diff options
| author | Gabor Kovesdan <gabor@FreeBSD.org> | 2012-09-20 14:33:30 +0000 |
|---|---|---|
| committer | Gabor Kovesdan <gabor@FreeBSD.org> | 2012-09-20 14:33:30 +0000 |
| commit | d8a2cdf09bfdd88bdad328769c0e4d06e0893efa (patch) | |
| tree | 79c0f362c2f64f0ec3ea06111da6ced8753136ae /pl_PL.ISO8859-2 | |
| parent | b1b33d86a473e7e003bb7bdf7e4ff22e9402fd84 (diff) | |
| download | doc-d8a2cdf09bfdd88bdad328769c0e4d06e0893efa.tar.gz doc-d8a2cdf09bfdd88bdad328769c0e4d06e0893efa.zip | |
- Remove the following articles and references to them. Where it is
reasonable to maintain the reference, use the archived docs.
5-roadmap
checkpoint
dialup-firewall
diskless-x
euro
formatting-media
hats (content moved to htdocs/internal)
multi-os
storage-devices
vinum
zip-drive
All of these articles can be found here:
http://docs.freebsd.org/doc/9.0-RELEASE/usr/share/doc/freebsd/en_US.ISO8859-1/articles/
No objection from: doc@, www@
Notes
Notes:
svn path=/head/; revision=39585
Diffstat (limited to 'pl_PL.ISO8859-2')
| -rw-r--r-- | pl_PL.ISO8859-2/articles/Makefile | 1 | ||||
| -rw-r--r-- | pl_PL.ISO8859-2/articles/dialup-firewall/Makefile | 14 | ||||
| -rw-r--r-- | pl_PL.ISO8859-2/articles/dialup-firewall/article.sgml | 401 |
3 files changed, 0 insertions, 416 deletions
diff --git a/pl_PL.ISO8859-2/articles/Makefile b/pl_PL.ISO8859-2/articles/Makefile index 062991f2e2..0f295c4dd2 100644 --- a/pl_PL.ISO8859-2/articles/Makefile +++ b/pl_PL.ISO8859-2/articles/Makefile @@ -1,7 +1,6 @@ # $FreeBSD$ SUBDIR = -SUBDIR+= dialup-firewall SUBDIR+= filtering-bridges SUBDIR+= new-users diff --git a/pl_PL.ISO8859-2/articles/dialup-firewall/Makefile b/pl_PL.ISO8859-2/articles/dialup-firewall/Makefile deleted file mode 100644 index 886e21cc9d..0000000000 --- a/pl_PL.ISO8859-2/articles/dialup-firewall/Makefile +++ /dev/null @@ -1,14 +0,0 @@ -# $FreeBSD$ - -DOC?= article - -FORMATS?= html - -INSTALL_COMPRESSED?=gz -INSTALL_ONLY_COMPRESSED?= - -SRCS= article.sgml - -DOC_PREFIX?= ${.CURDIR}/../../.. - -.include "${DOC_PREFIX}/share/mk/doc.project.mk" diff --git a/pl_PL.ISO8859-2/articles/dialup-firewall/article.sgml b/pl_PL.ISO8859-2/articles/dialup-firewall/article.sgml deleted file mode 100644 index f1c6e0cb56..0000000000 --- a/pl_PL.ISO8859-2/articles/dialup-firewall/article.sgml +++ /dev/null @@ -1,401 +0,0 @@ -<?xml version="1.0" encoding="ISO-8859-2" standalone="no"?> -<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook XML V4.2-Based Extension//EN" - "../../../share/sgml/freebsd42.dtd" [ -<!ENTITY % entities PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Entity Set//PL" "../../share/sgml/entities.ent"> -%entities; -]> - -<!-- - The FreeBSD Polish Documentation Project - - $FreeBSD$ - Original revision: 1.25 ---> - -<article lang="pl"> - <articleinfo> - <title>Firewall na połączeniu modemowym w FreeBSD</title> - - <authorgroup> - <author> - <firstname>Marc</firstname> - <surname>Silver</surname> - <affiliation> - <address><email>marcs@draenor.org</email></address> - </affiliation> - </author> - </authorgroup> - - <pubdate>$FreeBSD$</pubdate> - - <releaseinfo>$FreeBSD$</releaseinfo> - - <abstract> - <para>W niniejszym artykule przedstawiono instrukcję konfiguracji - firewalla przy dynamicznie przydzielanym adresie IP, a także - przepis na uruchomienie takiego firewalla w FreeBSD, korzystając - z IPFW. - Artykuł nie zawiera instrukcji konfigurowania połączenia - PPP.</para> - </abstract> - </articleinfo> - - <sect1 id="preface"> - <title>Wstęp</title> - - <para>Firewall na połączeniu modemowym w FreeBSD</para> - - <para>Niniejszy artykuł opisuje konfigurację firewalla w FreeBSD - w przypadku, gdy adres IP przydzielany jest dynamicznie przez - dostawcę usług internetowych. Dołożono wszelkich starań, aby - artykuł zawierał przydatne informacje i był wolny od błędów, - jednakże wszelkie uwagi i sugestie są mile widziane, proszę - kierować je do <email>marcs@draenor.org</email>.</para> - </sect1> - - <sect1 id="kernel"> - <title>Opcję jądra</title> - - <para>Na początek będziemy musieli przekompilować jądro. Wiecej - informacji na temat kompilowania jądra znaleźć można w <ulink - url="../../books/handbook/kernelconfig.html">części Podręcznika - poświęconej konfiguracji jądra</ulink>. Do pliku konfiguracyjnego - jądra dopisujemy następujące opcje:</para> - - <variablelist> - <varlistentry> - <term><literal>options IPFIREWALL</literal></term> - - <listitem> - <para>Właczenie obsługi firewalla w jądrze.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>options IPFIREWALL_VERBOSE</literal></term> - - <listitem> - <para>Wysyłanie informacji o pakietach do logów systemowych.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>options - IPFIREWALL_VERBOSE_LIMIT=<replaceable>100</replaceable></literal></term> - - <listitem> - <para>Ograniczenie liczby pakietów zapisywanych w logach; - dzięki temu plik loga nie zostanie zapchany wieloma - powtarzającymi się wpisami. Wartość - <replaceable>100</replaceable> jest sensowna, można jednak - wstawić inną, odpowiednią dla własnych potrzeb.</para> - </listitem> - </varlistentry> - - <varlistentry> - <term><literal>options IPDIVERT</literal></term> - - <listitem> - <para>Włączenie gniazd divert.</para> - </listitem> - </varlistentry> - </variablelist> - - <para>Można dopisać jeszcze kilka wierszy - <emphasis>opcjonalnych</emphasis>, które zwiększają poziom - bezpieczeństwa. Firewall pracuje poprawnie również bez nich, - jednakże bardziej ostrożni użytkownicy mogą zechcieć z nich - skorzystać.</para> - - <variablelist> - <varlistentry> - <term><literal>options TCP_DROP_SYNFIN</literal></term> - - <listitem> - <para>Ignorowanie pakietów TCP z ustawionymi flagami - SYN i FIN. Zapobiega to możliwości identyfikacji stosu TCP/IP - przy pomocy narzędzi takich jak nmap, jest to jednak wbrew - ustaleniom dokumentu RFC1644. Nie powinno być stosowane, - jeśli na maszynie ma działać serwer WWW.</para> - </listitem> - </varlistentry> - </variablelist> - - <para>Po kompilacji jądra nie trzeba od razu przeładowywać systemu. - Jeśli wszystko pójdzie zgodnie z planem, wystarczy jedno - przeładowanie po ukończeniu konfiguracji firewalla.</para> - </sect1> - - <sect1 id="rcconf"> - <title>Uruchamianie firewalla w - <filename>/etc/rc.conf</filename></title> - - <para>Trzeba teraz wprowadzić pewne zmiany w - <filename>/etc/rc.conf</filename>, by uwzględniał on firewalla. - Dodajemy następujące linijki:</para> - - <programlisting>firewall_enable="YES" -firewall_script="/etc/firewall/fwrules" -natd_enable="YES" -natd_interface="tun0" -natd_flags="-dynamic"</programlisting> - - <para>Informacje na temat działania powyższych poleceń można - znaleźć w <filename>/etc/defaults/rc.conf</filename> oraz - &man.rc.conf.5;.</para> - </sect1> - - <sect1> - <title>Wyłączenie tłumaczenia adresów przez PPP</title> - - <para>Jeżeli wykorzystywane jest tłumaczenie adresów - sieciowych - wbudowane w PPP, trzeba będzie je wyłączyć. W naszych przykładach - tłumaczeniem zajmuje się &man.natd.8;.</para> - - <para>Fragment pliku odpowiedzialny za automatyczne uruchomienie - PPP wygląda zapewne tak:</para> - - <programlisting>ppp_enable="YES" -ppp_mode="auto" -ppp_nat="YES" -ppp_profile="<replaceable>profile</replaceable>"</programlisting> - - <para>Jeśli tak właśnie jest, trzeba będzie wyłączyć - <literal>ppp_nat</literal> wpisując - <literal>ppp_nat="NO"</literal> w - <filename>/etc/rc.conf</filename>. Ponadto należy usunąć - wpisy <literal>nat enable yes</literal> lub - <literal>alias enable yes</literal> w - <filename>/etc/ppp/ppp.conf</filename>.</para> - </sect1> - - <sect1 id="rules"> - <title>Reguły firewalla</title> - - <para>Większość pracy mamy już za sobą. Pozostało już tylko - ustalenie reguł firewalla, po czym będzie można dokonać - przeładowania systemu i powinniśmy otrzymać działającego - firewalla. Zdaję sobie sprawę, że zbiór reguł zależy od - indywidualnych - potrzeb, starałem się jednak przygotować reguły odpowiednie - dla większości użytkowników łącz komutowanych. Można je - oczywiście dostosować samodzielnie, traktując poniższe reguły - jako punkt wyjścia. Zacznijmy od zamkniętego firewalla: z - założenia wszystkie pakiety są blokowane, przepuszczać - będziemy jedynie to, co jest nam rzeczywiście potrzebne. - Reguły powinny najpierw określać, co jest przepuszczane, potem - co jest blokowane. Podajemy więc wszystkie reguły - przepuszczające, a potem nakazujemy blokować całą resztę. - :)</para> - - <para>Stwórzmy teraz katalog <filename - class="directory">/etc/firewall</filename>. W nim utwórzmy plik - <filename>fwrules</filename>, zgodnie z tym, co napisaliśmy - w <filename>rc.conf</filename>. Możemy oczywiście nazwać ten - plik jak nam się żywnie podoba, proponowana tu nazwa jest - jedną z możliwości.</para> - - <para>Spójrzmy teraz na przykładowy plik firewalla, opatrzony - komentarzami.</para> - - - <programlisting> -# Reguły firewalla -# Autor: Marc Silver (marcs@draenor.org) -# http://draenor.org/ipfw -# - -# Definicja komendy firewalla (jak w /etc/rc.firewall) upraszcza -# jej wywoływanie i czyni plik bardziej czytelnym. -fwcmd="/sbin/ipfw" - -# Wyczyszczenie aktualnie obowiązujących reguł. -$fwcmd -f flush - -# Przekierowanie wszystkich pakietów przez interfejs tun0. -$fwcmd add divert natd all from any to any via tun0 - -# Przepuszczanie danych przesyłanych przez kartę sieciową i lokalnie. -# Upewnij się, że wpisałeś tu właściwą kartę (w moim przypadku fxp0) -# zanim przeładujesz system. :) -$fwcmd add allow ip from any to any via lo0 -$fwcmd add allow ip from any to any via fxp0 - -# Przepuszczanie wszystkich połączeń nawiązywanych przez nas. -$fwcmd add allow tcp from any to any out xmit tun0 setup - -# Pozwalamy, by połączenia nawiązane mogły pozostać otwarte. -$fwcmd add allow tcp from any to any via tun0 established - -# Zezwolenie na połączenia z zewnątrz z określonymi usługami na -# naszej maszynie. Przykładowo dopuszczamy połączenia z ssh i apache. -$fwcmd add allow tcp from any to any 80 setup -$fwcmd add allow tcp from any to any 22 setup - -# Wysyłamy RESET w odpowiedzi na pakiety ident. -$fwcmd add reset log tcp from any to any 113 in recv tun0 - -# Pozwalamy na wychodzące zapytania DNS do wybranych serwerów. -$fwcmd add allow udp from any to <replaceable>x.x.x.x</replaceable> 53 out xmit tun0 - -# I oczywiście pozwalamy im odpowiedzieć... :) -$fwcmd add allow udp from <replaceable>x.x.x.x</replaceable> 53 to any in recv tun0 - -# Dopuszczenie pakietów ICMP (dzięki którym działają ping i traceroute). -# Można zdecydować się na ich blokowanie, ja jednak myślę, że mi się -# przydadzą. -$fwcmd add allow icmp from any to any - -# Odrzucenie całej reszty. -$fwcmd add deny log ip from any to any -</programlisting> - - <para>Zbudowaliśmy w pełni sprawny firewall zezwalający na połączenia - z portami 80 i 22, oraz rejestrujący próby połączenia z czymkolwiek - innym. Po przeładowaniu systemu powinien już należycie - funkcjonować. Jeżeli jakiekolwiek z podanych tu informacji - okażą się błędne, bądź będą powodować problemy, proszę o - zawiadomienie emailem. Mile widziane są również pomysły - na ulepszenie niniejszej strony.</para> - </sect1> - - <sect1> - <title>Pytania</title> - - <qandaset> - <qandaentry> - <question> - <para>Dlaczego korzystasz z &man.natd.8; i &man.ipfw.8;, a - nie z filtrów wbudowanych w &man.ppp.8;?</para> - </question> - - <answer> - <para>Mówiąc szczerze, nie ma konkretnego powodu dla którego - zdecydowałem się na <command>ipfw</command> i - <command>natd</command>, a nie filtrowanie wbudowane w - <command>ppp</command>. Dyskusje przeprowadzone z - różnymi osobami doprowadziły do stwierdzenia, iż - <command>ipfw</command> jest z pewnością bardziej - rozbudowany i ma większe możliwości konfiguracji niż - filtry <command>ppp</command>, jest jednak trudniejszy - w używaniu. Jednym z powodów mojego wyboru jest - to, że wolę, by firewall działał na poziomie jądra systemu, - a nie programu użytkownika.</para> - </answer> - </qandaentry> - - <qandaentry> - <question> - <para>Otrzymuję komunikat w rodzaju <errorname>limit 100 - reached on entry 2800</errorname>, po którym w logach - nie pojawiają się informacje o zablokowanych pakietach. - Czy mój firewall nadal działa?</para> - </question> - - <answer> - <para>Taki komunikat oznacza jedynie, że osiągnięty został - limit rejestrowania reguły. Sama reguła wciąż obowiązuje, - nie będzie już jednak rejestrowana, dopóki liczniki - rejestrowania nie zostaną wyzerowane; można to zrobić - poleceniem <command>ipfw resetlog</command>. Innym - rozwiązaniem jest zwiększenie limitu w konfiguracji - jądra przy pomocy opcji - <option>IPFIREWALL_VERBOSE_LIMIT</option>, tak jak - jest to opisane wcześniej. Limit można także ustawić - zmieniając wartość net.inet.ip.fw.verbose_limit - przy pomocy &man.sysctl.8;.</para> - </answer> - </qandaentry> - - <qandaentry> - <question> - <para>W sieci wewnętrznej korzystam z adresów z puli prywatnej, - np. z zakresu 192.168.0.0, czy mogę uzupełnić reguły firewalla - wpisem w rodzaju - <literal>$fwcmd add deny all from any to - 192.168.0.0:255.255.0.0 via tun0</literal> aby uniemożliwić - próby połączeń z zewnątrz z lokalnymi maszynami?</para> - </question> - - <answer> - <para>Nie, ponieważ <emphasis>wszystko</emphasis> co - przechodzi przez <devicename>tun0</devicename> podlega - tłumaczeniu adresów realizowanemu przez - <command>natd</command>. - Pakiety przychodzące z zewnątrz trafiają wyłącznie do - dynamicznie przydzielonego adresu IP, a - <emphasis>nie</emphasis> do sieci wewnętrznej. Zauważmy - jednak, że można dodać regułę w rodzaju <literal>$fwcmd - add deny all from 192.168.0.4:255.255.0.0 to any - via tun0</literal>, która zabroni maszynie w sieci - wewnętrznej komunikowania się ze światem przez - firewall.</para> - </answer> - </qandaentry> - - <qandaentry> - <question> - <para>Coś musi być nie tak. Postępowałem dokładnie według - wskazówek i jestem w kropce.</para> - </question> - - <answer> - <para>W artykule przyjmujemy, że korzystamy z - <emphasis>userland-ppp</emphasis>, reguły obowiązują więc - dla interfejsu <devicename>tun0</devicename>, odpowiadającemu - pierwszemu połączeniu nawiązanemu przez &man.ppp.8; - (zwanemu także <emphasis>user-ppp</emphasis>). Dodatkowym - połączeniom odpowiadać będą interfejsy - <devicename>tun1</devicename>, <devicename>tun2</devicename> - itd. </para> - - <para>W przypadku &man.pppd.8; jest - z kolei wykorzystywany - interfejs <devicename>ppp0</devicename>, jeśli - więc połączenie jest realizowane za pośrednictwem - &man.pppd.8;, w miejscu <devicename>tun0</devicename> - trzeba wstawić <devicename>ppp0</devicename>. Poniżej - przedstawiona jest szybka metoda uwzględnienia tej zmiany - w regułach firewalla. Oryginalny plik z regułami - zachowywany jest pod nazwą - <filename>fwrules_tun0</filename>.</para> - - <screen> &prompt.user; <userinput>cd /etc/firewall</userinput> - /etc/firewall&prompt.user; <userinput>su</userinput> - <prompt>Password:</prompt> - /etc/firewall&prompt.root; <userinput>mv fwrules fwrules_tun0</userinput> - /etc/firewall&prompt.root; <userinput>cat fwrules_tun0 | sed s/tun0/ppp0/g > fwrules</userinput> - </screen> - - <para>By przekonać się, czy w użyciu jest &man.ppp.8;, czy - &man.pppd.8;, można po nawiązaniu połączenia - posłużyć się &man.ifconfig.8;. W przypadku połączenia - nawiązanego przez &man.pppd.8; zobaczylibyśmy coś - w rodzaju (pomijając nieistotne informacje):</para> - - <screen> &prompt.user; <userinput>ifconfig</userinput> - <emphasis>(nieistotne...)</emphasis> - ppp0: flags=<replaceable>8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524</replaceable> - inet <replaceable>xxx.xxx.xxx.xxx</replaceable> -************-> <replaceable>xxx.xxx.xxx.xxx</replaceable> netmask <replaceable>0xff000000</replaceable> - <emphasis>(nieistotne...)</emphasis> - </screen> - - <para>Natomiast gdy nawiązanie połączenia odbyło się za - pośrednictwem &man.ppp.8; (<emphasis>user-ppp</emphasis>), - ujrzymy coś takiego:</para> - - <screen> &prompt.user; <userinput>ifconfig</userinput> - <emphasis>(nieistotne...)</emphasis> - ppp0: flags=<replaceable>8010<POINTOPOINT,MULTICAST> mtu 1500</replaceable> - <emphasis>(nieistotne...)</emphasis> - tun0: flags=<replaceable>8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1524</replaceable> - <emphasis>(nieistotne IPv6...)</emphasis> - inet <replaceable>xxx.xxx.xxx.xxx</replaceable> -************-> <replaceable>xxx.xxx.xxx.xxx</replaceable> netmask <replaceable>0xffffff00</replaceable> - Opened by PID <replaceable>xxxxx</replaceable> - <emphasis>(nieistotne...)</emphasis></screen> - </answer> - </qandaentry> - </qandaset> - </sect1> -</article> |