diff options
| author | Benedict Reuschling <bcr@FreeBSD.org> | 2009-10-07 10:19:11 +0000 |
|---|---|---|
| committer | Benedict Reuschling <bcr@FreeBSD.org> | 2009-10-07 10:19:11 +0000 |
| commit | bc9b7dcac7b869456d1881e735a0d2db0ab0ba8d (patch) | |
| tree | fb6c940f8cc79f2b5bc7297eaff8bdbae511956a /de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml | |
| parent | f1cf78126c2dccba8d9b73d087068bfe205a76ab (diff) | |
| download | doc-bc9b7dcac7b869456d1881e735a0d2db0ab0ba8d.tar.gz doc-bc9b7dcac7b869456d1881e735a0d2db0ab0ba8d.zip | |
MFde: Update the german documentation.
Update some chapters and resync others with the latest version.
The subchapters about "Portsnap: A Ports Collection Update Tool"
and "Updating the Documentation Set" in the cutting-egde chapter
were translated separately, that is why the "based on"-revision
counter was not increased.
/books/faq/book.sgml 1.1116 -> 1.1117
books/handbook/config/chapter.sgml 1.229 -> 1.238
books/handbook/disks/chapter.sgml 1.291 -> 1.292
books/handbook/firewalls/chapter.sgml 1.81 -> 1.83
books/handbook/kernelconfig/chapter.sgml 1.192 -> 1.193
books/handbook/l10n/chapter.sgml 1.128 -> 1.129
books/handbook/linuxemu/chapter.sgml 1.137 -> 1.139
books/handbook/multimedia/chapter.sgml 1.132 -> 1.135
books/handbook/network-servers/chapter.sgml 1.111 -> 1.116
books/handbook/virtualization/chapter.sgml 1.19 -> 1.20
Obtained from: The FreeBSD German Documentation Project
Approved by: jkois (mentor)
Notes
Notes:
svn path=/head/; revision=34773
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml')
| -rw-r--r-- | de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml | 286 |
1 files changed, 179 insertions, 107 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml index adb3e8549e..8c9ae6aee4 100644 --- a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml @@ -3,8 +3,8 @@ The FreeBSD German Documentation Project $FreeBSD$ - $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.14 2008/03/02 10:45:53 jkois Exp $ - basiert auf: 1.81 + $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.16 2009/09/22 19:38:31 bcr Exp $ + basiert auf: 1.83 --> <chapter id="firewalls"> @@ -213,6 +213,17 @@ </sect1> <sect1 id="firewalls-pf"> + <sect1info> + <authorgroup> + <author> + <firstname>John</firstname> + <surname>Ferrell</surname> + <contrib>Revised and updated by </contrib> + <!-- 24 March 2008 --> + </author> + </authorgroup> + </sect1info> + <title>Paket Filter (PF) von OpenBSD und <acronym>ALTQ</acronym></title> @@ -224,62 +235,63 @@ <para>Im Juli 2003 wurde <acronym>PF</acronym>, die Standard-Firewall von OpenBSD, nach &os; portiert und in die - &os;-Ports-Sammlung aufgenommen. Die erste &os;-Version, - die <acronym>PF</acronym> als Teil des Basisssytems enthielt, war - &os; 5.3 im November 2004. Bei <acronym>PF</acronym> + &os;-Ports-Sammlung aufgenommen. 2004 war <acronym>PF</acronym> in + &os; 5.3 Teil des Basissystems. Bei <acronym>PF</acronym> handelt es sich um eine komplette, vollausgestattete Firewall, die optional auch <acronym>ALTQ</acronym> (Alternatives Queuing) unterstützt. <acronym>ALTQ</acronym> bietet Ihnen <foreignphrase>Quality of Service</foreignphrase> - (<acronym>QoS</acronym>)-Bandbreitenformung. Dadurch können - Sie, basierend auf Filterregeln, unterschiedlichen Diensten eine - bestimmte Bandbreite garantieren. Da das OpenBSD-Projekt bereits - über eine hervorragende Dokumentation verfügt, wurde das - PF-Handbuch nicht in dieses Kapitel aufgenommen.</para> - - <para>Weitere Informationen finden Sie unter - <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para> + (<acronym>QoS</acronym>)-Bandbreitenformung.</para> + + <para>Das OpenBSD-Projekt leistet bereits hervorragende + Dokumentationsarbeit mit der <ulink + url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>. Aus diesem Grund + konzentriert sich dieser Handbuchabschnitt nur auf diejenigen + Besonderheiten von <acronym>PF</acronym>, die &os; betreffen, sowie ein + paar allgemeine Informationen hinsichtlich der Verwendung. Genauere + Informationen zum Einsatz erhalten Sie in der <ulink + url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para> + + <para>Weitere Informationen zu <acronym>PF</acronym> für &os; finden + Sie unter <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para> <sect2> - <title>PF aktivieren</title> - - <para>PF ist in Standardinstallationen von &os; 5.3 oder - neuer als eigenes, zur Laufzeit ladbares Kernelmodul enthalten. - Das System lädt das PF-Kernelmodul automatisch, wenn die - Anweisung <literal>pf_enable="YES"</literal> in - <filename>/etc/rc.conf</filename> enthalten ist. Das ladbare - Kernelmodul wurde mit aktivierter &man.pflog.4;-Protokollierung - erstellt.</para> + <title>Verwendung des PF-Kernelmoduls</title> + + <para>Seit der Veröffentlichung von &os; 5.3 ist PF als ein + separates, zur Laufzeit ladbares Modul enthalten. Das System lädt + das PF-Kernelmodul automatisch, wenn die &man.rc.conf.5;-Anweisung + <literal>pf_enable="YES"</literal> verwendet wird. Allerdings wird + das <acronym>PF</acronym>-Modul nicht geladen, wenn das System keine + Konfigurationsdatei mit einem Regelwerk finden kann. Der Standardpfad + ist <filename>/etc/pf.conf</filename>. Wenn ihr + <acronym>PF</acronym>-Regelwerk irgendwo anders abgelegt ist, tragen + Sie <literal>pf_rules="<replaceable>/path/pf.rules</replaceable>"</literal> + in ihre <filename>/etc/rc.conf</filename> ein, um den Pfad zu der + Konfigurationsdatei anzugeben.</para> <note> - <para>Das Kernelmodul geht davon aus, dass die Einträge - <literal>options INET</literal> sowie - <literal>device bpf</literal> in Ihrer Kernelkonfigurationsdatei - vorhanden sind. Haben Sie <literal>NO_INET6</literal> (seit - &os; 6.X) oder <literal>NOINET6</literal> (in &os;-Versionen - vor 6.X) nicht definiert, benötigen Sie (etwa in - &man.make.conf.5;) zusätzlich die Option - <literal>options INET6</literal>.</para> + <para>Seit &os; 7.0 ist die Beispiel-<filename>pf.conf</filename> + aus dem Verzeichnis <filename role="directory">/etc</filename> nach + <filename role="directory">/usr/share/examples/pf/</filename> + gewandert. Bei &os; Versionen vor 7.0 existiert standardmässig + eine Datei <filename>/etc/pf.conf</filename>.</para> </note> - <para>Nachdem Sie das Kernelmodul geladen oder die - PF-Unterstützung statisch in Ihren Kernel kompiliert haben, - können Sie <application>pf</application> über den - Befehl <command>pfctl</command> aktivieren beziehungsweise - deaktivieren.</para> + <para>Das <acronym>PF</acronym>-Modul kann auch manuell über die + Kommandozeile geladen werden:</para> - <para>Das folgende Beispiel zeigt, wie Sie - <application>pf</application> aktivieren:</para> + <screen>&prompt.root; <userinput>kldload pf.ko</userinput></screen> - <screen>&prompt.root; <userinput>pfctl -e</userinput></screen> - - <para><command>pfctl</command> ermöglicht es Ihnen, die - <application>pf</application>-Firewall zu steuern. Lesen Sie - &man.pfctl.8;, bevor Sie das Programm einsetzen.</para> + <para>Das Kernelmodul wurde mit aktiviertem &man.pflog.4; erstellt, + welches Unterstützung für Protokollierung liefert. Falls Sie + andere Eigenschaften von <acronym>PF</acronym> benötigen, + müssen Sie <acronym>PF</acronym>-Unterstützung mit in den + Kernel kompilieren.</para> </sect2> <sect2> - <title>Kernel-Optionen</title> + <title>PF Kernel-Optionen</title> <indexterm> <primary>kernel options</primary> @@ -299,56 +311,56 @@ <secondary>device pfsync</secondary> </indexterm> - <para>Es ist nicht zwingend nötig, dass Sie PF durch die - Angabe der folgenden Optionen in den &os;-Kernel kompilieren. - Kompilieren Sie die PF-Unterstützung in Ihren Kernel, so - wird das Kernelmodul <emphasis>nie</emphasis> verwendet werden. - Die folgenden Angaben dienen daher nur als - Hintergrundinformationen.</para> - - <para><filename>/usr/src/sys/conf/NOTES</filename> enthält - Beispiele für die Kernelkonfigurationsoptionen von PF:</para> + <para>Es ist nicht zwingend nötig, dass Sie + <acronym>PF</acronym>-Unterstützung in den &os; Kernel + kompilieren. Sie werden dies tun müssen, um eine von PFs + fortgeschritteneren Eigenschaften nutzen zu können, die nicht als + Kernelmodul verfügbar ist. Genauer handelt es sich dabei um + &man.pfsync.4;, ein Pseudo-Gerät, welches bestimmte + Änderungen der <acronym>PF</acronym>-Zustandstabelle offenlegt. + Es kann mit &man.carp.4; kombiniert werden, um ausfallsichere + Firewalls mit <acronym>PF</acronym> zu realisieren. Weitere + Informationen zu <acronym>CARP</acronym> erhalten Sie in <link + linkend="carp">Kapitel 29</link> des Handbuchs.</para> + + <para>Die Kernelkonfigurationsoptionen von <acronym>PF</acronym> befinden + sich in <filename>/usr/src/sys/conf/NOTES</filename> und sind im + Folgenden wiedergegeben:</para> <programlisting>device pf device pflog device pfsync</programlisting> - <para><literal>device pf</literal> aktiviert die Unterstützung - für die <quote>Packet Filter</quote>-Firewall.</para> + <para>Die Option <literal>device pf</literal> aktiviert die + Unterstützung für die <quote>Packet + Filter</quote>-Firewall (&man.pf.4;).</para> - <para><literal>device pflog</literal> aktiviert das optionale + <para>Die Option <literal>device pflog</literal> aktiviert das optionale &man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren des Datenverkehrs über einen &man.bpf.4;-Deskriptor dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien auf Ihre Platte zu speichern.</para> - <para><literal>device pfsync</literal> aktiviert das optionale + <para>Die Option <literal>device pfsync</literal> aktiviert das optionale &man.pfsync.4;-Pseudonetzwerkgerät für die - Überwachung von <quote>Statusänderungen</quote>. - Da es sich dabei nicht um einen Bestandteil des Kernelmoduls - handelt, muss diese Option auf jeden Fall in den Kernel kompiliert - werden, bevor man sie verwenden kann.</para> - - <para>Diese Einstellungen werden erst dann übernommen, wenn - man einen Kernel mit diesen Optionen kompiliert und - installiert.</para> + Überwachung von <quote>Statusänderungen</quote>.</para> </sect2> <sect2> <title>Verfügbare rc.conf-Optionen</title> - <para>Um PF beim Systemstart zu aktivieren, benötigen Sie die - folgenden Einträge in <filename>/etc/rc.conf</filename>:</para> + <para>Die folgenden &man.rc.conf.5;-Einträge konfigurieren + <acronym>PF</acronym> und &man.pflog.4; beim Systemstart:</para> - <programlisting>pf_enable="YES" # PF aktivieren(Modul, wenn nötig, aktivieren) + <programlisting>pf_enable="YES" # PF aktivieren (Modul, wenn nötig, aktivieren) pf_rules="/etc/pf.conf" # Datei mit Regeldefinitionen für pf pf_flags="" # zusätzliche Parameter für den Start von pfctl -pflog_enable="YES" # stare pflogd(8) +pflog_enable="YES" # starte pflogd(8) pflog_logfile="/var/log/pflog" # wo soll pflogd die Protokolldatei speichern pflog_flags="" # zusätzliche Parameter für den Start von pflogd</programlisting> <para>Wenn Sie ein lokales Netzwerk hinter dieser Firewall - betreiben, und Pakete für dessen Rechner weiterleiten oder + betreiben und Pakete für dessen Rechner weiterleiten oder NAT verwenden wollen, benötigen Sie zusätzlich die folgende Option:</para> @@ -356,6 +368,101 @@ pflog_flags="" # zusätzliche Parameter für den Start </sect2> <sect2> + <title>Filterregeln erstellen</title> + + <para><acronym>PF</acronym> liest seine konfigurierten Regeln aus + &man.pf.conf.5; (standardmässig <filename>/etc/pf.conf</filename>) + und modifiziert, verwirft oder lässt Pakete passieren anhand der + Regeln oder Definitionen, die in dieser Datei gespeichert sind. &os; + enthält dazu nach der Installation mehrere Beispieldateien, die + in <filename>/usr/share/examples/pf/</filename> abgelegt sind. + Für eine ausführliche Behandlung des + <acronym>PF</acronym>-Regelwerks lesen Sie bitte die <ulink + url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para> + + <warning> + <para>Beim Lesen der <ulink + url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink> wollten Sie + darauf achten, dass verschiedene Versionen von &os; auch + unterschiedliche Versionen von PF enthalten:</para> + + <itemizedlist> + <listitem> + <para>&os; 5.<replaceable>X</replaceable> - + <acronym>PF</acronym>-Version von OpenBSD 3.5</para> + </listitem> + + <listitem> + <para>&os; 6.<replaceable>X</replaceable> - + <acronym>PF</acronym>-Version von OpenBSD 3.7</para> + </listitem> + + <listitem> + <para>&os; 7.<replaceable>X</replaceable> - + <acronym>PF</acronym>-Version von OpenBSD 4.1</para> + </listitem> + </itemizedlist> + </warning> + + <para>Die &a.pf; ist eine erste Anlaufstelle für + Fragen zur Konfiguration und dem Einsatz der <acronym>PF</acronym> + Firewall. Vergessen Sie nicht, vorher die Mailinglistenarchive zu + durchsuchen, bevor Sie dort eine Frage stellen!</para> + </sect2> + + <sect2> + <title>Arbeiten mit PF</title> + + <para>Benutzen Sie &man.pfctl.8;, um <acronym>PF</acronym> zu steuern. + Unten finden sie ein paar nützliche Befehle (lesen Sie auch die + Manualpage zu &man.pfctl.8;, um alle verfügbaren Optionen + nachzuschlagen):</para> + + <informaltable frame="none" pgwide="1"> + <tgroup cols="2"> + <thead> + <row> + <entry>Befehl</entry> + <entry>Zweck</entry> + </row> + </thead> + + <tbody> + <row> + <entry><command>pfctl <option>-e</option></command></entry> + <entry>PF aktivieren</entry> + </row> + + <row> + <entry><command>pfctl <option>-d</option></command></entry> + <entry>PF deaktivieren</entry> + </row> + + <row> + <entry><command>pfctl <option>-F</option> all <option>-f</option> /etc/pf.conf</command></entry> + <entry>Alle Filterregeln zurücksetzen (NAT, Filter, Zustand, + Tabelle, etc.) und erneut aus der Datei + <filename>/etc/pf.conf</filename> auslesen</entry> + </row> + + <row> + <entry><command>pfctl <option>-s</option> [ Regeln | NAT | + Zustand ]</command></entry> + <entry>Bericht über die Filterregeln, NAT-Regeln, oder + Zustandstabellen</entry> + </row> + + <row> + <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry> + <entry>überprüft <filename>/etc/pf.conf</filename> auf + Fehler, lädt aber das Regelwerk nicht neu</entry> + </row> + </tbody> + </tgroup> + </informaltable> + </sect2> + + <sect2> <title><acronym>ALTQ</acronym> aktivieren</title> <para><acronym>ALTQ</acronym> muss vor der Verwendung in den @@ -363,8 +470,9 @@ pflog_flags="" # zusätzliche Parameter für den Start <acronym>ALTQ</acronym> nicht von allen verfügbaren Netzwerkkartentreibern unterstützt wird. Sehen Sie daher zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese - Funktion unter Ihrer &os;-Version unterstützt. Die - folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym> + Funktion unter Ihrer &os;-Version unterstützt.</para> + + <para>Die folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym> sowie alle Zusatzfunktionen:</para> <programlisting>options ALTQ @@ -418,42 +526,6 @@ options ALTQ_NOPCC # Wird von SMP benötigt</programlisting> <acronym>ALTQ</acronym>. Diese Option ist nur auf <acronym>SMP</acronym>-System erforderlich.</para> </sect2> - - <sect2> - <title>Filterregeln generieren</title> - - <para>Der Packetfilter liest seine Konfiguration aus der Datei - &man.pf.conf.5; ein, um entsprechend der dort definierten Regeln - Pakete durchzulassen oder zu verwerfen. Die Standardinstallation - von &os; enthält bereits eine beispielhafte Version der - Datei <filename>/etc/pf.conf</filename> mit einigen hilfreichen - Beispielen und Erklärungen.</para> - - <para>Obwohl &os; eine eigene Version der Datei - <filename>/etc/pf.conf</filename> enthält, wird dennoch die - gleiche Syntax wie unter OpenBSD verwendet. Das OpenBSD-Team hat - eine großartige Dokumentation zur Konfiguration von - <application>pf</application> geschrieben, die unter - <ulink url="http://www.openbsd.org/faq/pf/"></ulink> - erhältlich ist.</para> - - <warning> - <para>Denken Sie beim Lesen des pf-Handbuch daran, dass die - verschiedenen &os;-Versionen unterschiedliche Versionen - der <application>pf</application>-Firewall einsetzen. So - wird unter &os; 5.X noch die OpenBSD-Version 3.5 - der Firewall verwendet, während in den - &os;-6.X-Versionen die OpenBSD-Version 3.7 zum - Einsatz kommt.</para> - </warning> - - <para>Haben Sie weitere Fragen zur - <application>pf</application>-Firewall, so - können Sie diese auf der Mailingliste &a.pf; - stellen. Vergessen Sie aber nicht, vorher die Archive der - Mailinglisten zu durchsuchen, bevor Sie dort eine Frage - stellen.</para> - </sect2> </sect1> <sect1 id="firewalls-ipf"> |