Revision for “Opzetten van een iptables firewall” created on 26 maart 2017 15:51:37

TitelInhoudSamenvatting
Opzetten van een iptables firewall
<h2>Contents</h2>
<div id="toc" class="toc">
<ul>
<li class="toclevel-1 tocsection-1"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Opzetten_van_een_Linux_Firewall"><span class="tocnumber">1</span> <span class="toctext">Opzetten van een Linux Firewall</span></a></li>
<li class="toclevel-1 tocsection-2"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#iptables_als_firewall"><span class="tocnumber">2</span> <span class="toctext">iptables als firewall</span></a></li>
<li class="toclevel-1 tocsection-3"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Hoe_netwerkpakketten_door_de_firewall_gaan"><span class="tocnumber">3</span> <span class="toctext">Hoe netwerkpakketten door de firewall gaan</span></a></li>
<li class="toclevel-1 tocsection-4"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Een_Linux_Firewall_tussen_2_netwerken"><span class="tocnumber">4</span> <span class="toctext">Een Linux Firewall tussen 2 netwerken</span></a>
<ul>
<li class="toclevel-2 tocsection-5"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Toevoegen_van_een_blacklist"><span class="tocnumber">4.1</span> <span class="toctext">Toevoegen van een blacklist</span></a></li>
<li class="toclevel-2 tocsection-6"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Toevoegen_van_een_whitelist"><span class="tocnumber">4.2</span> <span class="toctext">Toevoegen van een whitelist</span></a></li>
<li class="toclevel-2 tocsection-7"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Toevoegen_van_TCP_header_checks"><span class="tocnumber">4.3</span> <span class="toctext">Toevoegen van TCP header checks</span></a></li>
</ul>
</li>
<li class="toclevel-1 tocsection-8"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Een_Linux_Firewall_aan_het_Internet.2C_met_NAT"><span class="tocnumber">5</span> <span class="toctext">Een Linux Firewall aan het Internet, met NAT</span></a>
<ul>
<li class="toclevel-2 tocsection-9"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#NAT_in_het_kort"><span class="tocnumber">5.1</span> <span class="toctext">NAT in het kort</span></a></li>
<li class="toclevel-2 tocsection-10"><a href="http://www.alleslinux.com/mediawiki-1.23.0/index.php/Opzetten_van_een_firewall#Full_Cone_.281:1.29_NAT_op_een_Internet_Firewall"><span class="tocnumber">5.2</span> <span class="toctext">Full Cone (1:1) NAT op een Internet Firewall</span></a></li>
</ul>
</li>
</ul>
</div>
<h2><span id="Opzetten_van_een_Linux_Firewall" class="mw-headline">Opzetten van een Linux Firewall</span></h2>
In vrijwel alle Linux distributies wordt een volledig functionerende firewall meegeleverd. Deze firewall kan veel meer dan alleen poorten dicht of open zetten. Veel Linux gebruikers echter maken nauwelijks gebruik van de mogelijkheden van de firewall.

Firewalls worden voornamelijk gebruikt om pakketten te filteren of te wijzigen, wanneer ze door het netwerk schieten. Als een pakket binnenkomt op de firewall, zal de machine het pakket verwerken, of negeren. De machine negeert het pakket alleen als het in een netwerk-technische zin ongeldig is, bijvoorbeeld omdat de headers incompleet zijn. We gaan hier niet in op de details van pakketten die worden genegeerd, maar beschouw deze pakketten misvormd. Belangrijker is, dat <b>de overige pakketten worden verwerkt</b>! Hier komt de firewall aan bod.
<h2><span id="iptables_als_firewall" class="mw-headline">iptables als firewall</span></h2>
iptables, standaard meegeleverd met Fedora Core, is zo’n firewall, en een erg krachtige! Het verwerkt de pakketten gebaseerd op het type activiteit van de pakketten, en zet de pakketten in 1 van de 3 ingebouwde tabellen.

De eerste tabel is de ‘mangle’ tabel, verantwoordelijk voor de wijziging van bijvoorbeeld quality of service bits in de TCP header. Deze tabel wordt nauwelijks gebruikt in standaard (SOHO) firewalls, en we zullen er hier dan ook verder niet op ingaan.

De tweede tabel is de ‘filter’ tabel. Deze tabel is verantwoordelijk voor, de naam zegt het al, de daadwerkelijke filtering. Deze tabel heeft 3 ingebouwde ‘chains’, lijsten van regels die worden doorlopen:
<ul>
<li><b>INPUT</b> chain: Filtert pakketten die bestemd zijn voor de firewall</li>
<li><b>FORWARD</b> chain: Filtert pakketten die bestemd zijn voor machines achter de firewall</li>
<li><b>OUTPUT</b> chain: Filtert pakketten die van de firewall af komen</li>
</ul>
De derde tabel is de ‘nat’ tabel, logischerwijs verantwoordelijk voor ‘network address translation’ (<a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a>). Deze heeft 2 ingebouwde chains:
<ul>
<li><b>PREROUTING</b> chain: Past <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> toe op pakketten waarvan de bestemming (destination) moet worden gewijzigd</li>
<li><b>POSTROUTING</b> chain: Past <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> toe op pakketten waarvan de bron (source) moet worden gewijzigd.</li>
</ul>
<h2><span id="Hoe_netwerkpakketten_door_de_firewall_gaan" class="mw-headline">Hoe netwerkpakketten door de firewall gaan</span></h2>
Hier is een gesimplificeerd schema van hoe netwerkpakketten de verschillende chains en tabellen doorgaan:
<pre> PACKET IN —&gt;—PREROUTING—[ routing ]—&gt;—-FORWARD—-&gt;—POSTROUTING—&gt;— PACKET OUT
– mangle | – mangle – mangle
– nat (dst) | – filter – nat (src)
v |
| ^
INPUT OUTPUT
– mangle – mangle
– filter – nat (dst)
| – filter
| |
`—-&gt;—-[ applicatie ]—–&gt;—-‘
</pre>
Het pakket komt de firewall binnen via de PREROUTING chain in de mangle tabel. Als hierin regels zijn gedefinieerd, hebben ze betrekking op Quality of Service of andere TCP header waarden. Zoals eerder gezegd wordt deze tabel op SOHO firewalls nauwelijks gebruikt.

Het pakket gaat dan door naar de PREROUTING chain van de nat tabel. Hier wordt het onderworpen aan de PREROUTING chain regels in de nat tabel om te zien of de bestemming van het pakket moet worden gewijzigd. Dit is Destination <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a>, oftewel DNAT.

Het is belangrijk om, als de bestemming moet worden gewijzigd, dit hier te doen. Zodra het pakket uit de PREROUTING chain in de nat tabel komt, wordt het gerouteerd.

<b>Pakket bestemd voor een ander netwerk</b>

Als het pakket is bestemd voor een door de firewall beschermd netwerk (Lees: een ander netwerk, of het daadwerkelijk beschermd wordt ligt aan de configuratie van de firewall), komt het terecht in de FORWARD chain van de mangle tabel. Eventuele regels worden toegepast en het pakket is al snel bij de FORWARD chain van filter tabel. Hier wordt eventueel op basis van source address of op basis van destination address of socket address (poort), en mogelijkerwijs vele andere gecompliceerdere regels, het pakket toegestaan of geweigerd.

Alvorens het pakket de firewall verlaat, gaat het nog via de POSTROUTING chain van de mangle tabel, alwaar, zoals eerder al vermeld, TCP header bits kunnen worden gemodificeerd. Dan, indien hiervoor de nodige regels zijn gespecificeerd, ondergaat het pakket Source <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> (SNAT), in de POSTROUTING chain van de nat tabel.

<b>Pakket bestemd voor de firewall</b>

Indien het pakket bestemd is voor de firewall, zal het door de regels van de INPUT chain (allereerst die van de mangle tabel, en daarna die van de filter tabel) worden behandeld. Nadat een applicatie de netwerkpakketen afhandelt, en een antwoord geeft, wordt de OUTPUT chain doorlopen. In de OUTPUT chain van de filter tabel kan effectief worden voorkomen dat ongeautoriseerde connecties naar de buitenwereld worden gemaakt. Dan, voordat het pakket de firewall verlaat, kan nog SNAT worden toegepast in de POSTROUTING chain van de nat tabel.
<h2><span id="Een_Linux_Firewall_tussen_2_netwerken" class="mw-headline">Een Linux Firewall tussen 2 netwerken</span></h2>
We beginnen met een erg simpele firewall, tussen 2 private netwerken binnen een bedrijf.
<pre> NETWORK A ——————–[ router / firewall ]———————- NETWORK B
192.168.1.0/24 192.168.1.1 192.168.2.1 192.168.2.0/24
</pre>
Waar in <i>NETWORK A</i> alle servers staan, en in <i>NETWORK B</i> alle desktops. Om te voorkomen dat gebruikers met virussen meegebracht op CD-ROM, USB-Stick of andere media, zetten we een firewall tussen de 2 netwerken. De firewall is hier overigens ook router, en wordt op beide netwerken opgegeven als ‘default gateway’.

We laten om te beginnen alle verkeer toe. Ons firewall script ziet er dan als volgt uit:
<blockquote>
<pre>#!/bin/bash
##
# Dit is een iptables initialisatie script geschreven door Jeroen van Meeuwen
# Als voorbeeld script voor Fedora-linux.nl.
##

# Verwijder alle regels van iptables
iptables –flush
# Verwijder eventueel toegevoegde chains
iptables –delete

# Sta alle verkeer toe naar, door en van de firewall
iptables –policy INPUT ACCEPT
iptables –policy FORWARD ACCEPT
iptables –policy OUTPUT ACCEPT

# Zet routing aan
echo 1 &gt; /proc/sys/net/ipv4/ip_forward
</pre>
</blockquote>
We zetten enkele eisen op een rijtje:
<ul>
<li>De clients moeten de mailserver kunnen bereiken. Deze mailserver verstuurd mail voor de clients via SMTP, en clients ontvangen mail via POP3 en/of IMAP. We noemen de mailserver 192.168.1.10.</li>
<li>De clients moeten de webserver van het intranet kunnen bereiken. We noemen de webserver 192.168.1.11.</li>
<li>De clients moeten de proxy naar het internet kunnen bereiken. We noemen de proxy 192.168.1.12.</li>
<li>De clients moeten de fileserver kunnen bereiken. Dit is een Windows 2003 server. We noemen de fileserver 192.168.1.13.</li>
<li>De Windows 2003 Active Directory Domain controllers op 192.168.1.4 en 192.168.1.5 moeten ook bereikbaar zijn.</li>
</ul>
Om aan bovenstaande eisen te kunnen voldoen, maken we van het firewall script:
<blockquote>
<pre>#!/bin/bash
##
# Dit is een iptables initialisatie script geschreven door Jeroen van Meeuwen
# Als voorbeeld script voor Fedora-linux.nl.
##

# Verwijder alle regels van iptables
iptables –flush

# Negeer alle verkeer toe naar en door de firewall,
iptables –policy INPUT DROP
iptables –policy FORWARD DROP
# Maar sta alle verkeer van de firewall toe
iptables –policy OUTPUT ACCEPT

# Zet routing aan
echo 1 &gt; /proc/sys/net/ipv4/ip_forward

# Sta de firewall toe om verbindingen te maken met zichzelf:
iptables –append INPUT –input-interface lo –jump ACCEPT

# Natuurlijk willen we de shell van de firewall gewoon kunnen blijven bereiken:
iptables –append INPUT –protocol tcp –match tcp –destination-port 22 –jump ACCEPT

# Sta de clients toe verbinding te maken met de mailserver op 192.168.1.10
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.10 –destination-port 25 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.10 –destination-port 110 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.10 –destination-port 143 –jump ACCEPT

# Sta de clients toe verbinding te maken met de webserver van het intranet
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.11 –destination-port 80 –jump ACCEPT

# Sta de clients toe verbinding te maken met de proxy
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.12 –destination-port 3128 –jump ACCEPT

# Sta de clients toe verbinding te maken met de fileserver
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol udp \
–source 192.168.2.0/24 –destination 192.168.1.13 –destination-port 137 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol udp \
–source 192.168.2.0/24 –destination 192.168.1.13 –destination-port 138 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.13 –destination-port 139 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.13 –destination-port 445 –jump ACCEPT

# Sta de clients toe verbinding te maken met de Windows 2003 Active Directory servers
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.4 –destination-port 445 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol tcp –match tcp \
–source 192.168.2.0/24 –destination 192.168.1.5 –destination-port 445 –jump ACCEPT
# Voor Windows 2003 Active Directory is ook DNS nodig. Deze draait wellicht op een BIND machine met Active
# Directory Integrated DNS zones gedelegeerd naar de Domain Controllers, maar zo exotisch als het je nu
# klinkt, is ook het gebruik van deze configuratie; ergo, we gaan ervan uit dat DNS op de Domain Controllers
# draait.
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol udp \
–source 192.168.2.0/24 –destination 192.168.1.4 –destination-port 53 –jump ACCEPT
iptables –append FORWARD –input-interface eth1 –output-interface eth0 –protocol udp \
–source 192.168.2.0/24 –destination 192.168.1.5 –destination-port 53 –jump ACCEPT

# Sta communicatie van de servers naar de clients toe (onder andere de antwoorden op bovenstaande connecties,
# maar ook nieuwe connecties van de servers naar de clients)
iptables –append FORWARD –input-interface eth0 –output-interface eth1 –source 192.168.2.0/24 \
–destination 192.168.1.0/24 –match state –state NEW,ESTABLISHED,RELATED –jump ACCEPT
</pre>
</blockquote>
De meeste van de commando’s en parameters hierboven zijn af te korten, maar om het ook enigzins leesbaar te houden, gebruik ik in scripts graag de volledige versie van de commando’s en parameters. De laatste regel voor DNS uit het script hierboven zou er als volgt uitzien, als je de afkortingen zou gebruiken:
<blockquote>
<pre>iptables -A FORWARD -i eth1 -o eth0 -p udp -s 192.168.2.0/24 -d 192.168.1.5 –dport 53 -j ACCEPT
</pre>
</blockquote>
<h3><span id="Toevoegen_van_een_blacklist" class="mw-headline">Toevoegen van een blacklist</span></h3>
In complexere firewalls, zoals een firewall die direct aan het internet staat, is het vanzelfsprekend dat je een keer een blacklist gaat ontwikkelen. Het meest effectieve is om in een bestand de IP adressen bij te houden, die niet langs of op de firewall mogen komen. Zo’n bestand ziet er dan als volgt uit (voorbeeld):
<pre>1.2.3.4
4.3.2.1
</pre>
In het firewall script neem je dan het volgende op:
<blockquote>
<pre># Maak een nieuwe chain, en onderdruk meldingen over het reeds bestaan van deze chain:
iptables -N blacklist

# Maak de blacklist leeg
iptables -F blacklist

# Zet deze chain vooraan in de INPUT en FORWARD chain
iptables -A INPUT -j blacklist
iptables -A FORWARD -j blacklist

# Vul de blacklist

if [ -f /etc/iptables/blacklist ]; then
for HOST in `cat /etc/iptables/blacklist`
do
iptables -A blacklist -s $HOST -j DROP
done
fi
</pre>
</blockquote>
<h3><span id="Toevoegen_van_een_whitelist" class="mw-headline">Toevoegen van een whitelist</span></h3>
Naarmate je meer en meer settings in je firewall opgeeft, kom je vaker het scenario tegen, waarin je jezelf buitensluit van je machine (jaja, het gebeurd mij ook…) Hier komt de behoefte voor een whitelist vandaan. IP adressen op zo’n whitelist (tenminste, is de bedoeling, mogen alles. Het is dan ook van belang daar zo min mogelijk adressen in te zetten. Een whitelist komt ook graag na een blacklist, zodat IP adressen die in beide lijsten voorkomen, toch worden geblocked. We nemen eenzelfde bestand voor de whitelist, als we hebben voor de blacklist:
<pre>2.3.4.5
5.4.3.2
</pre>
In het firewall script neem je dan het volgende op:
<blockquote>
<pre># Maak een nieuwe chain, en onderdruk meldingen over het reeds bestaan van deze chain:
iptables -N whitelist

# Maak de whitelist leeg
iptables -F whitelist

# Zet deze chain vooraan in de INPUT en FORWARD chain
iptables -A INPUT -j whitelist
iptables -A FORWARD -j whitelist

# Vul de blacklist

if [ -f /etc/iptables/whitelist ]; then
for HOST in `cat /etc/iptables/whitelist`
do
iptables -A whitelist -s $HOST -j ACCEPT
done
fi
</pre>
</blockquote>
<h3><span id="Toevoegen_van_TCP_header_checks" class="mw-headline">Toevoegen van TCP header checks</span></h3>
TCP header checks zijn erg belangrijke features van een firewall. Een machine die een nieuwe connectie wil maken, stuurt bijvoorbeeld een pakket over het TCP protocol met de SYN bit zet. Een andere bit in de TCP header is de RST bit, die aangeeft dat een connectie verbroken moet worden. Deze flags kunnen natuurlijk niet in hetzelfde pakket voorkomen. Dit is slechts een van de vele voorbeelden van ‘TCP flags’ die niet gecombineerd zouden moeten worden.
<blockquote>
<pre># Maak een chain aan genaam bad_tcp_packets
iptables -N bad_tcp_packets

# Zet deze regels helemaal vooraan in de INPUT en FORWARD chains
iptables -A INPUT -j bad_tcp_packets
iptables -A FORWARD -j bad_tcp_packets

# SYN flood
iptables -A bad_tcp_packets -p tcp –syn -m limit –limit 1/s -j ACCEPT
# Portscans
iptables -A bad_tcp_packets -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
# Ping floods
iptables -A bad_tcp_packets -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
# Een paar van de meest smerige truuks, wel een nieuwe connectie, geen SYN bit set.
iptables -A bad_tcp_packets -p tcp ! –syn -m state –state NEW -j DROP
# TCP Spoofing with Sequence Number Prediction
iptables -A bad_tcp_packets -p tcp –tcp-flags SYN,ACK SYN,ACK \
-m state –state NEW -j REJECT –reject-with tcp-reset

</pre>
</blockquote>
<h2><span id="Een_Linux_Firewall_aan_het_Internet.2C_met_NAT" class="mw-headline">Een Linux Firewall aan het Internet, met <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a></span></h2>
Ik ga hier verder in op <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a>, dat wil zeggen, Full Cone NAT, ofwel 1:1 NAT. Dit is een NAT ontwerp waarin 1 publiek IP adres gelijk staat met 1 private IP adres. Voor gebruikers met ADSL of dial-up, heb ik het later over Many to One NAT, oftewel Symmetric NAT en Port Forwarding.
<h3><span id="NAT_in_het_kort" class="mw-headline"><a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> in het kort</span></h3>
In netwerken wordt het proces van ‘network address translation’ (<a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a>), ook bekend als ‘network masquerading’ of ‘IP masquerading’ gebruikt om het source address (de bron) of het destination address (de bestemming) te herschrijven op het moment dat het pakket door een router of firewall gaat. De meeste systemen die van <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> gebruik maken, doen dit om met meerdere systemen in het LAN met het Internet te verbinden, terwijl gebruik wordt gemaak van slechts 1 publiek IP adres.

Een uitgebreidere uitleg over NAT vind je op onze <a class="new" title="NAT (page does not exist)" href="http://www.alleslinux.com/mediawiki-1.23.0/index.php?title=NAT&amp;action=edit&amp;redlink=1">NAT</a> Wiki Pagina.
<h3><span id="Full_Cone_.281:1.29_NAT_op_een_Internet_Firewall" class="mw-headline">Full Cone (1:1) NAT op een Internet Firewall</span></h3>
Voor ons voorbeeld maken we gebruik van een firewall die het netwerk 80.127.116.48/28 beschermd. Dit is 80.127.116.48 met netmask 255.255.255.240, voor alle duidelijkheid. Deze IP reeks is aan de buitenzijde van de firewall gedefinieerd op eth0, en aan de binnenzijde van het netwerk wordt gebruik gemaakt van de private IP range 10.10.10.0/24 (eth1). De firewall is voor het LAN de default gateway, en draait zelf nog enkele services:
<ul>
<li>FTP</li>
<li>mail (SMTP, POP3, IMAP)</li>
<li>web (HTTP, HTTPS)</li>
<li>DNS</li>
<li>SSH (Secure Shell)</li>
</ul>
Daarnaast zijn de volgende services op servers in het LAN beschikbaar (dus via de firewall):
<ul>
<li>FTP</li>
<li>SSH</li>
<li>mail (SMTP, POP3, IMAP, Outlook Web Access)</li>
<li>DNS</li>
<li>IRC (Internet Relay Chat)</li>
<li>RDP (Remote Desktop Connection)</li>
</ul>
Een voor deze Wiki pagina versimpeld overzicht van het netwerk is te zien op <a class="external text" href="http://www.kanarip.com/%7Ekanarip/kanarip.com%20from%20xs4all.jpg" rel="nofollow">deze tekening</a>, en de tekening het volledige netwerk op <a class="external text" href="http://www.kanarip.com/%7Ekanarip/kanarip.com.jpg" rel="nofollow">deze tekening</a>

Het plan is om 80.127.116.x te vertalen naar 10.10.10.x, en op de firewall filtering toe te laten passen, om het LAN te beschermen.

Het script is ook in deze de beste documentatie:
<blockquote>
<pre>#!/bin/bash

</pre>
</blockquote>



Old New Date Created Author Actions
26 maart 2017 15:51:37 thijs
17 juli 2016 14:48:39 Mirjam Hulshof