diff options
Diffstat (limited to 'mn_MN.UTF-8/books/handbook/firewalls/chapter.xml')
| -rw-r--r-- | mn_MN.UTF-8/books/handbook/firewalls/chapter.xml | 183 |
1 files changed, 77 insertions, 106 deletions
diff --git a/mn_MN.UTF-8/books/handbook/firewalls/chapter.xml b/mn_MN.UTF-8/books/handbook/firewalls/chapter.xml index f7083cf8ca..5e1708a316 100644 --- a/mn_MN.UTF-8/books/handbook/firewalls/chapter.xml +++ b/mn_MN.UTF-8/books/handbook/firewalls/chapter.xml @@ -6,33 +6,20 @@ $FreeBSD$ --> - -<chapter id="firewalls"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="firewalls"> + <info><title>Галт хана</title> <authorgroup> - <author> - <firstname>Жозеф Ж.</firstname> - <surname>Баарбиш</surname> - <contrib>Хувь нэмэр болгон оруулсан </contrib> - </author> + <author><personname><firstname>Жозеф Ж.</firstname><surname>Баарбиш</surname></personname><contrib>Хувь нэмэр болгон оруулсан </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Брэд</firstname> - <surname>Дэйвис</surname> - <contrib>SGML уруу хөрвүүлж шинэчилсэн </contrib> - </author> + <author><personname><firstname>Брэд</firstname><surname>Дэйвис</surname></personname><contrib>SGML уруу хөрвүүлж шинэчилсэн </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Лодойсамбын</firstname> - <surname>Баянзул</surname> - <contrib>Орчуулсан </contrib> - </author> + <author><personname><firstname>Лодойсамбын</firstname><surname>Баянзул</surname></personname><contrib>Орчуулсан </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Галт хана</title> + <indexterm><primary>Галт хана</primary></indexterm> @@ -42,7 +29,7 @@ <secondary>галт хана</secondary> </indexterm> - <sect1 id="firewalls-intro"> + <sect1 xml:id="firewalls-intro"> <title>Танилцуулга</title> <para>Галт ханын тусламжтайгаар систем уруу орж байгаа болон түүнээс гарч байгаа өгөгдлийн урсгалыг шүүн нэвтрүүлэх боломжтой болдог. @@ -101,7 +88,7 @@ </itemizedlist> </sect1> - <sect1 id="firewalls-concepts"> + <sect1 xml:id="firewalls-concepts"> <title>Галт ханын тухай ойлголтууд</title> <indexterm> @@ -137,7 +124,7 @@ зохион байгуулахдаа төлөвт ба төлөвт-бус байдлыг хослуулан хэрэглэх нь хамгийн оновчтой байдаг.</para> </sect1> - <sect1 id="firewalls-apps"> + <sect1 xml:id="firewalls-apps"> <title>Галт ханын багцууд</title> <para>&os; дээр гурван янзын галт ханын багцууд хамрагдсан байдаг. @@ -169,24 +156,18 @@ ажилладаг талаар болон пакет удирдах талбарын утгууд, энэ утгууд session буюу сесс үүсэхэд хэрхэн хэрэглэгддэг талаар үндсэн ойлголттой байх шаардлагатай болдог. Дээрх ойлголтуудын талаар дараах хаягаар орж уншина уу: - <ulink - url="http://www.ipprimer.com/overview.cfm"></ulink>.</para> + <uri xlink:href="http://www.ipprimer.com/overview.cfm">http://www.ipprimer.com/overview.cfm</uri>.</para> </sect1> - <sect1 id="firewalls-pf"> - <sect1info> + <sect1 xml:id="firewalls-pf"> + <info><title>OpenBSD Пакет шүүгч (PF) ба + <acronym>ALTQ</acronym></title> <authorgroup> - <author> - <firstname>Жон</firstname> - <surname>Феррел</surname> - <contrib>Хянан залруулж шинэчилсэн </contrib> - <!-- 24 March 2008 --> - </author> + <author><personname><firstname>Жон</firstname><surname>Феррел</surname></personname><contrib>Хянан залруулж шинэчилсэн </contrib></author> </authorgroup> - </sect1info> + </info> - <title>OpenBSD Пакет шүүгч (PF) ба - <acronym>ALTQ</acronym></title> + <indexterm> <primary>галт хана</primary> @@ -203,17 +184,15 @@ Queuing буюу Ээлжлэн солигдох дараалал) хамтран ажиллах боломжтой. <acronym>ALTQ</acronym> нь Quality of Service буюу Үйлчилгээний Чанарын (<acronym>QoS</acronym>) боломжоор хангадаг. - OpenBSD Төсөл нь <ulink - url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>-г хөтлөн + OpenBSD Төсөл нь <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>-г хөтлөн явуулдаг. Тиймээс гарын авлагын энэ хэсэг нь &os;-д хамаатай <acronym>PF</acronym> дээр илүү анхаарлаа хандуулахахаас гадна хэрэглээний талаар зарим нэг ерөнхий мэдээллийг өгнө. Хэрэглээний - мэдээллийн талаар илүү дэлгэрэнгүйг <ulink - url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>-с үзнэ үү.</para> + мэдээллийн талаар илүү дэлгэрэнгүйг <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>-с үзнэ үү.</para> <para>&os;-д зориулсан <acronym>PF</acronym>-ийн талаар илүү дэлгэрэнгүй мэдээллийг - <ulink url="http://pf4freebsd.love2party.net/"></ulink> хаягаас үзэж болно.</para> + <uri xlink:href="http://pf4freebsd.love2party.net/">http://pf4freebsd.love2party.net/</uri> хаягаас үзэж болно.</para> <sect2> <title>Цөмийн дуудагдах PF модулиудыг ашиглах нь</title> @@ -235,8 +214,7 @@ <programlisting>pf_rules="<replaceable>/path/to/pf.conf</replaceable>"</programlisting> - <para>Жишээ <filename>pf.conf</filename> файлыг <filename - class="directory">/usr/share/examples/pf/</filename> сангаас олж болно.</para> + <para>Жишээ <filename>pf.conf</filename> файлыг <filename>/usr/share/examples/pf/</filename> сангаас олж болно.</para> <para><acronym>PF</acronym> модулийг тушаалын мөрөөс бас дуудан ажиллуулж болно:</para> @@ -339,12 +317,11 @@ NAT ашиглах бодолтой байгаа бол дараах илэрх дагуу пакетуудыг өөрчлөх, орхих буюу эсвэл дамжуулдаг. &os; суулгацад <filename>/usr/share/examples/pf/</filename>-д байрлах хэд хэдэн жишээ файлууд байдаг. <acronym>PF</acronym>-ийн дүрмийн олонлогуудын талаар бүрэн мэдээллийг - <ulink url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>-с + <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>-с лавлана уу.</para> <warning> - <para><ulink - url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>-г үзэж байхдаа + <para><link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>-г үзэж байхдаа &os;-ийн хувилбар бүр өөр өөр PF хувилбартай байж болохыг анхаарах хэрэгтэй. Одоогоор &os; 8.<replaceable>X</replaceable> болон түүнээс өмнөх хувилбарууд OpenBSD 4.1-ийн нэгэн адил @@ -377,28 +354,28 @@ NAT ашиглах бодолтой байгаа бол дараах илэрх <tbody> <row> - <entry><command>pfctl <option>-e</option></command></entry> + <entry><command>pfctl -e</command></entry> <entry>PF-г идэвхжүүлэх</entry> </row> <row> - <entry><command>pfctl <option>-d</option></command></entry> + <entry><command>pfctl -d</command></entry> <entry>PF-г болиулах</entry> </row> <row> - <entry><command>pfctl <option>-F</option> all <option>-f</option> /etc/pf.conf</command></entry> + <entry><command>pfctl -F all -f /etc/pf.conf</command></entry> <entry>Бүх дүрмүүдийг арилгаж (nat, шүүх, төлөв, хүснэгт, гэх мэт.) <filename>/etc/pf.conf</filename> файлаас дахин ачаалах</entry> </row> <row> - <entry><command>pfctl <option>-s</option> [ rules | nat | state ]</command></entry> + <entry><command>pfctl -s [ rules | nat | state ]</command></entry> <entry>Шүүх дүрмүүд, nat дүрмүүд, эсвэл төлвийн хүснэгтийн талаар тайлан гаргах</entry> </row> <row> - <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry> + <entry><command>pfctl -vnf /etc/pf.conf</command></entry> <entry>Дүрмийн олонлогийг ачаалалгүйгээр <filename>/etc/pf.conf</filename>-д алдаа байгаа эсэхийг шалгах</entry> </row> @@ -448,7 +425,7 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> <para><literal>options ALTQ_HFSC</literal> мөр нь <emphasis>Hierarchical Fair Service Curve Packet Scheduler</emphasis> буюу Үе давхаргат Зохимжит Үйлчилгээний Муруйн Пакет Хуваарилагчийг идэвхжүүлнэ. <acronym>HFSC</acronym> талаар илүү дэлгэрэнгүй мэдээллийг дараах хаягаас үзнэ үү: -<ulink url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para> +<uri xlink:href="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html">http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html</uri>.</para> <para><literal>options ALTQ_PRIQ</literal> мөр нь <emphasis>Priority Queuing</emphasis> буюу Эрэмбэт Дараалал Үүсгэх (<acronym>PRIQ</acronym>)-г идэвхжүүлнэ. <acronym>PRIQ</acronym> нь эрэмбэ өндөртэй дараалалд байгаа @@ -460,7 +437,7 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> </sect2> </sect1> - <sect1 id="firewalls-ipf"> + <sect1 xml:id="firewalls-ipf"> <title>IPFILTER (IPF) Галт хана</title> <indexterm> @@ -498,15 +475,12 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> бичих үндсэн арга барил юм.</para> <para>Хуучин уламжлалт дүрмүүдтэй ажиллах аргуудын талаар дэлгэрэнгүй тайлбарыг: -<ulink url="http://www.munk.me.uk/ipf/ipf-howto.html"></ulink> - ба <ulink - url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink> хаягаар орж үзнэ үү.</para> +<uri xlink:href="http://www.munk.me.uk/ipf/ipf-howto.html">http://www.munk.me.uk/ipf/ipf-howto.html</uri> + ба <uri xlink:href="http://coombs.anu.edu.au/~avalon/ip-filter.html">http://coombs.anu.edu.au/~avalon/ip-filter.html</uri> хаягаар орж үзнэ үү.</para> - <para>IPF FAQ-г <ulink - url="http://www.phildev.net/ipf/index.html"></ulink> хаягаар орж үзнэ үү.</para> + <para>IPF FAQ-г <uri xlink:href="http://www.phildev.net/ipf/index.html">http://www.phildev.net/ipf/index.html</uri> хаягаар орж үзнэ үү.</para> - <para>Нээлттэй эхийн IPFilter програмын захидлын жагсаалтын архивыг <ulink - url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink> хаягаар орж үзнэ үү.</para> + <para>Нээлттэй эхийн IPFilter програмын захидлын жагсаалтын архивыг <uri xlink:href="http://marc.theaimsgroup.com/?l=ipfilter">http://marc.theaimsgroup.com/?l=ipfilter</uri> хаягаар орж үзнэ үү.</para> <sect2> <title>IPF-г идэвхжүүлэх</title> @@ -568,7 +542,7 @@ options IPFILTER_DEFAULT_BLOCK</programlisting> галт ханыг идэвхжүүлнэ.</para> <para><literal>options IPFILTER_LOG</literal> мөр нь <literal>log</literal> -гэсэн түлхүүр үг орсон дүрмүүдийн хувьд урсгалыг <devicename>ipl</devicename> +гэсэн түлхүүр үг орсон дүрмүүдийн хувьд урсгалыг <filename>ipl</filename> пакет бүртгэх хуурамч—төхөөрөмж уруу бүртгэх боломжтой болгоно.</para> <para><literal>options IPFILTER_DEFAULT_BLOCK</literal> мөр нь @@ -812,7 +786,7 @@ IPF мэт програмуудын үүсгэсэн системийн мэдэ </listitem> <listitem> - <para>Пакеттай ажилласан интерфэйсийн нэр, жишээлбэл <devicename>dc0</devicename>.</para> + <para>Пакеттай ажилласан интерфэйсийн нэр, жишээлбэл <filename>dc0</filename>.</para> </listitem> <listitem> @@ -855,7 +829,7 @@ S, p, b, n, L. Том P эсвэл B үсэг нь тухайн пакет ям ICMP мэдэгдэл болон дэд мэдэгдлийн төрөл, жишээлбэл портод хандаж чадсангүй гэсэн мэдэгдлийн хувьд ICMP 3/3 байна.</para> </sect2> - <sect2 id="firewalls-ipf-rules-script"> + <sect2 xml:id="firewalls-ipf-rules-script"> <title>Симбол орлуулалттай скриптийг үүсгэх нь</title> <para>Зарим туршлагатай IPF хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд @@ -931,7 +905,7 @@ IPF симбол орлуулалтыг ойлгохгүй, ийм скрипт <para><filename>/etc/rc.conf</filename> файл дотор <literal>ipfilter_enable="NO"</literal> (энэ анхдагч утга) мөрийг нэмэн системийн эхлэл скриптэд IPFILTER-г идэвхгүй болго.</para> - <para>Дээрхтэй адил скриптийг өөрийн <filename class="directory">/usr/local/etc/rc.d/</filename> эхлэл хавтаст + <para>Дээрхтэй адил скриптийг өөрийн <filename>/usr/local/etc/rc.d/</filename> эхлэл хавтаст байрлуул. Энэ скрипт <filename>ipf.loadrules.sh</filename> ч юм уу ойлгомжтой нэртэй байх ёстой. <filename>.sh</filename> гэсэн өргөтгөлтэй байх ёстой.</para> @@ -939,7 +913,7 @@ IPF симбол орлуулалтыг ойлгохгүй, ийм скрипт <programlisting>#!/bin/sh sh /etc/ipf.rules.script</programlisting> - <para>Энэ скриптийн эрхүүд эзэмшигч <username>root</username>-н хувьд + <para>Энэ скриптийн эрхүүд эзэмшигч <systemitem class="username">root</systemitem>-н хувьд унших, бичих, ажиллах эрхтэй байх ёстой.</para> <screen>&prompt.root; <userinput>chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh</userinput></screen> @@ -1089,7 +1063,7 @@ sh /etc/ipf.rules.script</programlisting> параметрүүд тохирч байвал пакетийн толгой <!-- XXX - xref here --> - <devicename>ipl</devicename> бүртгэл уруу (дор Бүртгэл Хөтлөх хэсэгт + <filename>ipl</filename> бүртгэл уруу (дор Бүртгэл Хөтлөх хэсэгт заасны дагуу) бичигдэхийг зааж өгнө.</para> <para><literal>quick</literal> гэдэг нь пакеттай selection буюу сонголтын @@ -1160,9 +1134,9 @@ sh /etc/ipf.rules.script</programlisting> <literal>from any to 0.0.0.0</literal>.</para> <para>Цэгээр тусгаарлагдсан тоо/баг хэлбэрээр хялбархан илэрхийлэх боломжгүй IP хаягуудыг -хэрэглэх боломжгүй. <filename role="package">net-mgmt/ipcalc</filename> порт ашиглан үүнийг +хэрэглэх боломжгүй. <package>net-mgmt/ipcalc</package> порт ашиглан үүнийг хялбарчилж болох юм. Нэмэлт мэдээллийг дараах вэб хуудсаар -орж үзнэ үү: <ulink url="http://jodies.de/ipcalc"></ulink>.</para> +орж үзнэ үү: <uri xlink:href="http://jodies.de/ipcalc">http://jodies.de/ipcalc</uri>.</para> </sect3> <sect3> @@ -1292,13 +1266,13 @@ tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэр тохиромжтой байдаг.</para> <para>&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем дэх -дотоод харилцаандаа <devicename>lo0</devicename> интерфэйс болон <hostid role="ipaddr">127.0.0.1</hostid> +дотоод харилцаандаа <filename>lo0</filename> интерфэйс болон <systemitem class="ipaddress">127.0.0.1</systemitem> гэсэн IP хаягийг хэрэглэхээр бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа эдгээр пакетуудыг чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.</para> <para>Интернэттэй холбогдож байгаа интерфэйс дээр Интернэт уруу гарч байгаа болон Интернэтээс ирж байгаа хандалтыг удирдах -болон хянах дүрмүүдийг байрлуулна. Энэ нь таны PPP <devicename>tun0</devicename> +болон хянах дүрмүүдийг байрлуулна. Энэ нь таны PPP <filename>tun0</filename> интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.</para> <para>Галт ханын цаана байгаа хувийн сүлжээнд нэг болон түүнээс дээш тооны NIC-ууд @@ -1340,7 +1314,7 @@ tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэр <literal>log first</literal> тохируулгыг агуулах дүрмүүд анхны удаа таарахад бүртгэж авдаг. Энэ тохируулга нь жишээ <literal>nmap OS fingerprint</literal> дүрэмд орсон - байдаг. <filename role="package">security/nmap</filename> хэрэгслийг + байдаг. <package>security/nmap</package> хэрэгслийг халдагчид таны серверийн үйлдлийн системийг танихын тулд ихэвчлэн ашигладаг.</para> @@ -1351,11 +1325,11 @@ tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэр <para><filename>/etc/services</filename> файлыг ашиглан мэдэгдэхгүй портын дугаарыг хайж олж болох юм. Мөн -<ulink url="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers"></ulink> хаягаар тухайн +<uri xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</uri> хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаж болох юм.</para> <para>Троянуудын хэрэглэдэг портын дугааруудыг -<ulink url="http://www.sans.org/security-resources/idfaq/oddports.php"></ulink> хаягаар орж шалгаарай.</para> +<uri xlink:href="http://www.sans.org/security-resources/idfaq/oddports.php">http://www.sans.org/security-resources/idfaq/oddports.php</uri> хаягаар орж шалгаарай.</para> <para>Дараах дүрмийн олонлог нь ажиллаж байгаа систем дээр шалгагдсан аюулгүй байдлыг бүрэн хангасан хамааруулсан галт ханын дүрмийн олонлог юм. @@ -1366,9 +1340,9 @@ tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэр <para>Хүсээгүй мэдээллийг бүртгэхгүйн тулд дотогшоо хэсэгт <literal>block</literal> дүрэм нэмж бичээрэй.</para> - <para>Дүрэм бүрт байгаа <devicename>dc0</devicename> гэсэн интерфэйсийн нэрийн оронд + <para>Дүрэм бүрт байгаа <filename>dc0</filename> гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны интерфэйсийн нэрээр сольж тавиарай. -Хэрэглэгчийн PPP-н хувьд, энэ нь <devicename>tun0</devicename> байна.</para> +Хэрэглэгчийн PPP-н хувьд, энэ нь <filename>tun0</filename> байна.</para> <para>Дараах илэрхийллүүдийг <filename>/etc/ipf.rules</filename> дотор бичих хэрэгтэй:</para> @@ -1587,27 +1561,27 @@ DSL модемтой хэрэглэгчдийн хувьд модемоо аса <tbody> <row> - <entry>Эхлэх IP <hostid role="ipaddr">10.0.0.0</hostid></entry> + <entry>Эхлэх IP <systemitem class="ipaddress">10.0.0.0</systemitem></entry> <entry>-</entry> - <entry>Төгсөх IP <hostid role="ipaddr">10.255.255.255</hostid></entry> + <entry>Төгсөх IP <systemitem class="ipaddress">10.255.255.255</systemitem></entry> </row> <row> - <entry>Эхлэх IP <hostid role="ipaddr">172.16.0.0</hostid></entry> + <entry>Эхлэх IP <systemitem class="ipaddress">172.16.0.0</systemitem></entry> <entry>-</entry> - <entry>Төгсөх IP <hostid role="ipaddr">172.31.255.255</hostid></entry> + <entry>Төгсөх IP <systemitem class="ipaddress">172.31.255.255</systemitem></entry> </row> <row> - <entry>Эхлэх IP <hostid role="ipaddr">192.168.0.0</hostid></entry> + <entry>Эхлэх IP <systemitem class="ipaddress">192.168.0.0</systemitem></entry> <entry>-</entry> - <entry>Төгсөх IP <hostid role="ipaddr">192.168.255.255</hostid></entry> + <entry>Төгсөх IP <systemitem class="ipaddress">192.168.255.255</systemitem></entry> </row> </tbody> </tgroup> @@ -1674,7 +1648,7 @@ DSL модемтой хэрэглэгчдийн хувьд модемоо аса <para><replaceable>IF</replaceable>-г гадаад интерфэйсээр сольж тавьна.</para> <para><replaceable>LAN_IP_RANGE</replaceable> нь танай дотоод хэрэглэгчийн -хэрэглэж буй IP хаяглалтыг заана, ихэвчлэн <hostid role="ipaddr">192.168.1.0/24</hostid> +хэрэглэж буй IP хаяглалтыг заана, ихэвчлэн <systemitem class="ipaddress">192.168.1.0/24</systemitem> гэсэн маягтай байна.</para> <para><replaceable>PUBLIC_ADDRESS</replaceable> нь гадаад IP @@ -1789,8 +1763,8 @@ IP<acronym>NAT</acronym> эдгээрээс нэгийг сонгон авч г урсгалыг зөв LAN PC уруу дахин чиглүүлэх арга зам байх хэрэгтэй болно. Энэ асуудлыг шийдэхийн тулд IP<acronym>NAT</acronym> нь дахин чиглүүлэлт хийх <acronym>NAT</acronym> нэмэлт боломжийг олгодог. Вэб сервер -<hostid role="ipaddr">10.0.10.25</hostid> гэсэн LAN хаягтай бөгөөд -<hostid role="ipaddr">20.20.20.5</hostid> гэсэн ганц гадаад IP-тай +<systemitem class="ipaddress">10.0.10.25</systemitem> гэсэн LAN хаягтай бөгөөд +<systemitem class="ipaddress">20.20.20.5</systemitem> гэсэн ганц гадаад IP-тай байлаа гэж бодъё. Тэгвэл дүрмийг дараах байдалтай:</para> <programlisting>rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting> @@ -1800,7 +1774,7 @@ IP<acronym>NAT</acronym> эдгээрээс нэгийг сонгон авч г <programlisting>rdr dc0 0.0.0.0/0 port 80 -> 10.0.10.25 port 80</programlisting> <para>эсвэл гаднаас DNS хүсэлтүүд хүлээн авдаг -<hostid role="ipaddr">10.0.10.33</hostid> гэсэн хаягтай LAN DNS Серверийн хувьд:</para> +<systemitem class="ipaddress">10.0.10.33</systemitem> гэсэн хаягтай LAN DNS Серверийн хувьд:</para> <programlisting>rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp</programlisting> @@ -1821,7 +1795,7 @@ FTP протоколыг шинээр гарч ирж байгаа Интерн горимд ажилладаг. Өгөгдлийн сувгийг хэрхэн ашиглаж байгаа дээр гол ялгаа нь гардаг. Өгөгдлийн сувгийг эхэлж ftp сесс хүсэгч нь авдаг тул идэвхгүй горимд ажиллах нь аюулгүй байдлыг илүүтэйгээр хангана. FTP-н талаар илүү сайн тайлбарыг болон түүний -горимуудын талаар <ulink url="http://www.slacksite.com/other/ftp.html"></ulink> хаягаар үзнэ үү.</para> +горимуудын талаар <uri xlink:href="http://www.slacksite.com/other/ftp.html">http://www.slacksite.com/other/ftp.html</uri> хаягаар үзнэ үү.</para> <sect3> <title>IP<acronym>NAT</acronym> Дүрмүүд</title> @@ -1877,7 +1851,7 @@ pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state</pro </sect2> </sect1> - <sect1 id="firewalls-ipfw"> + <sect1 xml:id="firewalls-ipfw"> <title>IPFW</title> <indexterm> @@ -1913,7 +1887,7 @@ dummynet трафик хязгаарлагч боломжууд, <literal>fwd д ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv6-г дэмждэг.</para> - <sect2 id="firewalls-ipfw-enable"> + <sect2 xml:id="firewalls-ipfw-enable"> <title>IPFW-г идэвхжүүлэх</title> <indexterm> @@ -1941,7 +1915,7 @@ ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv net.inet.ip.fw.verbose_limit=5</programlisting> </sect2> - <sect2 id="firewalls-ipfw-kernel"> + <sect2 xml:id="firewalls-ipfw-kernel"> <title>Цөмийн тохируулгууд</title> <indexterm> @@ -2016,7 +1990,7 @@ syslog-г живүүлэх замаар явагдах үйлчилгээг зо </note> </sect2> - <sect2 id="firewalls-ipfw-rc"> + <sect2 xml:id="firewalls-ipfw-rc"> <title><filename>/etc/rc.conf</filename> Тохируулгууд</title> <para>Галт ханыг идэвхжүүлэхийн тулд:</para> @@ -2050,7 +2024,7 @@ syslog-г живүүлэх замаар явагдах үйлчилгээг зо боломжгүй болгоно.</para> </listitem> <listitem> - <para><filename><replaceable>filename</replaceable></filename> — галт ханын дүрмүүдийг агуулсан + <para><filename>filename</filename> — галт ханын дүрмүүдийг агуулсан файлын бүрэн зам.</para> </listitem> </itemizedlist> @@ -2091,8 +2065,7 @@ ipfw add deny out</programlisting> <warning> <para><varname>firewall_logging</varname> хувьсагчийн хийх ганц зүйл гэвэл <varname>net.inet.ip.fw.verbose</varname> sysctl -хувьсагчийн утгыг <literal>1</literal> болгох юм (<xref -linkend="firewalls-ipfw-enable"/> хэсгийг үзнэ үү). <filename>rc.conf</filename> +хувьсагчийн утгыг <literal>1</literal> болгох юм (<xref linkend="firewalls-ipfw-enable"/> хэсгийг үзнэ үү). <filename>rc.conf</filename> дотор бүртгэлийг хязгаарлах хувьсагч байхгүй, харин үүний тулд sysctl хувьсагчаар дамжуулан хийж болно. <filename>/etc/sysctl.conf</filename> файл дотор эсвэл гараараа утгыг оноож өгч болно:</para> @@ -2106,7 +2079,7 @@ sysctl хувьсагчаар дамжуулан хийж болно. <filename> мэдээллийг <xref linkend="network-natd"/> хэсэг уруу хандана уу.</para> </sect2> - <sect2 id="firewalls-ipfw-cmd"> + <sect2 xml:id="firewalls-ipfw-cmd"> <title>IPFW Тушаал</title> <indexterm><primary><command>ipfw</command></primary></indexterm> @@ -2160,7 +2133,7 @@ IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувь <screen>&prompt.root; <userinput>ipfw zero NUM</userinput></screen> </sect2> - <sect2 id="firewalls-ipfw-rules"> + <sect2 xml:id="firewalls-ipfw-rules"> <title>IPFW Дүрмийн Олонлог</title> <!-- This has already appeared once --> @@ -2210,7 +2183,7 @@ IPFW-н анхдагч дүрэмд албаар тохируулна.</para> Зарим тохиргоо серверээс <emphasis>бүх холбоог тань тасалж</emphasis> мэднэ.</para> </warning> - <sect3 id="firewalls-ipfw-rules-syntax"> + <sect3 xml:id="firewalls-ipfw-rules-syntax"> <title>Дүрмийн Синтакс</title> <indexterm> @@ -2325,9 +2298,9 @@ any</literal> эсвэл <literal>from any to me</literal> эсвэл <literal>f any to 0.0.0.0</literal> or <literal>from me to 0.0.0.0</literal> гэсэн байдлаар төлөөлнө. IP хаягуудыг цэгтэй тоон хэлбэр/багийн-урт байдлаар эсвэл зүгээр цэгтэй тоон хэлбэрээр бичиж болно. Энэ бол заавал тавигдах шаардлага юм. -Тооцооллыг хялбар болгохын тулд <filename role="package">net-mgmt/ipcalc</filename> +Тооцооллыг хялбар болгохын тулд <package>net-mgmt/ipcalc</package> портыг ашиглаж болох юм. Нэмэлт мэдээллийг хэрэгслийн вэб хуудаснаас үзэж -болно: <ulink url="http://jodies.de/ipcalc"></ulink></para> +болно: <uri xlink:href="http://jodies.de/ipcalc">http://jodies.de/ipcalc</uri></para> <para><parameter>port number</parameter></para> @@ -2445,7 +2418,7 @@ IPFW нь өөрөө ямар ч дүрмийг үүсгэхгүй. Админи файлд анхдагч байдлаар зааж өгсөн <filename>/var/log/security</filename> файлд бичигдэнэ.</para> </sect3> - <sect3 id="firewalls-ipfw-rules-script"> + <sect3 xml:id="firewalls-ipfw-rules-script"> <title>Дүрмийн скриптийг бүтээх</title> <para>Туршлагатай IPFW хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд @@ -2522,7 +2495,7 @@ ks="keep-state" # just too lazy to key this each time <para>Интернэттэй холбогдож байгаа интерфэйс дээр гадагшаа болон дотогшоо холболтуудыг удирдах болон хянах дүрмүүдийг байрлуулна. -Энэ нь таны <acronym>PPP</acronym> <devicename>tun0</devicename> интерфэйс эсвэл таны DSL эсвэл кабель +Энэ нь таны <acronym>PPP</acronym> <filename>tun0</filename> интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.</para> <para>Галт ханын цаана байгаа хувийн LAN-уудад нэг болон түүнээс дээш @@ -2557,10 +2530,8 @@ ks="keep-state" # just too lazy to key this each time Ингэснээр халдлага явуулагч нь түүний явуулсан пакетууд таны системд хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ, төдий чинээ аюулгүй байна гэсэн үг юм. Танигдаагүй портын дугаартай пакетуудын хувьд -<filename>/etc/services/</filename> файлаас эсвэл <ulink url="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers"> -</ulink> хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаарай. -Троянуудын хэрэглэдэг портын дугааруудыг <ulink -url="http://www.sans.org/security-resources/idfaq/oddports.php"></ulink> хаягаар орж шалгаарай.</para> +<filename>/etc/services/</filename> файлаас эсвэл <uri xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</uri> хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаарай. +Троянуудын хэрэглэдэг портын дугааруудыг <uri xlink:href="http://www.sans.org/security-resources/idfaq/oddports.php">http://www.sans.org/security-resources/idfaq/oddports.php</uri> хаягаар орж шалгаарай.</para> </sect3> <sect3> @@ -2571,8 +2542,8 @@ url="http://www.sans.org/security-resources/idfaq/oddports.php"></ulink> хая ашиглахад буруудах юмгүй. Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах <literal>pass</literal> дүрмийг далдлаарай. Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй, бүртгэхийг хүсэхгүй байгаа бол дотогшоо хэсэгт <literal>deny</literal> дүрэм нэмж бичээрэй. Дүрэм бүрт байгаа -<devicename>dc0</devicename> гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны -интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн <acronym>PPP</acronym>-н хувьд, энэ нь <devicename>tun0</devicename> байна.</para> +<filename>dc0</filename> гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны +интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн <acronym>PPP</acronym>-н хувьд, энэ нь <filename>tun0</filename> байна.</para> <para>Эдгээр дүрмүүдийг хэрэглэх явцад хэв маяг олж харах болно.</para> |