© 1995-2010 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
jkois 2011-03-17 18:02:46 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Die ärgsten Markup-Fehler aus dem neuen Abschnitt ausbügeln:
- Einrückungen
- <para></para> stehen NIEMALS in einer eigenen Zeile
- Der Abstand zwischen 2 Blöcken ist immer nur EINE Zeile.
- Diverse bei der Übersetzung "verlorengegange </para>-Tags wieder eingefügt.
WIP:
- Zeilenlänge. Laut FDP ist die "Ziellänge" 73 Zeichen (evtl. auch bis 80 Zeichen).
- Zu kurze Zeilen müssen daher zusammengefasst werden.
Revision Changes Path
1.32 +336 -528 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.31
retrieving revision 1.32
diff -u -I$FreeBSDde.*$ -r1.31 -r1.32
--- chapter.sgml 17 Mar 2011 17:34:00 -0000 1.31
+++ chapter.sgml 17 Mar 2011 18:02:46 -0000 1.32
@@ -561,8 +561,7 @@
Anwendung, die auf die Betriebssysteme &os;, NetBSD, OpenBSD,
&sunos;, HP/UX und &solaris; portiert wurde. IPFILTER
wird aktiv betreut und gepflegt. Es werden regelmäßig
- neue Versionen herausgegeben.
- </para>
+ neue Versionen herausgegeben.</para>
<para>IPFILTER basiert auf einer kernelseitigen Firewall und
einem <acronym>NAT</acronym> Mechanismus, der durch
@@ -574,8 +573,7 @@
Laufzeitstatistiken der kernelseitigen Anteile von
IPFILTER aufgelistet. Und mit dem Programm &man.ipmon.8;
kann man die Aktionen von IPFILTER in die Protokolldateien
- des Systems speichern.
- </para>
+ des Systems speichern.</para>
<para>IPF funktionierte ursprünglich mit einer
Regel-Prozeß-Logik à la <quote>die letzte
@@ -589,34 +587,26 @@
Parameter zur Regelerstellung - die neuen Funktionen
werden nur als Zusatzoptionen aufgelistet, was ihre
Vorteile beim Erstellen einer weit überlegenen und
- viel sichereren Firewall völlig untergräbt.
- </para>
-
-
+ viel sichereren Firewall völlig untergräbt.</para>
<para>Die Anweisungen in diesem Kapitel basieren darauf,
Regeln mit den Optionen <option>quick</option> und
<option>keep-state</option> zu erstellen. Mit diesem
Grundwissen wird man einen kompletten einschließenden
- Regelsatz erstellen können.
- </para>
-
+ Regelsatz erstellen können.</para>
<para>Für eine ausführliche Erläuterung der alten Methode
zur Regelverarbeitung schauen Sie bitte auf
<ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
oder
- <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.
- </para>
+ <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para>
<para>Antworten auf häufige Fragen finden Sie unter
- <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.
- </para>
+ <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.</para>
<para>Und ein durchsuchbares Archiv der Mailingliste zu IPFILTER
gibt es unter
- <ulink url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.
- </para>
+ <ulink url="http://marc.theaimsgroup.com/?l=ipfilter"></ulink>.</para>
<sect2>
<title>Aktivieren von IPF</title>
@@ -638,8 +628,7 @@
Option zu setzen, muß
man nicht gleich einen neuen Kernel bauen - es reicht,
<literal>block all</literal> als letzte Position des Regelsatzes
- aufzulisten.
- </para>
+ aufzulisten.</para>
</sect2>
@@ -676,46 +665,38 @@
mehr als Hintergrundwissen angeboten. Man sollte
nur wissen, dass dadurch nicht mehr
das Kernelmodul geladen wird - und dementsprechend
- auch nicht mehr entladen werden kann.
- </para>
+ auch nicht mehr entladen werden kann.</para>
<para>Die Beschreibung der einzelnen Optionen von IPF
für die Verwendung in der Kernelkonfiguration
finden Sie auch in der Datei
- <filename>/usr/src/sys/conf/NOTES</filename>.
- </para>
+ <filename>/usr/src/sys/conf/NOTES</filename>.</para>
<programlisting>options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK</programlisting>
<para><literal>options IPFILTER</literal> aktiviert die Verwendung
- der <quote>IPFILTER</quote> Firewall.
- </para>
+ der <quote>IPFILTER</quote> Firewall.</para>
<para><literal>options IPFILTER_LOG</literal> aktiviert
den Logging-Mechanismus. Das bedeutet, dass jedes Paket
geloggt wird, auf das eine Regel paßt, die das
Schlüsselwort <literal>log</literal> enthält.
Dazu wird der Pseudo—Device
- <devicename>ipl</devicename> verwendet.
- </para>
+ <devicename>ipl</devicename> verwendet.</para>
<para><literal>options IPFILTER_DEFAULT_BLOCK</literal>
ändert das Verhalten der Firewall dahingehend,
dass jedes Paket, dass nicht explizit von einer
<literal>pass</literal> Regel Zugang erhält,
- abgewiesen, bzw. geblockt, wird.
- </para>
-
-
- <para>Diese Einstellungen werden erst aktiv,
- wenn der Kernel, in den sie eingebunden wurden,
- kompiliert, installiert und gebootet wurde.
- </para>
+ abgewiesen, bzw. geblockt, wird.</para>
+ <para>Diese Einstellungen werden erst aktiv, wenn der Kernel, in
+ den sie eingebunden wurden, kompiliert, installiert und gebootet
+ wurde.</para>
</sect2>
<sect2>
@@ -723,8 +704,7 @@
<para>Um IPF während des Bootvorgangs einzubinden, braucht
man lediglich die folgenden Zeilen der Datei
- <filename>/etc/rc.conf</filename> anzufügen:
- </para>
+ <filename>/etc/rc.conf</filename> anzufügen:</para>
<programlisting>ipfilter_enable="YES" # Startet IPF
ipfilter_rules="/etc/ipf.rules" # liest den Regelsatz aus einer Datei
@@ -739,7 +719,7 @@
das den reservierten privaten Adressbereich verwendet,
müssen die folgenden Zeilen zur Aktivierung von
<acronym>NAT</acronym> ebenfalls
- in <filename>/etc/rc.conf</filename> eingetragen werden:
+ in <filename>/etc/rc.conf</filename> eingetragen werden:</para>
<programlisting>gateway_enable="YES" # Aktivierung des LAN-Gateways
ipnat_enable="YES" # Startet die ipnat Funktion
@@ -756,19 +736,16 @@
Regelsatz enthält ein. Mit dem folgenden Befehl können
Sie Ihre eigenen, für Ihr System maßgeschneiderten
Regeln einlesen und so in einem Schritt alle Regeln der
- laufenden Firewall ersetzen:
+ laufenden Firewall ersetzen:</para>
<screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen>
<para><option>-Fa</option> bedeutet, dass alle intern gespeicherten
- Tabellen mit Regeln gelöscht werden.
- </para>
+ Tabellen mit Regeln gelöscht werden.</para>
<para><option>-f</option> gibt die Datei an, aus der die
- neuen Regeln gelesen werden sollen.
- </para>
-
+ neuen Regeln gelesen werden sollen.</para>
<para>Mit diesen beiden Optionen erhalten Sie die
Möglichkeit, Änderungen an der Datei mit
@@ -776,27 +753,20 @@
mit den neuen Regeln zu bestücken, ohne den Rechner
neu starten zu müssen. Da dieser Vorgang
beliebig wiederholt werden kann, ist es ein sehr bequemer
- Weg, neue Regeln einzuarbeiten und zu testen.
- </para>
-
+ Weg, neue Regeln einzuarbeiten und zu testen.</para>
<para>Um mehr über diese und weitere Optionen von &man.ipf.8;
- zu erfahren, konsultieren Sie bitte die Manpage.
- </para>
-
+ zu erfahren, konsultieren Sie bitte die Manpage.</para>
<para>&man.ipf.8; erwartet, dass es sich bei der Datei
mit dem Regelsatz um eine Standard-Textdatei handelt.
Eine Datei, die ein Skript oder Variablen enthält,
- wird nicht verarbeitet.
- </para>
+ wird nicht verarbeitet.</para>
<para>Es gibt allerdings doch einen Weg, IPF Regeln mit Hilfe von
Skripten und Variablen zu erstellen. Weitere Informationen
- dazu finden Sie unter <xref linkend="firewalls-ipf-rules-script">.
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Thu 17 Mar 2011 - 19:03:05 CET