jkois 2011-11-13 20:14:03 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Neuer Abschnitt: "Firewalls -> IPFW".
Übersetzt von Christopher J. Ruwe (cjr ett cruwe dott de)
Abschnitt kann erfolgreich gebaut werden. Allerdings müssen vorher noch diverse Problemchen gefixt werden (Markup, Tippfehler,
Grammatik, ...)
Revision Changes Path
1.34 +1614 -7 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.33
retrieving revision 1.34
diff -u -I$FreeBSDde.*$ -r1.33 -r1.34
--- chapter.sgml 17 Apr 2011 08:30:55 -0000 1.33
+++ chapter.sgml 13 Nov 2011 20:14:03 -0000 1.34
@@ -1039,7 +1039,7 @@
Alleine der Name der Variable wird angegeben, gefolgt von einem
Gleichheitszeichen, und dem Wert, der der Variablen zugewiesen werden
soll. Dieser muß in doppelten Anführungszeichen
- (<literal>"</literal>) stehen. Also folgt eine Zuweisung dem Schema
+ (<literal>""</literal>) stehen. Also folgt eine Zuweisung dem Schema
<literal>Variablenname = "Wert"</literal>.</para>
<programlisting>############# Start of IPF rules script ########################
@@ -2167,13 +2167,1620 @@
<sect1 id="firewalls-ipfw">
<title>IPFW</title>
- <para>Dieses Kapitel ist noch nicht übersetzt.
- Lesen Sie bitte <ulink
- url="&url.books.handbook.en;/firewalls-ipfw.html">
- das Original in englischer Sprache</ulink>. Wenn Sie helfen
- wollen, dieses Kapitel zu übersetzen, senden Sie bitte
- eine E-Mail an die Mailingliste &a.de.translators;.</para>
+ <indexterm>
+ <primary>firewall</primary>
+
+ <secondary>IPFW</secondary>
+ </indexterm>
+
+ <para>Die <emphasis>IPFIREWALL</emphasis>
+ (<acronym>IPFW</acronym>) ist eine durch das &os; Projekt
+ gesponsorte (software) firewall-Applikation. Sie wurde und wird
+ freiwillig durch &os; Projekt-Mitglieder geschrieben und
+ gewartet. Mit zustandslose Regeln und einer Grammatik für
+ Regeln implementiert sie eine sogenannte <quote>Einfache
+ Zustandsgesteuerte Logik</quote>.</para>
+
+ <para>Im Standard enthält die Installation für IPFW
+ einen beispielhaften Regelsatz
+ (<filename>/etc/rc.firewall</filename> und
+ <filename>/etc/rc.firewall6</filename>). Dieser ist eher
+ einfach gehalten; es ist nicht zu erwarten, daß dieser
+ ohne Modifikationen angewandt werden sollte. Dieses Beispiel
+ nutzt keine zustandsorientierte Filterung, wovon allerdings die
+ meisten Installationen profitieren sollten. Deshalb wird sich
+ dieser Abschnitt nicht auf dieses Beispiele
+ abstützen.</para>
+
+ <para>Die zustandslose IPFW Regel-Syntax ist durch ihre technisch
+ ausgefeilten Selektions-Fähigkeiten, die über das
+ Niveau der gebrächlichen firewall Installationsprogramme
+ weit hinausgeht, sehr mächtig. IPFW richtet sich an
+ professionelle oder technisch versierte Nutzer mit
+ weitergehenden Anforderungen an die Paket-Auswahl. Um die
+ Ausdrucksstärke der IPFW zu nutzen, ist sehr detailliertes
+ Wissen, auf welche Art und Weise verschiedene Protokolle ihre
+ jeweilige Paket-Header-Information erzeugen und nutzen,
+ erforderlich. Auf diese Tiefe zu gehen liegt außerhalb
+ des Rahmes dieses Handbuches.</para>
+
+ <para>IPFW besteht aus sieben Komponenten: Primärer
+ Bestandteil ist der kernel firewall filter, ein Regel-Prozessor
+ einschließlich integrierter Paket-Buchführung.
+ Weiterhin besteht die IPFW aus einer Komponente zur
+ Protokollierung der Aktivitäten der firewall (kurz, einem
+ log). Des weiteren besteht die IPFW aus einer Regel zum
+ Umleiten des Datenverkehrs (<literal>divert</literal>), diese
+ bietet die Fähigkeit zur Network Address Translation
+ (<acronym>NAT</acronym>). Ergänzende Bestandteilen dienen
+ fortgeschrittenen, speziellen Zwecke. Weitere Komponenten sind
+ der
+ <foreignphrase>Traffic Shaper</foreignphrase> &man.dummynet.4;,
+ der es gestattet, den Datenverkehr zu lenken und die
+ <literal>fwd</literal> Regel zum Weiterleiten von Datenpaketen.
+ Komplettiert wird IPFW durch die Befähigung,
+ Netzwerkgrenzen zu überbrücken
+ (<foreignphrase>bridge</foreignphrase>) und der ipstealth
+ Befähigung, die es gestattet, bridging-Funktionen
+ durchzuführen, ohne dabei das TTL-Feld im IP-Paket zu
+ erhöhen. IPFW unterstützt IPv4 und IPv6.</para>
+
+ <sect2 id="firewalls-ipfw-enable">
+ <title>IPFW aktivieren</title>
+
+ <indexterm>
+ <primary>IPFW</primary>
+
+ <secondary>enabling</secondary>
+ </indexterm>
+
+ <para>IPFW ist in der &os;-Installation standardmäßig
+ als ein zur Laufzeit ladbares kernel-Modul enthalten. Das
+ System wird dieses kernel-Modul automatisch laden, wenn der
+ <filename>rc.conf</filename>-Ausdruck
+ <varname>firewall_enable="YES"</varname> gesetzt wird. Eine
+ Notwendigkeit, IPFW statisch in den kernel einzukompilieren,
+ besteht nicht, es sei denn man benötigt die
+ NAT-Funktionalität.</para>
+
+ <para>Nach einem Reboot oder allgemein, beim Booten, mit
+ gesetzter <varname>firewall_enable="YES"</varname> in der
+ <filename>rc.conf</filename> wird folgende Nachricht als
+ Anteil des boot-Prozesses ausgegeben:</para>
+
+ <screen>ipfw2 initialized, divert disabled, rule-based
+ forwarding disabled, default to deny, logging
+ disabled</screen>
+
+ <para>Das kernel-Modul hat eine Protokollierungsfunktion. Um
+ diese zu aktivieren und einen Schwelwert für Protokllierung zu
+ konfigureren, ist es erforderlich, folgende Ausdrücke der
+ <filename>/etc/sysctl.conf</filename>
+ hinzuzufügen:</para>
+
+ <programlisting>net.inet.ip.fw.verbose=1
+ net.inet.ip.fw.verbose_limit=5</programlisting>
+ </sect2>
+
+ <sect2 id="firewalls-ipfw-kernel">
+ <title>Kernel Optionen</title>
+
+ <indexterm>
+ <primary>kernel options</primary>
+
+ <secondary>IPFIREWALL</secondary>
+ </indexterm>
+
+ <indexterm>
+ <primary>kernel options</primary>
+
+ <secondary>IPFIREWALL_VERBOSE</secondary>
+ </indexterm>
+
+ <indexterm>
+ <primary>kernel options</primary>
+
+ <secondary>IPFIREWALL_VERBOSE_LIMIT</secondary>
+ </indexterm>
+
+ <indexterm>
+ <primary>IPFW</primary>
+
+ <secondary>kernel options</secondary>
+ </indexterm>
+
+ <para>IPFW muß nicht durch einkompilieren bestimmter, im
+ folgenden konkretisierter Optionen in den kernel aktiviert
+ werden, es sei denn, man benötigt
+ <acronym>NAT</acronym>-Funktionalität. Die
+ erforderlichen Optionen werden deshalb hier lediglich als
+ Hintergrundinformation aufgeführt.
+
+ <programlisting>options IPFIREWALL</programlisting>
+
+ <para>Diese Option aktiviert IPFW als Bestandteil des
+ kernels.</para>
+
+ <programlisting>options IPFIREWALL_VERBOSE</programlisting>
+
+ <para>Diese Option aktiviert die Funktion, alle Pakte, die durch
+ IPFW verarbeitet werden und bei denen das Schlüsselwort
+ <literal>log</literal> gesetzt ist, zu protokollieren.</para>
+
+ <programlisting>options IPFIREWALL_VERBOSE_LIMIT=5</programlisting>
+
+ <para>Diese Option limitiert die Anzahl der durch &man.syslogd.8
+ protokollierten Pakete auf das angegebenen Maximum. Sie wird
+ in feindlichen Umgebungen verwandt, in denen die
+ Protokollierung der firewall-Aktivität gewünscht
+ ist. Dadurch wird ein möglicher denial-of-service
+ Angriff durch Überflutung von &man.syslogd.8
+ verhindert.</para>
+
+ <indexterm>
+ <primary>kernel options</primary>
+
+ <secondary>IPFIREWALL_DEFAULT_TO_ACCEPT</secondary>
+ </indexterm>
+
+ <programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT</programlisting>
+
+ <para>Diese Option erlaubt allen Pakten, die firewall
+ standardmäßig zu passieren. Dies könnte in
+ Situationen, in denen die firewall zum ersten Mal eingerichtet
+ wird, ratsam sein.</para>
+
+ <indexterm>
+ <primary>kernel options</primary>
+
+ <secondary>IPDIVERT</secondary>
+ </indexterm>
+
+ <programlisting>options IPDIVERT</programlisting>
+
+ <para>Dies aktiviert die Nutzung der
+ <acronym>NAT</acronym>-Funktionalität.</para>
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 13 Nov 2011 - 21:14:21 CET