aboutsummaryrefslogtreecommitdiff
path: root/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
diff options
context:
space:
mode:
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml')
-rw-r--r--de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml286
1 files changed, 179 insertions, 107 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
index adb3e8549e..8c9ae6aee4 100644
--- a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.14 2008/03/02 10:45:53 jkois Exp $
- basiert auf: 1.81
+ $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.16 2009/09/22 19:38:31 bcr Exp $
+ basiert auf: 1.83
-->
<chapter id="firewalls">
@@ -213,6 +213,17 @@
</sect1>
<sect1 id="firewalls-pf">
+ <sect1info>
+ <authorgroup>
+ <author>
+ <firstname>John</firstname>
+ <surname>Ferrell</surname>
+ <contrib>Revised and updated by </contrib>
+ <!-- 24 March 2008 -->
+ </author>
+ </authorgroup>
+ </sect1info>
+
<title>Paket Filter (PF) von OpenBSD und
<acronym>ALTQ</acronym></title>
@@ -224,62 +235,63 @@
<para>Im Juli 2003 wurde <acronym>PF</acronym>, die
Standard-Firewall von OpenBSD, nach &os; portiert und in die
- &os;-Ports-Sammlung aufgenommen. Die erste &os;-Version,
- die <acronym>PF</acronym> als Teil des Basisssytems enthielt, war
- &os;&nbsp;5.3 im November&nbsp;2004. Bei <acronym>PF</acronym>
+ &os;-Ports-Sammlung aufgenommen. 2004 war <acronym>PF</acronym> in
+ &os;&nbsp;5.3 Teil des Basissystems. Bei <acronym>PF</acronym>
handelt es sich um eine komplette, vollausgestattete Firewall,
die optional auch <acronym>ALTQ</acronym> (Alternatives
Queuing) unterst&uuml;tzt. <acronym>ALTQ</acronym> bietet Ihnen
<foreignphrase>Quality of Service</foreignphrase>
- (<acronym>QoS</acronym>)-Bandbreitenformung. Dadurch k&ouml;nnen
- Sie, basierend auf Filterregeln, unterschiedlichen Diensten eine
- bestimmte Bandbreite garantieren. Da das OpenBSD-Projekt bereits
- &uuml;ber eine hervorragende Dokumentation verf&uuml;gt, wurde das
- PF-Handbuch nicht in dieses Kapitel aufgenommen.</para>
-
- <para>Weitere Informationen finden Sie unter
- <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
+ (<acronym>QoS</acronym>)-Bandbreitenformung.</para>
+
+ <para>Das OpenBSD-Projekt leistet bereits hervorragende
+ Dokumentationsarbeit mit der <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>. Aus diesem Grund
+ konzentriert sich dieser Handbuchabschnitt nur auf diejenigen
+ Besonderheiten von <acronym>PF</acronym>, die &os; betreffen, sowie ein
+ paar allgemeine Informationen hinsichtlich der Verwendung. Genauere
+ Informationen zum Einsatz erhalten Sie in der <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para>
+
+ <para>Weitere Informationen zu <acronym>PF</acronym> f&uuml;r &os; finden
+ Sie unter <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
<sect2>
- <title>PF aktivieren</title>
-
- <para>PF ist in Standardinstallationen von &os;&nbsp;5.3 oder
- neuer als eigenes, zur Laufzeit ladbares Kernelmodul enthalten.
- Das System l&auml;dt das PF-Kernelmodul automatisch, wenn die
- Anweisung <literal>pf_enable="YES"</literal> in
- <filename>/etc/rc.conf</filename> enthalten ist. Das ladbare
- Kernelmodul wurde mit aktivierter &man.pflog.4;-Protokollierung
- erstellt.</para>
+ <title>Verwendung des PF-Kernelmoduls</title>
+
+ <para>Seit der Ver&ouml;ffentlichung von &os;&nbsp;5.3 ist PF als ein
+ separates, zur Laufzeit ladbares Modul enthalten. Das System l&auml;dt
+ das PF-Kernelmodul automatisch, wenn die &man.rc.conf.5;-Anweisung
+ <literal>pf_enable="YES"</literal> verwendet wird. Allerdings wird
+ das <acronym>PF</acronym>-Modul nicht geladen, wenn das System keine
+ Konfigurationsdatei mit einem Regelwerk finden kann. Der Standardpfad
+ ist <filename>/etc/pf.conf</filename>. Wenn ihr
+ <acronym>PF</acronym>-Regelwerk irgendwo anders abgelegt ist, tragen
+ Sie <literal>pf_rules="<replaceable>/path/pf.rules</replaceable>"</literal>
+ in ihre <filename>/etc/rc.conf</filename> ein, um den Pfad zu der
+ Konfigurationsdatei anzugeben.</para>
<note>
- <para>Das Kernelmodul geht davon aus, dass die Eintr&auml;ge
- <literal>options INET</literal> sowie
- <literal>device bpf</literal> in Ihrer Kernelkonfigurationsdatei
- vorhanden sind. Haben Sie <literal>NO_INET6</literal> (seit
- &os;&nbsp;6.X) oder <literal>NOINET6</literal> (in &os;-Versionen
- vor 6.X) nicht definiert, ben&ouml;tigen Sie (etwa in
- &man.make.conf.5;) zus&auml;tzlich die Option
- <literal>options INET6</literal>.</para>
+ <para>Seit &os;&nbsp;7.0 ist die Beispiel-<filename>pf.conf</filename>
+ aus dem Verzeichnis <filename role="directory">/etc</filename> nach
+ <filename role="directory">/usr/share/examples/pf/</filename>
+ gewandert. Bei &os; Versionen vor 7.0 existiert standardm&auml;ssig
+ eine Datei <filename>/etc/pf.conf</filename>.</para>
</note>
- <para>Nachdem Sie das Kernelmodul geladen oder die
- PF-Unterst&uuml;tzung statisch in Ihren Kernel kompiliert haben,
- k&ouml;nnen Sie <application>pf</application> &uuml;ber den
- Befehl <command>pfctl</command> aktivieren beziehungsweise
- deaktivieren.</para>
+ <para>Das <acronym>PF</acronym>-Modul kann auch manuell &uuml;ber die
+ Kommandozeile geladen werden:</para>
- <para>Das folgende Beispiel zeigt, wie Sie
- <application>pf</application> aktivieren:</para>
+ <screen>&prompt.root; <userinput>kldload pf.ko</userinput></screen>
- <screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
-
- <para><command>pfctl</command> erm&ouml;glicht es Ihnen, die
- <application>pf</application>-Firewall zu steuern. Lesen Sie
- &man.pfctl.8;, bevor Sie das Programm einsetzen.</para>
+ <para>Das Kernelmodul wurde mit aktiviertem &man.pflog.4; erstellt,
+ welches Unterst&uuml;tzung f&uuml;r Protokollierung liefert. Falls Sie
+ andere Eigenschaften von <acronym>PF</acronym> ben&ouml;tigen,
+ m&uuml;ssen Sie <acronym>PF</acronym>-Unterst&uuml;tzung mit in den
+ Kernel kompilieren.</para>
</sect2>
<sect2>
- <title>Kernel-Optionen</title>
+ <title>PF Kernel-Optionen</title>
<indexterm>
<primary>kernel options</primary>
@@ -299,56 +311,56 @@
<secondary>device pfsync</secondary>
</indexterm>
- <para>Es ist nicht zwingend n&ouml;tig, dass Sie PF durch die
- Angabe der folgenden Optionen in den &os;-Kernel kompilieren.
- Kompilieren Sie die PF-Unterst&uuml;tzung in Ihren Kernel, so
- wird das Kernelmodul <emphasis>nie</emphasis> verwendet werden.
- Die folgenden Angaben dienen daher nur als
- Hintergrundinformationen.</para>
-
- <para><filename>/usr/src/sys/conf/NOTES</filename> enth&auml;lt
- Beispiele f&uuml;r die Kernelkonfigurationsoptionen von PF:</para>
+ <para>Es ist nicht zwingend n&ouml;tig, dass Sie
+ <acronym>PF</acronym>-Unterst&uuml;tzung in den &os; Kernel
+ kompilieren. Sie werden dies tun m&uuml;ssen, um eine von PFs
+ fortgeschritteneren Eigenschaften nutzen zu k&ouml;nnen, die nicht als
+ Kernelmodul verf&uuml;gbar ist. Genauer handelt es sich dabei um
+ &man.pfsync.4;, ein Pseudo-Ger&auml;t, welches bestimmte
+ &Auml;nderungen der <acronym>PF</acronym>-Zustandstabelle offenlegt.
+ Es kann mit &man.carp.4; kombiniert werden, um ausfallsichere
+ Firewalls mit <acronym>PF</acronym> zu realisieren. Weitere
+ Informationen zu <acronym>CARP</acronym> erhalten Sie in <link
+ linkend="carp">Kapitel 29</link> des Handbuchs.</para>
+
+ <para>Die Kernelkonfigurationsoptionen von <acronym>PF</acronym> befinden
+ sich in <filename>/usr/src/sys/conf/NOTES</filename> und sind im
+ Folgenden wiedergegeben:</para>
<programlisting>device pf
device pflog
device pfsync</programlisting>
- <para><literal>device pf</literal> aktiviert die Unterst&uuml;tzung
- f&uuml;r die <quote>Packet Filter</quote>-Firewall.</para>
+ <para>Die Option <literal>device pf</literal> aktiviert die
+ Unterst&uuml;tzung f&uuml;r die <quote>Packet
+ Filter</quote>-Firewall (&man.pf.4;).</para>
- <para><literal>device pflog</literal> aktiviert das optionale
+ <para>Die Option <literal>device pflog</literal> aktiviert das optionale
&man.pflog.4;-Pseudonetzwerkger&auml;t, das zum Protokollieren
des Datenverkehrs &uuml;ber einen &man.bpf.4;-Deskriptor
dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien
auf Ihre Platte zu speichern.</para>
- <para><literal>device pfsync</literal> aktiviert das optionale
+ <para>Die Option <literal>device pfsync</literal> aktiviert das optionale
&man.pfsync.4;-Pseudonetzwerkger&auml;t f&uuml;r die
- &Uuml;berwachung von <quote>Status&auml;nderungen</quote>.
- Da es sich dabei nicht um einen Bestandteil des Kernelmoduls
- handelt, muss diese Option auf jeden Fall in den Kernel kompiliert
- werden, bevor man sie verwenden kann.</para>
-
- <para>Diese Einstellungen werden erst dann &uuml;bernommen, wenn
- man einen Kernel mit diesen Optionen kompiliert und
- installiert.</para>
+ &Uuml;berwachung von <quote>Status&auml;nderungen</quote>.</para>
</sect2>
<sect2>
<title>Verf&uuml;gbare rc.conf-Optionen</title>
- <para>Um PF beim Systemstart zu aktivieren, ben&ouml;tigen Sie die
- folgenden Eintr&auml;ge in <filename>/etc/rc.conf</filename>:</para>
+ <para>Die folgenden &man.rc.conf.5;-Eintr&auml;ge konfigurieren
+ <acronym>PF</acronym> und &man.pflog.4; beim Systemstart:</para>
- <programlisting>pf_enable="YES" # PF aktivieren(Modul, wenn n&ouml;tig, aktivieren)
+ <programlisting>pf_enable="YES" # PF aktivieren (Modul, wenn n&ouml;tig, aktivieren)
pf_rules="/etc/pf.conf" # Datei mit Regeldefinitionen f&uuml;r pf
pf_flags="" # zus&auml;tzliche Parameter f&uuml;r den Start von pfctl
-pflog_enable="YES" # stare pflogd(8)
+pflog_enable="YES" # starte pflogd(8)
pflog_logfile="/var/log/pflog" # wo soll pflogd die Protokolldatei speichern
pflog_flags="" # zus&auml;tzliche Parameter f&uuml;r den Start von pflogd</programlisting>
<para>Wenn Sie ein lokales Netzwerk hinter dieser Firewall
- betreiben, und Pakete f&uuml;r dessen Rechner weiterleiten oder
+ betreiben und Pakete f&uuml;r dessen Rechner weiterleiten oder
NAT verwenden wollen, ben&ouml;tigen Sie zus&auml;tzlich die
folgende Option:</para>
@@ -356,6 +368,101 @@ pflog_flags="" # zus&auml;tzliche Parameter f&uuml;r den Start
</sect2>
<sect2>
+ <title>Filterregeln erstellen</title>
+
+ <para><acronym>PF</acronym> liest seine konfigurierten Regeln aus
+ &man.pf.conf.5; (standardm&auml;ssig <filename>/etc/pf.conf</filename>)
+ und modifiziert, verwirft oder l&auml;sst Pakete passieren anhand der
+ Regeln oder Definitionen, die in dieser Datei gespeichert sind. &os;
+ enth&auml;lt dazu nach der Installation mehrere Beispieldateien, die
+ in <filename>/usr/share/examples/pf/</filename> abgelegt sind.
+ F&uuml;r eine ausf&uuml;hrliche Behandlung des
+ <acronym>PF</acronym>-Regelwerks lesen Sie bitte die <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink>.</para>
+
+ <warning>
+ <para>Beim Lesen der <ulink
+ url="http://www.openbsd.org/faq/pf/">PF FAQ</ulink> wollten Sie
+ darauf achten, dass verschiedene Versionen von &os; auch
+ unterschiedliche Versionen von PF enthalten:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>&os;&nbsp;5.<replaceable>X</replaceable> -
+ <acronym>PF</acronym>-Version von OpenBSD&nbsp;3.5</para>
+ </listitem>
+
+ <listitem>
+ <para>&os;&nbsp;6.<replaceable>X</replaceable> -
+ <acronym>PF</acronym>-Version von OpenBSD&nbsp;3.7</para>
+ </listitem>
+
+ <listitem>
+ <para>&os;&nbsp;7.<replaceable>X</replaceable> -
+ <acronym>PF</acronym>-Version von OpenBSD&nbsp;4.1</para>
+ </listitem>
+ </itemizedlist>
+ </warning>
+
+ <para>Die &a.pf; ist eine erste Anlaufstelle f&uuml;r
+ Fragen zur Konfiguration und dem Einsatz der <acronym>PF</acronym>
+ Firewall. Vergessen Sie nicht, vorher die Mailinglistenarchive zu
+ durchsuchen, bevor Sie dort eine Frage stellen!</para>
+ </sect2>
+
+ <sect2>
+ <title>Arbeiten mit PF</title>
+
+ <para>Benutzen Sie &man.pfctl.8;, um <acronym>PF</acronym> zu steuern.
+ Unten finden sie ein paar n&uuml;tzliche Befehle (lesen Sie auch die
+ Manualpage zu &man.pfctl.8;, um alle verf&uuml;gbaren Optionen
+ nachzuschlagen):</para>
+
+ <informaltable frame="none" pgwide="1">
+ <tgroup cols="2">
+ <thead>
+ <row>
+ <entry>Befehl</entry>
+ <entry>Zweck</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry><command>pfctl <option>-e</option></command></entry>
+ <entry>PF aktivieren</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-d</option></command></entry>
+ <entry>PF deaktivieren</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-F</option> all <option>-f</option> /etc/pf.conf</command></entry>
+ <entry>Alle Filterregeln zur&uuml;cksetzen (NAT, Filter, Zustand,
+ Tabelle, etc.) und erneut aus der Datei
+ <filename>/etc/pf.conf</filename> auslesen</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-s</option> [ Regeln | NAT |
+ Zustand ]</command></entry>
+ <entry>Bericht &uuml;ber die Filterregeln, NAT-Regeln, oder
+ Zustandstabellen</entry>
+ </row>
+
+ <row>
+ <entry><command>pfctl <option>-vnf</option> /etc/pf.conf</command></entry>
+ <entry>&uuml;berpr&uuml;ft <filename>/etc/pf.conf</filename> auf
+ Fehler, l&auml;dt aber das Regelwerk nicht neu</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </informaltable>
+ </sect2>
+
+ <sect2>
<title><acronym>ALTQ</acronym> aktivieren</title>
<para><acronym>ALTQ</acronym> muss vor der Verwendung in den
@@ -363,8 +470,9 @@ pflog_flags="" # zus&auml;tzliche Parameter f&uuml;r den Start
<acronym>ALTQ</acronym> nicht von allen verf&uuml;gbaren
Netzwerkkartentreibern unterst&uuml;tzt wird. Sehen Sie daher
zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese
- Funktion unter Ihrer &os;-Version unterst&uuml;tzt. Die
- folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym>
+ Funktion unter Ihrer &os;-Version unterst&uuml;tzt.</para>
+
+ <para>Die folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym>
sowie alle Zusatzfunktionen:</para>
<programlisting>options ALTQ
@@ -418,42 +526,6 @@ options ALTQ_NOPCC # Wird von SMP ben&ouml;tigt</programlisting>
<acronym>ALTQ</acronym>. Diese Option ist nur auf
<acronym>SMP</acronym>-System erforderlich.</para>
</sect2>
-
- <sect2>
- <title>Filterregeln generieren</title>
-
- <para>Der Packetfilter liest seine Konfiguration aus der Datei
- &man.pf.conf.5; ein, um entsprechend der dort definierten Regeln
- Pakete durchzulassen oder zu verwerfen. Die Standardinstallation
- von &os; enth&auml;lt bereits eine beispielhafte Version der
- Datei <filename>/etc/pf.conf</filename> mit einigen hilfreichen
- Beispielen und Erkl&auml;rungen.</para>
-
- <para>Obwohl &os; eine eigene Version der Datei
- <filename>/etc/pf.conf</filename> enth&auml;lt, wird dennoch die
- gleiche Syntax wie unter OpenBSD verwendet. Das OpenBSD-Team hat
- eine gro&szlig;artige Dokumentation zur Konfiguration von
- <application>pf</application> geschrieben, die unter
- <ulink url="http://www.openbsd.org/faq/pf/"></ulink>
- erh&auml;ltlich ist.</para>
-
- <warning>
- <para>Denken Sie beim Lesen des pf-Handbuch daran, dass die
- verschiedenen &os;-Versionen unterschiedliche Versionen
- der <application>pf</application>-Firewall einsetzen. So
- wird unter &os;&nbsp;5.X noch die OpenBSD-Version&nbsp;3.5
- der Firewall verwendet, w&auml;hrend in den
- &os;-6.X-Versionen die OpenBSD-Version&nbsp;3.7 zum
- Einsatz kommt.</para>
- </warning>
-
- <para>Haben Sie weitere Fragen zur
- <application>pf</application>-Firewall, so
- k&ouml;nnen Sie diese auf der Mailingliste &a.pf;
- stellen. Vergessen Sie aber nicht, vorher die Archive der
- Mailinglisten zu durchsuchen, bevor Sie dort eine Frage
- stellen.</para>
- </sect2>
</sect1>
<sect1 id="firewalls-ipf">