© 1995-2010 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
jkois 2011-03-17 17:34:00 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Der erste Teil der Übersetzung des IPF-Abschnitts.
Übersetzt von: Benjamin Lukas (qavvap ett googlemail dott com)
Revision Changes Path
1.31 +889 -558 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.30
retrieving revision 1.31
diff -u -I$FreeBSDde.*$ -r1.30 -r1.31
--- chapter.sgml 12 Mar 2011 14:20:36 -0000 1.30
+++ chapter.sgml 17 Mar 2011 17:34:00 -0000 1.31
@@ -550,60 +550,76 @@
<title>Die IPFILTER-Firewall (IPF)</title>
<indexterm>
- <primary>Firewall</primary>
+ <primary>firewall</primary>
<secondary>IPFILTER</secondary>
</indexterm>
- <para>IPFILTER wird von Darren Reed entwickelt. IPFILTER ist
- betriebssystemunabhängig. Es handelt sich um ein
- Open Source-Programm, dass unter anderem nach &os; NetBSD,
- OpenBSD, &sunos;, HP/UX sowie nach &solaris; portiert wurde.
- IPFILTER wird aktiv unterstützt und gewartet und es
- werden regelmäßig neue Versionen
- veröffentlicht.</para>
-
- <para>IPFILTER kombiniert eine kernelseitige Firewall mit dem
- <acronym>NAT</acronym>-Mechanismus und kann von
- Userland-Programmen gesteuert und überwacht werden.
- Firewallregeln werden mit &man.ipf.8; angelegt oder auch wieder
- gelöscht. <acronym>NAT</acronym>-Regeln werden hingegen
- mit &man.ipnat.1; angelegt oder gelöscht. &man.ipfstat.8;
- erlaubt es dem Benutzer, Laufzeitstatistiken für die
- Kernelbereiche von IPFILTER auszugeben. Zur Protokollierung
- der IPFILTER-Aktivitäten wird &man.ipmon.8; eingesetzt.</para>
-
- <para>IPF was originally written using a rule processing logic of
- <quote>the last matching rule wins</quote> and used only
- stateless type of rules. Over time IPF has been enhanced to
- include a <quote>quick</quote> option and a stateful <quote>keep
- state</quote> option which drastically modernized the rules
- processing logic. IPF's official documentation covers only the legacy
- rule coding parameters and rule file processing
- logic. The modernized functions are only included as additional
- options, completely understating their benefits in producing a
- far superior and more secure firewall.</para>
-
- <para>The instructions contained in this section are based on
- using rules that contain the <quote>quick</quote> option and the
- stateful <quote>keep state</quote> option. This is the basic
- framework for coding an inclusive firewall ruleset.</para>
-
- <para>For detailed explanation of the legacy rules processing
- method see: <ulink
- url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
- and <ulink
- url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para>
-
- <para>The IPF FAQ is at <ulink
- url="http://www.phildev.net/ipf/index.html"></ulink>.</para>
-
- <para>A searchable archive of the open-source IPFilter mailing list is
- available at <ulink
- url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.</para>
+
+ <para>Geschrieben wurde IPFILTER von Darren Reed. IPFILTER ist
+ vom Betriebssystem unabhängig: Es ist eine Open Source
+ Anwendung, die auf die Betriebssysteme &os;, NetBSD, OpenBSD,
+ &sunos;, HP/UX und &solaris; portiert wurde. IPFILTER
+ wird aktiv betreut und gepflegt. Es werden regelmäßig
+ neue Versionen herausgegeben.
+ </para>
+
+ <para>IPFILTER basiert auf einer kernelseitigen Firewall und
+ einem <acronym>NAT</acronym> Mechanismus, der durch
+ Anwenderprogramme betreut und gesteuert werden kann.
+ Die Regeln der Firewall werden mit dem Programm
+ &man.ipf.8; gesetzt oder gelöscht. Für die
+ Manipulation der <acronym>NAT</acronym> Regeln verwendet
+ man &man.ipnat.1;. Mit &man.ipfstat.8; werden
+ Laufzeitstatistiken der kernelseitigen Anteile von
+ IPFILTER aufgelistet. Und mit dem Programm &man.ipmon.8;
+ kann man die Aktionen von IPFILTER in die Protokolldateien
+ des Systems speichern.
+ </para>
+
+ <para>IPF funktionierte ursprünglich mit einer
+ Regel-Prozeß-Logik à la <quote>die letzte
+ Regel, die paßt, entscheidet</quote> und verwendete
+ ausschließlich Regeln ohne feste Zustände.
+ Inzwischen wurde die Regel-Prozeß-Logik
+ drastisch modernisiert: Es gibt eine
+ <option>quick</option> und eine zustandsorientierte
+ <option>keep-state</option> Option. Die offizielle
+ Dokumentation beinhaltet leider nur die veralteten
+ Parameter zur Regelerstellung - die neuen Funktionen
+ werden nur als Zusatzoptionen aufgelistet, was ihre
+ Vorteile beim Erstellen einer weit überlegenen und
+ viel sichereren Firewall völlig untergräbt.
+ </para>
+
+
+
+ <para>Die Anweisungen in diesem Kapitel basieren darauf,
+ Regeln mit den Optionen <option>quick</option> und
+ <option>keep-state</option> zu erstellen. Mit diesem
+ Grundwissen wird man einen kompletten einschließenden
+ Regelsatz erstellen können.
+ </para>
+
+
+ <para>Für eine ausführliche Erläuterung der alten Methode
+ zur Regelverarbeitung schauen Sie bitte auf
+ <ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
+ oder
+ <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.
+ </para>
+
+ <para>Antworten auf häufige Fragen finden Sie unter
+ <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.
+ </para>
+
+ <para>Und ein durchsuchbares Archiv der Mailingliste zu IPFILTER
+ gibt es unter
+ <ulink url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.
+ </para>
<sect2>
- <title>IPF aktivieren</title>
+ <title>Aktivieren von IPF</title>
<indexterm>
<primary>IPFILTER</primary>
@@ -611,21 +627,26 @@
<secondary>enabling</secondary>
</indexterm>
- <para>IPF is included in the basic &os; install as a separate run
- time loadable module. The system will dynamically load the IPF
- kernel loadable module when the <filename>rc.conf</filename> statement
- <literal>ipfilter_enable="YES"</literal> is used. The loadable
- module was created with logging enabled and the
- <literal>default pass all</literal> options. There is no need
- to compile IPF into the &os; kernel just to change the default
- to <literal>block all</literal>. This can be done just by adding
- a <literal>block all</literal> rule at the end of your ruleset.</para>
+ <para>&os; enthält IPF in der Standardversion als ladbares
+ Kernelmodul. Dieses Modul wird vom System automatisch geladen,
+ wenn in der <filename>rc.conf</filename> der Eintrag
+ <literal>ipfilter_enable="YES"</literal> angelegt wird.
+ In dieser ursprünglichen Konfiguration ist
+ ist die Protokollierung aktiv und die Option <literal>default
+ pass all</literal> ("Pakete passieren lassen") als Standard gesetzt.
+ Um die <literal>block all</literal> ("alles Blockieren")
+ Option zu setzen, muß
+ man nicht gleich einen neuen Kernel bauen - es reicht,
+ <literal>block all</literal> als letzte Position des Regelsatzes
+ aufzulisten.
+ </para>
+
</sect2>
<sect2>
- <title>Kernel options</title>
+ <title>Kernel-Optionen</title>
- <indexterm>
+ <indexterm>
<primary>kernel options</primary>
<secondary>IPFILTER</secondary>
@@ -649,96 +670,133 @@
<secondary>kernel options</secondary>
</indexterm>
- <para>It is not a mandatory requirement to enable IPF by
- compiling the following options into the &os; kernel. It is
- only presented here as background information. Compiling IPF
- into the kernel causes the loadable module to never be
- used.</para>
-
- <para>Sample kernel config IPF option statements are in the
- <filename>/usr/src/sys/conf/NOTES</filename> kernel source
- and are reproduced here:</para>
+ <para>Es ist nicht unbedingt notwendig, IPF durch die folgenden
+ Optionen direkt in der Kernel einzubinden. Diese
+ Möglichkeit der Verwendung von IPF wird hier
+ mehr als Hintergrundwissen angeboten. Man sollte
+ nur wissen, dass dadurch nicht mehr
+ das Kernelmodul geladen wird - und dementsprechend
+ auch nicht mehr entladen werden kann.
+ </para>
+
+ <para>Die Beschreibung der einzelnen Optionen von IPF
+ für die Verwendung in der Kernelkonfiguration
+ finden Sie auch in der Datei
+ <filename>/usr/src/sys/conf/NOTES</filename>.
+ </para>
<programlisting>options IPFILTER
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Thu 17 Mar 2011 - 18:34:19 CET