cvs commit: de-docproj/books/handbook/firewalls chapter.sgml

From: Johann Kois <jkois(at)doc.bsdgroup.de>
Date: Sun, 13 Nov 2011 20:14:03 GMT



jkois       2011-11-13 20:14:03 UTC



  FreeBSD German Documentation Repository



  Modified files:


    books/handbook/firewalls chapter.sgml 


  Log:


  Neuer Abschnitt:  "Firewalls -> IPFW".


  


  Übersetzt von Christopher J. Ruwe (cjr ett cruwe dott de)


  


  Abschnitt kann erfolgreich gebaut werden.  Allerdings müssen vorher noch diverse Problemchen gefixt werden (Markup, Tippfehler,


  Grammatik, ...)


  


  Revision  Changes    Path


  1.34      +1614 -7   de-docproj/books/handbook/firewalls/chapter.sgml


  


  Index: chapter.sgml


  ===================================================================


  RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v


  retrieving revision 1.33


  retrieving revision 1.34


  diff -u -I$FreeBSDde.*$ -r1.33 -r1.34


  --- chapter.sgml	17 Apr 2011 08:30:55 -0000	1.33


  +++ chapter.sgml	13 Nov 2011 20:14:03 -0000	1.34


  @@ -1039,7 +1039,7 @@


           Alleine der Name der Variable wird angegeben, gefolgt von einem


           Gleichheitszeichen, und dem Wert, der der Variablen zugewiesen werden


           soll.  Dieser mu&szlig; in doppelten Anf&uuml;hrungszeichen


  -        (<literal>"</literal>) stehen.  Also folgt eine Zuweisung dem Schema


  +        (<literal>""</literal>) stehen.  Also folgt eine Zuweisung dem Schema


           <literal>Variablenname = "Wert"</literal>.</para>


   


         <programlisting>############# Start of IPF rules script ########################


  @@ -2167,13 +2167,1620 @@


     <sect1 id="firewalls-ipfw">


       <title>IPFW</title>


   


  -    <para>Dieses Kapitel ist noch nicht &uuml;bersetzt.


  -      Lesen Sie bitte <ulink


  -      url="&url.books.handbook.en;/firewalls-ipfw.html">


  -      das Original in englischer Sprache</ulink>.  Wenn Sie helfen


  -      wollen, dieses Kapitel zu &uuml;bersetzen, senden Sie bitte


  -      eine E-Mail an die Mailingliste &a.de.translators;.</para>


  +    <indexterm>


  +      <primary>firewall</primary>


  +


  +      <secondary>IPFW</secondary>


  +    </indexterm>


  +


  +    <para>Die <emphasis>IPFIREWALL</emphasis>


  +      (<acronym>IPFW</acronym>) ist eine durch das &os; Projekt


  +      gesponsorte (software) firewall-Applikation.  Sie wurde und wird


  +      freiwillig durch &os; Projekt-Mitglieder geschrieben und


  +      gewartet.  Mit zustandslose Regeln und einer Grammatik f&uuml;r


  +      Regeln implementiert sie eine sogenannte <quote>Einfache


  +      Zustandsgesteuerte Logik</quote>.</para>


  +


  +    <para>Im Standard enth&auml;lt die Installation f&uuml;r IPFW


  +      einen beispielhaften Regelsatz


  +      (<filename>/etc/rc.firewall</filename> und


  +      <filename>/etc/rc.firewall6</filename>).  Dieser ist eher


  +      einfach gehalten; es ist nicht zu erwarten, da&szlig; dieser


  +      ohne Modifikationen angewandt werden sollte.  Dieses Beispiel


  +      nutzt keine zustandsorientierte Filterung, wovon allerdings die


  +      meisten Installationen profitieren sollten.  Deshalb wird sich


  +      dieser Abschnitt nicht auf dieses Beispiele


  +      abst&uuml;tzen.</para>


  +


  +    <para>Die zustandslose IPFW Regel-Syntax ist durch ihre technisch


  +      ausgefeilten Selektions-F&auml;higkeiten, die &uuml;ber das


  +      Niveau der gebr&auml;chlichen firewall Installationsprogramme


  +      weit hinausgeht, sehr m&auml;chtig.  IPFW richtet sich an


  +      professionelle oder technisch versierte Nutzer mit


  +      weitergehenden Anforderungen an die Paket-Auswahl. Um die


  +      Ausdrucksst&auml;rke der IPFW zu nutzen, ist sehr detailliertes


  +      Wissen, auf welche Art und Weise verschiedene Protokolle ihre


  +      jeweilige Paket-Header-Information erzeugen und nutzen,


  +      erforderlich.  Auf diese Tiefe zu gehen liegt au&szlig;erhalb


  +      des Rahmes dieses Handbuches.</para>


  +


  +    <para>IPFW besteht aus sieben Komponenten: Prim&auml;rer


  +      Bestandteil ist der kernel firewall filter, ein Regel-Prozessor


  +      einschlie&szlig;lich integrierter Paket-Buchf&uuml;hrung.


  +      Weiterhin besteht die IPFW aus einer Komponente zur


  +      Protokollierung der Aktivit&auml;ten der firewall (kurz, einem


  +      log).  Des weiteren besteht die IPFW aus einer Regel zum


  +      Umleiten des Datenverkehrs (<literal>divert</literal>), diese


  +      bietet die Fähigkeit zur Network Address Translation


  +      (<acronym>NAT</acronym>).  Erg&auml;nzende Bestandteilen dienen


  +      fortgeschrittenen, speziellen Zwecke.  Weitere Komponenten sind


  +      der


  +      <foreignphrase>Traffic Shaper</foreignphrase> &man.dummynet.4;,


  +      der es gestattet, den Datenverkehr zu lenken und die


  +      <literal>fwd</literal> Regel zum Weiterleiten von Datenpaketen.


  +      Komplettiert wird IPFW durch die Bef&auml;higung,


  +      Netzwerkgrenzen zu &uuml;berbr&uuml;cken


  +      (<foreignphrase>bridge</foreignphrase>) und der ipstealth


  +      Bef&auml;higung, die es gestattet, bridging-Funktionen


  +      durchzuf&uuml;hren, ohne dabei das TTL-Feld im IP-Paket zu


  +      erh&ouml;hen.  IPFW unterst&uuml;tzt IPv4 und IPv6.</para>


  +


  +    <sect2 id="firewalls-ipfw-enable">


  +      <title>IPFW aktivieren</title>


  +


  +      <indexterm>


  +	<primary>IPFW</primary>


  +


  +	<secondary>enabling</secondary>


  +      </indexterm>


  +


  +      <para>IPFW ist in der &os;-Installation standardm&auml;&szlig;ig


  +	als ein zur Laufzeit ladbares kernel-Modul enthalten.  Das


  +	System wird dieses kernel-Modul automatisch laden, wenn der


  +	<filename>rc.conf</filename>-Ausdruck


  +	<varname>firewall_enable="YES"</varname> gesetzt wird.  Eine


  +	Notwendigkeit, IPFW statisch in den kernel einzukompilieren,


  +	besteht nicht, es sei denn man ben&ouml;tigt die


  +	NAT-Funktionalit&auml;t.</para>


  +


  +      <para>Nach einem Reboot oder allgemein, beim Booten, mit


  +      gesetzter <varname>firewall_enable="YES"</varname> in der


  +	<filename>rc.conf</filename> wird folgende Nachricht als


  +	Anteil des boot-Prozesses ausgegeben:</para>


  +


  +      <screen>ipfw2 initialized, divert disabled, rule-based


  +	forwarding disabled, default to deny, logging


  +	disabled</screen>


  +


  +      <para>Das kernel-Modul hat eine Protokollierungsfunktion.  Um


  +	diese zu aktivieren und einen Schwelwert f&uuml;r Protokllierung zu


  +	konfigureren, ist es erforderlich, folgende Ausdr&uuml;cke der


  +	<filename>/etc/sysctl.conf</filename>


  +	hinzuzuf&uuml;gen:</para>


  +


  +      <programlisting>net.inet.ip.fw.verbose=1


  +	net.inet.ip.fw.verbose_limit=5</programlisting>


  +    </sect2>


  +


  +    <sect2 id="firewalls-ipfw-kernel">


  +      <title>Kernel Optionen</title>


  +


  +      <indexterm>


  +	<primary>kernel options</primary>


  +


  +	<secondary>IPFIREWALL</secondary>


  +      </indexterm>


  +


  +      <indexterm>


  +	<primary>kernel options</primary>


  +


  +	<secondary>IPFIREWALL_VERBOSE</secondary>


  +      </indexterm>


  +


  +      <indexterm>


  +	<primary>kernel options</primary>


  +


  +	<secondary>IPFIREWALL_VERBOSE_LIMIT</secondary>


  +      </indexterm>


  +


  +      <indexterm>


  +	<primary>IPFW</primary>


  +


  +	<secondary>kernel options</secondary>


  +      </indexterm>


  +


  +      <para>IPFW mu&szlig; nicht durch einkompilieren bestimmter, im


  +	folgenden konkretisierter Optionen in den kernel aktiviert


  +	werden, es sei denn, man ben&ouml;tigt


  +	<acronym>NAT</acronym>-Funktionalit&auml;t.  Die


  +	erforderlichen Optionen werden deshalb hier lediglich als


  +	Hintergrundinformation aufgef&uuml;hrt.


  +


  +      <programlisting>options IPFIREWALL</programlisting>


  +


  +      <para>Diese Option aktiviert IPFW als Bestandteil des


  +	kernels.</para>


  +


  +      <programlisting>options IPFIREWALL_VERBOSE</programlisting>


  +


  +      <para>Diese Option aktiviert die Funktion, alle Pakte, die durch


  +	IPFW verarbeitet werden und bei denen das Schl&uuml;sselwort


  +	<literal>log</literal> gesetzt ist, zu protokollieren.</para>


  +


  +      <programlisting>options IPFIREWALL_VERBOSE_LIMIT=5</programlisting>


  +


  +      <para>Diese Option limitiert die Anzahl der durch &man.syslogd.8


  +	protokollierten Pakete auf das angegebenen Maximum.  Sie wird


  +	in feindlichen Umgebungen verwandt, in denen die


  +	Protokollierung der firewall-Aktivit&auml;t gew&uuml;nscht


  +	ist.  Dadurch wird ein m&ouml;glicher denial-of-service


  +	Angriff durch &Uuml;berflutung von &man.syslogd.8


  +	verhindert.</para>


  +


  +      <indexterm>


  +	<primary>kernel options</primary>


  +


  +	<secondary>IPFIREWALL_DEFAULT_TO_ACCEPT</secondary>


  +      </indexterm>


  +


  +      <programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT</programlisting>


  +


  +      <para>Diese Option erlaubt allen Pakten, die firewall


  +	standardm&auml;&szlig;ig zu passieren. Dies k&ouml;nnte in


  +	Situationen, in denen die firewall zum ersten Mal eingerichtet


  +	wird, ratsam sein.</para>


  +


  +      <indexterm>


  +	<primary>kernel options</primary>


  +


  +	<secondary>IPDIVERT</secondary>


  +      </indexterm>


  +


  +      <programlisting>options IPDIVERT</programlisting>


  +


  +      <para>Dies aktiviert die Nutzung der


  +	<acronym>NAT</acronym>-Funktionalit&auml;t.</para>



----------------------------------------------


Diff block truncated.  (Max lines = 200)


----------------------------------------------



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-cvs-doc" in the body of the message


Received on Sun 13 Nov 2011 - 21:14:21 CET













search this site