© 1995-2011 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
jkois 2012-01-08 16:44:11 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/firewalls chapter.sgml
Log:
Fixes. Markup. Grammatik. Tippfehler. Umformulierungen.
Revision Changes Path
1.48 +73 -78 de-docproj/books/handbook/firewalls/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/firewalls/chapter.sgml,v
retrieving revision 1.47
retrieving revision 1.48
diff -u -I$FreeBSDde.*$ -r1.47 -r1.48
--- chapter.sgml 8 Jan 2012 16:07:37 -0000 1.47
+++ chapter.sgml 8 Jan 2012 16:44:11 -0000 1.48
@@ -2881,41 +2881,40 @@
einmal ohne aktivierte Option <literal>log</literal>. Dadurch
erhält man eine Auflistung aller Pakete, auf die keine
Regel zutraf.</para>
-<!--jkois gecheckt bis hier - 2012-01-08-->
+
<para>Protokollierung ist allerdings ein zweischneidiges
- Schwert bei mangelnder Vorsicht ist es möglich, in
- einer Fülle von Protokollierungsdaten zu versinken und
- nebenbei die Festplatte mit stetig wachsenden
- Protokollierungsdateien zu belasten. DoS-Angriffe, die so
- Festplatten an die Kapazitätsgrenze treiben,
+ Schwert, bei mangelnder Vorsicht wird man mit einer enormen
+ Flut von Protokollierungsdaten förmlich
+ <emphasis>überschwemmt</emphasis> und belastet
+ zusätzlich die Festplatte des Systems durch rasch
+ wachsende Protokolldateien. DoS-Angriffe, die auf diese
+ Art und Weise Festplatten an die Kapazitätsgrenze treiben,
gehören zu den ältesten Angriffen überhaupt.
- Außerdem werden solche Protokollierungs-Nachrichten
- nicht nur an &man.syslogd.8; gesendet,
- sondern werden auch auf dem root-Terminal angezeigt, was
- schell sehr nervtötend werden kann.</para>
+ Außerdem werden Protokollnachrichten nicht nur an
+ &man.syslogd.8; geschickt, sondern auch auf einem
+ root-Terminal angezeigt.</para>
<para>Die Kerneloption
<varname>IPFIREWALL_VERBOSE_LIMIT=5</varname> begrenzt die
- Anzahl fortfolgender Nachrichten an &man.syslogd.8 für
- eine gegebene Regel. Ist diese Option in Kernel aktiviert,
- wird nach einer gegebenen Anzahl die Protokollierung einer
- (fortfolgenden) Nachricht auf den spezifizierte
- Schwellenwert begrenzt. 200 gleiche Protokoll-Nachrichten
- mittels &man.syslogd.8; zu speichern verspricht keinen
- weiteren Vorteil. Vielmehr würden in dem oben
- gegebenen Fall fünf fortfolgende Nachrichten über
- &man.syslogd.8; ausgeworfen. Die restlichen, nicht mehr
- explizit protokollierten Nachrichten würden dann
- gezählt und &man.syslogd.8; mit folgendem Konstrukt
- übergeben:</para>
+ Anzahl gleicher Nachrichten an &man.syslogd.8; für
+ eine gegebene Regel auf fünf Nachrichten. Ist diese
+ Option im Kernel aktiviert, wird nach Erreichen der
+ festgelegten Anzahl die Protokollierung einer (sich
+ unmittelbar hintereinander wiederholenden) Nachricht auf den
+ angegebenen Schwellenwert begrenzt, da beispielsweise die
+ Speicherung von 200 gleichen Protokollnachrichten durch
+ &man.syslogd.8; sinnlos ist. Daher werden durch diesen
+ nur füf derartige Nachrichten protokolliert. Alle
+ weiteren derartigen Nachrichten werden nur gezählt und
+ deren Gesamtzahl wird schließlich von &man.syslogd.8;
+ durch folgenden Ausdruck ausgegeben:</para>
- <programlisting>last message repeated 45 times (die letzte
- Nachricht wurde 45-mal wiederholt)</programlisting>
+ <programlisting>last message repeated 45 times</programlisting>
<para>Alle protokollierten Nachrichten für Datenpakete
- werden im Standard in die Datei
- <filename>/var/log/security</filename>, die in der Datei
- <filename>/etc/syslog.conf</filename> definiert wird,
+ werden in der Voreinstellung in die Datei
+ <filename>/var/log/security</filename> (die in der Datei
+ <filename>/etc/syslog.conf</filename> definiert wird),
geschrieben.</para>
</sect3>
@@ -2924,67 +2923,63 @@
<para>Die meisten fortgeschrittenen IPFW-Nutzer erzeugen eine
Datei, die die Regeln für die Firewall enthält,
- damit diese als Skript ausgeführt werden kann.
- Dies erleichtert die Massenänderung von
- Firewallregeln, ohne dass für eine Aktivierung
- der neuen Regeln das System neu gebootet werden müsste.
- Hierin liegt der wesentliche Vorteil. Weiterhin ist diese
- Methode angenehm, weil beim Testen neuer Regeln die Prozedur
- so oft wie notwendig ausgeführt werden kann. Weil die
- Datei, in denen die Regeln gespeichert sind, ein Script
- darstellt, kann symbolische Substitution genutzt werden, um
- häufig genutzte Werte/Kommandos mit Aliasen zu ersetzen
- und diese so in mehrere Regeln zu nutzen. Dies wird im
- folgenden Beispiel gezeigt.</para>
-
-
- <para>Die Syntax des Scriptes hier ist konsistent mit der
- Syntax von &man.sh.1;, &man.csh.1; und &man.tcsh.1;. Felder,
- die symbolisch substituiert werden, haben das Präfix
- $ (Dollarzeichen). Symbolische Felder haben dieses
+ um diese als Skript ausführen zu können.
+ Der Hauptvorteil einer derartigen Konfiguration ist es, dass
+ dadurch mehrere Regeln gleichzeitig geändert und
+ (re-)aktiviert werden können, ohne dass dazu das System
+ neu gestartet werden muss. Dies ist auch beim Testen von
+ Regeländerungen sehr hilfreich. Weil es sich bei der
+ Datei, in der die Regeln gespeichert sind, um ein Skript
+ handelt, ist es auch möglich, häufig verwendete
+ Werte/Befehle durch Aliase zu ersetzen und diese so in mehreren
+ Regeln zu nutzen. Diese Funktion wird im folgenden Beispiel
+ näher vorgestellt.</para>
+
+ <para>Die Syntax des folgenden Skripts entspricht der Syntax von
+ &man.sh.1;, &man.csh.1; sowie &man.tcsh.1;. Felder, die
+ symbolisch substituiert werden, haben das Präfix
+ $ (das Dollarzeichen). Symbolische Felder haben dieses
$-Praefix nicht. Der Wert, mit dem das symbolische
Feld belegt wird, muss in
- <quote>doppelten Anführungsstrichen</quote>
+ <quote>doppelten Anführungszeichen</quote>
eingeschlossen sein.</para>
- <para>Beginnen Sie Ihre Regel-Datei wie folgt:</para>
+ <para>Beginnen Sie Ihre Regeldatei wie folgt:</para>
- <programlisting>
- ############### start of example ipfw rules script #############
- #
- ipfw -q -f flush # lösche alle Regeln
- # setze defaults
- oif="tun0" # ausgehendes Interface
- odns="192.0.2.11" # DNS server des ISP
- cmd="ipfw -q add "# Praefix
- ks="keep-state" # AbkürzunG für Faule
- $cmd 00500 check-state
- $cmd 00502 deny all from any to any frag
- $cmd 00501 deny tcp from any to any established
- $cmd 00600 allow tcp from any to any 80 out via $oif setup $ks
- $cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks
+ <programlisting>############### start of example ipfw rules script #############
+#
+ipfw -q -f flush # Delete all rules
+# Set defaults
+oif="tun0" # out interface
+odns="192.0.2.11" # ISP's DNS server IP address
+cmd="ipfw -q add " # build rule prefix
+ks="keep-state" # just too lazy to key this each time
+$cmd 00500 check-state
+$cmd 00502 deny all from any to any frag
+$cmd 00501 deny tcp from any to any established
+$cmd 00600 allow tcp from any to any 80 out via $oif setup $ks
+$cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks
$cmd 00611 allow udp from any to $odns 53 out via $oif $ks
- ################### End of example ipfw rules script ############
+################### End of example ipfw rules script ############</programlisting>
</programlisting>
- <para>Dies komplettiert den Anteil, der zu beachten ist. Die Regeln
- an sich sind in diesem Beispiel unwichtig, wichtig ist, wie
- symbolische Substitution verwendet wird.</para>
-
- <para>Wenn oben stehendes Beispiel in der Datei
- <filename>/etc/ipfw.rules</filename> angelegt gewesen
- wäre, könnten alle Regeln durch Ausführung
- des folgenden Befehls neu geladen werden:</para>
+ <para>Die Regeln in diesem Beispiel sind nicht wichtig. Wichtig
+ ist es, zu zeigen, wie die symbolische Substitution innerhalb
+ der Regeln verwendet wird.</para>
+
+ <para>Wurde dieses Beispiel in der Datei
+ <filename>/etc/ipfw.rules</filename> gespeichert, so können
+ alle Regeln durch die Ausführung des folgenden Befehls
+ neu geladen werden:</para>
<screen>&prompt.root; <userinput>sh /etc/ipfw.rules</userinput></screen>
- <para>Es ist möglich, die Datei
- <filename>/etc/ipfw.rules</filename> an jedem beliebigen Ort
- zu speichern und beliebig zu benennen.</para>
-
- <para>Derselbe Effekt wie durch ausführen der Datei
- könnte erreicht werden, indem man diese Kommandos manuell
- ausführt.</para>
+ <para>Statt <filename>/etc/ipfw.rules</filename> können Sie
+ auch einen beliebigen anderen Namen und/oder Speicherort
+ verwenden.</para>
+
+ <para>Alternativ könnten Sie die einzelnen Befehle dieses
+ Skripts auch manuell starten:</para>
<screen>&prompt.root; <userinput>ipfw -q -f flush</userinput>
&prompt.root; <userinput>ipfw -q add check-state</userinput>
@@ -2997,7 +2992,7 @@
<sect3>
<title>Zustandsgesteuertes Regelwerk</title>
-
+<!--jkois gecheckt bis hier - 2012-01-08-->
<para>Der folgende, nicht-<acronym>NAT</acronym> Regelwerk ist
ein Beispiel, wie man eine sehr sichere,
<quote>einschließende</quote> Firewall erstellen kann.
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 08 Jan 2012 - 17:44:29 CET