svn commit: r44932 - in head/de_DE.ISO8859-1/books/handbook: advanced-networking firewalls
Benedict Reuschling
bcr at FreeBSD.org
Sat May 24 12:22:14 UTC 2014
Author: bcr
Date: Sat May 24 12:22:13 2014
New Revision: 44932
URL: http://svnweb.freebsd.org/changeset/doc/44932
Log:
Update to r44080:
Remove NAT section from advanced-networking chapter.
It was linked to from the firewalls chapter, but we aren't there yet.
To make the handbook build in the german tree and allow further updates
to the advanced-networking chapter, simply remove the link. The firewalls
chapter will be updated eventually, and will then get the NAT info back.
Submitted by: Bjoern Heidotting (changes to advanced-networking)
Obtained from: The FreeBSD German Documentation Project
Modified:
head/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml
head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml Sat May 24 00:23:47 2014 (r44931)
+++ head/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml Sat May 24 12:22:13 2014 (r44932)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde:$
- basiert auf: r44011
+ basiert auf: r44080
-->
<chapter xmlns="http://docbook.org/ns/docbook"
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
@@ -64,11 +64,6 @@ xml:id="advanced-networking">
</listitem>
<listitem>
- <para>Wissen, wie man NAT (Network Address Translation)
- einrichtet.</para>
- </listitem>
-
- <listitem>
<para>Zwei Computer über PLIP verbinden können.</para>
</listitem>
@@ -5652,377 +5647,6 @@ ISDN BRI Verbindung
</sect2>
</sect1>
- <sect1 xml:id="network-natd">
- <info><title>NAT - Network Address Translation</title>
- <authorgroup>
- <author>
- <personname>
- <firstname>Chern</firstname>
- <surname>Lee</surname>
- </personname><contrib>Beigetragen von </contrib>
- </author>
- </authorgroup>
- </info>
-
-
-
- <sect2 xml:id="network-natoverview">
- <title>Überblick</title>
-
- <indexterm>
- <primary><application>natd</application></primary>
- </indexterm>
-
- <para>&man.natd.8;, der Network-Address-Translation-Daemon von
- &os;, akzeptiert ankommende Raw-IP-Pakete, ändert den
- Sender der Daten in den eigenen Rechner und leitet diese Pakete
- in den ausgehenden IP-Paketstrom um, indem IP-Adresse und Port
- des Senders so geändert werden, dass bei einer Antwort der
- ursprüngliche Sender wieder bestimmt und die Daten an
- ihn weitergeleitet werden können.</para>
-
- <indexterm>
- <primary>Internet connection sharing</primary>
- </indexterm>
-
- <indexterm>
- <primary>NAT</primary>
- </indexterm>
-
- <para>Der häufigste Grund für die Verwendung von NAT ist
- die gemeinsame Nutzung einer Internetverbindung.</para>
- </sect2>
-
- <sect2 xml:id="network-natsetup">
- <title>Einrichtung</title>
-
- <para>Wegen der begrenzten Verfügbarkeit von IPv4-Adressen
- und der gestiegenen Anzahl von Breitbandverbindungen über
- Kabelmodem oder DSL, wird die gemeinsame Nutzung von
- Internetverbindungen immer wichtiger. Der &man.natd.8;-Daemon
- ermöglicht die Anbindung von mehreren Rechnern an das
- Internet unter Nutzung einer gemeinsamen Verbindung und einer
- IP-Adresse.</para>
-
- <para>Häufig soll ein über Kabelmodem oder DSL und eine
- IP-Adresse an das Internet angebundener Rechner mehreren
- Rechnern eines lokalen Netzwerks Internetdienste anbieten.</para>
-
- <para>Um dies zu ermöglichen, muss der &os;-Rechner als
- Gateway fungieren. Dazu sind zwei Netzwerkkarten notwendig. Eine
- für die Verbindung zum Internet, die zweite für die
- Verbindung mit dem lokalen Netzwerk. Sämtliche Rechner
- des lokalen Netzwerks sind über einen Hub oder einen Switch
- miteinander verbunden.</para>
-
- <note>
- <para>Es gibt verschiedene Möglichkeiten, ein LAN über
- ein &os;-Gateway an das Internet anzubinden. Das folgende
- Beispiel beschreibt ein Gateway, das zumindest zwei
- Netzwerkkarten enthält.</para>
- </note>
-
- <mediaobject>
- <imageobject>
- <imagedata fileref="advanced-networking/natd"/>
- </imageobject>
-
- <textobject>
- <literallayout class="monospaced"> _______ __________ ________
- | | | | | |
- | Hub |-----| Client B |-----| Router |----- Internet
- |_______| |__________| |________|
- |
- ____|_____
-| |
-| Client A |
-|__________|</literallayout>
- </textobject>
-
- <textobject>
- <phrase>Network Layout</phrase>
- </textobject>
- </mediaobject>
-
- <para>Eine derartige Netzwerkkonfiguration wird vor allem zur
- gemeinsamen Nutzung einer Internetverbindung verwendet. Ein
- Rechner des lokalen Netzwerks (<acronym>LAN</acronym>) ist mit
- dem Internet verbunden. Alle anderen Rechner des lokalen
- Netzwerks haben nur über diesen
- <quote>Gateway</quote>-Rechner Zugriff auf das Internet.</para>
- </sect2>
-
- <sect2 xml:id="network-natdloaderconfiguration">
- <title>Boot Loader Konfiguration</title>
-
- <indexterm>
- <primary>boot loader</primary>
- <secondary>configuration</secondary>
- </indexterm>
-
- <para>Die Kerneleigenschaften für Network Address Translation mit
- &man.natd.8; sind im <filename>GENERIC</filename>-Kernel nicht
- aktiviert, können aber bereits zur Bootzeit geladen werden, indem
- ein paar Zeilen in die Datei <filename>/boot/loader.conf</filename>
- hinzugefügt werden:</para>
-
- <programlisting>ipfw_load="YES"
-ipdivert_load="YES"</programlisting>
-
- <para>Zusätzlich kann die Option
- <literal>net.inet.ip.fw.default_to_accept</literal> auf
- <literal>1</literal> gesetzt werden:</para>
-
- <programlisting>net.inet.ip.fw.default_to_accept="1"</programlisting>
-
- <note>
- <para>Es ist eine gute Idee, diese Option während den ersten
- Versuchen, eine Firewall und ein NAT-Gateway aufzusetzen, zu
- aktivieren. Damit ist die Standardvorgehensweise von &man.ipfw.8;
- diejenige, <literal>allow ip from any to any</literal>, anstatt der
- weniger freizügigen <literal>deny ip from any to any</literal>.
- Es wird dadurch etwas schwieriger, sich aus Versehen nach einem
- Neustart aus dem System auszusperren.</para>
- </note>
- </sect2>
-
- <sect2 xml:id="network-natdkernconfiguration">
- <title>Kernelkonfiguration</title>
-
- <indexterm>
- <primary>Kernel</primary>
- <secondary>Konfiguration</secondary>
- </indexterm>
-
- <para>Wenn Module nicht in Frage kommen oder Sie bevorzugen, alle
- notwendigen Eigenschaften in den laufenden Kernel einzubauen,
- müssen die folgenden Optionen in die Kernelkonfigurationsdatei
- eingetragen werden:</para>
-
- <programlisting>options IPFIREWALL
-options IPDIVERT</programlisting>
-
- <para>Die folgende Optionen können ebenfalls eingetragen
- werden:</para>
-
- <programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT
-options IPFIREWALL_VERBOSE</programlisting>
- </sect2>
-
- <sect2 xml:id="network-natdsystemconfiguration">
- <title>System Bootkonfiguration</title>
-
- <para>Um Firewall- und NAT-Unterstützung zur Bootzeit zu aktivieren,
- tragen Sie Folgendes in <filename>/etc/rc.conf</filename> ein:</para>
-
- <programlisting>gateway_enable="YES" <co xml:id="co-natd-gateway-enable"/>
-firewall_enable="YES" <co xml:id="co-natd-firewall-enable"/>
-firewall_type="OPEN" <co xml:id="co-natd-firewall-type"/>
-natd_enable="YES"
-natd_interface="<replaceable>fxp0</replaceable>" <co xml:id="co-natd-natd-interface"/>
-natd_flags="" <co xml:id="co-natd-natd-flags"/></programlisting>
-
- <calloutlist>
- <callout arearefs="co-natd-gateway-enable">
- <para>Richtet den Rechner als Gateway ein. Die
- Ausführung von
- <command>sysctl net.inet.ip.forwarding=1</command>
- hätte den gleichen Effekt.</para>
- </callout>
-
- <callout arearefs="co-natd-firewall-enable">
- <para>Aktiviert die Firewallregeln in
- <filename>/etc/rc.firewall</filename> beim
- Systemstart.</para>
- </callout>
-
- <callout arearefs="co-natd-firewall-type">
- <para>Ein vordefinierter Satz von Firewallregeln, der alle
- Pakete durchlässt. Sehen Sie sich
- <filename>/etc/rc.firewall</filename> an, wenn Sie diese
- Option verwenden wollen.</para>
- </callout>
-
- <callout arearefs="co-natd-natd-interface">
- <para>Die Netzwerkkarte, die Pakete weiterleitet (und mit dem
- Internet verbunden ist).</para>
- </callout>
-
- <callout arearefs="co-natd-natd-flags">
- <para>Zusätzliche Konfigurationsoptionen, die beim
- Systemstart an &man.natd.8; übergeben werden.</para>
- </callout>
- </calloutlist>
-
- <para>Durch die Definition dieser Optionen in
- <filename>/etc/rc.conf</filename> wird die Anweisung
- <command>natd -interface fxp0</command> beim Systemstart
- ausgeführt. Dies kann aber auch manuell erfolgen.</para>
-
- <note>
- <para>Falls Sie viele Optionen an &man.natd.8; übergeben
- müssen, können Sie auch eine Konfigurationsdatei
- verwenden. Dazu fügen Sie folgende Zeile in
- <filename>/etc/rc.conf</filename> ein:</para>
-
- <programlisting>natd_flags="-f /etc/natd.conf"</programlisting>
-
- <para>Die Datei <filename>/etc/natd.conf</filename> enthält
- verschiedene Konfigurationsoptionen, wobei jede Option in einer
- Zeile steht. Das Beispiel im nächsten Abschnitt würde
- folgende Konfigurationsdatei verwenden:</para>
-
- <programlisting>redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80</programlisting>
-
- <para>Wenn Sie eine Konfigurationsdatei verwenden wollen, sollten
- Sie sich die Handbuchseite zu &man.natd.8; durchlesen,
- insbesondere den Abschnitt über die Nutzung der Option
- <option>-f</option>.</para>
- </note>
-
- <para>Jedem Rechner und jeder Schnittstelle des lokalen Netzwerks
- sollte eine IP-Adresse des im <link xlink:href="ftp://ftp.isi.edu/in-notes/rfc1918.txt">RFC 1918</link>
- definierten privaten Adressraums zugewiesen werden. Der
- Standardgateway entspricht der internen IP-Adresse des
- <application>natd</application>-Rechners.</para>
-
- <para>Im Beispiel werden den LAN-Clients <systemitem>A</systemitem> und
- <systemitem>B</systemitem> die IP-Adressen
- <systemitem class="ipaddress">192.168.0.2</systemitem> und
- <systemitem class="ipaddress">192.168.0.3</systemitem> zugewiesen,
- während die LAN-Netzwerkkarte des
- <application>natd</application>-Rechners die IP-Adresse
- <systemitem class="ipaddress">192.168.0.1</systemitem> erhält. Der
- <application>natd</application>-Rechner mit der IP-Adresse
- <systemitem class="ipaddress">192.168.0.1</systemitem> wird als
- Standardgateway für die Clients <systemitem>A</systemitem> und
- <systemitem>B</systemitem> gesetzt. Die externe Netzwerkkarte des
- <application>natd</application>-Rechners muss für die
- korrekte Funktion von &man.natd.8; nicht konfiguriert
- werden.</para>
- </sect2>
-
- <sect2 xml:id="network-natdport-redirection">
- <title>Ports umleiten</title>
-
- <para>Wenn Sie &man.natd.8; verwenden, sind Ihre LAN-Clients von
- aussen nicht erreichbar. LAN-Clients können zwar
- Verbindungen nach aussen aufbauen, sind aber für
- ankommende Verbindungen nicht erreichbar. Wenn Sie
- Internetdienste auf einem LAN-Client anbieten wollen, haben Sie
- daher ein Problem. Eine einfache Lösung ist die Umleitung
- von bestimmten Internetports des
- <application>natd</application>-Rechners auf einen LAN-Client.</para>
-
- <para>Beispielsweise könnte ein IRC-Server auf Client
- <systemitem>A</systemitem> und ein Webserver auf Client
- <systemitem>B</systemitem> laufen. Damit diese Konfiguration
- funktioniert, müssen Verbindungen, die auf den Ports 6667
- (IRC) und 80 (Web) ankommen, auf die entsprechenden Clients
- umgeleitet werden.</para>
-
- <para>Dazu wird die Option <option>-redirect_port</option> unter
- Nutzung folgender Syntax an &man.natd.8; übergeben:</para>
-
- <programlisting> -redirect_port proto targetIP:targetPORT[-targetPORT]
- [aliasIP:]aliasPORT[-aliasPORT]
- [remoteIP[:remotePORT[-remotePORT]]]</programlisting>
-
- <para>Für unser Beispiel heißt das:</para>
-
- <programlisting> -redirect_port tcp 192.168.0.2:6667 6667
- -redirect_port tcp 192.168.0.3:80 80</programlisting>
-
- <para>Dadurch werden die entsprechenden
- <emphasis>tcp</emphasis>-Ports auf die jeweiligen LAN-Clients
- umgeleitet.</para>
-
- <para>Mit <option>-redirect_port</option> können auch ganze
- Portbereiche statt einzelner Ports umgeleitet werden. So werden
- mit <replaceable>tcp 192.168.0.2:2000-3000
- 2000-3000</replaceable> alle Verbindungen, die auf den Ports
- 2000 bis 3000 ankommen, auf die entsprechenden Ports des Clients
- <systemitem>A</systemitem> umgeleitet.</para>
-
- <para>Diese Optionen können während des Betriebs von
- &man.natd.8; oder über die Option
- <literal>natd_flags=""</literal> in
- <filename>/etc/rc.conf</filename> gesetzt werden.</para>
-
- <para>Eine ausführliche Konfigurationsanleitung finden Sie
- in &man.natd.8;.</para>
- </sect2>
-
- <sect2 xml:id="network-natdaddress-redirection">
- <title>Adressen umleiten</title>
-
- <indexterm>
- <primary>address redirection</primary>
- </indexterm>
-
- <para>Die Umleitung von Adressen ist nützlich, wenn mehrere
- IP-Adressen verfügbar sind, die aber alle auf einem Rechner
- verbleiben sollen. In diesem Fall kann &man.natd.8; jedem
- LAN-Client eine eigene externe IP-Adresse zuweisen. Ausgehende
- Pakete eines LAN-Clients werden so der entsprechenden
- externen IP-Adresse des Clients zugeordnet. Ankommender Verkehr
- für diese IP-Adresse wird automatisch an den entsprechenden
- LAN-Client weitergeleitet. Diesen Vorgang bezeichnet man
- auch als statisches NAT. Dem
- <application>natd</application>-Gatewayrechner könnten
- beispielsweise die IP-Adressen
- <systemitem class="ipaddress">128.1.1.1</systemitem>,
- <systemitem class="ipaddress">128.1.1.2</systemitem> sowie
- <systemitem class="ipaddress">128.1.1.3</systemitem> zugewiesen werden.
- <systemitem class="ipaddress">128.1.1.1</systemitem> wird als die externe
- IP-Adresse des <application>natd</application>-Gatewayrechners
- verwendet, während <systemitem class="ipaddress">128.1.1.2</systemitem>
- und <systemitem class="ipaddress">128.1.1.3</systemitem> an die LAN-Clients
- <systemitem>A</systemitem> und <systemitem>B</systemitem> weitergegeben werden.
- </para>
-
- <para><option>-redirect_address</option> benutzt folgende
- Syntax:</para>
-
- <programlisting>-redirect_address localIP publicIP</programlisting>
-
- <informaltable frame="none" pgwide="1">
- <tgroup cols="2">
- <tbody>
- <row>
- <entry>localIP</entry>
-
- <entry>Die interne IP-Adresse des LAN-Clients</entry>
- </row>
- <row>
- <entry>publicIP</entry>
-
- <entry>Die externe IP-Adresse des LAN-Clients</entry>
- </row>
- </tbody>
- </tgroup>
- </informaltable>
-
- <para>Für unser Beispiel hieße dies:</para>
-
- <programlisting>-redirect_address 192.168.0.2 128.1.1.2
--redirect_address 192.168.0.3 128.1.1.3</programlisting>
-
- <para>Analog zur Option <option>-redirect_port</option>
- können Sie diese Argumente auch in der Option
- <literal>natd_flags=""</literal> in
- <filename>/etc/rc.conf</filename> angeben. Bei der Nutzung
- der Adressumleitung ist die Portumleitung überflüssig,
- weil alle für eine bestimmte IP-Adresse ankommenden Daten
- umgeleitet werden.</para>
-
- <para>Die externe IP-Adresse des
- <application>natd</application>-Rechners muss aktiv sein und
- der externen Netzwerkkarte zugewiesen sein. Weitere Informationen
- zu diesem Thema finden Sie in &man.rc.conf.5;.</para>
- </sect2>
- </sect1>
<sect1 xml:id="network-plip">
<title>PLIP – Parallel Line IP</title>
Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Sat May 24 00:23:47 2014 (r44931)
+++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Sat May 24 12:22:13 2014 (r44932)
@@ -2416,9 +2416,8 @@ ipfw add deny out</programlisting>
<para>Sollte Ihre Maschinen als Gateway fungieren (also mittels
&man.natd.8; <foreignphrase>Network Address
Translation</foreignphrase> (<acronym>NAT</acronym>)
- durchführen), finden Sie in Abschnitt
- <xref linkend="network-natd"/> weitere Optionen für die
- <filename>/etc/rc.conf</filename>.</para>
+ durchführen), finden Sie weitere Optionen in
+ <filename>/etc/rc.conf</filename>.</para>
</sect2>
<sect2 xml:id="firewalls-ipfw-cmd">
More information about the svn-doc-all
mailing list