From owner-svn-doc-head@FreeBSD.ORG Sun Jan 27 21:41:12 2013 Return-Path: Delivered-To: svn-doc-head@freebsd.org Received: from mx1.freebsd.org (mx1.FreeBSD.org [8.8.178.115]) by hub.freebsd.org (Postfix) with ESMTP id 14855287; Sun, 27 Jan 2013 21:41:12 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) by mx1.freebsd.org (Postfix) with ESMTP id F3FC1849; Sun, 27 Jan 2013 21:41:11 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.5/8.14.5) with ESMTP id r0RLfBET097462; Sun, 27 Jan 2013 21:41:11 GMT (envelope-from rene@svn.freebsd.org) Received: (from rene@localhost) by svn.freebsd.org (8.14.5/8.14.5/Submit) id r0RLfABr097455; Sun, 27 Jan 2013 21:41:10 GMT (envelope-from rene@svn.freebsd.org) Message-Id: <201301272141.r0RLfABr097455@svn.freebsd.org> From: Rene Ladan Date: Sun, 27 Jan 2013 21:41:10 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r40772 - in head/nl_NL.ISO8859-1/books/handbook: firewalls l10n linuxemu network-servers preface printing security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.14 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 27 Jan 2013 21:41:12 -0000 Author: rene Date: Sun Jan 27 21:41:09 2013 New Revision: 40772 URL: http://svnweb.freebsd.org/changeset/doc/40772 Log: MFen the Dutch Handbook: - network-servers r40649 -> r40744 - printing r39631 -> r40750 - linuxemu r39631 -> r40735 - firewalls r40685 -> r40732 (replace most – with - to closer match the English version) - preface r39631 -> r40743 - security r40625 -> r40749 - l10n r39666 -> r40734 Modified: head/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml head/nl_NL.ISO8859-1/books/handbook/l10n/chapter.xml head/nl_NL.ISO8859-1/books/handbook/linuxemu/chapter.xml head/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.xml head/nl_NL.ISO8859-1/books/handbook/preface/preface.xml head/nl_NL.ISO8859-1/books/handbook/printing/chapter.xml head/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Modified: head/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.xml - %SRCID% 40685 + %SRCID% 40732 --> @@ -640,7 +640,7 @@ options IPFILTER_DEFAULT_BLOCKoptions IPFILTER_LOG schakelt de optie in waarmee IPF verkeer kan loggen door het naar het ipl pakketloggende - pseudo–apparaat te schrijven voor iedere regel met het + pseudo-apparaat te schrijven voor iedere regel met het sleutelwoord log erin. options IPFILTER_DEFAULT_BLOCK @@ -729,7 +729,7 @@ ipnat_rules="/etc/ipnat.rules" # best &man.ipfstat.8; haalt de totalen van de statistieken op die horen bij de firewall sinds die is gestart en toont deze. Het kan ook zijn dat de tellers in tussentijd op nul zijn - gesteld met ipf –Z. + gesteld met ipf -Z. In &man.ipfstat.8; worden alle details behandeld. @@ -759,10 +759,10 @@ Packet log flags set: (0) commando de juiste lijst met regels die de kernel op dat moment gebruikt wordt weergeven. - ipfstat –in toont de tabel met + ipfstat -in toont de tabel met regels voor inkomend verkeer met regelnummers - ipfstat –on toont de tabel met + ipfstat -on toont de tabel met regels voor uitgaand verkeer met regelnummers De uitvoer ziet er ongeveer als volgt uit: @@ -771,11 +771,11 @@ Packet log flags set: (0) @2 block out on dc0 from any to any @3 pass out quick on dc0 proto tcp/udp from any to any keep state - ipfstat –ih toont de tabel met + ipfstat -ih toont de tabel met regels voor inkomend verkeer, waarbij voor iedere regel staat hoe vaak die van toepassing was. - ipfstat –oh toont de tabel met + ipfstat -oh toont de tabel met regels voor uitgaand verkeer, waarbij voor iedere regel staat hoe vaak die van toepassing was. @@ -822,7 +822,7 @@ Packet log flags set: (0) IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde mogelijkheden om automatisch syslogs te roteren. Daarom is het beter om de uitvoer naar &man.syslogd.8; te schrijven - dan naar een gewoon bestand. In de standaardversie van het bestand + dan naar een gewoon bestand. In de standaardversie van rc.conf is te zien dat de instelling ipmon_flags de waarde heeft: @@ -883,7 +883,7 @@ LOG_ERR – gelogde pakketten die ee De functionaliteit van &man.syslogd.8; wordt beheerd met instellingen in /etc/syslog.conf. - syslog.conf biedt aanzienlijke + Dit bestand biedt aanzienlijke flexibiliteit in hoe syslog omgaat met systeemberichten die door softwaretoepassingen als IPF worden gegeven. @@ -904,7 +904,7 @@ LOG_ERR – gelogde pakketten die ee wordt ingelezen met /etc/rc.d/syslogd reload. Het PID (procesnummer) is te achterhalen door een overzicht van taken te tonen met - ps –ax. Het PID is het nummer in de + ps -ax. Het PID is het nummer in de linker kolom voor de regel waarop syslog staat. @@ -1208,7 +1208,7 @@ sh /etc/ipf.rules.scriptSELECTIE = protowaarde | bron/bestemming IP | poort = nummer | flags - flag–value + flag-value PROTO = tcp/udp | udp | tcp | icmp @@ -1290,7 +1290,7 @@ sh /etc/ipf.rules.scriptAls een pakket wordt gelogd, dan worden de koppen van het pakket weggeschreven naar het ipl - pakketloggende pseudo–apparaat. Direct na het + pakketloggende pseudo-apparaat. Direct na het sleutelwoord log mogen de volgende opties gebruikt worden (in de aangegeven volgorde): @@ -1577,9 +1577,9 @@ sh /etc/ipf.rules.script - We raden aan om telkens als er logmeldingen komen van een regel - met log first het commando - ipfstat -hio uit te voeren om te + We raden aan om telkens als er logmeldingen van een regel + met de optie log first komen, + ipfstat -hio uit te voeren om te bekijken hoe vaak de regel van toepassing is geweest. Een groot aantal overeenkomsten geeft gewoonlijk aan dat de firewall overspoeld wordt, met andere woorden aangevallen wordt. @@ -1687,7 +1687,7 @@ pass out quick on dc0 proto tcp from any pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state # Sta ping toe naar het publieke Internet. -pass out quick on dc0 proto icmp from any to any icmp–type 8 keep state +pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state # Sta whois toe vanaf het LAN naar het publieke Internet. pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state @@ -1702,14 +1702,14 @@ block out log first quick on dc0 all # met als bestemming deze gateway-server of het private netwerk. ################################################################# -# Blokkeer al het verkeer voor niet–routeerbare of gereserveerde +# Blokkeer al het verkeer voor niet-routeerbare of gereserveerde # adresreeksen. block in quick on dc0 from 192.168.0.0/16 to any #RFC 1918 privaat IP block in quick on dc0 from 172.16.0.0/12 to any #RFC 1918 privaat IP block in quick on dc0 from 10.0.0.0/8 to any #RFC 1918 privaat IP block in quick on dc0 from 127.0.0.0/8 to any #loopback block in quick on dc0 from 0.0.0.0/8 to any #loopback -block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto–config +block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto-config block in quick on dc0 from 192.0.2.0/24 to any #gereserveerd voor documentatie block in quick on dc0 from 204.152.64.0/23 to any #Sun cluster interconnect block in quick on dc0 from 224.0.0.0/3 to any #Klasse D & E multicast @@ -1735,7 +1735,7 @@ block in log first quick on dc0 proto tc block in quick on dc0 all with ipopts # Blokkeer publieke pings. -block in quick on dc0 proto icmp all icmp–type 8 +block in quick on dc0 proto icmp all icmp-type 8 # Blokkeer ident. block in quick on dc0 proto tcp from any to any port = 113 @@ -1902,7 +1902,7 @@ block in log first quick on dc0 all Bij het maken van wijzigingen aan de NAT-regels nadat NAT gestart is, wordt aangeraden de wijziging aan het bestand met - regels te maken en daarna het commando ipnat + regels te maken en daarna ipnat te gebruiken om alle actieve NAT-regels te wissen. Daarna kunnen de regels uit het bestand weer als volgt geladen worden: @@ -1923,7 +1923,7 @@ block in log first quick on dc0 all worden ingeschakeld en dan wordt informatie over het verwerken van verkeer en de actieve regels getoond: - &prompt.root; ipnat –v + &prompt.root; ipnat -v @@ -2067,7 +2067,7 @@ block in log first quick on dc0 all Een reeks van publiekelijke IP adressen kan gespecificeerd worden met een netwerkmasker: - map dc0 192.168.1.0/24 -> 204.134.75.1–10 + map dc0 192.168.1.0/24 -> 204.134.75.1-10 of door gebruik van de CIDR notatie: @@ -2146,7 +2146,7 @@ block in log first quick on dc0 all map dc0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp - Deze laatste regel handelt al het niet–FTP + Deze laatste regel handelt al het niet-FTP verkeer voor het LAN af: map dc0 10.0.10.0/29 -> 0/32 @@ -2203,7 +2203,7 @@ pass in quick on rl0 proto tcp from any verouderde techniek om te realiseren wat eenvoudige stateful logica zou kunnen heten. - De set voorbeeldregels van IPFW (die in + De verzameling voorbeeldregels van IPFW (die in /etc/rc.firewall en /etc/rc.firewall6 staan) uit de standaard &os;-installatie is redelijk eenvoudig en niet voorbereid om @@ -2355,10 +2355,10 @@ net.inet.ip.fw.verbose_limit=5firewall_enable="YES" - Om één van de standaard firewall types te - selecteren die geleverd wordt door &os; lees + Om één van de standaard firewall types die geleverd wordt + door &os; te selecteren, lees /etc/rc.firewall, maak een selectie en - plaats de volgende regel: + plaats het in de volgende regel: firewall_type="open" @@ -2447,7 +2447,7 @@ ipfw add deny out linkend="firewalls-ipfw-enable"/>). Er is geen variabele in rc.conf om logboeklimieten in te stellen, maar dat kan ingesteld worden via een sysctl - variabele, handmatig of via het bestand + variabele, handmatig of via /etc/sysctl.conf: net.inet.ip.fw.verbose_limit=5 @@ -2489,7 +2489,7 @@ ipfw add deny out Om alle regels te tonen met de tijd waarop deze voor het laatst van toepassing was: - &prompt.root; ipfw –t list + &prompt.root; ipfw -t list Het volgende commando kan gebruikt worden om de verantwoordingsinformatie, pakkettellers en de regel zelf te @@ -2499,16 +2499,16 @@ ipfw add deny out van toepassing was voor uitgaand verkeer. Als laatste wordt de regel zelf getoond: - &prompt.root; ipfw –a list + &prompt.root; ipfw -a list Ook kunnen onder de statische regels de dynamische regels getoond worden: - &prompt.root; ipfw –d list + &prompt.root; ipfw -d list En de dynamische regels die verlopen zijn: - &prompt.root; ipfw –d –e list + &prompt.root; ipfw -d -e list De tellers op nul gesteld worden: @@ -2633,16 +2633,16 @@ ipfw add deny out regel geldt voor een pakket, laat dat pakket dan door en stop met het zoeken naar geldende regels. - check–state + check-state Vergelijkt het pakket met de tabel met dynamische regels. Als het erin staat, dan wordt de actie van de dynamisch door deze regel gemaakte regel uitgevoerd. Anders wordt er verder gezocht door de regels. Een regel met - check–state heeft geen selectiecriteria. Als er geen regel - met check–state in de set met regels staat, dan wordt de + check-state heeft geen selectiecriteria. Als er geen regel + met check-state in de set met regels staat, dan wordt de tabel met dynamische regels bij het eerste voorkomen van - keep–state of limit gecontroleerd. + keep-state of limit gecontroleerd. deny | drop @@ -2669,7 +2669,7 @@ ipfw add deny out gevallen bestaat er in het geval de waarde nul is geen limiet. Als de limiet is bereikt, dan kan het loggen weer ingeschakeld worden door de teller voor het loggen weer - op nul te zetten voor die regel met het commando + op nul te zetten voor die regel met ipfw reset log. @@ -2759,17 +2759,17 @@ ipfw add deny out verzoek tot het opstarten van een TCP sessie. - keep–state + keep-state Dit is een verplicht sleutelwoord. Als er een pakket - op een regel met keep–state + op een regel met keep-state van toepassing is, dan wordt er door de firewall een - dynamische regel gemaakt die bi–directioneel + dynamische regel gemaakt die bi-directioneel verkeer zal toestaan tussen bron en bestemming en de bijbehorende poorten voor hetzelfde protocol. - limit {bron–adr | bron–poort | - best–adr | best–poort} + limit {bron-adr | bron-poort | + best-adr | best-poort} De firewall staat maar N verbindingen toe met dezelfde groep parameters uit een @@ -2777,10 +2777,10 @@ ipfw add deny out parameters bron- of bestemmingsadres en bron- en bestemmingspoort gebruikt worden. limit en - keep–state kunnen niet in + keep-state kunnen niet in dezelfde regel gebruikt worden. De optie limit geeft dezelfde mogelijkheden - als keep–state en voegt daar + als keep-state en voegt daar zijn eigen mogelijkheden aan toe. @@ -2795,14 +2795,14 @@ ipfw add deny out Bij stateful filteren wordt verkeer bekeken als - bi–directioneel verkeer dat samen een sessie vormt. + bi-directioneel verkeer dat samen een sessie vormt. Het heeft de mogelijkheid om te bepalen of de sessie tussen de zender en de ontvanger op de juiste wijze voortgaat. Alle pakketten die niet precies in de verwachting van een sessie passen worden automatisch als fout geblokkeerd. - De optie check–state wordt gebruikt + De optie check-state wordt gebruikt om aan te geven waar IPFW-regels tegen de mogelijkheden voor dynamische regels gehouden moeten worden. Als er een passende regel bij een pakket wordt gevonden, dan kan @@ -2813,7 +2813,7 @@ ipfw add deny out getest. De mogelijkheden voor dynamische regels zijn kwetsbaar - voor een aanval die SYN–flood heet, waarmee wordt + voor een aanval die SYN-flood heet, waarmee wordt geprobeerd een zeer groot aantal regels aan te laten maken. Om deze aanval tegen te gaan, is de optie limit beschikbaar. Met deze @@ -2905,13 +2905,13 @@ ipfw add deny out ############### begin voorbeeldscript ipfw regels ############## # -ipfw –q –f flush # Verwijder alle bestaande regels. +ipfw -q -f flush # Verwijder alle bestaande regels. # Stel standaarden in. oif="tun0" # uitgaande interface. odns="192.0.2.11" # IP adres DNS server ISP. -cmd="ipfw –q add " # Voorvoegsel voor regel. -ks="keep–state" # Te lui om iedere keer in te typen. -$cmd 00500 check–state +cmd="ipfw -q add " # Voorvoegsel voor regel. +ks="keep-state" # Te lui om iedere keer in te typen. +$cmd 00500 check-state $cmd 00502 deny all from any to any frag $cmd 00501 deny tcp from any to any established $cmd 00600 allow tcp from any to any 80 out via $oif setup $ks @@ -2936,13 +2936,13 @@ ks="keep–state" # Te lui om Wat in het bovenstaande voorbeeld met een bestand is gerealiseerd, kan ook met de hand: - &prompt.root; ipfw –q –f flush -&prompt.root; ipfw –q add 00500 check–state -&prompt.root; ipfw –q add 00502 deny all from any to any frag -&prompt.root; ipfw –q add 00501 deny tcp from any to any established -&prompt.root; ipfw –q add 00600 allow tcp from any to any 80 out via tun0 setup keep–state -&prompt.root; ipfw –q add 00610 allow tcp from any to 192.0.2.11 53 out via tun0 setup keep–state -&prompt.root; ipfw –q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep–state + &prompt.root; ipfw -q -f flush +&prompt.root; ipfw -q add 00500 check-state +&prompt.root; ipfw -q add 00502 deny all from any to any frag +&prompt.root; ipfw -q add 00501 deny tcp from any to any established +&prompt.root; ipfw -q add 00600 allow tcp from any to any 80 out via tun0 setup keep-state +&prompt.root; ipfw -q add 00610 allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state +&prompt.root; ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state @@ -3057,7 +3057,7 @@ ks="keep–state" # Te lui om Alle regels die een verzoek zijn voor het opzetten van een - sessie gebruiken keep–state. + sessie gebruiken keep-state. @@ -3083,10 +3083,10 @@ ks="keep–state" # Te lui om ################ Begin bestand met IPFW regels ############################### # Verwijder eerst de bestaande regels. -ipfw –q –f flush +ipfw -q -f flush # Stel commando voorvoegsel in. -cmd="ipfw –q add" +cmd="ipfw -q add" pif="dc0" # Interfacenaam van NIC die verbinding # met het publieke Internet heeft. @@ -3103,9 +3103,9 @@ pif="dc0" # Interfacenaam van NIC di ################################################################# # Sta het pakket toe als het aan de tabel met dynamische regels -# was toegevoegd met een 'allow keep–state' commando. +# was toegevoegd met een 'allow keep-state' commando. ################################################################# -$cmd 00015 check–state +$cmd 00015 check-state ################################################################# # Interface aan het publieke Internet (onderdeel Uitgaand). @@ -3118,8 +3118,8 @@ pif="dc0" # Interfacenaam van NIC di # x.x.x.x moet het IP adres van de DNS van de ISP zijn. # Dupliceer deze regels als een ISP meerdere DNS servers heeft. # Haal het IP adres evt. uit /etc/resolv.conf -$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep–state -$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep–state +$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state +$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state # Geef toegang tot de DHCP server van de ISP voor kabel- en # xDSL-netwerken. Deze regel is niet nodig als gebruik gemaakt worden @@ -3127,37 +3127,37 @@ pif="dc0" # Interfacenaam van NIC di # verwijderd worden. Gebruik de volgende regel en controleer het # logboek voor het IP adres. Wijzig dan het IP adres in de regel # commentaar hieronder en verwijder de eerste regel. -$cmd 00120 allow log udp from any to any 67 out via $pif keep–state -#$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep–state +$cmd 00120 allow log udp from any to any 67 out via $pif keep-state +#$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep-state # Sta niet beveiligd www verkeer toe. -$cmd 00200 allow tcp from any to any 80 out via $pif setup keep–state +$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state # Sta beveiligd www verkeer over TLS SSL toe. -$cmd 00220 allow tcp from any to any 443 out via $pif setup keep–state +$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state # Sta het verzenden en ontvangen van e-mail toe. -$cmd 00230 allow tcp from any to any 25 out via $pif setup keep–state -$cmd 00231 allow tcp from any to any 110 out via $pif setup keep–state +$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state +$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state # Sta de FreeBSD CVSUP functie toe voor uid root. -$cmd 00240 allow tcp from me to any out via $pif setup keep–state uid root +$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root # Sta ping toe. -$cmd 00250 allow icmp from any to any out via $pif keep–state +$cmd 00250 allow icmp from any to any out via $pif keep-state # Sta Time toe naar buiten. -$cmd 00260 allow tcp from any to any 37 out via $pif setup keep–state +$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state # Sta NNTP nieuws toe naar buiten. -$cmd 00270 allow tcp from any to any 119 out via $pif setup keep–state +$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state # Sta beveiligde FTP, Telnet en SCP toe naar buiten. # Deze functie maakt gebruik van SSH (secure shell). -$cmd 00280 allow tcp from any to any 22 out via $pif setup keep–state +$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state # Sta whois toe naar buiten. -$cmd 00290 allow tcp from any to any 43 out via $pif setup keep–state +$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state # Blokkeer en log al het andere dat probeert buiten te komen. # Deze regel dwingt de 'block all' logica af. @@ -3176,7 +3176,7 @@ pif="dc0" # Interfacenaam van NIC di $cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 privaat IP $cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback $cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback -$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto–config +$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config $cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #gereserveerd voor documentatie $cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect $cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Klasse D & E multicast @@ -3207,19 +3207,19 @@ pif="dc0" # Interfacenaam van NIC di # van PPP naar het publieke Internet. In dat geval kan de hele groep # verwijderd worden. Hier wordt hetzelfde IP adres gebruikt als in de # sectie voor Uitgaand verkeer. -#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep–state +#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state # Sta inkomend webverkeer toe omdat er een Apache server draait. -$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src–addr 2 +$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2 # Sta beveiligde FTP, telnet en SCP toe vanaf Internet. -$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src–addr 2 +$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2 # Sta niet beveiligde telnet sessie toe vanaf het publieke Internet. # Dit heeft het label ``niet veilig'' omdat gebruikersnaam en # wachtwoord als platte tekst over Internet gaan. Als er geen telnet # server draait, hoeft deze regel niet actief te zijn. -$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src–addr 2 +$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2 # Weiger en log alle niet toegestane inkomende verbindingen van buiten. $cmd 00499 deny log all from any to any in via $pif @@ -3252,12 +3252,12 @@ pif="dc0" # Interfacenaam van NIC di natd_enable="YES" # Schakel NATD in natd_interface="rl0" # interfacenaam voor de publieke Internet NIC -natd_flags="–dynamic –m" # –m = behoud poortnummers als mogelijk +natd_flags="-dynamic -m" # -m = behoud poortnummers als mogelijk Stateful regels samen met de regel divert natd (Network Address Translation) gebruiken maakt het schrijven van regels veel gecompliceerder. De plaats - van de regels met check–state + van de regels met check-state en divert natd zijn van kritiek belang. De logica bestaat niet langer uit het eenvoudigweg van boven naar beneden doorwerken van de regels. Er wordt @@ -3278,7 +3278,7 @@ natd_flags="–dynamic –m" vrijgelaten. In het voorbeeld zijn de regels 100, 101, 450, 500, en 510 van belang. Die regels regelen de vertaling van inkomende en uitgaande pakketten zodat er in de tabel met de - dynamische keep–state-regels + dynamische keep-state-regels altijd het private IP-adres staat. Daarnaast is het van belang op te merken dat er in alle allow- en deny-regels de @@ -3299,8 +3299,8 @@ natd_flags="–dynamic –m" heeft dan nog steeds het bron-IP-adres van het private LAN. Als blijkt dat deze regel geldt, dan gebeuren er twee dingen: door - keep–state wordt er een regel - in de dynamische keep–state tabel gezet en wordt de + keep-state wordt er een regel + in de dynamische keep-state tabel gezet en wordt de aangegeven actie uitgevoerd. De actie is onderdeel van de informatie uit de dynamische tabel. In dit geval is het skipto rule 500. In regel 500 wordt @@ -3312,14 +3312,14 @@ natd_flags="–dynamic –m" het aan regel 100 en dus wordt het bestemmingsadres vertaald naar het bijbehorende IP-adres op het LAN. Daarna past het bij de - check–state-regel en wordt een + check-state-regel en wordt een vermelding in de tabel gevonden wat betekent dat er een bestaande sessie is en wordt het doorgelaten naar het LAN. Het gaat dan naar de PC op het LAN die als eerste een pakket heeft verzonden en die verstuurt een nieuw pakket met de vraag om een volgend segment met gegevens naar de server. Nu blijkt bij controle van de - check–state-regel dat die op + check-state-regel dat die op het pakket van toepassing moet zijn en er staat een vermelding in de tabel voor uitgaand verkeer. Daarom wordt de bijbehorende actie skipto rule 500 @@ -3330,10 +3330,10 @@ natd_flags="–dynamic –m" Wat betreft binnenkomende pakketten wordt alles dat onderdeel is van een bestaande sessie automatisch afgehandeld door de - check–state-regel en de correct + check-state-regel en de correct geplaatste divert natd-regels. Nu hoeven alleen de foute pakketten nog geweigerd te worden en moeten - de inkomende diensten doorgelaten worden. In + de inkomende geauthoriseerde diensten doorgelaten worden. In dit geval draait er een Apache server op de firewall-machine die vanaf Internet bereikbaar moet zijn. Het nieuwe inkomende pakket past bij regel 100 en het @@ -3343,13 +3343,13 @@ natd_flags="–dynamic –m" eigenschappen en komt uiteindelijk aan bij regel 425 die van toepassing blijkt te zijn. In dat geval kunnen er twee dingen gebeuren: de pakketregel wordt in de dynamische - keep–state tabel gezet, maar nu wordt het aantal nieuwe + keep-state tabel gezet, maar nu wordt het aantal nieuwe sessies dat van het bron IP-adres komt gelimiteerd tot twee. Dit is een bescherming tegen DoS-aanvallen op de dienst die op dat poortnummer wordt aangeboden. De actie is allow, dus het pakket wordt tot het LAN toegelaten. Voor het pakket dat als antwoord wordt verstuurd herkent de - check–state regel dat het + check-state regel dat het pakket bij een bestaande sessie hoort. Het stuurt het naar regel 500 voor NAT en stuurt het via de uitgaande interface weg. @@ -3357,19 +3357,19 @@ natd_flags="–dynamic –m" Voorbeeld Set Regels #1: #!/bin/sh -cmd="ipfw –q add" +cmd="ipfw -q add" skip="skipto 500" pif=rl0 -ks="keep–state" +ks="keep-state" good_tcpo="22,25,37,43,53,80,443,110,119" -ipfw –q –f flush +ipfw -q -f flush $cmd 002 allow all from any to any via xl0 # exclude LAN traffic $cmd 003 allow all from any to any via lo0 # exclude loopback traffic $cmd 100 divert natd ip from any to any in via $pif -$cmd 101 check–state +$cmd 101 check-state # Toegestaan uitgaand verkeer. $cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks @@ -3385,14 +3385,14 @@ ipfw –q –f flush $cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 privaat IP $cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback $cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback -$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto–config +$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config $cmd 306 deny all from 192.0.2.0/24 to any in via $pif #gereserveerd voor documentatie $cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster $cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Klasse D & E multicast # Toegestaan inkomend verkeer. $cmd 400 allow udp from xx.70.207.54 to any 68 in $ks -$cmd 420 allow tcp from any to me 80 in via $pif setup limit src–addr 1 +$cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1 $cmd 450 deny log ip from any to any @@ -3413,10 +3413,10 @@ ipfw –q –f flush #!/bin/sh ################ Begin bestand met IPFW regels ############################### # Verwijder eerst de bestaande regels. -ipfw –q –f flush +ipfw -q -f flush # Stel commando voorvoegsel in. -cmd="ipfw –q add" +cmd="ipfw -q add" skip="skipto 800" pif="rl0" # Interfacenaam van NIC die verbinding # met het publieke Internet heeft. @@ -3439,9 +3439,9 @@ pif="rl0" # Interfacenaam van NIC di ################################################################# # Sta het pakket toe als het aan de tabel met dynamische regels -# was toegevoegd met een 'allow keep–state' commando. +# was toegevoegd met een 'allow keep-state' commando. ################################################################# -$cmd 015 check–state +$cmd 015 check-state ################################################################# # Interface aan het publieke Internet (onderdeel Uitgaand). @@ -3454,42 +3454,42 @@ pif="rl0" # Interfacenaam van NIC di # x.x.x.x moet het IP adres van de DNS van de ISP zijn. # Dupliceer deze regels als een ISP meerdere DNS servers heeft. # Haal het IP adres evt. uit /etc/resolv.conf -$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep–state +$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state # Geef toegang tot de DHCP server van de ISP voor kabel en xDSL. -$cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep–state +$cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep-state # Sta niet beveiligd www verkeer toe. -$cmd 040 $skip tcp from any to any 80 out via $pif setup keep–state +$cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state # Sta beveiligd www verkeer over TLS SSL toe. -$cmd 050 $skip tcp from any to any 443 out via $pif setup keep–state +$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state # Sta het verzenden en ontvangen van e-mail toe. -$cmd 060 $skip tcp from any to any 25 out via $pif setup keep–state -$cmd 061 $skip tcp from any to any 110 out via $pif setup keep–state +$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state +$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state # Sta de FreeBSD CVSUP functie toe voor uid root. -$cmd 070 $skip tcp from me to any out via $pif setup keep–state uid root +$cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root # Sta ping toe naar het publieke Internet. -$cmd 080 $skip icmp from any to any out via $pif keep–state +$cmd 080 $skip icmp from any to any out via $pif keep-state # Sta Time toe. -$cmd 090 $skip tcp from any to any 37 out via $pif setup keep–state +$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state # Sta NNTP nieuws toe. -$cmd 100 $skip tcp from any to any 119 out via $pif setup keep–state +$cmd 100 $skip tcp from any to any 119 out via $pif setup keep-state # Sta beveiligde FTP, Telnet en SCP toe. # Deze functie maakt gebruik van SSH (secure shell). -$cmd 110 $skip tcp from any to any 22 out via $pif setup keep–state +$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state # Sta whois toe. -$cmd 120 $skip tcp from any to any 43 out via $pif setup keep–state +$cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state # Sta NPT tijdserver toe. -$cmd 130 $skip udp from any to any 123 out via $pif keep–state +$cmd 130 $skip udp from any to any 123 out via $pif keep-state ################################################################# # Interface aan het publieke Internet (onderdeel Inkomend). @@ -3504,7 +3504,7 @@ pif="rl0" # Interfacenaam van NIC di $cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 privaat IP $cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback $cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback -$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto–config +$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config $cmd 306 deny all from 192.0.2.0/24 to any in via $pif #gereserveerd voor documentatie $cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster $cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Klasse D & E multicast @@ -3532,19 +3532,19 @@ pif="rl0" # Interfacenaam van NIC di # van PPP naar het publieke Internet. In dat geval kan de hele groep # verwijderd worden. Hier wordt hetzelfde IP adres gebruikt als in de # sectie voor Uitgaand verkeer. -$cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep–state +$cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep-state # Sta inkomend webverkeer toe omdat er een Apache server draait. -$cmd 370 allow tcp from any to me 80 in via $pif setup limit src–addr 2 +$cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2 # Sta beveiligde FTP, telnet en SCP toe vanaf Internet. -$cmd 380 allow tcp from any to me 22 in via $pif setup limit src–addr 2 +$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2 # Sta niet beveiligde telnet sessie toe vanaf het publieke Internet. # Dit heeft het label ``niet veilig'' omdat gebruikersnaam en # wachtwoord als platte tekst over Internet gaan. Als er geen telnet # server draait, hoeft deze regel niet actief te zijn. -#$cmd 390 allow tcp from any to me 23 in via $pif setup limit src–addr 2 +#$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2 # Weiger en log alle niet toegestane inkomende verbindingen vanaf het # publieke Internet. Modified: head/nl_NL.ISO8859-1/books/handbook/l10n/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/l10n/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/l10n/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/l10n/chapter.xml - %SRCID% 39666 + %SRCID% 40734 --> @@ -988,7 +988,7 @@ Option "XkbOptions" "grp:caps_toggle" Minimaal gelokaliseerde applicaties moeten vroeg in het programma een aanroep naar de XtSetLanguageProc - (NULL, NULL,); functie doen. + (NULL, NULL,); functie doen. In KOI8-R for X Modified: head/nl_NL.ISO8859-1/books/handbook/linuxemu/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/linuxemu/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/linuxemu/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/linuxemu/chapter.xml - %SRCID% 39631 + %SRCID% 40735 --> Modified: head/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/network-servers/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/network-servers/chapter.xml - %SRCID% 40649 + %SRCID% 40744 --> @@ -2167,7 +2167,7 @@ basie&prompt.root; - Gebruikersna(a)m(en) + Gebruikersnamen Beschrijving @@ -2210,7 +2210,7 @@ basie&prompt.root; - Machinena(a)m(en) + Machinenamen Beschrijving @@ -2314,10 +2314,10 @@ STAGS (,able,test-domain) (,baker, - De na(a)m(en) van de host(s) waar de volgende onderdelen - geldig zijn. Als er geen hostnaam wordt opgegeven dan is de - regel geldig voor alle hosts. Als er wel een hostnaam wordt - opgegeven, dan wordt een donker, spookachtig en verwarrend + De naam van de host of namen van de hosts waar de volgende + onderdelen geldig zijn. Als er geen hostnaam wordt opgegeven + dan is de regel geldig voor alle hosts. Als er wel een hostnaam + wordt opgegeven, dan wordt een donker, spookachtig en verwarrend domein betreden. Modified: head/nl_NL.ISO8859-1/books/handbook/preface/preface.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/preface/preface.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/preface/preface.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -6,7 +6,7 @@ Vertaald door: Remko Lodder %SOURCE% en_US.ISO8859-1/books/handbook/preface/preface.xml - %SRCID% 39631 + %SRCID% 40743 --> Modified: head/nl_NL.ISO8859-1/books/handbook/printing/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/printing/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/printing/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/printing/chapter.xml - %SRCID% 39631 + %SRCID% 40750 --> Modified: head/nl_NL.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Sun Jan 27 15:12:37 2013 (r40771) +++ head/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Sun Jan 27 21:41:09 2013 (r40772) @@ -5,7 +5,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.xml - %SRCID% 40625 + %SRCID% 40749 --> @@ -1373,7 +1373,7 @@ GAME GAG WELT OUT DOWN CHAT Als OPIE eenmaal is ingesteld staat er bij het aanmelden iets als het volgende: -&prompt.user; telnet example.com + &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'.