkezett és - kiment forgalomból a felhasználók - által megadott szabályoknak megfelelõ - csomagok alapján összegyûjtött - statisztikák lekérdezésére és - megjelenítésére használatos.</para> + arra használatos, hogy le tudjuk kérdezni + és megjeleníteni a tûzfalhoz tartozó + számlálók értékeit, amelyek a + legutóbbi indítás vagy az <command>ipf + -Z</command> parancs által kiadott + lenullázásuk óta a bejövõ vagy + kimenõ forgalomból a megadott szabályoknak + megfelelõ csomagok alapján gyûjtenek össze + statisztikákat.</para> <para>A parancs mûködésének részleteit az &man.ipfstat.8; man oldalon @@ -932,8 +935,8 @@ <para>Az <command>ipfstat</command> parancs talán egyik legfontosabb funkciója a <option>-t</option> - kapcsolóval csalható elõ, aminek - utasítására a rendszerben aktív + kapcsolóval csalható elõ, melynek + hatására a rendszerben aktív állapotok táblázatát mutatja meg ugyanúgy, ahogy a &man.top.1; a &os; rendszerben futó programokat. Amikor a tûzfalunk @@ -945,7 +948,7 @@ kiegészítésképpen megadható alkapcsolók megadásával kiválaszthatjuk azt a cél vagy forrás - IP-címet, portot vagy protokollt, amit valós + IP-címet, portot vagy protokollt, amelyet valós idõben meg akarunk figyelni. Ennek részleteit az &man.ipfstat.8; man oldalán láthatjuk.</para> @@ -972,18 +975,17 @@ kapjuk meg.</para> <para>A démon mód abban az esetben hasznos, ha - folyamatosan naplózni akarjuk a rendszerben - történõ eseményeket, majd ezeket - késõbb átnézni. Így - képes egymással együttmûködni a - &os; és az IPFILTER. A &os; beépítve - tartalmaz olyan lehetõséget, aminek - révén magától cseréli a - rendszernaplókat. Ezért ha - átküldjük a syslogd démonnak a - naplózandó üzeneteket, akkor sokkal jobban - járunk, mintha egyszerûen csak mezei - állományba naplóznánk. Az + folyamatosan naplózni akarjuk a rendszerben zajló + eseményeket, majd késõbb ezeket + átnézni. Így képes egymással + együttmûködni a &os; és az IPFILTER. A + &os; beépítve tartalmaz olyan + lehetõséget, aminek révén + magától cseréli a rendszernaplókat. + Ezért ha átküldjük a syslogd + démonnak a naplózandó üzeneteket, + akkor sokkal jobban járunk, mintha egyszerûen csak + mezei állományba naplóznánk. Az <filename>rc.conf</filename> alapértelmezései között az <literal>ipmon_flags</literal> beállítás a <option>-Ds</option> @@ -1017,9 +1019,10 @@ <para>Egyáltalán nem ritka, hogy a szabályrendszer végén egy alapértelmezés szerint mindent eldobó - szabály áll, ami naplóz. Ezzel - lehetõségünk nyílik azokat a csomagokat, - amelyek egyetlen szabályra sem illeszkedtek.</para> + szabály áll, amely naplóz. Ezzel + lehetõségünk nyílik + rögzíteni azokat a csomagokat, amelyek egyetlen + szabályra sem illeszkedtek.</para> </sect2> @@ -1071,8 +1074,8 @@ <programlisting>security.* /var/log/ipfilter.log</programlisting> <para>A <literal>security.*</literal> megadásával az - összes ilyen típusú üzenet egy elõre - rögzített helyre kerül.</para> + összes ilyen típusú üzenet egy + elõre rögzített helyre kerül.</para> <para>Az <filename>/etc/syslog.conf</filename> állományban elvégzett @@ -1097,34 +1100,35 @@ <title>A naplózott üzenetek formátuma</title> <para>Az <command>ipmon</command> által létrehozott - üzenetek láthatatlan karakterekkel elválasztott + üzenetek whitespace karakterekkel elválasztott adatmezõkbõl állnak. A következõ mezõk az összes üzenet esetében megjelennek:</para> <orderedlist> <listitem> - <para>a csomag megérkezésének + <para>A csomag megérkezésének dátuma</para> </listitem> <listitem> - <para>a csomag megérkezésének - idõpontja. ÓÓ:PP:MM.E alakban jelennek meg - az órák, percek, másodpercek és - ezredmásodpercek (ami több számjegy - hosszú is lehet) szerint</para> + <para>A csomag megérkezésének + idõpontja. ÓÓ:PP:MM.E alakban jelennek + meg az órák, percek, másodpercek + és ezredmásodpercek (ez több + számjegy hosszú is lehet) szerint</para> </listitem> <listitem> - <para>annak a felületnek a neve, ahol a csomag - feldolgozásra került, pl. + <para>Annak a felületnek a neve, ahol a csomag + feldolgozásra került, például <devicename>dc0</devicename></para> </listitem> <listitem> - <para>a szabályhoz tartozó csoport és - sorszám, pl. <literal>@0:17</literal></para> + <para>A szabályhoz tartozó csoport és + sorszám, például + <literal>@0:17</literal></para> </listitem> </orderedlist> @@ -1133,7 +1137,7 @@ <orderedlist> <listitem> - <para>cselekvés: a p mint átment (passed), b + <para>Cselekvés: a p mint átment (passed), b mint blokkolt (blocked), S mint rövid csomag (short packet), n mint egyik szabályra sem illeszkedett (not match), L mint naplózás (log). A @@ -1143,26 +1147,29 @@ csomagot egy felsõbb szintû beállítás miatt naplózták, nem egy szabály - hatására</para> + hatására.</para> </listitem> <listitem> - <para>címek: ez tulajdonképpen három mezõt takar: a forrás - címet és portot (melyet egy vesszõ választ el), a - -> jelet és cél címet és portot. Például: - 209.53.17.22,80 -> 198.73.220.17,1722</para> + <para>Címek: ez tulajdonképpen három + mezõt takar: a forrás címet és + portot (melyet egy vesszõ választ el), a -> + jelet és cél címet és portot. + Például: <literal>209.53.17.22,80 -> + 198.73.220.17,1722</literal>.</para> </listitem> <listitem> - <para>a <literal>PR</literal> után a protokoll neve - vagy száma olvasható, pl. PR tcp</para> + <para>A <literal>PR</literal> után a protokoll neve + vagy száma olvasható, például + <literal>PR tcp</literal>.</para> </listitem> <listitem> - <para>a <literal>len</literal> csomaghoz tartozó + <para>A <literal>len</literal> csomaghoz tartozó fejléc és törzsének teljes - hosszát jelöli, pl. <literal>len 20 - 40</literal></para> + hosszát jelöli, például + <literal>len 20 40</literal>.</para> </listitem> </orderedlist> @@ -1175,8 +1182,8 @@ oldalán olvashatjuk.</para> <para>Amennyiben a csomag ICMP, a sort két mezõ - zárja, melyek közül az elsõ tartalma mindig - <quote>ICMP</quote>, és ezt egy perjellel + zárja, melyek közül az elsõ tartalma + mindig <quote>ICMP</quote>, és ezt egy perjellel elválasztva az ICMP üzenet típusa és altípusa követi. Tehát például az ICMP 3/3 a <quote>nem elérhetõ port</quote> @@ -1189,33 +1196,35 @@ helyettesítéssel</title> <para>Az IPF használatában gyakorlott - felhasználók közül néhányan - képesek olyan stílusú - szabályrendszert készíteni, ahol - szimbolikus helyettesítést használnak. - Ennek az egyik legnagyobb elõnye az, hogy ilyenkor - elég csak a szimbolikus névhez tartozó - értéket megváltoztatni és amikor a - szkript lefut, akkor az összes rá hivatkozó - szabályba ez kerül be. Szkript lévén - a szimbolikus helyettesítéssel ki tudjuk emelni a - gyakran használt értékeket és + felhasználók közül + néhányan képesek olyan + stílusú szabályrendszert + készíteni, ahol szimbolikus + helyettesítést használnak. Ennek az egyik + legnagyobb elõnye az, hogy ilyenkor elég csak a + szimbolikus névhez tartozó értéket + megváltoztatni és amikor a szkript lefut, akkor az + összes rá hivatkozó szabályba ez + kerül be. Szkript lévén a szimbolikus + helyettesítéssel ki tudjuk emelni a gyakran + használt értékeket és behelyettesíteni ezeket több helyre. Ezt a most következõ példában láthatjuk.</para> <para>Az itt alkalmazott felírás kompatibilis az sh, - csh és tcsh shellekkel.</para> + csh és tcsh parancsértelmezõkkel.</para> <para>A szimbolikus helyettesítést egy dollárjellel fejezzük ki: <literal>$</literal>.</para> <para>A szimbolikus mezõkben nem szerepel a $ - jelölés.</para> + jelölés.</para> <para>A szimbolikus mezõ tartalmát kettõs - idézõjelbe (<literal>"</literal>) tesszük.</para> + idézõjelbe (<literal>"</literal>) + tesszük.</para> <para>Kezdjük így el a szabályok írását:</para> @@ -1251,12 +1260,15 @@ EOF ################## Itt az IPF szkript vége ########################</programlisting> - <para>Ennyi lenne. A példában szereplõ szabályok most nem - annyira lényegesek, a hangsúly most igazából a szimbolikus - helyettesítésen és annak használatán van. Ha a fenti példát az - <filename>/etc/ipf.rules.script</filename> állományba mentjük, - akkor ezeket a szabályokat a következõ paranccsal újra tudjuk - tölteni:</para> + <para>Ennyi lenne. A példában szereplõ + szabályok most nem annyira lényegesek, a + hangsúly most igazából a szimbolikus + helyettesítésen és annak + használatán van. Ha a fenti példát + az <filename>/etc/ipf.rules.script</filename> + állományba mentjük, akkor ezeket a + szabályokat a következõ paranccsal újra + tudjuk tölteni:</para> <screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen> @@ -1271,7 +1283,7 @@ <itemizedlist> <listitem> - <para>vegyük ki megjegyzésbõl a + <para>Vegyük ki megjegyzésbõl a <literal>cat</literal> paranccsal kezdõdõ sort, és tegyük megjegyzésbe az <literal>/sbin/ipf</literal> kezdetût. A megszokottak @@ -1282,24 +1294,24 @@ után futtassuk le a szkriptet az <filename>/etc/ipf.rules</filename> állomány létrehozásához vagy - frissítéséhez</para> + frissítéséhez.</para> </listitem> <listitem> - <para>tiltsuk le az IPFILTER aktiválását - a rendszerindításkor, tehát írjuk - bele az <literal>ipfilter_enable="NO"</literal> sort (ami - mellesleg az alapértelmezett értéke) az - <filename>/etc/rc.conf</filename> - állományba</para> + <para>Tiltsuk le az IPFILTER aktiválását + a rendszerindításkor, tehát + írjuk bele az <literal>ipfilter_enable="NO"</literal> + sort (ami mellesleg az alapértelmezett + értéke) az <filename>/etc/rc.conf</filename> + állományba.</para> - <para>tegyünk egy, az alábbi szkripthez + <para>Tegyünk egy, az alábbi szkripthez hasonlót az <filename>/usr/local/etc/rc.d/</filename> könyvtárba. A szkriptnek adjuk valamilyen értelmes nevet, például <filename>ipf.loadrules.sh</filename>. Az <filename>.sh</filename> kiterjesztés - használata kötelezõ</para> + használata kötelezõ.</para> <programlisting>#!/bin/sh sh /etc/ipf.rules.script</programlisting> @@ -1327,14 +1339,15 @@ át kell engedni vagy vissza kell tartani. A gépek közt két irányban áramló csomagok egy munkamenet alapú társalgást - formáznak meg. A tûzfal szabályrendszere - minden csomagot kétszer dolgoz fel: egyszer, amikor befut - az internetrõl, illetve még egyszer, amikor - visszavándorol az internet irányába. - Mindegyik TCP/IP szolgáltatást (pl. telnet, www, + képeznek. A tûzfal szabályrendszere minden + csomagot kétszer dolgoz fel: egyszer, amikor befut az + internetrõl, illetve még egyszer, amikor + visszatér az internetre. Mindegyik TCP/IP + szolgáltatást (például telnet, www, levelezés stb.) elõre meghatározza a - protokollja, cél és forrás IP-címe - vagy portja. Ez az alapja a szolgáltatások + hozzátartozó protokoll, cél és + forrás IP-cím vagy port. Ez az alapja a + szolgáltatások engedélyezésérõl vagy tiltásáról szóló szabályok megfogalmazásának.</para> @@ -1352,7 +1365,7 @@ szabályokat ismert. Az idõk folyamán az IPF szabályai kiegészültek a <quote>quick</quote> és az állapottartásra vonatkozó - <quote>keep state</quote> opciókkal, aminek + <quote>keep state</quote> opciókkal, amelynek köszönhetõen óriási mértékben korszerûsödött a szabályok feldolgozása.</para> @@ -1375,7 +1388,7 @@ internetrõl a magánhálózatunkon. A tûzfal minden mást elutasít és alapértelmezés szerint naplóz. Az - inkluzív tûzfalak sokkal de sokkal + inkluzív tûzfalak sokkal, de sokkal biztonságosabbak az exkluzív tûzfalaknál, ezért itt most csak ezzel az egyetlen típussal foglalkozunk.</para> @@ -1392,7 +1405,8 @@ érdekében javasoljuk, hogy a tûzfal alapjait elõször helyi konzolról építsük fel, ne pedig - távolról, pl. <application>ssh</application> + távolról, például + <application>ssh</application> segítségével.</para> </warning> @@ -1408,22 +1422,22 @@ </indexterm> <para>A szabályok felépítésének - bemutatását itt most leszûkítjük a - modern állapottartó szabályokra és + bemutatását itt most leszûkítjük + a modern állapottartó szabályokra és az <quote>elsõ illeszkedõ szabály nyer</quote> típusú feldolgozásra. A szabályok felírásának régebbi módjai az &man.ipf.8; man oldalon találhatóak.</para> <para>A <literal>#</literal> karakterrel egy megjegyzés - kezdetét jelezzük, és általában a - sor végén vagy egy külön sorban bukkan + kezdetét jelezzük, és általában + a sor végén vagy egy külön sorban bukkan fel. Az üres sorokat a rendszer nem veszi figyelembe.</para> <para>A szabályok kulcsszavakat tartalmaznak. Ezeknek a - kulcsszavaknak balról jobbra haladva adott sorrendben kell - szerepelniük. A kulcsszavakat kiemeltük. Egyes + kulcsszavaknak balról jobbra haladva adott sorrendben + kell szerepelniük. A kulcsszavakat kiemeltük. Egyes kulcsszavakhoz további beállítások is tartozhatnak, amelyek maguk is kulcsszavak lehetnek, és még további opciókkal @@ -1443,11 +1457,13 @@ <para><replaceable>BE-KI</replaceable> = in | out</para> <para><replaceable>OPCIÓK</replaceable> = log | quick | on - felületnév</para> + <replaceable>felületnév</replaceable></para> <para><replaceable>SZÛRÉS</replaceable> = proto - érték | forrás/cél IP | port = - szám | flags beállítás</para> + <replaceable>érték</replaceable> | + <replaceable>forrás/cél IP</replaceable> | port = + <replaceable>szám</replaceable> | flags + <replaceable>beállítás</replaceable></para> >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200805121229.m4CCTRBC099230>