From 4176be5dd7e0aa99b68c9048eeed63c0acae5a84 Mon Sep 17 00:00:00 2001 From: Remko Lodder Date: Mon, 31 Dec 2007 08:01:12 +0000 Subject: MFp4 firewalls -> 1.78 --- .../books/handbook/firewalls/chapter.sgml | 284 ++++++++++++--------- 1 file changed, 160 insertions(+), 124 deletions(-) diff --git a/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml index b5947f85cd..188ff8b9c7 100644 --- a/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml +++ b/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml @@ -3,7 +3,7 @@ $FreeBSD$ $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.33 2006/01/05 21:13:21 siebrand Exp $ - Gebaseerd op: 1.63 + Gebaseerd op: 1.78 --> @@ -199,7 +199,7 @@ Vanaf juli 2003 is de OpenBSD firewalltoepassing - PF geporteerd naar &os; wn bwschikbaar gekomen + PF geporteerd naar &os; en beschikbaar gekomen in de &os; Portscollectie. In november 2004 was &os; 5.3 de eerste release die PF bevatte is integraal onderdeel van het basissysteem. PF is een @@ -213,70 +213,10 @@ dat niet in dit onderdeel wordt opgenomen omdat dat niet nodig is. - Hieronder wordt de beschikbaarheid van PF voor de - verschillende &os; releases en versies weergegeven: - - - - - - &os; Versie - PF Beschikbaarheid - - - - - - Pre-4.X versie - - PF is niet beschikbaar voor uitgaven van &os; ouder - dan de tak 4.X. - - - - Alle versies van de tak 4.X - PF is beschikbaar als onderdeel van KAME. - - - - 5.X uitgaven voor 5.3-RELEASE - - De port security/pf kan gebruikt - worden om PF te installeren op deze versie van &os;. - Deze uitgaven waren gericht op ontwikkelaars en mensen - die een voorproefje wilden hebben van vroege versies van - 5.X. Het wordt sterk aangeraden om te upgraden naar - 5.3-RELEASE of een nieuwere versie van &os;. - - - - 5.3-RELEASE en latere versies - - PF onderdeel van het basissysteem. Gebruik de port - security/pf op deze - versies van &os; niet. Dat werkt - niet en dus dient de &man.pf.4;-ondersteuning uit het - basissysteem gebruikt te worden. - - - - - Meer informatie staat op de PF voor &os; website: . - Het OpenBSD PF gebruikershandboek staat hier: . - - - PF in &os; 5.X staat op het niveau van OpenBSD versie - 3.5. De port uit de &os; Portscollectie is op het niveau van - OpenBSD versie 3.4. Houd dit in gedachten bij het doornemen - van het gebruikershandboek. - - PF inschakelen @@ -290,10 +230,23 @@ De module verwacht dat options INET en device bpf beschikbaar zijn. Tenzij - NOINET6 was ingesteld (bijvoorbeeld in + NOINET6 was ingesteld voor &os; versies die + dateren voor 6.0-RELEASE, en NO_INET6 voor + latere releases. (bijvoorbeeld in &man.make.conf.5;) tijdens het bouwen, is ook options INET6 nodig. + + Zora de kernel module geladen is of als PF ondersteuning + statisch in de kernel ingebakken is, is het mogelijk om pf met + het pfctl commando aan en uit te zetten: + + &prompt.root; pfctl -e + + Het pfctl commando levert een manier om + te werken met de pf firewall. Het + is een goed idee om de &man.pfctl.8; handleiding te bekijken + voor meer informatie over het gebruik. @@ -430,6 +383,38 @@ options ALTQ_NOPCC # Required for SMP build ALTQ in. Deze optie is verplicht op SMP systemen. + + + Filter regels aanmaken + + De pakket filter leest zijn configuratie regels uit het + &man.pf.conf.5; bestand en het veranderd, dropt, of accepteert + pakketjes zoals gedefinieerd in de filter regels. De &os; + installatie komt met een standaard + /etc/pf.conf waarin nuttige voorbeelden + en uitleg staat. + + Ook al heeft &os; zijn eigen /etc/pf.conf + bestand, de configuratie is hetzelfde als in OpenBSD. Een + geweldige bron voor het configureren van + pf is geschreven door het OpenBSD + team en is beschikbaar op . + + + Wanneer door de pf gebruikers handleiding wordt + gebladerd, houd er dan rekening mee dat elke &os; + versie een andere versie van pf gebruikt. De + pf firewall in &os; 5.X zit + op het niveau van OpenBSD versie 3.5 en in &os; 6.X zit + het op het niveau van OpenBSD versie 3.7 + + + De &a.pf; is een goede plek om vragen te stellen over het + configureren en het draaien van de pf. + Vergeet niet om eerst de mailing lijst te controleren voor er + vragen gesteld worden. + @@ -502,6 +487,10 @@ options ALTQ_NOPCC # Required for SMP build De IPF FAQ is te vinden op . + Een doorzoekbaar archief van de open-source IPFilter mailing + lijst is beschikbaar op . + IPF inschakelen @@ -559,9 +548,7 @@ options ALTQ_NOPCC # Required for SMP build Voorbeeld kernelinstellingen voor IPF staan beschreven in de /usr/src/sys/i386/conf/LINTin de - kernelbroncode - (/usr/src/sys/arch/conf/LINT - voor &os; 4.X) en worden hier beschreven: + kernelbroncode en worden hier beschreven: options IPFILTER options IPFILTER_LOG @@ -792,10 +779,10 @@ Packet log flags set: (0) om logboekgegevens te scheiden. Het maakt gebruik van speciale groepen die facility en level heten. &man.ipmon.8; in mode gebruikt - security (local0 in 4.X) + security als facilitynaam. Alle door &man.ipmon.8; - gelogde gegevens gaan naar security - (local0 in 4.X). De nu volgende levels + gelogde gegevens gaan naar security. + De nu volgende levels kunnen gebruikt worden om de gelogde gegevens nog verder uit elkaar te trekken als dat gewenst is. @@ -819,32 +806,24 @@ LOG_ERR – gelogde pakketten die een verkeerde opbouw hebben, "short" Zo kan de volgende instelling toegevoegd worden aan - /etc/syslog.conf voor &os; 5.X en - later: + /etc/syslog.conf: security.* /var/log/ipfilter.log - Voor &os; 4.X kan de volgende regel aan - /etc/syslog.conf toegevoegd worden: - - local0.* /var/log/ipfilter.log - Het deel security.* - (local0.* in 4.X) betekent dat alle - logberichten naar de aangegeven plaats geschreven moeten - worden. + betekent dat alle logberichten naar de aangegeven plaats + geschreven moeten worden. Om de wijzigingen in /etc/syslog.conf actief te maken kan er gereboot worden of is het mogelijk de syslogtaak een schop te geven zodat /etc/syslog.conf opnieuw wordt ingelezen met /etc/rc.d/syslogd - reload. Voor &os; 4.X is dit killall - -HUP syslogd. Het PID - (procesnummer) is te achterhalen door een overzicht van taken - te tonen met ps –ax. Het PID is het - nummer in de linker kolom voor de regel waarop - syslog staat. + reload. Het PID (procesnummer) is te achterhalen + door een overzicht van taken te tonen met + ps –ax. Het PID is het nummer in de + linker kolom voor de regel waarop syslog + staat. Vaak wordt vergeten /etc/newsyslog.conf te wijzigen om het @@ -2005,19 +1984,24 @@ block in log first quick on dc0 all In grote netwerken komt er een moment waarop er gewoon te veel adressen zijn om te bedienen met één - IP adres. De volgende regel vertaalt - alle verbindingen naar 204.134.75.1: + IP adres. Als er een blok van publiekelijke + IP addressen beschikbaar is, dan kunnen deze adressen + gebruikt worden in een poel, welke door + IPNAT gebruikt kan worden om + één van de adressen te gebruiken als uitgaand + adres. + + Bijvoorbeeld om alle pakketten te verstoppen achter + één een enkel IP adres: map dc0 192.168.1.0/24 -> 204.134.75.1 - Dit kan gewijzigd worden naar een reeks addressen met - de volgende regel: + Een reeks van publiekelijke IP adressen kan gespecificeerd + worden met een netwerkmasker: map dc0 192.168.1.0/24 -> 204.134.75.1–10 - Er kan ook een subnet aangegeven worden met een CIDR - notatie als in het volgende voorbeeld: + of door gebruik van de CIDR notatie: map dc0 192.168.1.0/24 -> 204.134.75.0/24 @@ -2040,8 +2024,11 @@ block in log first quick on dc0 all role="ipaddr">20.20.20.5 zijn, dan zou dit mogelijk zijn met één van de volgende twee regels: - rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80 -rdr dc0 0/32 port 80 -> 10.0.10.25 port 80 + rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80 + + of: + + rdr dc0 0.0.0.0/32 port 80 -> 10.0.10.25 port 80 Voor een DNS server op een LAN die ook vanuit internet bereikbaar met zijn en die draait op - - - FTP <acronym>NAT</acronym> proxy bug - - Vanaf &os; 4.9, waar IPFILTER versie 3.4.31 bij zit, - werkt de FTP proxy volgens de documentatie tot de sessie - wordt afgesloten. Als dit wordt gedaan dan worden - pakketten die terug komen van de FTP server geblokkeerd en - gelogd als inkomend op poort 21. De NAT - FTP proxy lijkt zijn tijdelijke regels te vroeg te - verwijderen, nog voordat het antwoord van de FTP server - dat de verbinding gesloten kan worden is ontvangen. Er is - een PR gepost op de ipf mailinglijst. - - Hoewel dit niet opgelost kan worden, is het mogelijk - een regel in te stellen waarmee de ongewilde logboekregels - niet ontstaan. Als alternatief is het mogelijk ze gewoon - te negeren. De meeste mensen maken niet zoveel gebruik van - uitgaande FTP. - - block in quick on rl0 proto tcp from any to any port = 21 - @@ -2334,16 +2299,87 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT <filename>/etc/rc.conf</filename> opties - Als IPFW niet in de kernel is gecompileerd, dan moet het - geladen worden met de volgende instellingen in - /etc/rc.conf: + Start de firewall: firewall_enable="YES" - Om de firewallregels uit een bestand te laden kan de - volgende instelling gebruikt worden: + Om één van de standaard firewall types te + selecteren die geleverd wordt door &os; lees + /etc/rc.firewall, maak een selectie en + plaats de volgende regel: + + firewall_type="open" - firewall_script="/etc/ipfw.rules" + Beschikbare waardes voor deze instelling zijn: + + + + open — pass all traffic. + + + + client — beschermt alleen deze + machine. + + + + simple — beschermt het hele + netwerk. + + + + closed — blokkeert alle IP + verkeer, behalve voor lokaal verkeer. + + + + UNKNOWN — voorkomt het laden + de firewall regels. + + + + bestandsnaam — absoluut pad + naar een bestand dat firewall regels bevat. + + + + Het is mogelijk om twee verschillende manieren te gebruiken + voor speciaal gemaakte regels voor de + ipfw firewall. één + daarvan is door het zetten van de + firewall_type variabele naar een absoluut + pad van een bestand, welke firewall regels + bevat, zonder enige specifieke opties voor &man.ipfw.8;. Een + simpel voorbeeld van een ruleset bestand kan zijn: + + add block in all +add block out all + + Aan de andere kant is het mogelijk om de + firewall_script variabele te zetten naar een + absoluut pad van een uitvoerbaar bestand, welke inclusief + ipfw commandos uitgevoerd wordt tijdens het + opstarten van het systeem. Een geldig ruleset script dat + gelijkwaardig is aan het ruleset bestand hierboven, zou het + volgende zijn: + + #!/bin/sh + +ipfw -q flush + +ipfw add block in all +ipfw add block out all + + + Als firewall_type is gezet naar + client of simple moeten + de standaard regels die gevonden kunnen worden in + /etc/rc.firewall gecontroleerd worden om + te zien of deze configuratie voldoet voor de machine. Let + ook op dat alle voorbeelden die gebruikt zijn in dit hoofdstuk + ervanuit gaan dat de firewall_script + variabele gezet is naar /etc/ipfw.rules. + Om loggen in te schakelen: @@ -2738,8 +2774,8 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT De mogelijkheden voor dynamische regels zijn kwetsbaar voor een aanval die SYN–flood heet, waarmee wordt geprobeerd een zeer groot aantal regels aan te laten maken. - Om deze aanval tegen te gaan, is er vanaf &os; versie 4.5 - de optie limit beschikbaar. Met deze + Om deze aanval tegen te gaan, is de optie + limit beschikbaar. Met deze optie kan het maximaal aantal simultane sessies geregeld worden op basis van bron en bestemmingsvelden. Als het aantal sessies gelijk aan het maximale aantal sessies is, -- cgit v1.2.3