© 1995-2008 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
bcr 2009-09-22 19:38:31 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
MFen 1.83
Umformulierung und Reorganisation des PF-Unterkapitels, um einfacher
und verständlicher zu sein. Konfigurationsdateien, die in 7.0 ihre
Position geändert haben, werden ebenfalls erwähnt.
Revision Changes Path
1.16 +178 -104 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.15
retrieving revision 1.16
diff -u -I$FreeBSDde.*$ -r1.15 -r1.16
--- chapter.sgml 22 Sep 2009 18:15:54 -0000 1.15
+++ chapter.sgml 22 Sep 2009 19:38:31 -0000 1.16
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD: doc/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml,v 1.12 2008/03/25 19:04:25 jkois Exp $
- $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.15 2009/09/22 18:15:54 bcr Exp $
- basiert auf: 1.82
+ $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.16 2009/09/22 19:38:31 bcr Exp $
+ basiert auf: 1.83
-->
<chapter id="firewalls">
@@ -213,6 +213,17 @@
</sect1>
<sect1 id="firewalls-pf">
+ <sect1info>
+ <authorgroup>
+ <author>
+ <firstname>John</firstname>
+ <surname>Ferrell</surname>
+ <contrib>Revised and updated by </contrib>
+ <!-- 24 March 2008 -->
+ </author>
+ </authorgroup>
+ </sect1info>
+
<title>Paket Filter (PF) von OpenBSD und
<acronym>ALTQ</acronym></title>
@@ -224,62 +235,63 @@
<para>Im Juli 2003 wurde <acronym>PF</acronym>, die
Standard-Firewall von OpenBSD, nach &os; portiert und in die
- &os;-Ports-Sammlung aufgenommen. Die erste &os;-Version,
- die <acronym>PF</acronym> als Teil des Basisssytems enthielt, war
- &os; 5.3 im November 2004. Bei <acronym>PF</acronym>
+ &os;-Ports-Sammlung aufgenommen. 2004 war <acronym>PF</acronym> in
+ &os; 5.3 Teil des Basissystems. Bei <acronym>PF</acronym>
handelt es sich um eine komplette, vollausgestattete Firewall,
die optional auch <acronym>ALTQ</acronym> (Alternatives
Queuing) unterstützt. <acronym>ALTQ</acronym> bietet Ihnen
<foreignphrase>Quality of Service</foreignphrase>
- (<acronym>QoS</acronym>)-Bandbreitenformung. Dadurch können
- Sie, basierend auf Filterregeln, unterschiedlichen Diensten eine
- bestimmte Bandbreite garantieren. Da das OpenBSD-Projekt bereits
- über eine hervorragende Dokumentation verfügt, wurde das
- PF-Handbuch nicht in dieses Kapitel aufgenommen.</para>
+ (<acronym>QoS</acronym>)-Bandbreitenformung.</para>
+
+ <para>Das OpenBSD-Projekt leistet bereits hervorragende
+ Dokumentationsarbeit mit der <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>. Aus diesem Grund
+ konzentriert sich dieser Handbuchabschnitt nur auf diejenigen
+ Besonderheiten von <acronym>PF</acronym>, die &os; betreffen, sowie ein
+ paar allgemeine Informationen hinsichtlich der Verwendung. Genauere
+ Informationen zum Einsatz erhalten Sie in der <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para>
- <para>Weitere Informationen finden Sie unter
- <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
+ <para>Weitere Informationen zu <acronym>PF</acronym> für &os; finden
+ Sie unter <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
<sect2>
- <title>PF aktivieren</title>
+ <title>Verwendung des PF-Kernelmoduls</title>
- <para>PF ist in Standardinstallationen von &os; 5.3 oder
- neuer als eigenes, zur Laufzeit ladbares Kernelmodul enthalten.
- Das System lädt das PF-Kernelmodul automatisch, wenn die
- Anweisung <literal>pf_enable="YES"</literal> in
- <filename>/etc/rc.conf</filename> enthalten ist. Das ladbare
- Kernelmodul wurde mit aktivierter &man.pflog.4;-Protokollierung
- erstellt.</para>
+ <para>Seit der Veröffentlichung von &os; 5.3 ist PF als ein
+ separates, zur Laufzeit ladbares Modul enthalten. Das System lädt
+ das PF-Kernelmodul automatisch, wenn die &man.rc.conf.5;-Anweisung
+ <literal>pf_enable="YES"</literal> verwendet wird. Allerdings wird
+ das <acronym>PF</acronym>-Modul nicht geladen, wenn das System keine
+ Konfigurationsdatei mit einem Regelwerk finden kann. Der Standardpfad
+ ist <filename>/etc/pf.conf</filename>. Wenn ihr
+ <acronym>PF</acronym>-Regelwerk irgendwo anders abgelegt ist, tragen
+ Sie <literal>pf_rules="<replaceable>/path/pf.rules</replaceable>"</literal>
+ in ihre <filename>/etc/rc.conf</filename> ein, um den Pfad zu der
+ Konfigurationsdatei anzugeben.</para>
<note>
- <para>Das Kernelmodul geht davon aus, dass die Einträge
- <literal>options INET</literal> sowie
- <literal>device bpf</literal> in Ihrer Kernelkonfigurationsdatei
- vorhanden sind. Haben Sie <literal>NO_INET6</literal> (seit
- &os; 6.X) oder <literal>NOINET6</literal> (in &os;-Versionen
- vor 6.X) nicht definiert, benötigen Sie (etwa in
- &man.make.conf.5;) zusätzlich die Option
- <literal>options INET6</literal>.</para>
+ <para>Seit &os; 7.0 ist die Beispiel-<filename>pf.conf</filename>
+ aus dem Verzeichnis <filename role="directory">/etc</filename> nach
+ <filename role="directory">/usr/share/examples/pf/</filename>
+ gewandert. Bei &os; Versionen vor 7.0 existiert standardmässig
+ eine Datei <filename>/etc/pf.conf</filename>.</para>
</note>
- <para>Nachdem Sie das Kernelmodul geladen oder die
- PF-Unterstützung statisch in Ihren Kernel kompiliert haben,
- können Sie <application>pf</application> über den
- Befehl <command>pfctl</command> aktivieren beziehungsweise
- deaktivieren.</para>
-
- <para>Das folgende Beispiel zeigt, wie Sie
- <application>pf</application> aktivieren:</para>
-
- <screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
-
- <para><command>pfctl</command> ermöglicht es Ihnen, die
- <application>pf</application>-Firewall zu steuern. Lesen Sie
- &man.pfctl.8;, bevor Sie das Programm einsetzen.</para>
+ <para>Das <acronym>PF</acronym>-Modul kann auch manuell über die
+ Kommandozeile geladen werden:</para>
+
+ <screen>&prompt.root; <userinput>kldload pf.ko</userinput></screen>
+
+ <para>Das Kernelmodul wurde mit aktiviertem &man.pflog.4; erstellt,
+ welches Unterstützung für Protokollierung liefert. Falls Sie
+ andere Eigenschaften von <acronym>PF</acronym> benötigen,
+ müssen Sie <acronym>PF</acronym>-Unterstützung mit in den
+ Kernel kompilieren.</para>
</sect2>
<sect2>
- <title>Kernel-Optionen</title>
+ <title>PF Kernel-Optionen</title>
<indexterm>
<primary>kernel options</primary>
@@ -299,56 +311,56 @@
<secondary>device pfsync</secondary>
</indexterm>
- <para>Es ist nicht zwingend nötig, dass Sie PF durch die
- Angabe der folgenden Optionen in den &os;-Kernel kompilieren.
- Kompilieren Sie die PF-Unterstützung in Ihren Kernel, so
- wird das Kernelmodul <emphasis>nie</emphasis> verwendet werden.
- Die folgenden Angaben dienen daher nur als
- Hintergrundinformationen.</para>
-
- <para><filename>/usr/src/sys/conf/NOTES</filename> enthält
- Beispiele für die Kernelkonfigurationsoptionen von PF:</para>
+ <para>Es ist nicht zwingend nötig, dass Sie
+ <acronym>PF</acronym>-Unterstützung in den &os; Kernel
+ kompilieren. Sie werden dies tun müssen, um eine von PFs
+ fortgeschritteneren Eigenschaften nutzen zu können, die nicht als
+ Kernelmodul verfügbar ist. Genauer handelt es sich dabei um
+ &man.pfsync.4;, ein Pseudo-Gerät, welches bestimmte
+ Änderungen der <acronym>PF</acronym>-Zustandstabelle offenlegt.
+ Es kann mit &man.carp.4; kombiniert werden, um ausfallsichere
+ Firewalls mit <acronym>PF</acronym> zu realisieren. Weitere
+ Informationen zu <acronym>CARP</acronym> erhalten Sie in <link
+ linkend="carp">Kapitel 29</link> des Handbuchs.</para>
+
+ <para>Die Kernelkonfigurationsoptionen von <acronym>PF</acronym> befinden
+ sich in <filename>/usr/src/sys/conf/NOTES</filename> und sind im
+ Folgenden wiedergegeben:</para>
<programlisting>device pf
device pflog
device pfsync</programlisting>
- <para><literal>device pf</literal> aktiviert die Unterstützung
- für die <quote>Packet Filter</quote>-Firewall.</para>
+ <para>Die Option <literal>device pf</literal> aktiviert die
+ Unterstützung für die <quote>Packet
+ Filter</quote>-Firewall (&man.pf.4;).</para>
- <para><literal>device pflog</literal> aktiviert das optionale
+ <para>Die Option <literal>device pflog</literal> aktiviert das optionale
&man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren
des Datenverkehrs über einen &man.bpf.4;-Deskriptor
dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien
auf Ihre Platte zu speichern.</para>
- <para><literal>device pfsync</literal> aktiviert das optionale
+ <para>Die Option <literal>device pfsync</literal> aktiviert das optionale
&man.pfsync.4;-Pseudonetzwerkgerät für die
- Überwachung von <quote>Statusänderungen</quote>.
- Da es sich dabei nicht um einen Bestandteil des Kernelmoduls
- handelt, muss diese Option auf jeden Fall in den Kernel kompiliert
- werden, bevor man sie verwenden kann.</para>
-
- <para>Diese Einstellungen werden erst dann übernommen, wenn
- man einen Kernel mit diesen Optionen kompiliert und
- installiert.</para>
+ Überwachung von <quote>Statusänderungen</quote>.</para>
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Tue 22 Sep 2009 - 21:38:49 CEST