PERFORCE change 149727 for review
Rene Ladan
rene at FreeBSD.org
Sat Sep 13 22:20:14 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=149727
Change 149727 by rene at rene_self on 2008/09/13 22:19:12
MFen firewalls/chapter.sgml 1.78 -> 1.85
Checked for build, whitespace, spelling
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#3 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml#3 (text+ko) ====
@@ -3,7 +3,9 @@
$FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.8 2007/12/31 08:01:12 remko Exp $
$FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.33 2006/01/05 21:13:21 siebrand Exp $
- Gebaseerd op: 1.78
+
+ %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml
+ %SRCID% 1.85
-->
<chapter id="firewalls">
@@ -62,11 +64,11 @@
<listitem>
<para>Applicaties, diensten en machines op een intern
netwerk te beschermen tegen ongewild verkeer van het
- internet.</para>
+ Internet.</para>
</listitem>
<listitem>
- <para>Toegang tot internet voor interne hosts te limiteren
+ <para>Toegang tot Internet voor interne hosts te limiteren
of uitschakelen.</para>
</listitem>
@@ -75,7 +77,7 @@
(<quote>network address translation</quote> of
<acronym>NAT</acronym>), waarmee er vanaf een intern
netwerk met private <acronym>IP</acronym> adressen een
- internetverbinding gedeeld kan worden met één
+ Internetverbinding gedeeld kan worden met één
<acronym>IP</acronym> adres of met een groep van publieke
adressen die automatisch wordt toegewezen.</para>
</listitem>
@@ -114,7 +116,7 @@
<itemizedlist>
<listitem>
- <para>Basisbegrip heeft van &os; en internetconcepten.</para>
+ <para>Basisbegrip heeft van &os; en Internetconcepten.</para>
</listitem>
</itemizedlist>
</sect1>
@@ -144,7 +146,7 @@
<quote>stateful firewall</quote>. Een stateful firewall houdt
bij welke connecties er door de firewall tot stand zijn gekomen
en laat alleen verkeer door dat bij een bestaande connectie hoort
- of onderdeeel is van een connectie in opbouw. Het nadeel van een
+ of onderdeel is van een connectie in opbouw. Het nadeel van een
stateful firewall is dat die kwetsbaar kan zijn voor Ontzegging
van Dienst (DoS) aanvallen als er een groot aantal nieuwe
verbindingen binnen korte tijd wordt opgezet. Met de meeste
@@ -164,7 +166,12 @@
beheersen van bandbreedtegebruik): &man.altq.4; en
&man.dummynet.4;. Dummynet is traditioneel sterk verbonden met
<acronym>IPFW</acronym> en <acronym>ALTQ</acronym> met
- <acronym>IPF</acronym>/<acronym>PF</acronym>. IPF, IPFW en PF
+ <acronym>PF</acronym>. Het vormgeven van verkeer voor
+ <acronym>IPFILTER</acronym> kan momenteel gedaan worden met
+ <acronym>IPFILTER</acronym> voor NAT en filtering en
+ <acronym>IPFW</acronym> met &man.dummynet.4;
+ <emphasis>of</emphasis> door <acronym>PF</acronym> met
+ <acronym>ALTQ</acronym> te gebruiken. IPFW en PF
gebruiken allemaal regels om de toegang van pakketten tot een
systeem te regelen, hoewel ze dat op andere manieren doen en de
syntaxis voor regels anders is.</para>
@@ -176,7 +183,7 @@
<para>De schrijver van dit artikel geeft de voorkeur aan IPFILTER
omdat daarmee stateful regels minder complex zijn toe te passen
in een omgeving waar <acronym>NAT</acronym> wordt gebruikt en
- IPF heeft een ingebouwde ftp proxy waardoor de regels voor het
+ IPF heeft een ingebouwde FTP proxy waardoor de regels voor het
veilig gebruiken van FTP eenvoudiger worden.</para>
<para>Omdat alle firewalls gebaseerd zijn op het inspecteren van
@@ -189,6 +196,17 @@
</sect1>
<sect1 id="firewalls-pf">
+ <sect1info>
+ <authorgroup>
+ <author>
+ <firstname>John</firstname>
+ <surname>Ferrell</surname>
+ <contrib>Herzien en bijgewerkt door </contrib>
+ <!-- 24 maart 2008 -->
+ </author>
+ </authorgroup>
+ </sect1info>
+
<title>De OpenBSD Packet Filter (PF) en
<acronym>ALTQ</acronym></title>
@@ -200,63 +218,72 @@
<para>Vanaf juli 2003 is de OpenBSD firewalltoepassing
<acronym>PF</acronym> geporteerd naar &os; en beschikbaar gekomen
- in de &os; Portscollectie. In november 2004 was &os; 5.3 de
+ in de &os; Portscollectie. In 2004 was &os; 5.3 de
eerste release die <acronym>PF</acronym> bevatte is integraal
onderdeel van het basissysteem. <acronym>PF</acronym> is een
complete en volledige firewall die optioneel
<acronym>ALTQ</acronym> bevat (Alternate Queuing).
<acronym>ALTQ</acronym> biedt Quality of Service
- (<acronym>QoS</acronym>) bandbreedtebeheersing waardoor een
- bepaalde bandbreedte gegarandeerd kan worden aan verschillende
- diensten op basis van filterregels. Het OpenBSD project zorgt
- voor een erg goed gebruikershandboek voor PF (PF User's Guide)
- dat niet in dit onderdeel wordt opgenomen omdat dat niet nodig
- is.</para>
+ (<acronym>QoS</acronym>) functionaliteit.</para>
+
+ <para>het OpenBSD Project levert een uitstekend werk wat betreft het
+ onderhouden van de <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>. Zodoende
+ zal deze sectie van het handboek zich richten op
+ <acronym>PF</acronym> met betrekking tot &os; terwijl het ook wat
+ algemene informatie over het gebruik zal geven. Voor
+ gedetailleerde gebruikersinformatie wordt naar de <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink> verwezen.
+ </para>
- <para>Meer informatie staat op de <quote>PF voor &os;</quote>
- website: <ulink
- url="http://pf4freebsd.love2party.net/"></ulink>.</para>
+ <para>Meer informatie over <acronym>PF</acronym> voor &os; staat op
+ <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
<sect2>
- <title>PF inschakelen</title>
+ <title>De laadbare kernelmodule voor PF gebruiken</title>
- <para>PF zit in de basisinstallatie van &os; voor versies vanaf
- 5.3 als aparte <quote>run time</quote> laadbare module. Een
- systeem laadt de PF laadbare module dynamisch in de kernel als
- <literal>pf_enable="YES"</literal> in
- <filename>rc.conf</filename> staat. In de laadbare module is
- loggen via &man.pflog.4; ingeschakeld.</para>
+ <para>Sinds de uitgave van &os; 5.3 wordt PF geleverd in de
+ basisinstallatie als een aparte runtime laadbare module. Het
+ systeem zal de PF kernelmodule dynamisch laden wanneer het
+ statement <literal>pf_enable="YES"</literal> voor
+ &man.rc.conf.5; aanwezig is. De <acronym>PF</acronym> module
+ zal echter niet laden als het systeem geen instellingenbestand
+ met een <acronym>PF</acronym> ruleset kan vinden. De
+ standaardplaats is <filename>/etc/pf.conf</filename>. Indien uw
+ <acronym>PF</acronym> ruleset ergens anders staat, voeg dan
+ <literal>pf_rules="<replaceable>/pad/pf.rules</replaceable>"</literal>
+ aan uw instellingenbestand <filename>/etc/rc.conf</filename> toe
+ om de plaats te specificeren.</para>
<note>
- <para>De module verwacht dat <literal>options INET</literal> en
- <literal>device bpf</literal> beschikbaar zijn. Tenzij
- <literal>NOINET6</literal> was ingesteld voor &os; versies die
- dateren voor 6.0-RELEASE, en <literal>NO_INET6</literal> voor
- latere releases. (bijvoorbeeld in
- &man.make.conf.5;) tijdens het bouwen, is ook
- <literal>options INET6</literal> nodig.</para>
+ <para>Sinds &os; 7.0 is het voorbeeld
+ <filename>pf.conf</filename> dat in <filename
+ class="directory">/etc/</filename> stond verplaatst naar
+ <filename class="directory">/usr/share/examples/pf/</filename>.
+ Voor versies van &os; voor 7.0 is er standaard een
+ <filename>/etc/pf.conf</filename> aanwezig.</para>
</note>
- <para>Zora de kernel module geladen is of als PF ondersteuning
- statisch in de kernel ingebakken is, is het mogelijk om pf met
- het <command>pfctl</command> commando aan en uit te zetten:</para>
-
- <screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
+ <para>De module <acronym>PF</acronym> kan ook handmatig vanaf de
+ opdrachtregel geladen worden:</para>
+
+ <screen>&prompt.root; <userinput>kldload pf.ko</userinput></screen>
- <para>Het <command>pfctl</command> commando levert een manier om
- te werken met de <application>pf</application> firewall. Het
- is een goed idee om de &man.pfctl.8; handleiding te bekijken
- voor meer informatie over het gebruik.</para>
+ <para>De laadbare module was gemaakt met &man.pflog.4; aangezet
+ dat ondersteuning biedt voor logging. Indien u andere
+ mogelijkheden van <acronym>PF</acronym> nodig heeft dient u
+ ondersteuning voor <acronym>PF</acronym> in de kernel te
+ compileren.</para>
</sect2>
<sect2>
- <title>Kernelopties</title>
+ <title>Kernelopties voor PF</title>
<indexterm>
<primary>kernelopties</primary>
<secondary>device pf</secondary>
- </indexterm>
+ </indexterm>
<indexterm>
<primary>kernelopties</primary>
@@ -270,73 +297,171 @@
<secondary>device pfsync</secondary>
</indexterm>
- <para>Het is niet verplicht om PF in te schakelen door het mee
- te compileren in de &os; kernel. Dit wordt alleen beschreven
- als achtergrondinformatie. Door PF in de kernel te
- compileren wordt de laadbare module niet gebruikt.</para>
+ <para>Hoewel het niet nodig is om ondersteuning voor
+ <acronym>PF</acronym> in de kernel te compileren, biedt dit wel
+ de mogelijkheid om van een van PF's geavanceerde mogelijkheden
+ gebruik te maken die niet in de laadbare module zitten, namelijk
+ &man.pfsync.4;, dat een pseudo-apparaat is dat zekere
+ veranderingen aan de toestandstabel die door
+ <acronym>PF</acronym> wordt gebruikt prijsgeeft. Het kan worden
+ gecombineerd met &man.carp.4; om failover firewalls aan te maken
+ die gebruik maken van <acronym>PF</acronym>. Meer informatie
+ over <acronym>CARP</acronym> kan gevonden worden in <link
+ linkend="carp">hoofdstuk 29</link> van het handboek.</para>
+
+ <para>De kernelopties voor <acronym>PF</acronym> kunnen gevonden
+ worden in <filename>/usr/src/sys/conf/NOTES</filename> en zijn
+ hieronder gereproduceerd:</para>
- <para>Voorbeeld kernelinstellingen voor PF staan beschreven in
- de <filename>/usr/src/sys/conf/NOTES</filename> kernel source
- en worden hier weergegeven:</para>
<programlisting>device pf
device pflog
device pfsync</programlisting>
- <para><literal>device pf</literal> schakelt ondersteuning voor de
- <quote>Packet Filter</quote> firewall in.</para>
+ <para>De optie <literal>device pf</literal> schakelt ondersteuning
+ voor de <quote>Packet Filter</quote> firewall (&man.pf.4;) in.
+ </para>
- <para><literal>device pflog</literal> schakelt het
- optionele &man.pflog.4; pseudo netwerkapparaat in dat gebruikt
+ <para>De optie <literal>device pflog</literal> schakelt het
+ optionele &man.pflog.4; pseudo-netwerkapparaat in dat gebruikt
kan worden om verkeer te loggen naar een &man.bpf.4;
descriptor. De &man.pflogd.8; daemon kan gebruikt worden om
de logboekinformatie naar schijf te schrijven.</para>
- <para><literal>device pfsync</literal> schakelt het
+ <para>De optie <literal>device pfsync</literal> schakelt het
optionele &man.pfsync.4; pseudo netwerkapparaat in waarmee de
- <quote>state</quote> wijzigingen gemonitord kunnen worden.
- Omdat dit geen onderdeel is van de laadbare module, moet dit
- in een aangepaste kernel gebouwd worden om het te kunnen
- gebruiken.</para>
-
- <para>Deze instellingen worden pas actief nadat een kernel
- waarvoor deze instellingen zijn gemaakt is gebouwd en
- geïnstalleerd.</para>
+ toestandswijzigingen gemonitord kunnen worden.
+ </para>
</sect2>
<sect2>
- <title>Beschikbare opties voor
- <filename>rc.conf</filename></title>
+ <title>Beschikbare opties voor <filename>rc.conf</filename>
+ </title>
- <para>De volgende instellingen moeten in <filename>/etc/rc.conf
- </filename> staan om PF bij het booten te activeren:</para>
+ <para>De volgende &man.rc.conf.5; statements stellen
+ <acronym>PF</acronym> en &man.pflog.4; in tijdens het opstarten:
+ </para>
<programlisting>pf_enable="YES" # Schakel PF in (laad module als nodig)
pf_rules="/etc/pf.conf" # bestand met regels voor pf
-pf_flags="" # aanvullende vraagen voor opstarten pfctl
+pf_flags="" # aanvullende vragen voor opstarten pfctl
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # waar pflogd het logboekbestand moet opslaan
pflog_flags="" # aanvullende vlaggen voor opstarten pflogd</programlisting>
<para>Als er een LAN achter de firewall staat en er pakketten
- doorgestuurd moeten worden naar computers op dat LAN of als
- NAT actief is, dan moet de volgende optie ook ingesteld
- worden:</para>
+ doorgestuurd moeten worden naar computers op het LAN of als
+ NAT actief is, dan is de volgende optie ook nodig:</para>
<programlisting>gateway_enable="YES" # Schakel in als LAN gateway</programlisting>
</sect2>
<sect2>
+ <title>Filterregels aanmaken</title>
+
+ <para><acronym>PF</acronym> leest de instelregels van
+ &man.pf.conf.5; (standaard <filename>/etc/pf.conf</filename>) en
+ het verandert, verwijdert, of geeft pakketten door aan de hand
+ van de regels of definities die daar zijn gespecificeerd. De
+ &os;-installatie bevat een aantal voorbeeldbestanden in
+ <filename>/usr/share/examples/pf/</filename>. In de <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink> staat een
+ complete behandeling van de <acronym>PF</acronym> regels.</para>
+
+ <warning>
+ <para>Houd tijdens het doornemen van de <ulink
+ url="http://www.openbsd.org/faq/pf">PF FAQ</ulink> in de gaten
+ dat verschillende versies van &os; verschillende versies van
+ PF bevatten:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>&os; 5.<replaceable>X</replaceable> —
+ <acronym>PF</acronym> is op OpenBSD 3.5</para>
+ </listitem>
+
+ <listitem>
+ <para>&os; 6.<replaceable>X</replaceable> —
+ <acronym>PF</acronym> is op OpenBSD 3.7</para>
+ </listitem>
+
+ <listitem>
+ <para>&os; 7.<replaceable>X</replaceable> —
+ <acronym>PF</acronym> is op OpenBSD 4.1</para>
+ </listitem>
+ </itemizedlist>
+ </warning>
+
+ <para>De &a.pf; is een goede plaats om vragen over het instellen
+ en draaien van de <acronym>PF</acronym> firewall te stellen.
+ Vergeet niet de mailinglijstarchieven te controleren alvorens
+ vragen te stellen!</para>
+ </sect2>
+
+ <sect2>
+ <title>Werken met PF</title>
+
+ <para>Gebruik &man.pfctl.8; om <acronym>PF</acronym> te beheren.
+ Hieronder staan wat nuttige commando's (bekijk de hulppagina
+ &man.pfctl.8; voor alle beschikbare opties):</para>
+
+ <informaltable frame="none" pgwide="1">
+ <tgroup cols="2">
+ <thead>
+ <row>
+ <entry>Commando</entry>
+ <entry>Doel</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry><command>pfctl <option>-e</option></command></entry>
+
+ <entry>PF aanzetten</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-d</option></command></entry>
+
+ <entry>PF uitzetten</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-F</option> all <option>-f</option> /etc/pf.conf</command></entry>
+
+ <entry>Spoel alle regels door (nat, filter, toestand,
+ tabel, etc.) en herlaad vanuit het bestand
+ <filename>/etc/pf.conf</filename></entry>
+
+ <entry><command>pfctl <option>-s</option> [ rules | nat | state ]</command></entry>
+
+ <entry>Rapporteer over de filterregels, NAT-regels, of
+ toestandstabel</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry>
+
+ <entry>Controleer <filename>/etc/pf.conf</filename> op
+ fouten, maar laad de ruleset niet</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </informaltable>
+ </sect2>
+
+ <sect2>
<title><acronym>ALTQ</acronym> inschakelen</title>
- <para><acronym>ALTQ</acronym> is alleen beschikbaar door de
- opties in de &os; Kernel te compileren.
- <acronym>ALTQ</acronym> wordt niet door alle
- netwerkkaartstuurprogramma's ondersteund. In &man.altq.4;
- staat een lijst met ondersteunde stuurprogramma's voor de
- betreffende versie. Met de volgende opties wordt
- <acronym>ALTQ</acronym> ingeschakeld en additionele
- functionaliteit toegevoegd:</para>
+ <para><acronym>ALTQ</acronym> is alleen beschikbaar ondersteuning
+ ervoor in de &os; Kernel te compileren. <acronym>ALTQ</acronym>
+ wordt niet door alle netwerkkaartstuurprogramma's ondersteund.
+ In &man.altq.4; staat een lijst met ondersteunde
+ stuurprogramma's voor de betreffende versie.</para>
+
+ <para>Met de volgende opties wordt <acronym>ALTQ</acronym>
+ ingeschakeld en additionele functionaliteit toegevoegd:</para>
<programlisting>options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
@@ -347,12 +472,12 @@
options ALTQ_NOPCC # Required for SMP build</programlisting>
<para><literal>options ALTQ</literal> schakelt het
- <acronym>ALTQ</acronym> framework in.</para>
+ <acronym>ALTQ</acronym> raamwerk in.</para>
<para><literal>options ALTQ_CBQ</literal> schakelt Class Based
Queuing (<acronym>CBQ</acronym>) in. Met
<acronym>CBQ</acronym> kan de bandbreedte van een verbinding
- worden opgedeeld in verschillende klasses of wachtrijen om
+ worden opgedeeld in verschillende klassen of wachtrijen om
verkeer te prioriteren op basis van filterregels.</para>
<para><literal>options ALTQ_RED</literal> schakelt Random Early
@@ -383,38 +508,6 @@
<acronym>ALTQ</acronym> in. Deze optie is verplicht op
<acronym>SMP</acronym> systemen.</para>
</sect2>
-
- <sect2>
- <title>Filter regels aanmaken</title>
-
- <para>De pakket filter leest zijn configuratie regels uit het
- &man.pf.conf.5; bestand en het veranderd, dropt, of accepteert
- pakketjes zoals gedefinieerd in de filter regels. De &os;
- installatie komt met een standaard
- <filename>/etc/pf.conf</filename> waarin nuttige voorbeelden
- en uitleg staat.</para>
-
- <para>Ook al heeft &os; zijn eigen <filename>/etc/pf.conf</filename>
- bestand, de configuratie is hetzelfde als in OpenBSD. Een
- geweldige bron voor het configureren van
- <application>pf</application> is geschreven door het OpenBSD
- team en is beschikbaar op <ulink
- url="http://www.openbsd.org/faq/pf/"></ulink>.</para>
-
- <warning>
- <para>Wanneer door de pf gebruikers handleiding wordt
- gebladerd, houd er dan rekening mee dat elke &os;
- versie een andere versie van pf gebruikt. De
- <application>pf</application> firewall in &os; 5.X zit
- op het niveau van OpenBSD versie 3.5 en in &os; 6.X zit
- het op het niveau van OpenBSD versie 3.7</para>
- </warning>
-
- <para>De &a.pf; is een goede plek om vragen te stellen over het
- configureren en het draaien van de <application>pf</application>.
- Vergeet niet om eerst de mailing lijst te controleren voor er
- vragen gesteld worden.</para>
- </sect2>
</sect1>
<sect1 id="firewalls-ipf">
@@ -451,7 +544,7 @@
<para>IPF is oorspronkelijk geschreven met logica die regels
verwerkte volgens het principe <quote>de laatst passende regel
- wint</quote> en gebruikte toen alleen staatloze regels. In de
+ wint</quote> en gebruikte toen alleen staatloze regels. In de
loop der tijd is IPF verbeterd en zijn de opties
<literal>quick</literal> en <literal>keep state</literal>
toegevoegd waarmee de logica van het verwerken van regels
@@ -471,7 +564,7 @@
voldoen aan de regels. Op die manier kan er in de hand
gehouden worden welke diensten van binnen de firewall naar
buiten mogen en welke diensten op het private netwerk vanaf
- het internet bereikbaar zijn. Al het andere verkeer wordt
+ het Internet bereikbaar zijn. Al het andere verkeer wordt
vanuit het ontwerp standaard geblokkeerd en gelogd.
Inclusieve firewalls zijn veel veiliger dan exclusieve
firewalls. Het is ook de enige wijze voor de opzet van een
@@ -741,7 +834,7 @@
gebeurtenissen in het verleden te bekijken. Zo zijn &os; en
IPFILTER ingesteld om samen te werken. &os; heeft ingebouwde
mogelijkheden om automatisch syslogs te roteren. Daarom is
- het beter om de uitvoer naar &man.syslogd.8; te geschrijven
+ het beter om de uitvoer naar &man.syslogd.8; te schrijven
dan naar een gewoon bestand. In <filename>rc.conf</filename>
is te zien dat de instelling <literal>ipmon_flags</literal>
de waarde <option>-Ds</option> heeft:</para>
@@ -994,7 +1087,7 @@
scripts niet direct lezen.</para>
<para>Dit script kan gebruikt worden op één van de
- volgende twee manieren:</para>
+ volgende twee manieren:</para>
<itemizedlist>
<listitem>
@@ -1043,9 +1136,9 @@
bi-directionele uitwisseling van pakketten tussen hosts
bestaat uit een gesprek dat een sessie heet. De set van
firewallregels beoordeelt pakketten twee keer: als het
- aankomt van de host op het publieke internet en als het de
+ aankomt van de host op het publieke Internet en als het de
host weer verlaat op de weg terug naar de host op het
- publieke internet. Iedere <acronym>TCP</acronym>/IP dienst
+ publieke Internet. Iedere <acronym>TCP</acronym>/IP dienst
als telnet, www, mail, etc, heeft zijn eigen protocol, bron
<acronym>IP</acronym> adres en bestemmings
<acronym>IP</acronym> adres of de bron- en bestemmingspoort.
@@ -1077,7 +1170,7 @@
voldoen aan de regels. Op die manier kan er in de hand
gehouden worden welke diensten van binnen de firewall naar
buiten mogen en welke diensten op het private netwerk vanaf
- het internet bereikbaar zijn. Al het andere verkeer wordt
+ het Internet bereikbaar zijn. Al het andere verkeer wordt
vanuit het ontwerp standaard geblokkeerd en gelogd.
Inclusieve firewalls zijn veel veiliger dan exclusieve
firewalls. Het is ook de enige wijze voor de opzet van een
@@ -1375,7 +1468,7 @@
<para>Met stateful filteren wordt verkeer benaderd als een
uitwisseling van pakketten tussen twee kanten die een sessie
zijn. Als het is ingeschakeld, dan maakt het
- <option>keep state</option> mechamisme dynamisch interne
+ <option>keep state</option> mechanisme dynamisch interne
regels voor pakketten die in de sessie horen te volgen. Het
kan bekijken of de karakteristieken van de sessie tussen
verzender en ontvanger de juiste procedure volgen. Alle
@@ -1392,7 +1485,7 @@
zijn.</para>
<para>Wat er gebeurt: pakketten die naar buiten gaan op de
- interface die met internet is verbonden worden eerst
+ interface die met Internet is verbonden worden eerst
vergeleken met de dynamische staattabel. Als een pakket
voldoet aan de verwachting van het volgende pakket in de
sessie, dan mag het de firewall verlaten en wordt de
@@ -1401,7 +1494,7 @@
verkeer.</para>
<para>Pakketten die binnenkomen op de interface die met
- internet is verbonden worden eerst vergeleken met de
+ Internet is verbonden worden eerst vergeleken met de
dynamische staattabel. Als een pakket voldoet aan de
verwachting van het volgende pakket in de sessie, dan mag het
de firewall verlaten en wordt de staattabel bijgewerkt. De
@@ -1415,11 +1508,11 @@
leggen op het blokkeren of toestaan van nieuwe sessies.
Als een nieuwe sessie tot stand mag komen, dan worden alle
volgende pakketten automatisch doorgelaten en al het
- vervalste verkeer wordt automatisch tegegehouden. Als een
+ vervalste verkeer wordt automatisch tegengehouden. Als een
nieuwe sessie wordt geweigerd, dan wordt geen enkel pakket
doorgelaten. Met stateful filteren zijn er uitgebreide
mogelijkheden voor onderzoek om bescherming te bieden tegen
- de veelheid aan aanvallen die tegenwoorden door aanvallers
+ de veelheid aan aanvallen die tegenwoordig door aanvallers
worden uitgevoerd.</para>
</sect2>
@@ -1442,8 +1535,8 @@
vinden.</para>
<para>Voor de interface die is verbonden met het publieke
- internet worden regels gemaakt waarmee sessies naar het
- internet mogelijk gemaakt worden en toegang wordt gegeven
+ Internet worden regels gemaakt waarmee sessies naar het
+ Internet mogelijk gemaakt worden en toegang wordt gegeven
voor pakketten die uit die sessies terug komen. Dit kan
de PPP interface <devicename>tun0</devicename> zijn of de
netwerkkaart die is verbonden met een xDSL of
@@ -1466,7 +1559,7 @@
<para>In het onderdeel Uitgaand staan alleen regels met
<parameter>pass</parameter> die parameters bevatten om
- individuele diensten beschikbaar te maken zodat er internet
+ individuele diensten beschikbaar te maken zodat er Internet
toegang is. Al die regels moeten gebruik maken van
<parameter>quick</parameter>, <parameter>on</parameter>,
<parameter>proto</parameter>, <parameter>port</parameter> en
@@ -1517,7 +1610,7 @@
<para>De onderstaande set regels is een complete en erg veilige
inclusieve set met regels voor een firewall die de auteur
- zelf heeft gebruikt op zijn syteem. Deze set met regels is
+ zelf heeft gebruikt op zijn systeem. Deze set met regels is
een aanrader en eenvoudig aan te passen door commentaar te
maken van een regel voor een dienst die niet gewenst
is.</para>
@@ -1529,7 +1622,7 @@
<para>Voor de onderstaande regels dient de
<devicename>dc0</devicename> interfacenaam in iedere regel
vervangen te worden door de interfacenaam van de netwerkkaart
- in het systeem die met het publieke internet is verbonden.
+ in het systeem die met het publieke Internet is verbonden.
Voor gebruikers van PPP zou dat <devicename>tun0</devicename>
zijn.</para>
@@ -1551,22 +1644,22 @@
pass out quick on lo0 all
#################################################################
-# Interface aan het publieke internet (onderdeel Uitgaand).
+# Interface aan het publieke Internet (onderdeel Uitgaand).
# Inspecteer verzoeken om een sessie te starten van achter de
# firewall op het private netwerk of vanaf de server zelf naar
-# het publieke internet.
+# het publieke Internet.
#################################################################
# Geef toegang tot de DNS server van de ISP.
# xxx moet het IP adres van de DNS van de ISP zijn.
-# Dupliceer deze regels als een ISP meedere DNS servers heeft.
+# Dupliceer deze regels als een ISP meerdere DNS servers heeft.
# Haal het IP adres evt. uit /etc/resolv.conf.
pass out quick on dc0 proto tcp from any to xxx port = 53 flags S keep state
pass out quick on dc0 proto udp from any to xxx port = 53 keep state
# Geef toegang tot de DHCP server van de ISP voor kabel- en
# xDSL-netwerken. Deze regel is niet nodig als gebruik gemaakt worden
-# van PPP naar het publieke internet. In dat geval kan de hele groep
+# van PPP naar het publieke Internet. In dat geval kan de hele groep
# verwijderd worden. Gebruik de volgende regel en controleer het
# logboek voor het IP adres. Wijzig dan het IP adres in de regel
# commentaar hieronder en verwijder de eerste regel.
@@ -1593,7 +1686,7 @@
# (zowel passieve als actieve modes). Deze functie maakt gebruik van
# de in IPNAT ingebouwde FTP proxy die in het bestand met nat regels
# staat om dit in één regel te laten werken. Als er met
-# pkg_add packages toegevoegd moeten kunnen worden op een systeem, dan
+# pkg_add pakketten toegevoegd moeten kunnen worden op een systeem, dan
# is deze regel nodig.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
@@ -1607,10 +1700,10 @@
# Sta de &os; CVSUP functie toe.
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
-# Sta ping toe naar het publieke internet.
+# Sta ping toe naar het publieke Internet.
pass out quick on dc0 proto icmp from any to any icmp–type 8 keep state
-# Sta whois toe vanaf overal naar het publieke internet.
+# Sta whois toe vanaf overal naar het publieke Internet.
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Blokkeer en log het eerste voorkomen van al het andere dat probeert
@@ -1618,8 +1711,8 @@
block out log first quick on dc0 all
#################################################################
-# Interface aan het publieke internet (onderdeel Inkomend).
-# Inspecteert pakketten die van het publieke internet komen
+# Interface aan het publieke Internet (onderdeel Inkomend).
+# Inspecteert pakketten die van het publieke Internet komen
# met als bestemming de host zelf of het private netwerk.
#################################################################
@@ -1638,7 +1731,7 @@
##### Blokkeer wat vervelende dingen ############
# die niet in de logboeken moeten komen.
-# Blokkeer flagmenten.
+# Blokkeer fragmenten.
block in quick on dc0 all with frags
# Block korte TCP pakketten.
@@ -1673,21 +1766,21 @@
# moet het IP adres van de DHCP server van de ISP bevatten omdat die
# de enige toegestane bron van dit type pakketten moet zijn. Alleen
# van belang voor kabel en xDSL instellingen. Deze regel is niet nodig
-# voor PPP verbindingen naar het publieke internet. Dit is hetzelfde
+# voor PPP verbindingen naar het publieke Internet. Dit is hetzelfde
# IP adres dat in het Uitgaande onderdeel is opgezocht.
pass in quick on dc0 proto udp from z.z.z.z to any port = 68 keep state
# Sta inkomend webverkeer toe omdat er een Apache server draait.
pass in quick on dc0 proto tcp from any to any port = 80 flags S keep state
-# Sta niet beveiligde telnet sessie toe vanaf het publieke internet.
+# Sta niet beveiligde telnet sessie toe vanaf het publieke Internet.
# Dit heeft het label <quote>niet veilig</quote> omdat gebruikersnaam en
-# wachtwoord als platte tekst over internet gaan. Als er geen telnet
+# wachtwoord als platte tekst over Internet gaan. Als er geen telnet
# server draait, hoeft deze regel niet actief te zijn.
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
-# Sta beveiligde FTP, telnet en SCP toe vanaf internet.
-# Deze functie gebruik SSH(secure shell).
+# Sta beveiligde FTP, telnet en SCP toe vanaf Internet.
+# Deze functie gebruik SSH (secure shell).
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Blokkeer en log het eerste voorkomen van al het andere dat probeert
@@ -1714,20 +1807,20 @@
<primary>network address translation</primary>
<see>NAT</see>
- </indexterm>
+ </indexterm>
<indexterm>
<primary>netwerkadres vertaling</primary>
<see>NAT</see>
- </indexterm>
+ </indexterm>
<para><acronym>NAT</acronym> staat voor Network Address
Translation (netwerkadres vertaling). In &linux; heet dit IP
Masquerading. Een van de vele mogelijkheden die IPF
<acronym>NAT</acronym> kan bieden is het delen van
één <acronym>IP</acronym> adres op het publieke
- internet met een LAN achter een firewall.</para>
+ Internet met een LAN achter een firewall.</para>
<para>De vraag zou kunnen rijzen waarom iemand dat zou willen.
ISP's wijzen normaliter namelijk dynamisch een
@@ -1737,10 +1830,10 @@
dat de kabel- of xDSL-modem uit- en aangeschakeld wordt
anders kan zijn. Dit <acronym>IP</acronym> adres is het
adres waarmee een netwerkapparaat bekend is op het publieke
- internet.</para>
+ Internet.</para>
<para>Stel dat er vijf PC's in een huis staan en iedere
- computer in dat huis heeft toegang tot internet nodig. Dan
+ computer in dat huis heeft toegang tot Internet nodig. Dan
zouden er bij een ISP vijf individuele accounts moeten zijn
en vijf telefoonlijnen om dat te realiseren.</para>
@@ -1751,13 +1844,13 @@
<acronym>NAT</acronym> zal automatisch de private LAN
<acronym>IP</acronym> adressen van alle PC's vertalen naar
een enkel publiek <acronym>IP</acronym> adres als de
- pakketten de firewall naar het internet verlaten.</para>
+ pakketten de firewall naar het Internet verlaten.</para>
<para><acronym>NAT</acronym> wordt vaak gebruikt zonder
toestemming of wetenschap van een ISP en in de meeste
gevallen is het, als het wordt ontdekt, grond voor een ISP
om de account op te zeggen. Commerciële gebruikers
- betalen veel meer voor hun internet verbindingen en krijgen
+ betalen veel meer voor hun Internet verbindingen en krijgen
vaak een reeks statische <acronym>IP</acronym> adressen die
nooit verandert. Een ISP verwacht en staat toe dat
commerciële gebruikers <acronym>NAT</acronym> inzetten
@@ -1767,7 +1860,7 @@
adressen gereserveerd voor <acronym>NAT</acronym> op LANs.
Volgens RFC 1918 kunnen de volgende reeksen
<acronym>IP</acronym> adressen gebruikt worden op private
- netwerken die nooit direct op het publieke internet
+ netwerken die nooit direct op het publieke Internet
gerouteerd worden.</para>
<informaltable frame="none" pgwide="1">
@@ -1915,7 +2008,7 @@
met het sleutelwoord <literal>0.32</literal>.
<acronym>NAT</acronym> werkt dan zijn interne
<acronym>NAT</acronym> tabel bij, zodat als er een pakket uit
- die sessie terugkomt van het publieke internet, dat pakket
+ die sessie terugkomt van het publieke Internet, dat pakket
weer gepast kan worden bij het originele private
<acronym>IP</acronym> adres en door de firewallregels
gefilterd kan worden om daarna, als dat mag, naar een client
@@ -1985,7 +2078,7 @@
<para>In grote netwerken komt er een moment waarop er gewoon
te veel adressen zijn om te bedienen met één
<acronym>IP</acronym> adres. Als er een blok van publiekelijke
- IP addressen beschikbaar is, dan kunnen deze adressen
+ IP adressen beschikbaar is, dan kunnen deze adressen
gebruikt worden in een poel, welke door
IP<acronym>NAT</acronym> gebruikt kan worden om
één van de adressen te gebruiken als uitgaand
@@ -2030,7 +2123,7 @@
<programlisting>rdr dc0 0.0.0.0/32 port 80 -> 10.0.10.25 port 80</programlisting>
- <para>Voor een DNS server op een LAN die ook vanuit internet
+ <para>Voor een DNS server op een LAN die ook vanuit Internet
bereikbaar met zijn en die draait op <hostid
role="ipaddr">10.0.10.33</hostid> zou de regel er als
volgt uit zien:</para>
@@ -2041,7 +2134,7 @@
<sect2>
<title>FTP en <acronym>NAT</acronym></title>
- <para>FTP is dinosaurus uit het tijdperk van voor internet was
+ <para>FTP is dinosaurus uit het tijdperk van voor Internet was
zoals het nu is, toen onderzoeksinstellingen met elkaar
verbonden waren via huurlijnen en FTP de aangewezen methode
was om bestanden met elkaar uit te wisselen. Maar bij het
@@ -2108,7 +2201,7 @@
nodig. Zonder de FTP proxy zouden er drie regels nodig
zijn:</para>
- <programlisting># Sta LAN client toe te FTP-en naar internet
+ <programlisting># Sta LAN client toe te FTP-en naar Internet
# Actieve en passieve modes
pass out quick on rl0 proto tcp from any to any port = 21 flags S keep state
@@ -2178,7 +2271,7 @@
</indexterm>
<para>IPFW zit bij de basisinstallatie van &os; als een losse
- in run-time laadbare module. Het systeem laadt de kernel
+ in runtime laadbare module. Het systeem laadt de kernel
module dynamisch als in <filename>rc.conf</filename>
<literal>firewall_enable="YES"</literal> staat. IPFW hoeft
niet in de &os; kernel gecompileerd te worden, tenzij het
@@ -2358,7 +2451,7 @@
<para>Aan de andere kant is het mogelijk om de
<literal>firewall_script</literal> variabele te zetten naar een
absoluut pad van een uitvoerbaar bestand, welke inclusief
- <command>ipfw</command> commandos uitgevoerd wordt tijdens het
+ <command>ipfw</command> commando's uitgevoerd wordt tijdens het
opstarten van het systeem. Een geldig ruleset script dat
gelijkwaardig is aan het ruleset bestand hierboven, zou het
volgende zijn:</para>
@@ -2377,7 +2470,7 @@
<filename>/etc/rc.firewall</filename> gecontroleerd worden om
te zien of deze configuratie voldoet voor de machine. Let
ook op dat alle voorbeelden die gebruikt zijn in dit hoofdstuk
- ervanuit gaan dat de <literal>firewall_script</literal>
+ ervan uitgaan dat de <literal>firewall_script</literal>
variabele gezet is naar <filename>/etc/ipfw.rules</filename>.</para>
</note>
@@ -2387,7 +2480,7 @@
<warning>
<para>Het enige dat de variabele
- <varname>firewall_logging</varname> doet is de sysctlt
+ <varname>firewall_logging</varname> doet is de sysctl
variabele <varname>net.inet.ip.fw.verbose</varname> op de
waarde <literal>1</literal> zetten (zie <xref
linkend="firewalls-ipfw-enable">). Er is geen variabele in
@@ -2402,8 +2495,8 @@
<para>Als de machine in kwestie een gateway is, dus Network
Address Translation (NAT) diensten levert via &man.natd.8;, dan
staat in <xref linkend="network-natd"> meer informatie over de
- benodigde installingen voor
- <filename>/etc/rc.conf</filename>.</para>
+ benodigde instellingen voor
+ <filename>/etc/rc.conf</filename>.</para>
</sect2>
<sect2 id="firewalls-ipfw-cmd">
@@ -2437,7 +2530,7 @@
<screen>&prompt.root; <userinput>ipfw –t list</userinput></screen>
<para>Het volgende commando kan gebruikt worden om de
- verantwoordingsinformatie, pakettellers en de regel zelf te
+ verantwoordingsinformatie, pakkettellers en de regel zelf te
tonen. De eerste kolom is het regelnummer met daarachter
het aantal keren dat de regel van toepassing was voor
inkomend verkeer, gevolgd door het aantal keren dat de regel
@@ -2474,8 +2567,8 @@
uitwisseling van pakketten tussen hosts bestaat uit een
gesprek dat een sessie heet. De set van firewallregels
beoordeelt pakketten twee keer: als het aankomt van de host
- op het publieke internet en als het de host weer verlaat op
- de weg terug naar de host op het publieke internet. Iedere
+ op het publieke Internet en als het de host weer verlaat op
+ de weg terug naar de host op het publieke Internet. Iedere
<acronym>TCP</acronym>/<acronym>IP</acronym> dienst als
telnet, www, mail, etc, heeft zijn eigen protocol, bron
<acronym>IP</acronym> adres en bestemmings
@@ -2484,7 +2577,7 @@
regels waarmee diensten toegelaten of geblokkeerd kunnen
worden.</para>
- <indexterm>
+ <indexterm>
<primary>IPFW</primary>
<secondary>volgorde regelverwerking</secondary>
@@ -2518,7 +2611,7 @@
voldoen aan de regels. Op die manier kan er in de hand
gehouden worden welke diensten van binnen de firewall naar
buiten mogen en welke diensten op het private netwerk vanaf
- het internet bereikbaar zijn. Al het andere verkeer wordt
+ het Internet bereikbaar zijn. Al het andere verkeer wordt
vanuit het ontwerp standaard geblokkeerd en gelogd.
Inclusieve firewalls zijn veel veiliger dan exclusieve
firewalls. Het is ook de enige wijze voor de opzet van een
@@ -2542,7 +2635,7 @@
<para>De regelsyntaxis zoals hier toegelicht is vereenvoudigd
door alleen te tonen wat nodig is om een standaard
inclusieve set met firewallregels te maken. De complete
- beschijving van alle mogelijkheden staat in
+ beschrijving van alle mogelijkheden staat in
&man.ipfw.8;.</para>
<para>Regels bevatten sleutelwoorden die in een bepaalde
@@ -2618,7 +2711,7 @@
<para>Als een regel met het sleutelwoord
<parameter>log</parameter> van toepassing is op een
pakket, dan wordt er een bericht naar &man.syslogd.8;
- geschreven met de facilitynaam SECURITY. Er wordt alleen
+ geschreven met de faciliteitsnaam SECURITY. Er wordt alleen
een bericht geschreven als het aantal voor die regel
gelogde pakketten niet groter is dan de instelling
<parameter>logamount</parameter>. Als
@@ -2628,7 +2721,7 @@
bestaat er in het geval de waarde nul is geen limiet.
Als de limiet is bereikt, dan kan het loggen weer
ingeschakeld worden door de teller voor het loggen weer
- op nul te stlelen voor die regel met
+ op nul te stellen voor die regel met
<command>ipfw</command>
<parameter>zero</parameter>.</para>
@@ -2925,8 +3018,8 @@
vinden.</para>
<para>Voor de interface die is verbonden met het publieke
- internet worden regels gemaakt waarmee sessies naar het
- internet mogelijk gemaakt worden en toegang wordt gegeven
+ Internet worden regels gemaakt waarmee sessies naar het
+ Internet mogelijk gemaakt worden en toegang wordt gegeven
voor pakketten die uit die sessies terug komen. Dit kan
de PPP interface <devicename>tun0</devicename> zijn of de
netwerkkaart die is verbonden met een xDSL of
@@ -2952,7 +3045,7 @@
<para>In het onderdeel Uitgaand staan alleen regels met
<parameter>allow</parameter> die parameters bevatten om
- individuele diensten beschikbaar te maken zodat er internet
+ individuele diensten beschikbaar te maken zodat er Internet
toegang is. Al die regels moeten gebruik maken van
<parameter>proto</parameter>, <parameter>port</parameter>,
<parameter>in/out</parameter>, <parameter>via</parameter>
@@ -3003,7 +3096,7 @@
onderstaande regels dient de <devicename>dc0</devicename>
interfacenaam in iedere regel vervangen te worden door de
interfacenaam van de netwerkkaart in het systeem die met
- het publieke internet is verbonden. Voor gebruikers van
+ het publieke Internet is verbonden. Voor gebruikers van
PPP zou dat <devicename>tun0</devicename> zijn.</para>
<para>Er zit een structuur in de regels:</para>
@@ -3016,7 +3109,7 @@
</listitem>
<listitem>
- <para>Alle diensten die vanaf internet bereikbaar zijn
+ <para>Alle diensten die vanaf Internet bereikbaar zijn
gebruiken <parameter>limit</parameter> om
<quote>flooding</quote> te voorkomen.</para>
</listitem>
@@ -3044,7 +3137,7 @@
# Stel commando voorvoegsel in.
cmd="ipfw –q add"
pif="dc0" # Interfacenaam van NIC die verbinding
- # met het publieke internet heeft.
+ # met het publieke Internet heeft.
#################################################################
# Geen beperkingen op de interface aan de LAN kant. Alleen nodig
@@ -3064,22 +3157,22 @@
$cmd 00015 check–state
#################################################################
-# Interface aan het publieke internet (onderdeel Uitgaand).
+# Interface aan het publieke Internet (onderdeel Uitgaand).
# Inspecteer verzoeken om een sessie te starten van achter de
# firewall op het private netwerk of vanaf de server zelf naar
-# het publieke internet.
+# het publieke Internet.
#################################################################
# Geef toegang tot de DNS server van de ISP.
# x.x.x.x moet het IP adres van de DNS van de ISP zijn.
-# Dupliceer deze regels als een ISP meedere DNS servers heeft.
+# Dupliceer deze regels als een ISP meerdere DNS servers heeft.
# Haal het IP adres evt. uit /etc/resolv.conf
$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep–state
$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep–state
# Geef toegang tot de DHCP server van de ISP voor kabel- en
# xDSL-netwerken. Deze regel is niet nodig als gebruik gemaakt worden
-# van PPP naar het publieke internet. In dat geval kan de hele groep
+# van PPP naar het publieke Internet. In dat geval kan de hele groep
# verwijderd worden. Gebruik de volgende regel en controleer het
# logboek voor het IP adres. Wijzig dan het IP adres in de regel
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list