From owner-p4-projects@FreeBSD.ORG Sat Aug 29 15:12:19 2009 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 1A0B01065672; Sat, 29 Aug 2009 15:12:19 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id C995F106566C for ; Sat, 29 Aug 2009 15:12:18 +0000 (UTC) (envelope-from rene@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id B7E998FC12 for ; Sat, 29 Aug 2009 15:12:18 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id n7TFCICV018986 for ; Sat, 29 Aug 2009 15:12:18 GMT (envelope-from rene@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id n7TFCI3k018984 for perforce@freebsd.org; Sat, 29 Aug 2009 15:12:18 GMT (envelope-from rene@FreeBSD.org) Date: Sat, 29 Aug 2009 15:12:18 GMT Message-Id: <200908291512.n7TFCI3k018984@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to rene@FreeBSD.org using -f From: Rene Ladan To: Perforce Change Reviews Cc: Subject: PERFORCE change 167952 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 29 Aug 2009 15:12:19 -0000 http://perforce.freebsd.org/chv.cgi?CH=167952 Change 167952 by rene@rene_self on 2009/08/29 15:11:17 MFen handbook/firewalls up to the new line 1334 Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#9 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#9 (text+ko) ==== @@ -675,14 +675,13 @@ ipmon_enable="YES" # Start IP monitor log ipmon_flags="-Ds" # D = start als daemon # s = log naar syslog - # v = log tcp window, ack, seq # n = vertaal IP & poort naar namen Als er een LAN achter de firewall staat dat gebruik maakt - van IP adressen uit de privaat reeks, dan + van IP-adressen uit de private reeks, dan moet de volgende optie ook ingesteld worden om - NAT functionaliteit in te schakelen: + NAT-functionaliteit in te schakelen: gateway_enable="YES" # Schakel in als LAN gateway ipnat_enable="YES" # Start ipnat functie @@ -694,7 +693,7 @@ ipf - &man.ipf.8; wordt gebruikt om het bestand met + Het commando &man.ipf.8; wordt gebruikt om het bestand met firewallregels te laden. Gewoonlijk wordt er een bestand aangemaakt waarin de situatieafhankelijke regels staan waarmee in één keer de bestaande regels kunnen @@ -767,9 +766,9 @@ Packet log flags set: (0) Als er als optie voor inkomend of - voor uitgaand wordt meegegeven, dan wordt - de juiste lijst met regels die de kernel op dat moment gebruikt - weergegeven. + voor uitgaand wordt meegegeven, dan zal het + commando de juiste lijst met regels die de kernel op dat moment gebruikt + wordt weergeven. ipfstat –in toont de tabel met regels voor inkomend verkeer met regelnummers @@ -801,7 +800,7 @@ ipfstat is de vlag waarmee de staat-tabel wordt getoond op een wijze die vergelijkbaar is met de wijze waarop &man.top.1; de draaiende - &os; procestabel toont. Als een firewall wordt aangevallen dan + &os; procestabel toont. Als een firewall wordt aangevallen, dan geeft deze functie de mogelijkheid om de pakketten van de aanvaller te identificeren en nader te onderzoeken. De optionele subvlaggen bieden de mogelijkheid om een bron of @@ -834,9 +833,10 @@ IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde mogelijkheden om automatisch syslogs te roteren. Daarom is het beter om de uitvoer naar &man.syslogd.8; te schrijven - dan naar een gewoon bestand. In rc.conf - is te zien dat de instelling ipmon_flags - de waarde heeft: + dan naar een gewoon bestand. In de standaardversie van het bestand + rc.conf is te zien dat de instelling + ipmon_flags de waarde + heeft: ipmon_flags="-Ds" # D = start als daemon # s = log naar syslog @@ -848,11 +848,11 @@ pakketten heeft de firewall laten vallen, waar kwamen ze vandaan en waar gingen ze heen? Dit zijn allemaal voordelen als het gaat om uitvinden waar een aanvaller vandaan komt en - wat hij heeft geprobeerd. + wat deze heeft geprobeerd. - Zelfs als loggen is ingeschakeld logt IPF nog niets uit - zichzelf. De beheerder van de firewall beslist welke actieve - regels iets weg moeten schrijven door het sleutelwoord + Zelfs als loggen is ingeschakeld, logt IPF nog niets uit + zichzelf. De beheerder van de firewall beslist welke regels in de + regelverzameling iets weg moeten schrijven door het sleutelwoord log aan die regels toe te voegen. Gewoonlijk worden alleen deny regels gelogd. @@ -886,16 +886,17 @@ Om IPFILTER alle gelogde gegevens naar /var/log/ipfilter.log te laten schrijven, - dient dat bestand te bestaan. Dat kan met het volgende + dient dat bestand vooraf te bestaan. Dat kan met het volgende commando: &prompt.root; touch /var/log/ipfilter.log - De syslogfunctie wordt beheerd met instellingen in - /etc/syslog.conf. + De functionaliteit van &man.syslogd.8; wordt beheerd met + instellingen in /etc/syslog.conf. syslog.conf biedt aanzienlijke - flexibiliteit in hoe syslog omgaat met systeemberichten die - door softwaretoepassingen als IPF worden gegeven. + flexibiliteit in hoe syslog omgaat met + systeemberichten die door softwaretoepassingen als IPF worden + gegeven. Zo kan de volgende instelling toegevoegd worden aan /etc/syslog.conf: @@ -908,8 +909,8 @@ Om de wijzigingen in /etc/syslog.conf actief te maken kan er - gereboot worden of is het mogelijk de syslogtaak een schop te - geven zodat /etc/syslog.conf opnieuw + gereboot worden of is het mogelijk de daemon &man.syslogd.8; een schop + te geven zodat /etc/syslog.conf opnieuw wordt ingelezen met /etc/rc.d/syslogd reload. Het PID (procesnummer) is te achterhalen door een overzicht van taken te tonen met @@ -974,10 +975,9 @@ De adressen. Dit zijn eigenlijk drie velden: het - bronadres en poort gescheiden door een komma het symbool - -> en het bestemmingsadres en poort. - 209.53.17.22,80 -> - 198.73.220.17,1722. + bronadres en poort gescheiden door een komma, het symbool + -> en het bestemmingsadres en poort, bijvoorbeeld: + 209.53.17.22,80 -> 198.73.220.17,1722. @@ -1014,8 +1014,8 @@ regels bevat en stellen dat op zo'n manier op dat het uitgevoerd kan worden als een script met substitutie. Het grote voordeel van deze werkwijze is dat er dan alleen de - waarde van een variabele gewijzigd hoeft te worden en dat - als het script opnieuw wordt uitgevoerd, op alle plaatsen + waarde geassocieerd met een symboliscche naam gewijzigd hoeft te worden + en dat als het script opnieuw wordt uitgevoerd, op alle plaatsen waar de variabele wordt gebruikt, de nieuwe waarde in de regels wordt opgenomen. Omdat het een script is, kan substitutie gebruik worden om vaak voorkomende waarden @@ -1024,8 +1024,7 @@ onderstaande voorbeeld. De syntaxis die in het script wordt gebruikt is - compatibel met de shells sh, - csh en tcsh. + compatibel met de shells &man.sh.1;, &man.csh.1; en &man.tcsh.1;. Velden waarvoor substitutie van toepassing is worden vooraf gegaan door het dollarteken @@ -1075,9 +1074,8 @@ voorbeeld, maar tonen hoe substitutievelden worden gedefinieerd en hoe ze worden gebruikt. Als het bovenstaande voorbeeld de inhoud van - /etc/ipf.rules.script was, dan kon het - geladen worden door het vanaf de commandoregel aan te - roepen: + /etc/ipf.rules.script was, dan konden deze regels + herladen worden door het vanaf de commandoregel aan te roepen: &prompt.root; sh /etc/ipf.rules.script @@ -1106,11 +1104,11 @@ /etc/rc.conf (dit is de standaardwaarde). - Voeg een script zoals de volgende toe aan de - /usr/local/etc/rc.d opstart - directory. Het script zou een duidelijke naam - moeten hebben zoals ipf.loadrules.sh. - De .sh is noodzakelijk. + Voeg een script zoals de volgende toe aan de opstartmap + /usr/local/etc/rc.d. Het + script zou een duidelijke naam moeten hebben zoals + ipf.loadrules.sh. De uitbreiding + .sh is noodzakelijk. #!/bin/sh sh /etc/ipf.rules.script @@ -1129,21 +1127,22 @@ Sets van IPF regels - Een set regels is een groep ipf regels + Een set regels is een groep IPF-regels die is gemaakt om pakketten toe te staan of te blokkeren op basis van de eigenschappen van dat pakket. De bi-directionele uitwisseling van pakketten tussen hosts bestaat uit een gesprek dat een sessie heet. De set van - firewallregels beoordeelt pakketten twee keer: als het - aankomt van de host op het publieke Internet en als het de - host weer verlaat op de weg terug naar de host op het - publieke Internet. Iedere TCP/IP dienst - als telnet, www, mail, etc, heeft zijn eigen protocol, bron - IP adres en bestemmings - IP adres of de bron- en bestemmingspoort. - Deze attributen vormen de basis voor het opstellen van regels - waarmee diensten toegelaten of geblokkeerd kunnen - worden. + firewallregels verwerkt zowel de pakketten die arriveren van het + publieke Internet, als de pakketten die door het systeem zijn + geproduceerd als een antwoord erop. Elke + TCP/IP-dienst (i.e. telnet, www, mail, enz.) is + vooraf gedefinieerd door een protocol en bevoorrechte (luister)poort. + Pakketten bedoeld voor een speciale dienst beginnen bij het bronadres + gebruik makend van een onbevoorrechte (hogere orde) poort en komen aan + bij de specifieke dienstpoort op het bestemmingsadres. Alle + bovengenoemde parameters (poorten en adressen) kunnen gebruikt worden + als selectiecriteria om regels aa te maken die diensten zullen toestaan + of blokkeren. IPFILTER @@ -1165,16 +1164,6 @@ is het raamwerk waarmee een set van inclusieve firewallregels wordt samengesteld. - Een inclusieve firewall staat alleen diensten toe die - voldoen aan de regels. Op die manier kan er in de hand - gehouden worden welke diensten van binnen de firewall naar - buiten mogen en welke diensten op het private netwerk vanaf - het Internet bereikbaar zijn. Al het andere verkeer wordt - vanuit het ontwerp standaard geblokkeerd en gelogd. - Inclusieve firewalls zijn veel veiliger dan exclusieve - firewalls. Het is ook de enige wijze voor de opzet van een - firewall die in dit hoofdstuk wordt behandeld. - Werk bij het wijzigen van firewallregels zeer voorzichtig. Met sommige instellingen is een @@ -1267,9 +1256,10 @@ Een verplicht onderdeel voor iedere filterregel waarin expliciet wordt aangegeven op welke zijde van de in/uit - hij van toepassing is. Het volgende sleutelwoord moet + deze van toepassing is. Het volgende sleutelwoord moet in of out - zijn, anders is de regel syntactisch onjuist. + zijn en één van de twee moet gecodeerd wworden, anders + is de regel syntactisch onjuist. in betekent dat de regel van toepassing is op inkomende pakketten. @@ -1308,8 +1298,8 @@ (in/out). Ook deze optie is verplicht voor de moderne regels. - Als een pakket wordt gelogd, dan wordt de kop van het - pakket weggeschreven naar het ipl + Als een pakket wordt gelogd, dan worden de koppen van het + pakket weggeschreven naar het ipl pakketloggende pseudo–apparaat. Direct na het sleutelwoord log mogen de volgende opties gebruikt worden (in de aangegeven volgorde): @@ -1319,8 +1309,8 @@ kop. first; als het sleutelwoord - log samen met keep - state wordt gebruikt, wordt het aangeraden om + log samen met een optie keep + state wordt gebruikt, wordt het aangeraden om deze optie ook te gebruiken zodat alleen het pakket dat als eerste in de sessie van toepassing was en niet ook alle pakketten die daarna in de sessie volgens @@ -1354,9 +1344,9 @@ udp, icmp of ieder ander protocol dat in /etc/protocols staat wordt herkend en kan gebruikt worden. Het bijzondere - protocol sleutelwoord tcp/udp kan gebruikt - worden om zowel voor TCP als - UDP pakketten van toepassing te laten zijn. Het is + protocolsleutelwoord tcp/udp kan gebruikt + worden om zowel voor TCP- als + UDP-pakketten van toepassing te laten zijn. Het is toegevoegd voor het gemak om vrijwel gelijke regels te voorkomen. @@ -1368,28 +1358,25 @@ hetzelfde als from any to any zonder overige parameters. - from bron to dest; de + from bron to bestemming; de sleutelwoorden from en to worden gebruikt om te testen op - IP adressen. In regels moet zowel een - bron als bestemmings IP adres + IP-adressen. In regels moet + zowel een bron- als + bestemmings-IP-adres aangegeven worden. any is een - bijzonder sleutelwoord dat van toepassing is voor ieder - IP adres als in from any to - any of from 0.0.0.0/0 to any - of from any to 0.0.0.0/0 of - from 0.0.0.0 to any of from - any to 0.0.0.0. + bijzonder sleutelwoord dat van toepassing is op ieder + IP-adres. Voorbeelden van gebruik: from + any to any of from 0.0.0.0/0 to any of + from any to 0.0.0.0/0 of from 0.0.0.0 to + any of from any to 0.0.0.0. - IP adressen mogen ingevoerd worden - in de vorm numeriek, door punten gescheiden - adres/maskerlengte of als een enkelvoudig - IP adres in de vorm numeriek, door - punten gescheiden. - - Het is vaak lastig om te komen tot een reeks adressen - in de vorm adres/masker. De volgende webpagina kan daar - wellicht bij helpen: Het is vaak lastig om te komen tot een reeks IP-adressen die zich + niet gemakkelijk laten uitdrukken met de gepunte numerieke vorm/ + masker-lengte notatie. De port net-mgmt/ipcalc kan gebruikt worden om de + berekeningen te vereenvoudigen. Aanvullende informatie is beschikbaar + op de webpgina van het gereedschap: . @@ -1398,9 +1385,10 @@ Als in een regel op een poort wordt gecontroleerd, voor bron- of bestemmingspoort of beiden, dan is dat alleen van - toepassing op TCP en UDP pakketten. Bij - het maken van poortvergelijkingen kunnen zowel de dienstnamen - uit /etc/services als een uit een + toepassing op TCP- en + UDP-pakketten. Bij het maken van + poortvergelijkingen kunnen zowel de dienstnamen uit + /etc/services als een uit een natuurlijk getal bestaand poortnummer ingesteld worden. Als de poort onderdeel is van het from object dan wordt het vergeleken met het poortnummer van de bron en @@ -1410,13 +1398,13 @@ is in de moderne regels verplicht en neemt de vorm aan van from any to any port = 80. - Poortvergelijkingen kunnen op verschillende manieren - ingesteld worden met een aantal verschillende operators. + Enkelvoudige poortvergelijkingen kunnen op verschillende manieren + gedaan worden met een aantal verschillende operatoren. Er kunnen ook reeksen van poorten ingesteld worden. port = of een van de volgende operators: !=, <, >, <, >=, eq, ne, - lt, gt, le, ge. + lt, gt, le, ge. Reeksen van poorten worden met de volgende optie aangegeven: port <> of @@ -1430,7 +1418,8 @@ - TCP_VLAG + + <acronym>TCP</acronym>_VLAG Vlaggen zijn alleen beschikbaar voor het filteren van TCP. De letters staan voor