diff options
| -rw-r--r-- | nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml | 597 |
1 files changed, 291 insertions, 306 deletions
diff --git a/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml index 6126a1ff3d..9932c4fa16 100644 --- a/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml +++ b/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml @@ -2,8 +2,8 @@ The FreeBSD Dutch Documentation Project $FreeBSD$ - $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.7 2004/12/26 09:59:54 remko Exp $ - Gebaseerd op: 1.11 + $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.12 2005/01/12 18:34:20 siebrand Exp $ + Gebaseerd op: 1.15 --> <chapter id="firewalls"> @@ -135,21 +135,6 @@ exclusieve firewalls omdat ze het risico op het toestaan van ongewild verkeer door een firewall aanzienlijk reduceren.</para> - <para>Als een browser wordt gebruikt om naar een website te gaan, - dan gebeurt er veel voordat data van een website op een scherm - wordt weergegeven. Een browser ontvangt niet één - bestand dat alle data bevat en zo weergegeven kan worden op - een scherm. Er vinden meerdere rondes van sturen en ontvangen - van pakketten met informatie plaats. Als alle pakketten met - data eindelijk zijn aangekomen, dan wordt de data uit die - pakketten gecombineerd tot dat wat op het scherm wordt getoond. - Iedere dienst (<acronym>DNS</acronym>, <acronym>HTTP</acronym>, - etc.) heeft zijn eigen poortnummer. Poortnummer 80 is voor - <acronym>HTTP</acronym> diensten. Een firewall kan ingesteld - worden om alleen de start van een verzoek dat afkomstig is van - het <acronym>LAN</acronym> naar het internet toe te - staan.</para> - <para>De beveiliging kan nog verder vergroot worden met een <quote>stateful firewall</quote>. Een stateful firewall houdt bij welke connecties er door de firewall tot stand zijn gekomen @@ -169,15 +154,15 @@ <para>&os; heeft drie soorten firewallsoftware in de basisinstallatie. Dat zijn IPFILTER (ook bekend als IPF), IPFIREWALL (ook bekend als IPFW) en PF (de pakketfilter van - OpenBSD). IPFIREWALL heeft - ingebouwde mogelijkheden om bandbreedte te regelen met de - DUMMYNET <quote>traffic shaper</quote>. IPFILTER heeft geen - traffic shaper om bandbreedte te regelen, maar dit kan - wel gedaan worden met de port ALTQ. DUMMYNET en - <acronym>ALTQ</acronym> worden meestal gebruikt door ISPs en - bedrijven. IPF, IPFW en PF gebruiken regels om de toegang van - pakketten tot een systeem te regelen, hoewel ze dat op andere - manieren doen en de syntaxis voor regels anders is.</para> + OpenBSD). IPFIREWALL heeft ingebouwde mogelijkheden om + bandbreedte te regelen met de DUMMYNET <quote>traffic + shaper</quote>. IPFILTER heeft geen traffic shaper om + bandbreedte te regelen, maar dit kan wel gedaan worden met de + port ALTQ. DUMMYNET en <acronym>ALTQ</acronym> worden meestal + gebruikt door ISPs en bedrijven. IPF, IPFW en PF gebruiken + regels om de toegang van pakketten tot een systeem te regelen, + hoewel ze dat op andere manieren doen en de syntaxis voor regels + anders is.</para> <para>De voorbeeldregels voor IPFW (in <filename>/etc/rc.firewall</filename>) die meekomen met de @@ -218,7 +203,7 @@ firewallregels opstelt begrijpen hoe <acronym>TCP</acronym>/IP werkt, welke waarde de controlevelden kunnen hebben en hoe die waarden gebruikt worden in normaal verkeer. Op de volgende - link wordt een prima uitleg gegeven: <ulink + webpagina wordt een prima uitleg gegeven: <ulink url="http://www.ipprimer.com/overview.cfm"></ulink>.</para> </sect1> @@ -226,13 +211,16 @@ <title>De Packet Filter (PF) Firewall</title> <para>Vanaf juli 2003 is de OpenBSD firewalltoepassing - <acronym>PF</acronym> geporteerd naar &os; 5.3. - <acronym>PF</acronym> is een complete en volledige firewall die - <acronym>ALTQ</acronym> bevat om bandbreedte management uit te - voeren op een vergelijkbare wijze als dummynet in - <acronym>IPFW</acronym>. Het OpenBSD project zorgt voor een - erg goed gebruikershandboek voor PF dat niet in dit onderdeel - wordt opgenomen omdat dat niet nodig is.</para> + <acronym>PF</acronym> geporteerd naar &os; wn bwschikbaar gekomen + in de &os; portscollectie. In november 2004 was &os; 5.3 de + eerste release die <acronym>PF</acronym> bevatte is integraal + onderdeel van het basissysteem. <acronym>PF</acronym> is een + complete en volledige firewall die <acronym>ALTQ</acronym> bevat + om bandbreedte management uit te voeren op een vergelijkbare + wijze als DUMMYNET in <acronym>IPFW</acronym>. Het OpenBSD + project zorgt voor een erg goed gebruikershandboek voor PF dat + niet in dit onderdeel wordt opgenomen omdat dat niet nodig + is.</para> <para>Voor oudere 5.X versies van &os; staat <acronym>PF</acronym> in de &os; portscollectie: <filename @@ -256,8 +244,8 @@ <title>PF Inschakelen</title> <para>PF zit in de basisinstallatie van &os; voor versies vanaf - 5.3 als aparte <quote>run time</quote> laadbare module. PF - laadt dynamisch in de kernel als laadbare module als + 5.3 als aparte <quote>run time</quote> laadbare module. Een + systeem laadt de PF laadbare module dynamisch in de kernel als <literal>pf_enable="YES"</literal> in <filename>rc.conf</filename> staat. In de laadbare module is &man.pflog.4; logging ingeschakeld.</para> @@ -301,7 +289,8 @@ device pfsync</programlisting> </sect2> <sect2> - <title>Beschikbare Opties voor rc.conf</title> + <title>Beschikbare Opties voor + <filename>rc.conf</filename></title> <para>De volgende instellingen moeten in <filename>/etc/rc.conf </filename> staan om PF bij het booten te activeren:</para> @@ -326,11 +315,11 @@ pflog_flags="" # aanvullende vlaggen voor opstarten pflogd</pro <title>De IPFILTER (IPF) Firewall</title> <para>Darren Reed is de auteur van IPFILTER, dat niet afhankelijk - is van één besturingssysteem. IPFILTER is een - open source applicatie die is geporteerd naar &os;, NetBSD, - OpenBSD, SunOS, HP/UX en Solaris besturingssystemen. IPFILTER - wordt actief ondersteund en onderhouden en er worden regelmatig - nieuwe versies uigebracht.</para> + is van één besturingssysteem. Het is een open + source applicatie die is geporteerd naar &os;, NetBSD, OpenBSD, + SunOS, HP/UX en Solaris besturingssystemen. IPFILTER wordt + actief ondersteund en onderhouden en er worden regelmatig nieuwe + versies uigebracht.</para> <para>IPFILTER is gebaseerd op een firewall aan de kernelkant en een <acronym>NAT</acronym> mechanisme dat gecontroleerd en @@ -345,22 +334,21 @@ pflog_flags="" # aanvullende vlaggen voor opstarten pflogd</pro <para>IPF is oorspronkelijk geschreven met logica die regels verwerkte volgens het principe <quote>de laatst passende regel - wint</quote> en gebruikte toen alleen staatloze regels. In de + wint</quote> en gebruikte toen alleen staatloze regels. In de loop der tijd is IPF verbeterd en zijn de opties - <parameter>quick</parameter> en <parameter>keep - state</parameter> toegevoegd waarmee de logica van het - verwerken van regels drastisch is gemoderniseerd. In de - officiële documentatie van IPF worden de verouderde - regels en verwerkingslogica behandeld. De moderne functies - worden alleen behandeld als opties, waardoor hun nut dat er een - veiliger firewall mee te maken volledig onderbelicht - blijft.</para> - - <para>De instructies in dit hoofdstuk zijn gebaseerd op regels - die gebruik maken van de optie <parameter>quick</parameter> en - de stateful optie <parameter>keep state</parameter>. Dit is - het raamwerk waarmee een set van inclusieve firewallregels - wordt samengesteld.</para> + <literal>quick</literal> en <literal>keep state</literal> + toegevoegd waarmee de logica van het verwerken van regels + drastisch is gemoderniseerd. In de officiële documentatie + van IPF worden de verouderde regels en verwerkingslogica + behandeld. De moderne functies worden alleen behandeld als + opties, waardoor hun nut dat er een veiliger firewall mee te + maken volledig onderbelicht blijft.</para> + + <para>De instructies in dit hoofdstuk zijn gebaseerd op regels die + gebruik maken van de optie <literal>quick</literal> en de + stateful optie <literal>keep state</literal>. Dit is het + raamwerk waarmee een set van inclusieve firewallregels wordt + samengesteld.</para> <para>Een inclusieve firewall staat alleen pakketten toe die voldoen aan de regels. Op die manier kan er in de hand @@ -386,8 +374,8 @@ pflog_flags="" # aanvullende vlaggen voor opstarten pflogd</pro <title>IPF Inschakelen</title> <para>IPF zit in de basisinstallatie van &os; als een aparte - <quote>run time</quote> laadbare module. IPF - laadt dynamisch in de kernel als laadbare module als + <quote>run time</quote> laadbare module. Een systeem laadt de + IPF kernel laadbare module dynamisch als <literal>ipfilter_enable="YES"</literal> in <filename>rc.conf</filename> staat. Voor de laadbare module zijn de opties <literal>logging</literal> en <literal>default @@ -417,19 +405,18 @@ pflog_flags="" # aanvullende vlaggen voor opstarten pflogd</pro options IPFILTER_LOG options IPFILTER_DEFAULT_BLOCK</programlisting> - <para><literal>IPFILTER</literal> geeft de compiler - aan dat IPFILTER onderdeel moet zijn van de kern van de - kernel.</para> + <para><literal>options IPFILTER</literal> schakelt ondersteuning + voor de <quote>IPFILTER</quote> firewall in.</para> - <para><literal>IPFILTER_LOG</literal> schakelt de - optie in waarmee IPF verkeer kan loggen door het naar het ip - pakketloggende pseudo–device te schrijven voor iedere - regel met het sleutelwoord <parameter>log</parameter> - erin.</para> + <para><literal>options IPFILTER_LOG</literal> schakelt de + optie in waarmee IPF verkeer kan loggen door het naar het + <devicename>ipl</devicename> pakketloggende pseudo–device + te schrijven voor iedere regel met het sleutelwoord + <literal>log</literal> erin.</para> - <para><literal>IPFILTER_DEFAULT_BLOCK</literal> + <para><literal>options IPFILTER_DEFAULT_BLOCK</literal> wijzigt het standaardgedrag zodat ieder pakket waarop geen - enkele <parameter>pass</parameter> regel van toepassing is + enkele <literal>pass</literal> regel van toepassing is wordt geblokkeerd.</para> <para>Deze instelling worden pas actief nadat een kernel @@ -444,9 +431,9 @@ options IPFILTER_DEFAULT_BLOCK</programlisting> </filename> staan om IPF bij het booten te activeren:</para> <programlisting>ipfilter_enable="YES" # Start ipf firewall -ipfilter_rules="/etc/ipf.rules" # laadt regels uit het doelbestand +ipfilter_rules="/etc/ipf.rules" # laad regels uit het doelbestand ipmon_enable="YES" # Start IP monitor log -ipmon_flags="–Ds" # D = start as daemon +ipmon_flags="-Ds" # D = start als daemon # s = log naar syslog # v = log tcp window, ack, seq # n = vertaal IP & poort naar namen</programlisting> @@ -454,7 +441,7 @@ ipmon_flags="–Ds" # D = start as daemon <para>Als er een LAN achter de firewall staat dat gebruik maakt van <acronym>IP</acronym> adressen uit de privaat reeks, dan moet de volgende optie ook ingesteld worden om - <acronym>NAT</acronym> in te schakelen:</para> + <acronym>NAT</acronym> functionaliteit in te schakelen:</para> <programlisting>gateway_enable="YES" # Schakel in als LAN gateway ipnat_enable="YES" # Start ipnat functie @@ -470,7 +457,7 @@ ipnat_rules="/etc/ipnat.rules" # bestand met regels voor ipnat</programlistin waarmee in één keer de bestaande regels kunnen worden vervangen:</para> - <programlisting><command>ipf –Fa –f /etc/ipf.rules</command></programlisting> + <programlisting><command>ipf -Fa -f /etc/ipf.rules</command></programlisting> <para><option>-Fa</option>: verwijder alle interne tabellen met regels.</para> @@ -530,14 +517,14 @@ Packet log flags set: (0)</screen> <para>Als er als optie <option>-i</option> voor inkomend of <option>-o</option> voor uitgaand wordt meegegeven, dan wordt - de juiste lijst met regels die de kernel op dit moment gebruikt + de juiste lijst met regels die de kernel op dat moment gebruikt weergegeven.</para> <para><command>ipfstat –in</command> toont de tabel met regels voor inkomend verkeer met regelnummers</para> <para><command>ipfstat –on</command> toont de tabel met - regels voor uitgaand verkeer met regelnummers<para> + regels voor uitgaand verkeer met regelnummers</para> <para>De uitvoer ziet er ongeveer als volgt uit:</para> @@ -545,11 +532,11 @@ Packet log flags set: (0)</screen> @2 block out on dc0 from any to any @3 pass out quick on dc0 proto tcp/udp from any to any keep state</screen> - <para><command>ipfstat –in</command> toont de tabel met + <para><command>ipfstat –ih</command> toont de tabel met regels voor inkomend verkeer, waarbij voor iedere regel staat hoe vaak die van toepassing was.</para> - <para><command>ipfstat –on</command> toont de tabel met + <para><command>ipfstat –oh</command> toont de tabel met regels voor uitgaand verkeer, waarbij voor iedere regel staat hoe vaak die van toepassing was.</para> @@ -569,7 +556,7 @@ Packet log flags set: (0)</screen> optionele subvlaggen bieden de mogelijkheid om een bron of bestemmings <acronym>IP</acronym> adres, poort of protocol aan te geven dat gemonitord moet worden. Details zijn na te lezen - in &man.ipfstat.8<para> + in &man.ipfstat.8;.</para> </sect2> <sect2> @@ -607,15 +594,15 @@ Packet log flags set: (0)</screen> <para>Zelfs als logging is ingeschakeld logt IPF nog niets uit zichzelf. De beheerder van de firewall beslist welke actieve regels iets weg moeten schrijven door het sleutelwoord - <parameter>log</parameter> aan die regels toe te voegen. - Gewoonlijk worden alleen <parameter>deny</parameter> regels + <literal>log</literal> aan die regels toe te voegen. + Gewoonlijk worden alleen <literal>deny</literal> regels gelogd.</para> <para>Het is heel normaal om als laatste regel een - <parameter>deny</parameter> regel aan de set met regels toe - te voegen waar het sleutelwoord <parameter>log</parameter> in - staat. Zo krijgt een beheerder alle pakketten te zien waarop - geen enkele regel van toepassing was.</para> + <literal>deny</literal> regel aan de set met regels toe te + voegen waar het sleutelwoord <literal>log</literal> in staat. + Zo krijgt een beheerder alle pakketten te zien waarop geen + enkele regel van toepassing was.</para> </sect2> <sect2> @@ -624,21 +611,22 @@ Packet log flags set: (0)</screen> <para>&man.syslogd.8; heeft een eigen methode om logboekgegevens te scheiden. Het maakt gebruik van speciale groepen die <quote>facility</quote> en <quote>level</quote> - heten. &man.ipmon.8; in <option>-Ds</option> mode - gebruikt <literal>Local0</literal> als - <quote>facility</quote>naam. Alle door &man.ipmon.8; gelogde - gegevens gaan naar <literal>Local0</literal>. De nu volgende - levels kunnen gebruikt worden om de gelogde gegevens nog - verder uit elkaar te trekken als dat gewenst is.</para> + heten. &man.ipmon.8; in <option>-Ds</option> mode gebruikt + <literal>Local0</literal> als <quote>facility</quote>naam. + Alle door &man.ipmon.8; gelogde gegevens gaan naar + <literal>Local0</literal>. De nu volgende levels kunnen + gebruikt worden om de gelogde gegevens nog verder uit elkaar te + trekken als dat gewenst is.</para> <screen>LOG_INFO – pakketten gelogd met het sleutelwoord "log" als actie in plaats van pass of block. LOG_NOTICE – gelogde pakketten die ook zijn doorgelaten LOG_WARNING – gelogde pakketten die ook geblokkeerd zijn LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</screen> + <!-- XXX: what does "can be considered short" mean? --> - <para>Om IPFILTER alle gelogde gegevens naar <filename> - /var/log/ipfilter.log</filename> te laten schrijven, dient - dat bestand te bestaan. Dat kan met het volgende + <para>Om IPFILTER alle gelogde gegevens naar + <filename>/var/log/ipfilter.log</filename> te laten schrijven, + dient dat bestand te bestaan. Dat kan met het volgende commando:</para> <programlisting><command>touch /var/log/ipfilter.log</command></programlisting> @@ -662,16 +650,17 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</scre <filename>/etc/syslog.conf</filename> actief te maken kan er gereboot worden of is het mogelijk de syslogtaak een schop te geven zodat <filename>/etc/syslog.conf</filename> opnieuw - wordt ingelezen met <command>kill - –HUP <pid></command>. Het pid (procesnummer) is - te achterhalen door een overzicht van taken te tonen met - <command>ps –ax</command>. Het pid is het nummer in de - linker kolom voor de regel waarop <quote>syslog</quote> - staat.</para> - - <para>Vaak wordt vergeten <filename>/etc/newsyslog.conf - </filename> te wijzigen om het nieuw aangemaakte logbestand - te laten roteren.</para> + wordt ingelezen met <command>/etc/rc.d/syslogd + restart</command>. Voor &os; 4.X is dit <command>kill + -HUP <replaceable>PID</replaceable></command>. Het PID + (procesnummer) is te achterhalen door een overzicht van taken + te tonen met <command>ps –ax</command>. Het PID is het + nummer in de linker kolom voor de regel waarop + <quote>syslog</quote> staat.</para> + + <para>Vaak wordt vergeten + <filename>/etc/newsyslog.conf</filename> te wijzigen om het + nieuw aangemaakte logboekbestand te laten roteren.</para> </sect2> <sect2> @@ -706,7 +695,7 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</scre </orderedlist> <para>Deze kunnen ingezien worden met - <command>ipfstat -in</command>.<para> + <command>ipfstat -in</command>.</para> <orderedlist> <listitem> @@ -716,7 +705,7 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</scre <literal>S</literal> voor een verkeerd pakket (<quote>short packet</quote>), <literal>n</literal> voor dat er geen enkele regel van toepassing was, - <literal>L</literal> voor een logregel. De volgorde + <literal>L</literal> voor een logboekregel. De volgorde waarin deze acties getoond worden is: S, p, b, n, L. Een hoofdletter <literal>P</literal> of <literal>B</literal> betekent dat het pakket gelogd is vanwege een globale @@ -780,7 +769,8 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</scre <command>csh</command> en <command>tcsh</command>.</para> <para>Velden waarvoor substitutie van toepassing is worden - vooraf gegaan door het dollarteken $.</para> + vooraf gegaan door het dollarteken + <literal>$</literal>.</para> <para>Definities worden niet vooraf gegaan door het voorvoegsel $.</para> @@ -792,8 +782,8 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short"</scre <programlisting>############## Begin IPF regels script ######################### oif="dc0" # naam van de uitgaande interface -odns="192.0.2.11" # IP adres van DNS server ISP definitie -myip="192.0.2.7" # Het statische IP adres gekregen van ISP +odns="192.0.2.11" # IP adres van DNS server ISP +myip="192.0.2.7" # statische IP adres gekregen van ISP ks="keep state" fks="flags S keep state" @@ -836,7 +826,7 @@ EOF te werken met de volgende regel in <filename>rc.conf</filename>:</para> - <programlisting>ipfilter_rules=</programlisting> + <programlisting>><command>ipfilter_rules=</command></programlisting> <para>Nu kan er een script als het volgende worden toegevoegd aan de <filename>/usr/local/etc/rc.d/</filename> opstartmap. @@ -880,9 +870,9 @@ sh /etc/ipf.rules.script</programlisting> verwerkte volgens het principe <quote>de laatst passende regel wint</quote> en gebruikte toen alleen staatloze regels. In de loop der tijd is IPF verbeterd en zijn de opties - <parameter>quick</parameter> en <parameter>keep - state</parameter> toegevoegd waarmee de logica van het - verwerken van regels drastisch is gemoderniseerd.</para> + <quote>quick</quote> en <quote>keep state</quote> toegevoegd + waarmee de logica van het verwerken van regels drastisch is + gemoderniseerd.</para> <para>De instructies in dit hoofdstuk zijn gebaseerd op regels die gebruik maken van de optie <parameter>quick</parameter> @@ -931,6 +921,7 @@ sh /etc/ipf.rules.script</programlisting> aparte paragraaf behandeld.</para> <!-- This section is probably wrong.. See the OpenBSD flag --> + <!-- What is the "OpenBSD flag"? Reference please --> <para><replaceable>ACTIE IN/UIT OPTIES SELECTIE STATEFUL PROTO BRON_ADR,BEST_ADR OBJECT POORT_NUM TCP_VLAG STATEFUL @@ -969,11 +960,11 @@ sh /etc/ipf.rules.script</programlisting> filterregel. Iedere regel <emphasis>moet</emphasis> een actie hebben. De volgende acties zijn mogelijk:</para> - <para><parameter>block</parameter> geeft aan dat het pakket + <para><literal>block</literal> geeft aan dat het pakket moet verdwijnen als de parameters van toepassing zijn het het pakket.</para> - <para><parameter>pass</parameter> geeft aan dat het pakket + <para><literal>pass</literal> geeft aan dat het pakket doorgelaten moet worden als de parameters van toepassing zijn op het pakket.</para> </sect3> @@ -981,16 +972,16 @@ sh /etc/ipf.rules.script</programlisting> <sect3> <title>IN/UIT</title> - <para>Dit deel is verplicht voor iedere filterregel waarin + <para>Een verplicht onderdeel voor iedere filterregel waarin expliciet wordt aangegeven op welke zijde van de in/uit hij van toepassing is. Het volgende sleutelwoord moet <parameter>in</parameter> of <parameter>out</parameter> zijn, anders is de regel syntactisch onjuist.</para> - <para><parameter>in</parameter> betekent dat de regel van + <para><literal>in</literal> betekent dat de regel van toepassing is op inkomende pakketten.</para> - <para><parameter>out</parameter> betekent dat de regel van + <para><literal>out</literal> betekent dat de regel van toepassing is op inkomende pakketten.</para> </sect3> @@ -1002,45 +993,45 @@ sh /etc/ipf.rules.script</programlisting> beschreven staan gebruikt worden.</para> </note> - <para><parameter>log</parameter> geeft aan dat het pakket - naar het ipl logboekbestand geschreven moeten worden - (zoals verderop beschreven staat in de paragraaf + <para><literal>log</literal> geeft aan dat het pakket naar het + <devicename>ipl</devicename> logboekbestand geschreven moeten + worden (zoals verderop beschreven staat in de paragraaf <quote>Loggen</quote>) als de regel van toepassing is op het pakket.</para> - <para><parameter>quick</parameter> geeft aan dat als een - regel van toepassing is, dat de laatste regel moet zijn die - wordt gecontroleerd, waardoor er een pad wordt - kortgesloten waardoor de volgende regels voor dat pakket - niet meer gecontroleerd worden. Deze optie is voor de - moderne regels eigenlijk verplicht.</para> - - <para><parameter>on</parameter> geeft de interface aan die - in de parameters meegenomen moet worden. De namen van - interfaces kunnen getoond worden met &man.ifconfig.8;. Als - deze optie wordt gebruikt, kan een regel alleen van - toepassing zijn als het pakket door de aangegeven - interface gaat in de richting die is aangegeven - (<parameter>in</parameter>/<parameter>out</parameter>). - Ook deze optie is verplicht voor de moderne regels.</para> + <para><literal>quick</literal> geeft aan dat als een regel van + toepassing is, dat de laatste regel moet zijn die wordt + gecontroleerd, waardoor er een pad wordt kortgesloten + waardoor de volgende regels voor dat pakket niet meer + gecontroleerd worden. Deze optie is voor de moderne regels + eigenlijk verplicht.</para> + + <para><literal>on</literal> geeft de interface aan die in de + parameters meegenomen moet worden. De namen van interfaces + kunnen getoond worden met &man.ifconfig.8;. Als deze optie + wordt gebruikt, kan een regel alleen van toepassing zijn als + het pakket door de aangegeven interface gaat in de richting + die is aangegeven + (<literal>in</literal>/<literal>out</literal>). Ook deze + optie is verplicht voor de moderne regels.</para> <para>Als een pakket wordt gelogd, dan wordt de kop van het - pakket weggeschreven naar het IPL pakketloggende - pseudo–device. Direct na het sleutelwoord - <parameter>log</parameter> mogen de volgende opties + pakket weggeschreven naar het <devicename>ipl</devicename> + pakketloggende pseudo–device. Direct na het + sleutelwoord <literal>log</literal> mogen de volgende opties gebruikt worden (in de aangegeven volgorde):</para> - <para><parameter>body</parameter> geeft aan dat de eerste - 128 bytes van de inhoud van het pakket worden opgeslagen na - de kop.</para> + <para><literal>body</literal> geeft aan dat de eerste 128 bytes + van de inhoud van het pakket worden opgeslagen na de + kop.</para> - <para><parameter>first</parameter>; als het sleutelwoord - <parameter>log</parameter> samen met <parameter>keep + <para><literal>first</literal>; als het sleutelwoord + <literal>log</literal> samen met <parameter>keep state</parameter> wordt gebruikt, wordt het aangeraden om deze optie ook te gebruiken zodat alleen het pakket dat als eerste in de sessie van toepassing was en niet ook alle pakketten die daarna in de sessie volgens - <parameter>keep state</parameter> van toepassing + <literal>keep state</literal> van toepassing zijn.</para> </sect3> @@ -1060,38 +1051,36 @@ sh /etc/ipf.rules.script</programlisting> <sect3> <title>PROTO</title> - <para><parameter>proto</parameter> is het - <option>subject</option> sleutelwoord dat moet worden - aangegeven samen met een van de sleutelwoorden uit de - subopties. De waarde geeft een bepaald protocol aan dat - van toepassing moet zijn. Ook deze optie is verplicht - voor de moderne regels.</para> - - <para><parameter>tcp/udp</parameter>, - <parameter>tcp</parameter>, <parameter>udp</parameter>, - <parameter>icmp</parameter> of ieder ander protocol dat in - <filename>/etc/protocols</filename> staat wordt herkend en - kan gebruikt worden. Het bijzondere protocol sleutelwoord - <parameter>tcp/udp</parameter> kan gebruikt worden om zowel - voor <acronym>TCP</acronym> als <acronym>UDP</acronym> - pakketten van toepassing te laten zijn. Het is toegevoegd - voor het gemak om vrijwel gelijke regels te + <para><literal>proto</literal> is het <option>subject</option> + sleutelwoord dat moet worden aangegeven samen met een van de + sleutelwoorden uit de subopties. De waarde geeft een bepaald + protocol aan dat van toepassing moet zijn. Ook deze optie is + verplicht voor de moderne regels.</para> + + <para><literal>tcp/udp</literal>, <literal>tcp</literal>, + <literal>udp</literal>, <literal>icmp</literal> of ieder + ander protocol dat in <filename>/etc/protocols</filename> + staat wordt herkend en kan gebruikt worden. Het bijzondere + protocol sleutelwoord <literal>tcp/udp</literal> kan gebruikt + worden om zowel voor <acronym>TCP</acronym> als + UDP pakketten van toepassing te laten zijn. Het is + toegevoegd voor het gemak om vrijwel gelijke regels te voorkomen.</para> </sect3> <sect3> <title>BRON_ADR/BEST_ADR</title> - <para>Het sleutelwoord <parameter>all</parameter> is in - feite hetzelfde als <literal>from any to any</literal> - zonder overige parameters.</para> + <para>Het sleutelwoord <literal>all</literal> is in feite + hetzelfde als <literal>from any to any</literal> zonder + overige parameters.</para> <para><literal>from bron to dest</literal>; de - sleutelwoorden <parameter>from</parameter> en - <parameter>to</parameter> worden gebruikt om te testen op + sleutelwoorden <literal>from</literal> en + <literal>to</literal> worden gebruikt om te testen op <acronym>IP</acronym> adressen. In regels moet zowel een bron als bestemmings <acronym>IP</acronym> adres - aangegeven worden. <parameter>any</parameter> is een + aangegeven worden. <literal>any</literal> is een bijzonder sleutelwoord dat van toepassing is voor ieder <acronym>IP</acronym> adres als in <literal>from any to any</literal> of <literal>from 0.0.0.0/0 to any</literal> @@ -1106,7 +1095,7 @@ sh /etc/ipf.rules.script</programlisting> punten gescheiden.</para> <para>Het is vaak lastig om te komen tot een reeks adressen - in de vorm adres/masker. De volgende link kan daar + in de vorm adres/masker. De volgende webpagina kan daar wellicht bij helpen: <ulink url="http://jodies.de/ipcalc"></ulink>.</para> </sect3> @@ -1116,28 +1105,25 @@ sh /etc/ipf.rules.script</programlisting> <para>Als in een regel op een poort wordt gecontroleerd, voor bron- of bestemmingspoort of beiden, dan is dat alleen van - toepassing op <acronym>TCP</acronym> en - <acronym>UDP</acronym> pakketten. Bij het maken van - poortvergelijkingen kunnen zowel de dienstnamen uit - <filename>/etc/services</filename> als een uit een - natuurlijk getal bestaand poortnummer ingesteld worden. - Als de poort onderdeel is van het - <parameter>from</parameter> object dan wordt het - vergeleken met het poortnummer van de bron en als het - onderdeel is van het <parameter>to</parameter> object, dan - wordt het vergeleken met het poortnummer van de - bestemming. Het gebruik van het <parameter>to</parameter> - object is in de moderne regels verplicht en neemt de vorm - aan van <literal>from any to any port = - 80</literal>.</para> + toepassing op <acronym>TCP</acronym> en UDP pakketten. Bij + het maken van poortvergelijkingen kunnen zowel de dienstnamen + uit <filename>/etc/services</filename> als een uit een + natuurlijk getal bestaand poortnummer ingesteld worden. Als + de poort onderdeel is van het <literal>from</literal> object + dan wordt het vergeleken met het poortnummer van de bron en + als het onderdeel is van het <literal>to</literal> object, + dan wordt het vergeleken met het poortnummer van de + bestemming. Het gebruik van het <literal>to</literal> object + is in de moderne regels verplicht en neemt de vorm aan van + <literal>from any to any port = 80</literal>.</para> <para>Poortvergelijkingen kunnen op verschillende manieren ingesteld worden met een aantal verschillende operators. Er kunnen ook reeksen van poorten ingesteld worden.</para> - <para><parameter>port =</parameter> of een van de volgende - operators: <parameter>!=, <, >, <, >=, eq, ne, - lt, gt, le, ge</parameter>.</para> + <para><literal>port =</literal> of een van de volgende + operators: <literal>!=, <, >, <, >=, eq, ne, + lt, gt, le, ge</literal>.</para> <para>Reeksen van poorten worden met de volgende optie aangegeven: <parameter>port <></parameter> of @@ -1158,18 +1144,17 @@ sh /etc/ipf.rules.script</programlisting> de mogelijke vlaggen die bekeken kunnen worden in de kop van een <acronym>TCP</acronym> pakket.</para> - <para>In de moderne regels wordt de optie <parameter>flags - S</parameter> gebruikt om het verzoek tot het starten van + <para>In de moderne regels wordt de optie <literal>flags + S</literal> gebruikt om het verzoek tot het starten van een <acronym>TCP</acronym> sessie.</para> </sect3> <sect3> <title>STATEFUL</title> - <para><parameter>keep state</parameter> geeft aan dat in een - regel met <parameter>pass</parameter> voor alle pakketten - die van toepassing zijn stateful gefilterd moet - worden.</para> + <para><literal>keep state</literal> geeft aan dat in een regel + met <literal>pass</literal> voor alle pakketten die van + toepassing zijn stateful gefilterd moet worden.</para> <note> <para>Deze optie is voor moderne regels verplicht.</para> @@ -1190,15 +1175,14 @@ sh /etc/ipf.rules.script</programlisting> pakketten die niet passen in de sessie, worden automatisch geblokkeerd.</para> - <para><parameter>keep state</parameter> staat ook ICMP - pakketten toe die gerelateerd zijn aan een - <acronym>TCP</acronym> of UDP sessie. Dus als er een ICMP - type 3 code 4 komt in antwoord op websurfen, dat wordt - toegestaan van binnen naar buiten door een - <parameter>keep state</parameter> regel, dan wordt dat - toegelaten. Pakketten waarvan IPF zeker is dat ze onderdeel - zijn van de sessie worden toegelaten, zelfs als ze van een - ander protocol zijn.</para> + <para><literal>keep state</literal> staat ook ICMP pakketten toe + die gerelateerd zijn aan een <acronym>TCP</acronym> of UDP + sessie. Dus als er een ICMP type 3 code 4 komt in antwoord op + websurfen, dat wordt toegestaan van binnen naar buiten door een + <literal>keep state</literal> regel, dan wordt dat toegelaten. + Pakketten waarvan IPF zeker is dat ze onderdeel zijn van de + sessie worden toegelaten, zelfs als ze van een ander protocol + zijn.</para> <para>Wat er gebeurt: pakketten die naar buiten gaan op de interface die met internet is verbonden worden eerst @@ -1246,8 +1230,9 @@ sh /etc/ipf.rules.script</programlisting> <para>Alle &unix; systemen en dus ook &os; zijn zo ontworpen dat ze voor interne communicatie de interface <devicename>lo0</devicename> en <acronym>IP</acronym> adres - 127.0.0.1 gebruiken. De firewall moet dit interne verkeer - gewoon doorgang laten vinden.</para> + <hostid role="ipaddr">127.0.0.1</hostid> gebruiken. De + firewall moet dit interne verkeer gewoon doorgang laten + vinden.</para> <para>Voor de interface die is verbonden met het publieke internet worden regels gemaakt waarmee sessies naar het @@ -1257,21 +1242,20 @@ sh /etc/ipf.rules.script</programlisting> netwerkkaart die is verbonden met een xDSL of kabelmodem.</para> - <para>In gevallen dat er meer dan één - netwerkkaart is aangesloten op het private netwerk achter de - firewall, dan moeten er op de firewall regels zijn om het - verkeer tussen die interfaces vrije doorgang te geven.</para> + <para>In gevallen dat er één of meer netwerkkaarten + zijn aangesloten op het LAN achter de firewall, dan moeten er + op de firewall regels zijn om het verkeer tussen die interfaces + vrije doorgang te geven.</para> <para>De regels worden opgedeeld in drie onderdelen: alle interfaces met vrije doorgang, uitgaand op publieke interfaces en inkomend op publieke interfaces.</para> - <para>De volgorde van de regels in iedere sectie voor publieke - interfaces moet zo zijn dat de regels die het meest gebruikt - worden vóór de regels die minder vaak gebruikt - worden staan. De laatste regel van een onderdeel geeft aan - dat al het overige verkeer op die interface in die richting - geblokkeerd en gelogd moet worden.</para> + <para>In iedere sectie moeten zo staan dat de regels die het + meest gebruikt worden vóór de regels die minder + vaak gebruikt worden staan. De laatste regel van een onderdeel + geeft aan dat al het overige verkeer op die interface in die + richting geblokkeerd en gelogd moet worden.</para> <para>In het onderdeel Uitgaand staan alleen regels met <parameter>pass</parameter> die parameters bevatten om @@ -1309,16 +1293,16 @@ sh /etc/ipf.rules.script</programlisting> proberen.</para> <para>We raden aan om als er logmeldingen komen van een regel - met <parameter>log first</parameter> het commando + met <literal>log first</literal> het commando <command>ipfstat -hio</command> uit te voeren om te bekijken hoe vaak de regel van toepassing is geweest om te kijken of de firewall overspoeld wordt, m.a.w. aangevallen wordt.</para> <para>Als er pakketten gelogd worden waarvan de beheerder het - poortnummer niet herkent, dan is op <ulink - url="http://www.securitystats.com/tools/portsearch.php"></ulink> - de functie van dat poortnummer na te zoeken.</para> + poortnummer niet herkent, dan is de functie van dat poortnummer + na te zoeken in <filename>/etc/services</filename> of op <ulink + url="http://www.securitystats.com/tools/portsearch.php"></ulink>.</para> <para>Op de volgende link worden poortnummers van Trojans beschreven: <ulink @@ -1605,7 +1589,7 @@ block in log first quick on dc0 all </sect2> <sect2> - <title>IPNAT</title> + <title>IP<acronym>NAT</acronym></title> <para><acronym>NAT</acronym> regels worden geladen met <command>ipnat</command>. De <acronym>NAT</acronym> regels @@ -1640,7 +1624,7 @@ block in log first quick on dc0 all </sect2> <sect2> - <title>IPNAT Regels</title> + <title>IP<acronym>NAT</acronym> Regels</title> <para><acronym>NAT</acronym> regels zijn erg flexibel en er kunnen veel dingen mee gedaan worden om behoeften van @@ -1704,20 +1688,22 @@ block in log first quick on dc0 all </sect2> <sect2> - <title>IPNAT Inschakelen</title> + <title>IP<acronym>NAT</acronym> Inschakelen</title> - <para>Voor IPNAT zijn de onderstaande instellingen in - <filename>/etc/rc.conf</filename> beschikbaar.</para> + <para>Voor IP<acronym>NAT</acronym> zijn de onderstaande + instellingen in <filename>/etc/rc.conf</filename> + beschikbaar.</para> <para>Om verkeer tussen interfaces te kunnen routeren:</para> <programlisting>gateway_enable="YES"</programlisting> - <para>Om IPNAT automatisch te starten:</para> + <para>Om IP<acronym>NAT</acronym> automatisch te starten:</para> <programlisting>ipnat_enable="YES"</programlisting> - <para>Om aan te geven waar de IPNAT regels staan:</para> + <para>Om aan te geven waar de IP<acronym>NAT</acronym> regels + staan:</para> <programlisting>ipnat_rules="/etc/ipnat.rules"</programlisting> </sect2> @@ -1728,7 +1714,7 @@ block in log first quick on dc0 all <para>Voor netwerken met grote aantallen PC's of netwerken met meerdere LAN's kan het een probleem worden om al die private <acronym>IP</acronym> adressen met één - enkel publiek <acronym>IP</acronym> adres te vervangen + enkel publiek <acronym>IP</acronym> adres te vervangen, omdat vaak dezelfde poortnummers gebruikt worden. Er zijn twee manieren om dit probleem op te lossen.</para> @@ -1738,19 +1724,20 @@ block in log first quick on dc0 all <programlisting>map dc0 192.168.1.0/24 –> 0.32</programlisting> <para>Met de bovenstaande regel blijft de bronpoort - ongewijzigd als het pakket door IPNAT gaat. Door gebruik - te maken van het sleutelwoord - <parameter>portmap</parameter> kan IPNAT ingesteld worden - om alleen bronpoorten in de aangegeven reeks te gebruiken. - Zo stelt de onderstaande regel in dat IPNAT de bronpoort - aanpast naar een poortnummer dat in de aangegeven reeks - valt:</para> + ongewijzigd als het pakket door IP<acronym>NAT</acronym> + gaat. Door gebruik te maken van het sleutelwoord + <literal>portmap</literal> kan IP<acronym>NAT</acronym> + ingesteld worden om alleen bronpoorten in de aangegeven reeks + te gebruiken. Zo stelt de onderstaande regel in dat + IP<acronym>NAT</acronym> de bronpoort aanpast naar een + poortnummer dat in de aangegeven reeks valt:</para> <programlisting>map dc0 192.168.1.0/24 –> 0.32 portmap tcp/udp 20000:60000</programlisting> <para>Het kan nog eenvoudiger door gebruik te maken van het - sleutelwoord <parameter>auto</parameter> zodat IPNAT zelf - bepaalt welke poorten gebruikt kunnen worden:</para> + sleutelwoord <literal>auto</literal> zodat + IP<acronym>NAT</acronym> zelf bepaalt welke poorten gebruikt + kunnen worden:</para> <programlisting>map dc0 192.168.1.0/24 –> 0.32 portmap tcp/udp auto</programlisting> </sect3> @@ -1786,14 +1773,14 @@ block in log first quick on dc0 all op een LAN te draaien. Het uitgaande verkeer van die servers kan dan met <acronym>NAT</acronym> afgehandeld worden, maar er moet ook ingesteld worden dat inkomend - verkeer bij de juiste computer terecht komt. IPNAT gebruikt - daarvoor de opties in <acronym>NAT</acronym> waarmee verkeer - omgeleid kan worden. Als bijvoorbeeld een webserver op - <hostid role="ipaddr">10.0.10.25</hostid> draait en het - publieke <acronym>IP</acronym> adres zou <hostid - role="ipaddr">20.20.20.5</hostid> zijn, dan zou dit - mogelijk zijn met één van de volgende twee - regels:</para> + verkeer bij de juiste computer terecht komt. + IP<acronym>NAT</acronym> gebruikt daarvoor de opties in + <acronym>NAT</acronym> waarmee verkeer omgeleid kan worden. + Als bijvoorbeeld een webserver op <hostid + role="ipaddr">10.0.10.25</hostid> draait en het publieke + <acronym>IP</acronym> adres zou <hostid + role="ipaddr">20.20.20.5</hostid> zijn, dan zou dit mogelijk + zijn met één van de volgende twee regels:</para> <programlisting>map dc0 20.20.20.5/32 port 80 –> 10.0.10.25 port 80 map dc0 0/32 port 80 –> 10.0.10.25 port 80</programlisting> @@ -1824,18 +1811,18 @@ map dc0 0/32 port 80 –> 10.0.10.25 port 80</programlisting> url="http://www.slacksite.com/other/ftp.html"></ulink>.</para> <sect3> - <title>IPNAT Regels</title> - - <para>IPNAT heeft een een speciale FTP proxy ingebouwd die - kan worden ingeschakeld met een <acronym>NAT</acronym> - <parameter>map</parameter> regel. Die kan al het uitgaande - verkeer monitoren wat betreft opstartverzoeken voor sessies - voor actieve en passieve FTP en dynamisch tijdelijke - filterregels maken die alleen het poortnummer dat echt in - gebruik is voor het datakanaal doorlaten. Hiermee wordt - een veiligheidsrisico dat normaal gepaard gaat met FTP, - namelijk het toestaan van grote reeksen hoge poortnummers, - weggenomen.</para> + <title>IP<acronym>NAT</acronym> Regels</title> + + <para>IP<acronym>NAT</acronym> heeft een een speciale FTP proxy + ingebouwd die kan worden ingeschakeld met een + <acronym>NAT</acronym> <literal>map</literal> regel. Die kan + al het uitgaande verkeer monitoren wat betreft + opstartverzoeken voor sessies voor actieve en passieve FTP en + dynamisch tijdelijke filterregels maken die alleen het + poortnummer dat echt in gebruik is voor het datakanaal + doorlaten. Hiermee wordt een veiligheidsrisico dat normaal + gepaard gaat met FTP, namelijk het toestaan van grote reeksen + hoge poortnummers, weggenomen.</para> <para>De volgende regel handelt al het FTP verkeer van het LAN af:</para> @@ -1869,7 +1856,7 @@ map dc0 0/32 port 80 –> 10.0.10.25 port 80</programlisting> </sect3> <sect3> - <title>IPNAT FTP Filterregels</title> + <title>IP<acronym>NAT</acronym> FTP Filterregels</title> <para>Als de <acronym>NAT</acronym> FTP proxy wordt gebruikt is er maar één filterregel voor FTP @@ -1936,15 +1923,15 @@ pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state</pro voor de firewallregels, verantwoording, loggen, regels met <parameter>divert</parameter> (omleiden) waarmee <acronym>NAT</acronym> gebruikt kan worden en de speciale - gevorderde mogelijkheden voor bandbreedte management dummynet, + gevorderde mogelijkheden voor bandbreedte management DUMMYNET, de bridge mogelijkheden en de ipstealth mogelijkheden.</para> <sect2 id="firewalls-ipfw-enable"> <title>IPFW Inschakelen</title> <para>IPFW zit bij de basisinstallatie van &os; als een losse - in run-time laadbare module. IPFW laadt dynamisch als kernel - module als in <filename>rc.conf</filename> + in run-time laadbare module. Het systeem laadt de kernel + module dynamisch als in <filename>rc.conf</filename> <literal>firewall_enable="YES"</literal> staat. IPFW hoeft niet in de &os; kernel gecompileerd te worden, tenzij het nodig is dat <acronym>NAT</acronym> beschikbaar is.</para> @@ -2063,7 +2050,7 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> de wijzigingen zijn gemaakt als een machine draait te laden bestaat die probleem niet.</para> - <para>Met <command>IPFW</command> kunnen de actieve regels van + <para>Met <command>ipfw</command> kunnen de actieve regels van de firewall op het scherm getoond worden. De verantwoordingsmogelijkeden van &man.ipfw.8; maken dynamisch tellers aan voor iedere regel en houden die bij @@ -2261,7 +2248,7 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> <para>Er wordt gelogd als een pakket zeker past bij een regel, maar voordat de actie (bijvoorbeeld <parameter>accept</parameter> of - <parameter>deny</parameter>) op een pakket wordt + <literal>deny</literal>) op een pakket wordt toegepast. Uiteindelijk bepaalt de gebruiker zelf voor welke regels loggen wordt ingeschakeld.</para> </note> @@ -2287,25 +2274,24 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> <para><parameter>from bron to best</parameter></para> - <para>De sleutelwoorden <parameter>from</parameter> en - <parameter>to</parameter> worden gebruikt om te bekijken + <para>De sleutelwoorden <literal>from</literal> en + <literal>to</literal> worden gebruikt om te bekijken of een regel van toepassing is op <acronym>IP</acronym> adressen. Een regel moet zowel bron- als - bestemmingsadressen bevatten. <parameter>any</parameter> - is een bijzonder sleutelwoord dat van toepassing is op - alle <acronym>IP</acronym> adressen. - <parameter>me</parameter> is een bijzonder sleutelwoord - dat van toepassing is op alle <acronym>IP</acronym> - adressen die ingesteld zijn op interfaces van een &os; - systeem. Zo kan dit onderdeel dus bijvoorbeeld de - volgende vormen aannemen: - <parameter>from me to any</parameter>, - <parameter>from any to me</parameter>, - <parameter>from 0.0.0.0/0 to any</parameter>, - <parameter>from any to 0.0.0.0/0</parameter>, - <parameter>from 0.0.0.0 to any</parameter>, - <parameter>from any to 0.0.0.0</parameter>, - <parameter>from me to 0.0.0.0</parameter>. + bestemmingsadressen bevatten. <literal>any</literal> is + een bijzonder sleutelwoord dat van toepassing is op alle + <acronym>IP</acronym> adressen. <literal>me</literal> is + een bijzonder sleutelwoord dat van toepassing is op alle + <acronym>IP</acronym> adressen die ingesteld zijn op + interfaces van een &os; systeem. Zo kan dit onderdeel dus + bijvoorbeeld de volgende vormen aannemen: + <literal>from me to any</literal>, + <literal>from any to me</literal>, + <literal>from 0.0.0.0/0 to any</literal>, + <literal>from any to 0.0.0.0/0</literal>, + <literal>from 0.0.0.0 to any</literal>, + <literal>from any to 0.0.0.0</literal>, + <literal>from me to 0.0.0.0</literal>. <acronym>IP</acronym> adressen mogen ingevoerd worden in de vorm numeriek, door punten gescheiden adres/maskerlengte of als een enkelvoudig @@ -2318,7 +2304,7 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> <para><parameter>poortnummer</parameter></para> - <para>Wordt gebruikt voor protocollen die poortnummers + <para>Wordt gebruikt voor protocollen die poortnummers ondersteunen (als <acronym>TCP</acronym> en UDP). Het gebruik van een poortnummer is verplicht. Er mogen ook dienstnamen uit <filename>/etc/services</filename> @@ -2328,13 +2314,13 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> <para>Is op respectievelijk inkomende of uitgaande pakketten van toepassing. De sleutelwoorden - <parameter>in</parameter> of <parameter>out</parameter> + <literal>in</literal> of <literal>out</literal> zijn verplicht in een regel.</para> <para><parameter>via IF</parameter></para> <para>Deze parameter geeft aan op welke interface de regel - van toepassing is, waarbij <parameter>IF</parameter> de + van toepassing is, waarbij <literal>IF</literal> de exacte naam van de bedoelde interface is.</para> <para><parameter>setup</parameter></para> @@ -2534,8 +2520,9 @@ ipfw –q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep&nd <para>Alle &unix; systemen en dus ook &os; zijn zo ontworpen dat ze voor interne communicatie de interface <devicename>lo0</devicename> en <acronym>IP</acronym> adres - 127.0.0.1 gebruiken. De firewall moet dit interne verkeer - gewoon doorgang laten vinden.</para> + <hostid role="ipaddr">127.0.0.1</hostid> gebruiken. De + firewall moet dit interne verkeer gewoon doorgang laten + vinden.</para> <para>Voor de interface die is verbonden met het publieke internet worden regels gemaakt waarmee sessies naar het @@ -2594,12 +2581,12 @@ ipfw –q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep&nd heeft bereikt. Zo kan een aanvaller geen informatie verzamelen over een systeem: hoe minder informatie er over een systeem beschikbaar is, hoe veiliger het is. Als er - pakketten gelogd worden waarvan de beheerder het - poortnummer niet herkent, dan is op <ulink - url="http://www.securitystats.com/tools/portsearch.php"></ulink> - de functie van dat poortnummer na te zoeken. Op de - volgende link worden poortnummers van Trojans beschreven: - <ulink + pakketten gelogd worden waarvan de beheerder het poortnummer + niet herkent, dan is de functie van dat poortnummer na te + zoeken in <filename>/etc/services</filename> of op <ulink + url="http://www.securitystats.com/tools/portsearch.php"></ulink>. + Op de volgende link worden poortnummers van Trojans + beschreven: <ulink url="http://www.simovits.com/trojans/trojans.html"></ulink>.</para> </sect3> @@ -2896,31 +2883,29 @@ natd_flags="–dynamic –m" # –m = behoud poortnummers <para>Wat betreft binnenkomende pakketten wordt alles dat onderdeel is van een bestaande sessie automatisch afgehandeld door de - <parameter>check–state</parameter> regel en de juist - geplaatste <parameter>divert natd</parameter> regels. Nu - hoeven alleen de foute pakketten nog geweigerd te worden - en moet ondersteuning voor inkomende diensten ingesteld - worden. In dit geval draait er een Apache server op de - gateway machine die vanaf internet bereikbaar moet zijn. - Het nieuwe inkomende pakket past bij regel 100 en het + <literal>check–state</literal> regel en de juist + geplaatste <literal>divert natd</literal> regels. Nu hoeven + alleen de foute pakketten nog geweigerd te worden en moet + ondersteuning voor inkomende diensten ingesteld worden. In + dit geval draait er een Apache server op de gateway machine + die vanaf internet bereikbaar moet zijn. Het nieuwe + inkomende pakket past bij regel 100 en het <acronym>IP</acronym> adres wordt aangepast aan het interne <acronym>IP</acronym> adres van de gateway machine. Dat pakket wordt dan gecontroleerd op alle ongewenste eigenschappen en komt uiteindelijk aan bij regel 425 die van toepassing blijkt te zijn. In dat geval kunnen er twee - dingen gebeuren: <parameter>limit</parameter> is een - uitbreiding van <parameter>check–state</parameter>. - De pakketregel wordt in de dynamische keep–state - tabel gezet, maar nu wordt het aantal nieuwe sessies dat - van het bron <acronym>IP</acronym> adres komt gelimiteerd - tot twee. Dit is een bescherming tegen DoS aanvallen op - de dienst die op dat poortnummer wordt aangeboden. De - actie is <parameter>allow</parameter>, dus het pakket wordt - tot het LAN toegelaten. Voor het antwoord herkent de - <parameter>check–state</parameter> regel dat het - pakket bij een bestaande sessie hoort, stuurt het naar - regel 500 voor <acronym>NAT</acronym> en stuurt het via - de uitgaande interface weg.</para> + dingen gebeuren: de pakketregel wordt in de dynamische + keep–state tabel gezet, maar nu wordt het aantal nieuwe + sessies dat van het bron <acronym>IP</acronym> adres komt + gelimiteerd tot twee. Dit is een bescherming tegen DoS + aanvallen op de dienst die op dat poortnummer wordt + aangeboden. De actie is <literal>allow</literal>, dus het + pakket wordt tot het LAN toegelaten. Voor het antwoord + herkent de <literal>check–state</literal> regel dat het + pakket bij een bestaande sessie hoort, stuurt het naar regel + 500 voor <acronym>NAT</acronym> en stuurt het via de + uitgaande interface weg.</para> <para>Voorbeeld Set Regels #1:</para> |