From owner-p4-projects@FreeBSD.ORG Tue Sep 1 21:34:44 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 589021065676; Tue, 1 Sep 2009 21:34:44 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 04502106566B for ; Tue, 1 Sep 2009 21:34:44 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id E6C6D8FC13 for ; Tue, 1 Sep 2009 21:34:43 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n81LYhAp048665 for ; Tue, 1 Sep 2009 21:34:43 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n81LYhJk048663 for perforce@freebsd.org; Tue, 1 Sep 2009 21:34:43 GMT (envelope-from rene@FreeBSD.org) Date: Tue, 1 Sep 2009 21:34:43 GMT Message-Id: <200909012134.n81LYhJk048663@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 168063 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 01 Sep 2009 21:34:44 -0000 http://perforce.freebsd.org/chv.cgi?CH=168063 Change 168063 by rene@rene_self on 2009/09/01 21:34:21 MFen handbook/firewalls up to the new line 2553. Also make and "ruleset" usage more consistent. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#11 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#11 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.10 2008/12/28 19:42:42 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml - %SRCID% 1.89 + %SRCID% 1.89 -> update to 1.90 before submit/commit (small one :-) ) --> @@ -256,14 +256,14 @@ De laadbare kernelmodule voor PF gebruiken Sinds de uitgave van &os; 5.3 wordt PF geleverd in de - basisinstallatie als een aparte runtime laadbare module. Het + basisinstallatie als een aparte tijdens runtime laadbare module. Het systeem zal de PF kernelmodule dynamisch laden wanneer het statement pf_enable="YES" voor &man.rc.conf.5; aanwezig is. De PF module zal echter niet geladen worden als het systeem geen instellingenbestand - met een PF ruleset kan vinden. De + met een PF-regelverzameling kan vinden. De standaardplaats is /etc/pf.conf. Indien uw - PF ruleset ergens anders staat, voeg dan + PF-regelverzameling ergens anders staat, voeg dan pf_rules="/pad/pf.rules" aan uw instellingenbestand /etc/rc.conf toe om de plaats te specificeren. @@ -457,7 +457,7 @@ pfctl /etc/pf.conf Controleer /etc/pf.conf op - fouten, maar laad de ruleset niet + fouten, maar laad de regelverzameling niet @@ -600,8 +600,8 @@ pass all ingeschakeld. IPF hoeft niet in de kernel gecompileerd te worden om het standaardgedrag te wijzigen naar block all. Dat is mogelijk - door op het einde van de ruleset een regel block all - toe te voegen die al het verkeer blokkeert. + door op het einde van de regelverzameling een regel block + all toe te voegen die al het verkeer blokkeert. @@ -1159,8 +1159,8 @@ gemoderniseerd. De instructies in dit hoofdstuk zijn gebaseerd op regels - die gebruik maken van de optie quick - en de stateful optie keep state. Dit + die gebruik maken van de optie quick + en de stateful optie keep state. Dit is het raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld. @@ -1257,8 +1257,8 @@ Een verplicht onderdeel voor iedere filterregel waarin expliciet wordt aangegeven op welke zijde van de in/uit deze van toepassing is. Het volgende sleutelwoord moet - in of out - zijn en één van de twee moet gecodeerd wworden, anders + in of out + zijn en één van de twee moet gecodeerd worden, anders is de regel syntactisch onjuist. in betekent dat de regel van @@ -2161,7 +2161,7 @@ map dc0 10.0.10.0/29 -> 0/32 - De FTP map regel hoort voor de + De FTP map-regel hoort voor de normale regels te staan. Alle pakketten worden als eerste vergeleken met de eerste regel en zo verder. Eerst wordt gekeken over de interfacenaam overeenkomt, daarna het @@ -2207,8 +2207,8 @@ IPFW - IPFIREWALL (IPFW) is een firewall die binnen &os; wordt - ontwikkeld en onderhouden door vrijwilligers, leden van de + IPFIREWALL (IPFW) is een firewall die binnen &os; + wordt ontwikkeld en onderhouden door vrijwillige leden van de staf. Het maakt gebruik van verouderde staatloze regels en een verouderde techniek om te realiseren wat eenvoudige stateful logica zou kunnen heten. @@ -2232,15 +2232,15 @@ gebruiker veel weten over de verschillende protocollen en de wijze waarop pakketten in elkaar zitten. Het tot op dat niveau behandelen van stof valt buiten de doelstellingen van - dit boek. + dit Handboek. IPFW bestaat uit zeven componenten: de verwerkingseenheid voor de firewallregels, verantwoording, loggen, regels met - divert (omleiden) waarmee + divert (omleiden) waarmee NAT gebruikt kan worden en de speciale - gevorderde mogelijkheden voor bandbreedte management DUMMYNET, de - 'fwd rule' forward-mogelijkheid, de bridge-mogelijkheden en de - ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als + gevorderde mogelijkheden voor bandbreedtebeheer met DUMMYNET, de + fwd rule forward-mogelijkheid, de bridge-mogelijkheden + en de ipstealth-mogelijkheden. IPFW ondersteunt zowel IPv4 als IPv6. @@ -2253,8 +2253,8 @@ IPFW zit bij de basisinstallatie van &os; als een losse - in runtime laadbare module. Het systeem laadt de kernel - module dynamisch als in rc.conf + tijdens runtime laadbare module. Het systeem laadt de kernelmodule + dynamisch als in rc.conf de regel firewall_enable="YES" staat. IPFW hoeft niet in de &os; kernel gecompileerd te worden, tenzij het nodig is dat NAT beschikbaar is. @@ -2267,11 +2267,13 @@ ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled In de laadbare module zit de mogelijkheid om te loggen - gecompileerd. In /etc/sysctl.conf kan een - instelling gemaakt worden waardoor loggen na volgende herstarts - wordt ingeschakeld: + gecompileerd. Er is een knop in /etc/sysctl.conf + om loggen aan te zetten en de uitgebreide loglimiet in te stellen. Door + deze regels toe te voegen, staat loggen aan bij toekomstige + herstarts: - net.inet.ip.fw.verbose_limit=5 + net.inet.ip.fw.verbose=1 +net.inet.ip.fw.verbose_limit=5 @@ -2304,9 +2306,7 @@ Het is niet verplicht om IPFW in te schakelen door het mee te compileren in de &os; kernel, tenzij de NAT functionaliteit beschikbaar moet zijn. - Dit wordt alleen beschreven als achtergrondinformatie. - Door IPFW in de kernel te compileren wordt de laadbare module - niet gebruikt. + Dit wordt alleen beschreven als achtergrondinformatie. options IPFIREWALL @@ -2317,8 +2317,8 @@ Met IPFIREWALL_VERBOSE wordt het loggen van pakketten die worden verwerkt met IPFW mogelijk - als het sleutelwoord in een regel - staat. + die het sleutelwoord log in een regel hebben + staan. options IPFIREWALL_VERBOSE_LIMIT=5 @@ -2326,7 +2326,7 @@ via &man.syslogd.8;. Deze optie kan gebruikt worden in vijandige omgevingen waar de activiteit van een firewall gelogd moet worden. Hierdoor kan een mogelijke ontzegging van dienst - aanval door syslog flooding voorkomen worden. + aanval door het vol laten lopen van syslog voorkomen worden. kernelopties @@ -2352,12 +2352,12 @@ Met IPDIVERT wordt de NAT functionaliteit ingeschakeld. - - Als IPFIREWALL_DEFAULT_TO_ACCEPT - niet wordt gebruikt of de regels van de firewall staan geen - verkeer toe, dan worden alle pakketten van en naar de - machine waar dit voor geldt geblokkeerd. - + + De firewall zal alle binnenkomende en uitgaande pakketten + blokkeren als de kerneloptie + IPFIREWALL_DEFAULT_TO_ACCEPT of een regel om deze + verbindingen expliciet toe te staan ontbreekt. + @@ -2378,7 +2378,7 @@ - open — pass all traffic. + open — laat al het verkeer door. @@ -2392,18 +2392,19 @@ - closed — blokkeert alle IP - verkeer, behalve voor lokaal verkeer. + closed — blokkeert alle IP-verkeer, + behalve voor lokaal verkeer. UNKNOWN — voorkomt het laden - de firewall regels. + de firewall-regels. - bestandsnaam — absoluut pad - naar een bestand dat firewall regels bevat. + bestandsnaam + — absoluut pad naar een bestand dat firewall-regels + bevat. @@ -2414,17 +2415,17 @@ firewall_type variabele naar een absoluut pad van een bestand, welke firewall regels bevat, zonder enige specifieke opties voor &man.ipfw.8;. Een - simpel voorbeeld van een ruleset bestand kan zijn: + simpel voorbeeld van een regelverzameling bestand kan zijn: add block in all add block out all - Aan de andere kant is het mogelijk om de - firewall_script variabele te zetten naar een - absoluut pad van een uitvoerbaar bestand, welke inclusief + Aan de andere kant is het mogelijk om de variabele + firewall_script in te stellen op een + absoluut pad van een uitvoerbaar script, welke inclusief ipfw commando's uitgevoerd wordt tijdens het - opstarten van het systeem. Een geldig ruleset script dat - gelijkwaardig is aan het ruleset bestand hierboven, zou het + opstarten van het systeem. Een geldig script met regels dat + gelijkwaardig is aan het bestand met regels hierboven, zou het volgende zijn: #!/bin/sh @@ -2475,10 +2476,10 @@ ipfw - ipfw wordt gebruikt om met de hand - regels toe te voegen of te verwijderen als IPFW actief is. - Het probleem met deze methode is dat, als het systeem down - wordt gebracht, alle regels die gewijzigd of verwijderd zijn + Gewoonlijk wordt ipfw gebruikt om met de hand + enkelvoudige regels toe te voegen of te verwijderen als IPFW actief is. + Het probleem met deze methode is dat, als het systeem wordt uitgezet + alle regels die gewijzigd of verwijderd zijn verloren gaan. Door alle regels in een bestand op te nemen dat bij het booten wordt geladen of door het bestand waarin de wijzigingen zijn gemaakt als een machine draait te laden @@ -2488,8 +2489,9 @@ de firewall op het scherm getoond worden. De verantwoordingsmogelijkeden van &man.ipfw.8; maken dynamisch tellers aan voor iedere regel en houden die bij - voor alle pakketten die van toepassing zijn op die regel. - Dit biedt ook een mogelijkheid om een regel te testen. + voor alle pakketten die van toepassing zijn op die regel. Tijdens het + testen van een regel is het afbeelden van de regel met zijn teller + een van de manieren om te bepalen of de regel werkt. Om alle regels in volgorde te tonen: @@ -2523,30 +2525,30 @@ &prompt.root; ipfw zero - Alleen de tellers voor regel + Alleen de tellers voor regel met nummer NUM op nul stellen: - &prompt.root; ipfw zero NUM + &prompt.root; ipfw zero NUM Sets van IPFW regels - Een set regels is een groep &man.ipfw.8; regels die is + Een verzameling regels is een groep IPFW-regels die is gemaakt om pakketten toe te staan of te blokkeren op basis - van de eigenschappen van dat pakket. De bi-directionele + van de inhoud van dat pakket. De bi-directionele uitwisseling van pakketten tussen hosts bestaat uit een - gesprek dat een sessie heet. De set van firewallregels - beoordeelt pakketten twee keer: als het aankomt van de host - op het publieke Internet en als het de host weer verlaat op - de weg terug naar de host op het publieke Internet. Iedere - TCP/IP dienst als - telnet, www, mail, etc, heeft zijn eigen protocol, bron - IP adres en bestemmings - IP adres of de bron- en bestemmingspoort. - Deze attributen vormen de basis voor het opstellen van - regels waarmee diensten toegelaten of geblokkeerd kunnen - worden. + gesprek dat een sessie heet. De verzameling van firewallregels + beoordeelt zowel de pakketten die aankomen van de host + op het publieke Internet als de pakketten die op het systeem ontstaan + als antwoord daarop. Iedere TCP/IP-dienst als + telnet, www, mail, etc, heeft zijn eigen protocol en bevoorrechte + (luister)poort. Pakketten bestemd voor een specifieke poort verlaten + het bronadres via een onbevoorrechte (hogere) poort en doelen op de + specifieke dienstpoort op het bestemmingsadres. Alle bovenstaande + parameters (poorten en addressen) kunnen gebruikt worden als + selectiecriteria om regels aan te maken die diensten doorlaten of + blokkeren. IPFW @@ -2561,8 +2563,8 @@ actieveld van de regel uitgevoerd. Dit wordt de de eerst passende regel wint zoekmethode genoemd. Als een pakket bij geen enkele regel past, dan - wordt de standaardregel 65535 toegepast, die alle pakketten - weigert zonder een antwoord terug te sturen naar de + wordt de verpichte standaardregel 65535 van IPFW toegepast, die alle + pakketten weigert zonder een antwoord terug te sturen naar de verzender. @@ -2572,26 +2574,15 @@ De instructies in dit onderdeel zijn gebaseerd op regels - die gebruik maken van de stateful opties keep - state, limit, - in/out en - via. Dit is het raamwerk waarmee een + die gebruik maken van de stateful opties keep + state, limit, + in, out en + via. Dit is het raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld. - Een inclusieve firewall staat alleen diensten toe die - voldoen aan de regels. Op die manier kan er in de hand - gehouden worden welke diensten van binnen de firewall naar - buiten mogen en welke diensten op het private netwerk vanaf - het Internet bereikbaar zijn. Al het andere verkeer wordt - vanuit het ontwerp standaard geblokkeerd en gelogd. - Inclusieve firewalls zijn veel veiliger dan exclusieve - firewalls. Het is ook de enige wijze voor de opzet van een - firewall die in dit hoofdstuk wordt behandeld. - - Er wordt aangeraden voorzichtig te zijn als er vanaf - het netwerk aan de firewallregels wordt gewerkt omdat het - gevaar bestaat buitengesloten te worden. + Wees voorzichtig tijdens het werken met firewall-regels, het is + gemakkelijk om uzelf uit te sluiten. @@ -2657,14 +2648,11 @@ Vergelijkt het pakket met de tabel met dynamische regels. Als het erin staat, dan wordt de actie van de dynamisch door deze regel gemaakte regel uitgevoerd. - Anders wordt er verder gezocht door de regels. Een - regel met check–state heeft - geen selectiecriteria. Als er geen regel met - check–state in de set met - regels staat, dan wordt de tabel met dynamische regels - bij het eerste voorkomen van - keep–state of - limit gecontroleerd. + Anders wordt er verder gezocht door de regels. Een regel met + check–state heeft geen selectiecriteria. Als er geen regel + met check–state in de set met regels staat, dan wordt de + tabel met dynamische regels bij het eerste voorkomen van + keep–state of limit gecontroleerd. deny | drop @@ -2680,21 +2668,19 @@ logamount Als een regel met het sleutelwoord - log van toepassing is op een + log van toepassing is op een pakket, dan wordt er een bericht naar &man.syslogd.8; geschreven met de faciliteitsnaam SECURITY. Er wordt alleen een bericht geschreven als het aantal voor die regel - gelogde pakketten niet groter is dan de instelling - logamount. Als - logamount niet is ingesteld, dan - wordt de limiet uit de &man.sysctl.8; variabele - net.inet.ip.fw.verbose_limit gehaald. In beide gevallen - bestaat er in het geval de waarde nul is geen limiet. + gelogde pakketten niet groter is dan de instelling van de parameter + logamount. Als er geen logamount is ingesteld, + dan wordt de limiet uit de &man.sysctl.8; variabele + net.inet.ip.fw.verbose_limit gehaald. In beide + gevallen bestaat er in het geval de waarde nul is geen limiet. Als de limiet is bereikt, dan kan het loggen weer ingeschakeld worden door de teller voor het loggen weer - op nul te stellen voor die regel met - ipfw - zero. + op nul te zetten voor die regel met het commando + ipfw reset log. Er wordt gelogd als een pakket zeker past bij een