jkois 2012-01-01 10:27:56 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Korrekturen im IPFW-Abschnitt.
Revision Changes Path
1.42 +45 -48 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.41
retrieving revision 1.42
diff -u -I$FreeBSDde.*$ -r1.41 -r1.42
--- chapter.sgml 22 Dec 2011 10:12:21 -0000 1.41
+++ chapter.sgml 1 Jan 2012 10:27:56 -0000 1.42
@@ -2335,7 +2335,7 @@
<note>
<para>Die Firewall wird alle eingehenden oder ausgehenden
- Pakte blockieren, wenn entweder die Kernel-Option
+ Pakete blockieren, wenn entweder die Kernel-Option
<literal>IPFIREWALL_DEFAULT_TO_ACCEPT</literal> fehlt oder
aber keine Regel, die die betreffenden Verbindungen explizit
gestattet, existiert. Dies enstpricht im Wesentlichen der
@@ -2512,29 +2512,28 @@
<screen>&prompt.root; <userinput>ipfw zero <replaceable>NUM</replaceable></userinput></screen>
</sect2>
-<!--jkois gecheckt bis hier - 2011-12-21-->
+
<sect2 id="firewalls-ipfw-rules">
- <title>IPFW Regeln</title>
+ <title>IPFW-Regeln</title>
- <para>Ein Regelwerk ist eine Menge von IPFW-Regeln, die
- abhängig von Werten in den Pakten ein Passieren des
- Pakets zulässt oder aber das Paket abweist. Der
- zustandshafte bi-direktionale Transfer von Pakten zwischen
- Rechnern stellt eine Sitzung dar. Das Regelwerk der Firewall
- verarbeitet sowohl ankommende Pakete aus dem öffentlichen
- Internet als auch Pakte, deren Ursprung in einer Systemantwort
- auf empfangene Pakete liegt.
- Jeder <acronym>TCP/IP</acronym>-Dienst (telnet, www, mail,
- etc.) ist durch sein Protokoll und durch den privilierten
+ <para>Ein Regelwerk ist eine Menge von IPFW-Regeln, die in
+ Abhängigkeit von bestimmten Paketeigenschaften Pakete
+ entweder passieren lassen oder abweisen. Der
+ zustandshafte bidirektionale Transfer von Paketen zwischen
+ Rechnern wird als Sitzung bezeichnet. Das Regelwerk der Firewall
+ verarbeitet sowohl ankommende Pakete (aus dem öffentlichen
+ Internet) als auch Pakete, deren Ursprung in einer Antwort des
+ Systems auf empfangene Pakete liegt. Jeder
+ <acronym>TCP/IP</acronym>-Dienst (wie telnet, www, mail) ist
+ durch sein Protokoll und durch den priveligierten
(eingehenden) Port definiert. An einen spezifischen Dienst
- adressierte Pakete entstammen einer Quell-Adresse und einem
+ adressierte Pakete kommen von einer Quelladresse und einem
unprivilegierten (high order) Port. Sie adressieren den
- spezifischen Port des Dienstes an der Adresse ihrer
- Bestimmung. Alle oben aufgeführten Parameter (also Ports
- und Adressen) können als Selektionskriterium zur
- Erzeugung von Regeln genutzt werden, die ein passieren der
- Firewall für oder ein Blockieren von Diensten
- bewirken.</para>
+ spezifischen Port des Dienstes an der Zieladresse. Alle weiter
+ oben aufgeführten Parameter (also Ports und Adressen)
+ können als Selektionskriterium zur Erzeugung von Regeln
+ genutzt werden, die ein Passieren der Firewall für oder
+ ein Blockieren von Diensten bewirken.</para>
<indexterm>
<primary>IPFW</primary>
@@ -2551,13 +2550,12 @@
mit allen weiteren Regeln verfahren. Falls die
Selektionsparameter einer Regel auf ein Paket zutreffen, wird
das Aktionsfeld der Regel ausgeführt und die Prüfung
- des Paktes beendet, d.h., nachfolgende Regeln werden nicht
- mehr geprüft. Dies wird als die <quote>erster Treffer
- gewinnt</quote> Suchmethode bezeichnet. Falls keine Regel auf
- das betreffende Paket zutrifft, löst die obligatorische
- IPFW Rückfallregel, die Regel 65535, aus, die i.d.R. alle
- Pakte blockiert und ohne eine Rückantwort
- verwirft.</para>
+ des Pakets beendet, nachfolgende Regeln werden also nicht
+ mehr geprüft. Diese Suchmethode wird als <quote>erster
+ Treffer gewinnt</quote> bezeichnet. Falls keine Regel auf
+ das betreffende Paket zutrifft, wird die obligatorische
+ IPFW-Rückfallregel (also Regel 65535) angewendet und das
+ Paket wird ohne Rückantwort verworfen.</para>
<note>
<para>Die Prüfung der Regeln wird nach Treffern von mit
@@ -2567,12 +2565,12 @@
fortgeführt.</para>
</note>
- <para>Die Anweisungen hier basieren auf der Nutzung von Regeln
- mit den zustandsgesteuerten <literal>keep</literal>,
+ <para>Die Anweisungen basieren auf der Nutzung von Regeln
+ mit den zustandsgesteuerten Optionen <literal>keep</literal>,
<literal>state</literal>, <literal>limit</literal>,
- <literal>in</literal> und <literal>out</literal> Optionen.
- Diese Anweisungen bilden die Basis, Firewallregeln zu
- spezifizieren.</para>
+ <literal>in</literal> und <literal>out</literal>. Diese
+ bilden die Basis für die Spezifikation von
+ Firewallregeln.</para>
<warning>
<para>Bei der Arbeit mit Firewallregeln ist Vorsicht geboten.
@@ -2588,25 +2586,24 @@
<secondary>rule syntax</secondary>
</indexterm>
- <para>Die hier dargestellte Syntax der Regeln wurde so
- reduziert, dass eine Standardregelsatz für
- einschließende Firewalls erstellt werden kann.
- Für eine vollständige Regelsyntax-Beschreibung
- wird auf die &man.ipfw.8; verwiesen.
- </para>
-
- <para>Regelausdrücke werten in <quote>von links nach
- echts</quote> Präzedenz aus.
- Schlüsselwörter sind in fetter Type gesetzt.
- Manche Schlüsselworte beinhalten Unter-Optionen, die
- (rekursiv) selbst aus Schlüsselworten samt Optionen
- bestehen können.</para>
+ <para>Mit der in diesem Abschnitt dargestellten Syntax der
+ Regeln kann ein Standardregelsatz für eine
+ <quote>einschließende</quote> Firewall erstellt
+ werden. Für eine vollständige Beschreibung der
+ Regelsyntax lesen Sie bitte die Manualpage &man.ipfw.8;</para>
+
+ <para>Regelausdrücke werden <quote>von links nach
+ rechts</quote> ausgewertet. Schlüsselwörter
+ werden in fetter Schrift dargestellt. Manche
+ Schlüsselworte beinhalten Unteroptionen, die wiederum
+ selbst aus Schlüsselworten samt Optionen bestehen
+ können.</para>
<para>Kommentare sind mit einen führenden Doppelkreuz
(<literal>#</literal>) ausgezeichnet. Sie können am
Ende einer Regel oder in einzelnen, separaten Zeilen stehen.
Leerzeilen werden ignoriert.</para>
-
+<!--jkois gecheckt bis hier - 2012-01-01-->
<para><replaceable>CMD RULE_NUMBER ACTION LOGGING SELECTION
STATEFUL</replaceable></para>
@@ -3091,7 +3088,7 @@
sie Treffer bei <literal>allow</literal> Regeln für
legitimen Datenverkehr erzielen und so die firwall passieren
können. Stattdessen sollten diese Pakete verworfen
- werden. Zum anderen sollten unerwünschte Pakte mit
+ werden. Zum anderen sollten unerwünschte Pakete mit
bekannten und somit uninteressanten Mustern geräuschlos
blockiert werden, anstatt von der letzten, generischen Regel
blockiert und, wichtiger, zudem protokolliert zu werden Die
@@ -3107,7 +3104,7 @@
keine Information erhalten, ob seine Pakete Ihr System
erreicht haben. Je weniger Information ein Angreifer
über Ihr System erhält, desto sicherer ist es.
- Pakte an Ports, die nicht bekannten Diensten zugeordnet
+ Pakete an Ports, die nicht bekannten Diensten zugeordnet
werden können, können
mit <filename>/etc/services</filename> identifiziert werden.
Alternativ kann eine Anfrage an
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 01 Jan 2012 - 11:28:14 CET