jkois 2012-01-01 12:04:56 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Korrekturen im Abschnitt IPFW.
Revision Changes Path
1.44 +78 -82 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.43
retrieving revision 1.44
diff -u -I$FreeBSDde.*$ -r1.43 -r1.44
--- chapter.sgml 1 Jan 2012 10:42:47 -0000 1.43
+++ chapter.sgml 1 Jan 2012 12:04:56 -0000 1.44
@@ -2657,7 +2657,7 @@
erfüllt, wird verworfen und die Regelprüfung
wird beendet.</para>
</sect4>
-<!--jkois gecheckt bis hier - 2012-01-01-->
+
<sect4>
<title>Protokollierung</title>
@@ -2665,119 +2665,116 @@
<parameter>logamount</parameter></para>
<para>Erfüllt ein Paket die Selektionskriterien mit dem
- Schlüsselwort <literal>log</literal>, wird eine
- Nachricht mittels des Programmes &man.syslogd.8; und der
- Annotation SECURITY in den System-Logs gespeichert. Dies
- erfolgt nur dann, wenn die Anzahl der protokollierten
- Pakete der betreffenden Regel die im
- <literal>logamount</literal> Parameter spezifizierte
- Schwelle nicht übersteigt. Ist
- der <literal>logamount</literal> Parameter nicht
- spezifiziert, wird die Grenze aus der
- <command>sysctl</command>-Variable
+ Schlüsselwort <literal>log</literal>, wird dies von
+ &man.syslogd.8; mit der Annotation SECURITY protokolliert.
+ Dies erfolgt allerdings nur, wenn die Anzahl der
+ protokollierten Pakete der betreffenden Regel die im
+ <literal>logamount</literal>-Parameter definierte
+ Schwelle nicht übersteigt. Ist der Parameter
+ <literal>logamount</literal> nicht definiert, wird diese
+ Grenze aus der <command>sysctl</command>-Variable
<varname>net.inet.ip.fw.verbose_limit</varname> ermittelt.
- In beiden Fällen deakativert der Wert "Null" die
- logging-Grenze. Ist der Schwellenwert einmal erreicht,
- ist es möglich, die logging-Funktionalität zu
- reaktivieren, indem entweder der logging- oder aber der
- Paket-Zähler = 0 gesetzt wird (vgl. auch den
- Befehl <command>ipfw reset log</command>).
- </para>
+ Ist einer dieser beiden Werte auf <quote>Null</quote>
+ gesetzt, wird unbegrenzt protokolliert. Wurde hingegen
+ ein definierter Schwellenwert erreicht, wird die
+ Protokollierung deaktiviert. Um sie zu reaktivieren,
+ können Sie entweder den Protokoll- oder den
+rücksetzen
+ (über den Befehl
+ <command>ipfw reset log</command>).</para>
<note>
- <para>Logging findet statt, nachdem alle anderen
+ <para>Die Protokollierung findet statt, nachdem alle
Paketselektionskriterien geprüft und bevor die
daraus folgende, endgültige Aktion
(<literal>accept</literal> oder <literal>deny</literal>)
- auf das Paket ausgeführt wurden. Die Entscheidung,
- auf welchen Regeln logging aktiviert werden sollte,
- liegt bei Ihnen.</para>
+ auf das Paket ausgeführt wird. Die Entscheidung,
+ welche Regel protokolliert werden soll, bleibt Ihnen
+ &uum;berlassen.</para>
</note>
</sect4>
<sect4>
<title>Selektion</title>
- <para>Die hier beschriebenen Schlüsselwörter
- werden verwendet, um die Attribute eines Pakets zu
- beschreiben, die bestimmen, ob eine Regel auf das
- betreffende Paket zutrifft (Selektionskriterien). Die
- folgenden Attribute dienen der Bestimmung des Protokolls
- und müssen in der angegebenen Reihenfolge verwendet
- werden.
+ <para>Die in diesem Abschnitt beschriebenen
+ Schlüsselwörter beschreiben die Attribute eines
+ Pakets, durch die bestimmt wird, ob eine Regel auf ein
+ Paket zutrifft. Die folgenden Attribute dienen der
+ Bestimmung des Protokolls und müssen in der angegebenen
+ Reihenfolge verwendet werden.</para>
<para><parameter>udp | tcp | icmp</parameter></para>
- <para>Beliebige andere, in
- <filename>/etc/protocols</filename> spezifizierte
- Protokolle werden erkannt und können folglich
- verwendet werden, um das (Netzwerk-) Protokoll zu
- spezifizieren, für das Pakete geprüft werden.
- Diese Bestimmung des Protokolls ist obligatorisch.</para>
+ <para>Weitere in <filename>/etc/protocols</filename>
+ angegebene Protokolle werden ebenfalls erkannt und
+ können daher verwendet werden, um das Protokoll zu
+ definieren, gegen das Pakete geprüft werden. Die
+ Angabe des Protokolls ist verpflichtend.</para>
<para><parameter>from src to dst</parameter></para>
<para>Die Schlüsselwörter <literal>from</literal>
- und
- <literal>to</literal> beziehen sich auf IP-Adressen und
- spezifizieren sowohl Ursprung als auch Zieladresse einer
- Datenverbindung. In Regeln müssen beide, also
- Ursprung und Bestimmung, spezifiziert sein. Das
- Schlüsselwort <literal>any</literal> dient als
- <foreignphrase>wildcard</foreignphrase> und steht für
- beliebige IP-Adressen. Das
- Schlüsselwort <literal>me</literal> spezifiziert alle
- IP-Adressen, die einem beliebigen Netzwerk-Interface
- desjenigen Systems zugeordnet sind, auf dem die Firewall
- läuft. Beispiele hierfür sind <literal>from me
- to any</literal> oder <literal>from any to me</literal>,
+ und <literal>to</literal> beziehen sich auf IP-Adressen und
+ definieren sowohl Ursprungs- als auch Zieladresse einer
+ Datenverbindung. Firewallregeln müssen Parameter
+ für den Ursprung <emphasis>und</emphasis> das Ziel
+ enthalten. Das Schlüsselwort <literal>any</literal>
+ steht für beliebige IP-Adressen. Bei
+ <literal>me</literal> handelt es sich um ein spezielles
+ Schlüsselwort, das alle IP-Adressen beschreibt, die
+ einer bestimmten Netzwerkschnittstelle Ihres Systems
+ (auf dem die Firewall läuft) zugeordnet sind.
+ Beispiele hierfür sind
+ <literal>from me to any</literal>,
+ <literal>from any to me</literal>,
<literal>from 0.0.0.0/0 to any </literal>,
<literal>from any to 0.0.0.0/0</literal>,
<literal>from 0.0.0.0 to any</literal>,
<literal>from any to 0.0.0.0</literal> oder
<literal>from me to 0.0.0.0</literal>. IP-Adressen werden
- obligatorisch entweder in
- <acronym>CIDR</acronym>-Notation numerisch, durch Punkte
- getrennt mit Suffixen
+ entweder in <acronym>CIDR</acronym>-Notation
+ oder durch Punkte getrennt mit Suffixen
(<hostid role="ipaddr">192.168.2.101/24</hostid>) für
die Netzmaske oder als einzelne numerische, durch Punkte
getrennte Adressen
(<hostid role="ipaddr">192.168.2.101</hostid>) angegeben.
Die dafür notwendigen Berechnungen erleichtert der
- port <filename role="package">net-mgmt/ipcalc</filename>.
- Weiterführende Informationen finden sich in der
- Webpräsenz des Programmes,
+ Port <filename role="package">net-mgmt/ipcalc</filename>.
+ Weiterführende Informationen finden sich auf
<ulink url="http://jodies.de/ipcalc"></ulink>.</para>
<para><parameter>port number</parameter></para>
<para>Bei der Verarbeitung von Protokollen wie
<acronym>TCP</acronym> oder <acronym>UDP</acronym>, die
- Port-Nummern verwenden, ist es obligatorisch, die
- Port-Nummer des betreffenden Dienstes anzugeben. Namen
- von Diensten aus <filename>/etc/services</filename>
- können anstelle numerischer Werte verwendet
- werden.</para>
+ Portnummern verwenden, muss die Portnummer des
+ betreffenden Dienstes angegeben werden. Anstelle der
+ Portnummer kann auch der in der Datei
+ <filename>/etc/services</filename> definierte Name des
+ Dienstes angegeben werden.</para>
<para><parameter>in | out</parameter></para>
<para>Diese Schlüsselwörter beziehen sich auf die
- Richtung des Datenverkehrs in Bezug auf das System. Die
- Verwendung eines der beiden ist obligatorischer
- Bestandteil jedes Selektionskriteriums einer Regel.</para>
+ Richtung des Datenverkehrs. Jede Regel
+ <emphasis>muss</emphasis> eines dieser beiden
+ Schlüsselwörter enthalten.</para>
<para><parameter>via IF</parameter></para>
<para>Eine Regel mit dem Schlüsselwort
- <literal>via IF</literal> betrifft nur Pakete, die durch
- das Interface IF geroutet werden. Die Angabe des
- Schlüsselwortes <literal>via</literal> bewirkt eine
- Prüfung des Interfaces bei jeder Regelprüfung.
- </para>
+ <literal>via IF</literal> betrifft nur Pakete, die über
+ die angegebene Schnittstellte geroutet werden (ersetzen Sie
+ <literal>IF</literal> durch den Namen Ihrer
+ Netzwerkschnittstelle). Die Angabe des
+ Schlüsselwortes <literal>via</literal> bewirkt, dass
+ die Netzwerkschnittstelle in die Regelprüfung
+ aufgenommen wird.</para>
<para><parameter>setup</parameter></para>
- <para>Dieses (obligatorische) Schlüsselwort bezeichent
+ <para>Dieses obligatorische Schlüsselwort bezeichnet
die Anforderung des Sitzungsstarts für
<acronym>TCP</acronym>-Pakete.</para>
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 01 Jan 2012 - 13:05:14 CET