svn commit: r49432 - head/de_DE.ISO8859-1/books/handbook/firewalls
Bjoern Heidotting
bhd at FreeBSD.org
Mon Sep 26 20:10:44 UTC 2016
Author: bhd
Date: Mon Sep 26 20:10:43 2016
New Revision: 49432
URL: https://svnweb.freebsd.org/changeset/doc/49432
Log:
- Run igor(1) on firewalls chapter
- Some minor fixes
- Bump revision number
Modified:
head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Mon Sep 26 18:22:08 2016 (r49431)
+++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Mon Sep 26 20:10:43 2016 (r49432)
@@ -5,32 +5,67 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/firewalls/chapter.xml,v 1.53 2012/04/30 16:15:52 bcr Exp $
- basiert auf: r39270
+ basiert auf: r48265
-->
-<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="firewalls">
- <info><title>Firewalls</title>
+<chapter xmlns="http://docbook.org/ns/docbook"
+ xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
+ xml:id="firewalls">
+ <info>
+ <title>Firewalls</title>
+
<authorgroup>
- <author><personname><firstname>Joseph J.</firstname><surname>Barbish</surname></personname><contrib>Beigetragen von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Joseph J.</firstname>
+ <surname>Barbish</surname>
+ </personname>
+ <contrib>Beigetragen von </contrib>
+ </author>
</authorgroup>
+
<authorgroup>
- <author><personname><firstname>Brad</firstname><surname>Davis</surname></personname><contrib>Nach SGML konvertiert und aktualisiert von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Brad</firstname>
+ <surname>Davis</surname>
+ </personname>
+ <contrib>Nach SGML konvertiert und aktualisiert von </contrib>
+ </author>
</authorgroup>
+
<authorgroup>
- <author><personname><firstname>Michael</firstname><surname>Bunzel</surname></personname><contrib>Übersetzt von </contrib></author>
- <author><personname><firstname>Johann</firstname><surname>Kois</surname></personname></author>
- <author><personname><firstname>Benjamin</firstname><surname>Lukas</surname></personname></author>
- <author><personname><firstname>Björn</firstname><surname>Heidotting</surname></personname></author>
+ <author>
+ <personname>
+ <firstname>Michael</firstname>
+ <surname>Bunzel</surname>
+ </personname>
+ <contrib>Übersetzt von </contrib>
+ </author>
+ <author>
+ <personname>
+ <firstname>Johann</firstname>
+ <surname>Kois</surname>
+ </personname>
+ </author>
+ <author>
+ <personname>
+ <firstname>Benjamin</firstname>
+ <surname>Lukas</surname>
+ </personname>
+ </author>
+ <author>
+ <personname>
+ <firstname>Björn</firstname>
+ <surname>Heidotting</surname>
+ </personname>
+ </author>
</authorgroup>
-
</info>
-
-
<indexterm><primary>firewall</primary></indexterm>
<indexterm>
<primary>security</primary>
-
<secondary>firewalls</secondary>
</indexterm>
@@ -52,23 +87,23 @@
<itemizedlist>
<listitem>
- <para>Den Schutz der Anwendungen, Dienste und Rechner eines
- internen Netzwerks vor unerwünschtem Datenverkehr
- aus dem Internet.</para>
+ <para>Den Schutz der Anwendungen, Dienste und Rechner eines
+ internen Netzwerks vor unerwünschtem Datenverkehr
+ aus dem Internet.</para>
</listitem>
<listitem>
- <para>Die Beschränkung des Zugriffs von Rechnern des
- internen Netzwerks auf Rechner oder Dienste des öffentlichen
- Internets.</para>
+ <para>Die Beschränkung des Zugriffs von Rechnern des internen
+ Netzwerks auf Rechner oder Dienste des öffentlichen
+ Internets.</para>
</listitem>
<listitem>
- <para>Den Einsatz von Network Address Translation
- (<acronym>NAT</acronym>), welches es durch die Verwendung
- von privaten <acronym>IP</acronym>-Adressen ermöglicht,
- eine einzige gemeinsame Internetverbindung für mehrere
- Rechner zu nutzen. Dies geschieht entweder über eine
+ <para>Den Einsatz von Network Address Translation
+ (<acronym>NAT</acronym>), welches es durch die Verwendung
+ von privaten <acronym>IP</acronym>-Adressen ermöglicht,
+ eine einzige gemeinsame Internetverbindung für mehrere
+ Rechner zu nutzen. Dies geschieht entweder über eine
einzige <acronym>IP</acronym>-Adresse oder über eine Gruppe
von jeweils automatisch zugewiesenen öffentlichen
Adressen.</para>
@@ -110,17 +145,17 @@
</listitem>
<listitem>
- <para>Wie die <application>PF</application>-Firewall
+ <para>Wie die <application>PF</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
<listitem>
- <para>Wie die <application>IPFW</application>-Firewall
+ <para>Wie die <application>IPFW</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
<listitem>
- <para>Wie die <application>IPFILTER</application>-Firewall
+ <para>Wie die <application>IPFILTER</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
</itemizedlist>
@@ -129,8 +164,8 @@
<itemizedlist>
<listitem>
- <para>Die grundlegenden Konzepte von &os; und dem Internet
- verstehen.</para>
+ <para>Die grundlegenden Konzepte von &os; und dem Internet
+ verstehen.</para>
</listitem>
</itemizedlist>
@@ -187,7 +222,8 @@
Passiv-Modus ist sicherer, da der Datenkanal vom Client
bestimmt wird. Eine ausführliche Erklärung von
<acronym>FTP</acronym> und den verschiedenen Modi finden Sie
- unter <link xlink:href="http://www.slacksite.com/other/ftp.html">
+ unter <link
+ xlink:href="http://www.slacksite.com/other/ftp.html">
http://www.slacksite.com/other.ftp.html</link>.</para>
<para>Ein Firewall-Regelsatz kann entweder
@@ -298,7 +334,7 @@
<title>PF</title>
<authorgroup>
- <author>
+ <author>
<personname>
<firstname>John</firstname>
<surname>Ferrell</surname>
@@ -310,7 +346,6 @@
<indexterm>
<primary>firewall</primary>
-
<secondary>PF</secondary>
</indexterm>
@@ -333,7 +368,7 @@
<warning>
<para>Bedenken Sie beim Studium der <link
- xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>,
+ xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>,
dass &os; die <application>PF</application>-Version aus
OpenBSD 4.5 enthält.</para>
</warning>
@@ -413,7 +448,7 @@ pflog_flags="" # additi
<programlisting>gateway_enable="YES" # Enable as LAN gateway</programlisting>
<para>Nachdem die Änderungen gespeichert wurden, kann
- <application>PF</application> mit Unterstützung für
+ <application>PF</application> mit Unterstützung für
Protokollierung gestartet werden:</para>
<screen>&prompt.root; <userinput>service pf start</userinput>
@@ -588,10 +623,10 @@ options ALTQ_PRIQ # Priori
<term>CBQ</term>
<listitem>
<para>Class Based Queuing (<acronym>CBQ</acronym>) erlaubt
- es, die Bandbreite einer Verbindung in verschiedene
- Klassen oder Warteschlangen zu unterteilen, um die
- Priorität von Datenpaketen basierend auf Filterregeln zu
- beeinflussen.</para>
+ es, die Bandbreite einer Verbindung in verschiedene
+ Klassen oder Warteschlangen zu unterteilen, um die
+ Priorität von Datenpaketen basierend auf Filterregeln zu
+ beeinflussen.</para>
</listitem>
</varlistentry>
@@ -921,7 +956,7 @@ pass quick inet proto { tcp, udp } to an
und schon vom Design her unsicher. Die häufigsten Argumente
gegen eine Verwendung von <acronym>FTP</acronym>
sind:</para>
-
+
<itemizedlist>
<listitem>
<para>Passwörter werden im Klartext übertragen.</para>
@@ -988,7 +1023,7 @@ rdr-anchor "ftp-proxy/*"</programlisting
<para>Zum Schluss muss der umgeleitete Verkehr die Firewall
passieren dürfen:</para>
-
+
<programlisting>pass out proto tcp from $proxy to any port ftp</programlisting>
<para><literal>$poxy</literal> enthält die Adresse, an dem der
@@ -1103,7 +1138,7 @@ pass out on $ext_if inet proto udp from
Protokolle verwenden, zum Beispiel <acronym>ICMP</acronym>
Echo Request, wenn der Schalter <option>-I</option> benutzt
wird. Details finden Sie in &man.traceroute.8;.</para>
-
+
<sect4 xml:id="pftut-pathmtudisc">
<title>Path <acronym>MTU</acronym> Discovery</title>
@@ -1383,7 +1418,7 @@ pass inet proto tcp from any to $localne
<acronym>SMTP</acronym>-Verkehr jeweils ein Byte groß sind.
Diese Technik, die möglichst viel Zeit des Spammers
verschwenden soll, wird
- <foreignphrase>Tarpitting</foreignphrase> genannt. Die
+ <foreignphrase>Tarpitting</foreignphrase> genannt. Die
spezifische Implementierung, welche ein Byte
<acronym>SMTP</acronym>-Antworten verwendet, wird als
<foreignphrase>Stuttering</foreignphrase> bezeichnet.</para>
@@ -1618,7 +1653,7 @@ rdr pass on $ext_if inet proto tcp from
Paketen aufbauen. Es stehen viele Optionen zur Verfügung,
jedoch sollte die einfachste Form für die meisten
Konfigurationen ausreichend sein:</para>
-
+
<programlisting>scrub in all</programlisting>
<para>Einige Dienste, wie beispielsweise
@@ -1627,7 +1662,7 @@ rdr pass on $ext_if inet proto tcp from
Sie unter <link
xlink:href="http://www.openbsd.org/faq/pf/scrub.html">
http://www.openbsd.org/faq/pf/scrub.html</link>.</para>
-
+
<para>Dieses Beispiel fügt fragmentierte Pakete wieder
zusammen, löscht das <quote>do not fragment</quote>-Bit und
setzt die maximale Segmentgröße auf 1440 Bytes:</para>
@@ -1680,7 +1715,6 @@ block drop out quick on $ext_if from any
<indexterm>
<primary>Firewall</primary>
-
<secondary>IPFW</secondary>
</indexterm>
@@ -1747,7 +1781,7 @@ block drop out quick on $ext_if from any
Optionen können in der Kernelkonfigurationsdatei verwendet
werden:</para>
- <programlisting>options IPFIREWALL # enables IPFW
+ <programlisting>options IPFIREWALL # enables IPFW
options IPFIREWALL_VERBOSE # enables logging for rules with log keyword
options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry
options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied
@@ -1886,10 +1920,10 @@ options IPDIVERT # enables NAT</pro
werden. Einige Schlüsselwörter müssen zwingend angegeben
werden, während andere optional sind. Die Wörter in
Großbuchstaben repräsentieren Variablen und die Wörter in
- Kleinbuchstaben müssen den Variablen vorangestellt
- werden. Das Zeichen <literal>#</literal> wird benutzt, um
- einen Kommentar einzuleiten und kann am Ende einer Regel oder
- in einer eigenen Zeile stehen. Leerzeilen werden
+ Kleinbuchstaben müssen den Variablen vorangestellt werden.
+ Das Zeichen <literal>#</literal> wird benutzt, um einen
+ Kommentar einzuleiten und kann am Ende einer Regel oder in
+ einer eigenen Zeile stehen. Leerzeilen werden
ignoriert.</para>
<para><replaceable>CMD RULE_NUMBER set SET_NUMBER ACTION log
@@ -2326,7 +2360,7 @@ natd_flags="-dynamic -m" # -m = preserve
<programlisting>natd_flags="-f /etc/natd.conf"</programlisting>
<para>Die angegebene Datei muss die Konfigurationsoptionen
- enthalten, eine Option pro Zeile. Zum Beispiel:</para>
+ enthalten, eine Option pro Zeile. Zum Beispiel:</para>
<programlisting>redirect_port tcp 192.168.0.2:6667 6667
redirect_port tcp 192.168.0.3:80 80</programlisting>
@@ -2491,7 +2525,7 @@ good_tcpo="22,25,37,53,80,443,110"</prog
aussehen:</para>
<programlisting>-redirect_port tcp 192.168.0.2:6667 6667
- -redirect_port tcp 192.168.0.3:80 80</programlisting>
+-redirect_port tcp 192.168.0.3:80 80</programlisting>
<para>Damit werden die entsprechenden
<acronym>TCP</acronym>-Ports an die Rechner im
@@ -2660,7 +2694,7 @@ good_tcpo="22,25,37,53,80,443,110"</prog
diesen Regeln muss dann das Schlüsselwort
<literal>log</literal> hinzugefügt werden. Normalerweise
werden nur geblockte Pakete protokolliert. Es ist üblich,
- die <quote>ipfw default deny everything</quote>-Regel am
+ die <quote>ipfw default deny everything</quote>-Regel am
Ende des Regelwerks mit dem Schlüsselwort
<literal>log</literal> zu duplizieren. Dadurch ist es
möglich, alle Pakete zu sehen, auf die keine Regel
@@ -3095,7 +3129,7 @@ ipnat_rules="/etc/ipnat.rules" # rule
</varlistentry>
<varlistentry>
- <term><literal>SRC_ADDR</literal></term>
+ <term>SRC_ADDR</term>
<listitem>
<para>Das Schlüsselwort <literal>from</literal> ist
@@ -3118,7 +3152,7 @@ ipnat_rules="/etc/ipnat.rules" # rule
</varlistentry>
<varlistentry>
- <term><literal>SCR_PORT</literal></term>
+ <term>SCR_PORT</term>
<listitem>
<para>Die Portnummer der Quelle ist optional. Wenn sie
More information about the svn-doc-all
mailing list