diff options
Diffstat (limited to 'ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml')
| -rw-r--r-- | ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml | 147 |
1 files changed, 61 insertions, 86 deletions
diff --git a/ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml index 82b504bfb4..e6e6ec0376 100644 --- a/ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml +++ b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.xml @@ -9,26 +9,17 @@ XXX: contains non-translated sections! XXX --> - -<chapter id="firewalls"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="firewalls"> + <info><title>Межсетевые экраны</title> <authorgroup> - <author> - <firstname>Joseph J.</firstname> - <surname>Barbish</surname> - <contrib>Предоставил </contrib> - </author> + <author><personname><firstname>Joseph J.</firstname><surname>Barbish</surname></personname><contrib>Предоставил </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Brad</firstname> - <surname>Davis</surname> - <contrib>Преобразовал в SGML и обновил </contrib> - </author> + <author><personname><firstname>Brad</firstname><surname>Davis</surname></personname><contrib>Преобразовал в SGML и обновил </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Межсетевые экраны</title> + <indexterm><primary>межсетевой экран</primary></indexterm> <indexterm> @@ -42,7 +33,7 @@ <see>межсетевой экран</see> </indexterm> - <sect1 id="firewalls-intro"> + <sect1 xml:id="firewalls-intro"> <title>Введение</title> @@ -121,7 +112,7 @@ </itemizedlist> </sect1> - <sect1 id="firewalls-concepts"> + <sect1 xml:id="firewalls-concepts"> <title>Принципы работы межсетевых экранов</title> <indexterm> @@ -167,7 +158,7 @@ оптимальную конфигурацию для каждой конкретной системы.</para> </sect1> - <sect1 id="firewalls-apps"> + <sect1 xml:id="firewalls-apps"> <title>Пакеты межсетевых экранов</title> @@ -209,23 +200,18 @@ понимание принципов <acronym>TCP</acronym>/IP, того, что означают различные поля заголовка пакета, и как эти поля используются в обычной сессии. Хорошим примером является: - <ulink url="http://www.ipprimer.com/overview.cfm"></ulink>.</para> + <uri xlink:href="http://www.ipprimer.com/overview.cfm">http://www.ipprimer.com/overview.cfm</uri>.</para> </sect1> - <sect1 id="firewalls-pf"> - <sect1info> + <sect1 xml:id="firewalls-pf"> + <info><title>Packet Filter (PF, межсетевой экран OpenBSD) и + <acronym>ALTQ</acronym></title> <authorgroup> - <author> - <firstname>John</firstname> - <surname>Ferrell</surname> - <contrib>Пересмотрел и обновил </contrib> - <!-- 24 March 2008 --> - </author> + <author><personname><firstname>John</firstname><surname>Ferrell</surname></personname><contrib>Пересмотрел и обновил </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Packet Filter (PF, межсетевой экран OpenBSD) и - <acronym>ALTQ</acronym></title> + <indexterm> <primary>межсетевой экран</primary> @@ -244,15 +230,14 @@ Quality of Service (<acronym>QoS</acronym>).</para> <para>Проект OpenBSD осуществляет замечательную работу по поддержке - <ulink url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>. Этот раздел + <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>. Этот раздел руководства фокусируется на взаимосвязи <acronym>PF</acronym> и &os;, предоставляя лишь общую информацию по его использованию. За более подробной информацией по использованию <acronym>PF</acronym> - обратитесь к <ulink - url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para> + обратитесь к <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>.</para> <para>Дополнительные сведения о PF для &os; можно получить с веб сайта: - <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para> + <uri xlink:href="http://pf4freebsd.love2party.net/">http://pf4freebsd.love2party.net/</uri>.</para> <sect2> <title>Использование модуля ядра PF</title> @@ -275,8 +260,7 @@ <programlisting>pf_rules="<replaceable>/path/to/pf.conf</replaceable>"</programlisting> <para>Файл с примерами конфигураций <filename>pf.conf</filename> - находится в каталоге <filename - class="directory">/usr/share/examples/pf/</filename>.</para> + находится в каталоге <filename>/usr/share/examples/pf/</filename>.</para> <para>Модуль <acronym>PF</acronym> можно также загрузить вручную:</para> @@ -379,14 +363,13 @@ pflog_flags="" # дополнительные флаги для запуска pflogd</progr пакеты отвергаются, пропускаются или модифицируются в соответствии с правилами и определениями из этого файла. В стандартную поставку &os; входят несколько файлов с примерами конфигураций, которые - находятся в каталоге <filename - class="directory">/usr/share/examples/pf/</filename>. + находятся в каталоге <filename>/usr/share/examples/pf/</filename>. За исчерпывающим описанием правил <acronym>PF</acronym> обратитесь - к <ulink url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para> + к <link xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>.</para> <warning> - <para>Изучая <ulink url="http://www.openbsd.org/faq/pf/">PF - FAQ</ulink>, имейте в виду, что различные версии &os; могут + <para>Изучая <link xlink:href="http://www.openbsd.org/faq/pf/">PF + FAQ</link>, имейте в виду, что различные версии &os; могут содержать разные версии pf. В настоящий момент &os; использует ту же версию <acronym>PF</acronym>, которая включена в OpenBSD 4.1.</para> @@ -418,19 +401,19 @@ pflog_flags="" # дополнительные флаги для запуска pflogd</progr <tbody> <row> - <entry><command>pfctl <option>-e</option></command></entry> + <entry><command>pfctl -e</command></entry> <entry>Включить PF</entry> </row> <row> - <entry><command>pfctl <option>-d</option></command></entry> + <entry><command>pfctl -d</command></entry> <entry>Выключить PF</entry> </row> <row> - <entry><command>pfctl <option>-F</option> all <option>-f</option> /etc/pf.conf</command></entry> + <entry><command>pfctl -F all -f /etc/pf.conf</command></entry> <entry>Сбросить все правила (NAT, правила фильтрации, состояния соединений, таблицы и т.д.) и загрузить новые с файла @@ -438,14 +421,14 @@ pflog_flags="" # дополнительные флаги для запуска pflogd</progr </row> <row> - <entry><command>pfctl <option>-s</option> [ rules | nat | state ]</command></entry> + <entry><command>pfctl -s [ rules | nat | state ]</command></entry> <entry>Отобразить правила фильтрации, правила NAT или таблицу состояний соединений</entry> </row> <row> - <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry> + <entry><command>pfctl -vnf /etc/pf.conf</command></entry> <entry>Проверить <filename>/etc/pf.conf</filename> на наличие ошибок, но сами наборы правил не загружать</entry> @@ -501,8 +484,7 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> <para><literal>options ALTQ_HFSC</literal> включает <emphasis>Hierarchical Fair Service Curve Packet Scheduler</emphasis>. Дополнительная - информация о <acronym>HFSC</acronym> находится по адресу: <ulink - url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>. + информация о <acronym>HFSC</acronym> находится по адресу: <uri xlink:href="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html">http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html</uri>. </para> <para><literal>options ALTQ_PRIQ</literal> включает <emphasis>Priority @@ -517,7 +499,7 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> </sect2> </sect1> - <sect1 id="firewalls-ipf"> + <sect1 xml:id="firewalls-ipf"> <title>* IPFILTER (IPF)</title> <indexterm> @@ -565,16 +547,15 @@ options ALTQ_NOPCC # Required for SMP build</programlisting> включающего межсетевого экрана.</para> <para>Детальное описание традиционных методов обработки правил: - <ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink> + <uri xlink:href="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1">http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1</uri> и - <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para> + <uri xlink:href="http://coombs.anu.edu.au/~avalon/ip-filter.html">http://coombs.anu.edu.au/~avalon/ip-filter.html</uri>.</para> <para>IPF FAQ находится по адресу - <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.</para> + <uri xlink:href="http://www.phildev.net/ipf/index.html">http://www.phildev.net/ipf/index.html</uri>.</para> <para>Архив списка рассылки по IPFilter с возможностью поиска доступен - по адресу <ulink - url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.</para> + по адресу <uri xlink:href="http://marc.theaimsgroup.com/?l=ipfilter">http://marc.theaimsgroup.com/?l=ipfilter</uri>.</para> <sect2> <title>Включение IPF</title> @@ -637,7 +618,7 @@ options IPFILTER_DEFAULT_BLOCK</programlisting> <para><literal>options IPFILTER_LOG</literal> включает протоколирование трафика через IPF путем записи его в псевдо-устройство протоколирования пакетов - <devicename>ipl</devicename> для каждого + <filename>ipl</filename> для каждого правила, содержащего ключевое слово <literal>log</literal>.</para> @@ -708,8 +689,7 @@ ipnat_rules="/etc/ipnat.rules" # Определение файла правил для ipnat</programl скрипта с символами подстановки, не принимаются.</para> <para>Есть способ составления правил IPF, использующих - символы подстановки. Обратитесь к <xref - linkend="firewalls-ipf-rules-script"/>.</para> + символы подстановки. Обратитесь к <xref linkend="firewalls-ipf-rules-script"/>.</para> </sect2> @@ -917,7 +897,7 @@ LOG_ERR - packets which have been logged and which can be considered short</scre <listitem> <para>Имя интерфейса, через который прошел пакет, - например <devicename>dc0</devicename>.</para> + например <filename>dc0</filename>.</para> </listitem> <listitem> @@ -971,7 +951,7 @@ LOG_ERR - packets which have been logged and which can be considered short</scre unreachable</quote>.</para> </sect2> - <sect2 id="firewalls-ipf-rules-script"> + <sect2 xml:id="firewalls-ipf-rules-script"> <title>Создание набора правил с использованием символьной подстановки</title> <para>Некоторые опытные пользователи IPF создают файл правил, @@ -1061,7 +1041,7 @@ EOF по умолчанию) в файл <filename>/etc/rc.conf</filename>.</para> <para>Поместите скрипт, подобный нижеприведенному, в каталог - <filename class="directory">/usr/local/etc/rc.d/</filename>. У него должно + <filename>/usr/local/etc/rc.d/</filename>. У него должно быть однозначно говорящее о его назначении имя, например <filename>ipf.loadrules.sh</filename>. Расширение <filename>.sh</filename> обязательно.</para> @@ -1070,7 +1050,7 @@ EOF sh /etc/ipf.rules.script</programlisting> <para>Права, установленные на этот файл, должны разрешать чтение, запись и - выполнение владельцу <username>root</username>.</para> + выполнение владельцу <systemitem class="username">root</systemitem>.</para> <screen>&prompt.root; <userinput>chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh</userinput></screen> </listitem> @@ -1131,7 +1111,7 @@ sh /etc/ipf.rules.script</programlisting> <!-- Перевод остальной части раздела IPF отложен ... --> </sect1> - <sect1 id="firewalls-ipfw"> + <sect1 xml:id="firewalls-ipfw"> <!-- Original revision: r38600 --> <title>IPFW</title> @@ -1178,7 +1158,7 @@ sh /etc/ipf.rules.script</programlisting> средства организации сетевого моста bridge и механизм ipstealth. IPFW поддерживает протоколы IPv4 и IPv6.</para> - <sect2 id="firewalls-ipfw-enable"> + <sect2 xml:id="firewalls-ipfw-enable"> <title>Включение IPFW</title> <indexterm> @@ -1214,7 +1194,7 @@ sh /etc/ipf.rules.script</programlisting> net.inet.ip.fw.verbose_limit=5</programlisting> </sect2> - <sect2 id="firewalls-ipfw-kernel"> + <sect2 xml:id="firewalls-ipfw-kernel"> <title>Параметры ядра</title> <indexterm> @@ -1294,7 +1274,7 @@ net.inet.ip.fw.verbose_limit=5</programlisting> </note> </sect2> - <sect2 id="firewalls-ipfw-rc"> + <sect2 xml:id="firewalls-ipfw-rc"> <title>Параметры <filename>/etc/rc.conf</filename></title> <para>Включение межсетевого экрана:</para> @@ -1332,7 +1312,7 @@ net.inet.ip.fw.verbose_limit=5</programlisting> правил межсетевого экрана.</para> </listitem> <listitem> - <para><filename><replaceable>filename</replaceable></filename> + <para><filename>filename</filename> — абсолютный путь к файлу, содержащему правила межсетевого экрана.</para> </listitem> @@ -1383,8 +1363,7 @@ ipfw add deny out</programlisting> <para>Единственное, что делает параметр <varname>firewall_logging</varname>, — присвоение логической единицы (<literal>1</literal>) переменной sysctl - <varname>net.inet.ip.fw.verbose</varname> (смотрите <xref - linkend="firewalls-ipfw-enable"/>). В <filename>rc.conf</filename> + <varname>net.inet.ip.fw.verbose</varname> (смотрите <xref linkend="firewalls-ipfw-enable"/>). В <filename>rc.conf</filename> нет переменной для ограничения протоколирования, но это можно сделать через переменную sysctl вручную либо используя файл <filename>/etc/sysctl.conf</filename>:</para> @@ -1399,7 +1378,7 @@ ipfw add deny out</programlisting> <filename>/etc/rc.conf</filename>.</para> </sect2> - <sect2 id="firewalls-ipfw-cmd"> + <sect2 xml:id="firewalls-ipfw-cmd"> <title>Команда IPFW</title> <indexterm><primary><command>ipfw</command></primary></indexterm> @@ -1456,10 +1435,10 @@ ipfw add deny out</programlisting> <para>Обнулить счетчики для правила под номером <replaceable>NUM</replaceable>:</para> - <screen>&prompt.root; <userinput>ipfw zero <replaceable>NUM</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>ipfw zero NUM</userinput></screen> </sect2> - <sect2 id="firewalls-ipfw-rules"> + <sect2 xml:id="firewalls-ipfw-rules"> <title>Набор правил IPFW</title> <para>Набор правил (ruleset) представляет собой группу правил @@ -1515,7 +1494,7 @@ ipfw add deny out</programlisting> самого себя.</para> </warning> - <sect3 id="firewalls-ipfw-rules-syntax"> + <sect3 xml:id="firewalls-ipfw-rules-syntax"> <title>Синтаксис правил</title> <indexterm> @@ -1656,10 +1635,8 @@ ipfw add deny out</programlisting> в виде четырёх чисел, разделённых точками, или дополнительно с префиксом сети (нотация CIDR). Это является обязательным требованием. Для упрощения вычислений, связанных с IP - адресами, используйте порт <filename - role="package">net-mgmt/ipcalc</filename>. Более подробную - информацию можно посмотреть на странице программы: <ulink - url="http://jodies.de/ipcalc"></ulink>.</para> + адресами, используйте порт <package>net-mgmt/ipcalc</package>. Более подробную + информацию можно посмотреть на странице программы: <uri xlink:href="http://jodies.de/ipcalc">http://jodies.de/ipcalc</uri>.</para> <para><parameter>port number</parameter></para> @@ -1808,7 +1785,7 @@ ipfw add deny out</programlisting> это файл <filename>/var/log/security</filename>.</para> </sect3> - <sect3 id="firewalls-ipfw-rules-script"> + <sect3 xml:id="firewalls-ipfw-rules-script"> <title>Написание скрипта правил</title> <para>Наиболее опытные пользователи IPFW создают скрипт, @@ -1890,8 +1867,8 @@ ks="keep-state" # просто лень вводить каждый раз работы межсетевого экрана.</para> <para>Все разновидности операционных систем &unix;, включая &os;, - используют интерфейс <devicename>lo0</devicename> и IP адрес - <hostid role="ipaddr">127.0.0.1</hostid> для передачи данных + используют интерфейс <filename>lo0</filename> и IP адрес + <systemitem class="ipaddress">127.0.0.1</systemitem> для передачи данных внутри операционной системы. Правила межсетевого экрана должны содержать в своем составе правила, разрешающие беспрепятственное прохождение трафика по этому интерфейсу.</para> @@ -1899,7 +1876,7 @@ ks="keep-state" # просто лень вводить каждый раз <para>Интерфейс, подключенный к Интернет, является местом для размещения правил авторизации и контроля доступа исходящих и входящих соединений. Это может быть туннельный интерфейс - <acronym>PPP</acronym> <devicename>tun0</devicename> или + <acronym>PPP</acronym> <filename>tun0</filename> или сетевой адаптер, подключенный к DSL или кабельному модему.</para> <para>В случае, когда за межсетевым экраном один и более интерфейсов @@ -1953,11 +1930,9 @@ ks="keep-state" # просто лень вводить каждый раз его пакет вашего сервера. Чем меньше атакующие будут знать о вашей системе, тем более она защищена. Назначение нераспознанного номера порта можно посмотреть в файле - <filename>/etc/services/</filename> или по адресу <ulink - url="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers"></ulink>. + <filename>/etc/services/</filename> или по адресу <uri xlink:href="http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers">http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers</uri>. Рекомендуем ознакомиться с содержимым ссылки относительно - номеров портов, используемых троянами: <ulink - url="http://www.sans.org/security-resources/idfaq/oddports.php"></ulink>.</para> + номеров портов, используемых троянами: <uri xlink:href="http://www.sans.org/security-resources/idfaq/oddports.php">http://www.sans.org/security-resources/idfaq/oddports.php</uri>.</para> </sect3> <sect3> @@ -1972,10 +1947,10 @@ ks="keep-state" # просто лень вводить каждый раз Чтобы избежать занесения в журнал нежелательных сообщений, добавьте правило <literal>deny</literal> в раздел, описывающий входящий трафик на интерфейсе. Замените название интерфейса - <devicename>dc0</devicename>, упоминающегося в правилах ниже, + <filename>dc0</filename>, упоминающегося в правилах ниже, на название интерфейса (NIC), который соединяет вашу систему с глобальной сетью. Для <acronym>PPP</acronym> соединений - это будет <devicename>tun0</devicename>.</para> + это будет <filename>tun0</filename>.</para> <para>Примечание по использованию этих правил.</para> |