svn commit: r53950 - head/de_DE.ISO8859-1/books/handbook/firewalls
Bjoern Heidotting
bhd at FreeBSD.org
Thu Mar 5 20:40:00 UTC 2020
Author: bhd
Date: Thu Mar 5 20:39:58 2020
New Revision: 53950
URL: https://svnweb.freebsd.org/changeset/doc/53950
Log:
Update to r53911:
- Simplify multiple sentences to remove the words: furthermore, also, ...
- Fix typo's, IP address is redirect_port example & visible double space
after sentence stop
- Restructure TSO comment together with the in-kernel NAT instance paragraph
- Add kernel option for libalias full functionality
- Unify engine/facility/... to facility
Modified:
head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Thu Mar 5 15:42:09 2020 (r53949)
+++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Thu Mar 5 20:39:58 2020 (r53950)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/firewalls/chapter.xml,v 1.53 2012/04/30 16:15:52 bcr Exp $
- basiert auf: r53723
+ basiert auf: r53911
-->
<chapter xmlns="http://docbook.org/ns/docbook"
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
@@ -2319,14 +2319,17 @@ $
<secondary>und <application>IPFW</application></secondary>
</indexterm>
- <para>&os;s integrierter <acronym>NAT</acronym>-Daemon,
- &man.natd.8;, arbeitet in Verbindung mit
- <application>IPFW</application>, um
- <foreignphrase>Network Address Translation</foreignphrase>
- bereitzustellen. <acronym>NAT</acronym> wird verwendet, um
- mehreren internen Rechnern, über eine einzige
- <acronym>IP</acronym>-Adresse, eine gemeinsame Verbindung zum
- Internet zu ermöglichen.</para>
+ <para>Die <application>IPFW</application>-Firewall von &os; hat
+ zwei <acronym>NAT</acronym>-Implementierungen: die
+ Userland-Implementierung &man.natd.8; und die neuere,
+ kernelinterne <acronym>NAT</acronym>-Implementierung. Beide
+ arbeiten in Verbindung mit <application>IPFW</application>, um
+ die Übersetzung von Netzwerkadressen zu ermöglichen. Damit
+ kann eine Lösung zur gemeinsamen Nutzung der
+ Internetverbindung bereitgestellt werden, so dass mehrere
+ interne Rechner unter Verwendung einer einzigen öffentlichen
+ <acronym>IP</acronym>-Adresse eine Verbindung zum Internet
+ herstellen können.</para>
<para>Um dies zu tun, muss der mit dem Internet verbundene
&os;-Rechner als Gateway eingerichtet sein. Das System muss
@@ -2349,8 +2352,8 @@ firewall_enable="YES"
firewall_nat_enable="YES"</programlisting>
<note>
- <para>Wenn <literal>firewall_enable</literal> nicht gesetzt
- ist, <literal>firewall_nat_enable</literal> jedoch schon,
+ <para>Wenn <literal>firewall_nat_enable</literal> gesetzt ist,
+ <literal>firewall_enable</literal> jedoch nicht,
hat dies keine Auswirkung, da die
<acronym>NAT</acronym>-Implementierung im Kernel nur mit
<application>IPFW</application> kompatibel ist.</para>
@@ -2361,25 +2364,12 @@ firewall_nat_enable="YES"</programlisting>
<literal>skipto</literal>-Aktion wird benutzt. Die Aktion
<literal>skipto</literal> benötigt eine Regelnummer, damit
<application>IPFW</application> weiß, zu welcher Regel es
- springen muss. Darüber hinaus ist es aufgrund der Architektur
- von &man.libalias.3;, einer Bibliothek die als Kernelmodul
- implementiert ist und für das In-Kernel <acronym>NAT</acronym>
- von <application>IPFW</application> benutzt wird, notwendig,
- <foreignphrase>TCP segmentation offloading</foreignphrase>
- (<acronym>TSO</acronym>) zu deaktivieren.
- <acronym>TSO</acronym> kann pro Netzwerkschnittstelle mit
- &man.ifconfig.8;, oder systemweit mit &man.sysctl.8;
- deaktiviert werden. Um <acronym>TSO</acronym> systemweit zu
- deaktivieren, muss folgende Zeile in
- <filename>/etc/sysctl.conf</filename> enthalten sein:</para>
-
- <programlisting>net.inet.tcp.tso="0"</programlisting>
-
- <para>Das folgende Beispiel baut auf den im vorherigen Abschnitt
- gezeigten Firewall-Relgelsatz auf. Es werden einige neue
- Einträge hinzugefügt und bestehende Regeln modifiziert, um
- In-Kernel <acronym>NAT</acronym> zu konfigurieren. Zunächst werden
- einige Variablen hinzugefügt, darunter Regelnummern, die
+ springen muss. Das folgende Beispiel baut auf den im
+ vorherigen Abschnitt gezeigten Firewall-Relgelsatz auf. Es
+ werden einige neue Einträge hinzugefügt und bestehende Regeln
+ modifiziert, um In-Kernel <acronym>NAT</acronym> zu
+ konfigurieren. Zunächst werden einige Variablen hinzugefügt,
+ darunter Regelnummern, die
<literal>keep-state</literal>-Option und eine Liste mit
<acronym>TCP</acronym>-Ports um die Anzahl der Regeln zu
reduzieren:</para>
@@ -2392,13 +2382,28 @@ pif=dc0
ks="keep-state"
good_tcpo="22,25,37,53,80,443,110"</programlisting>
+ <para>Bei In-Kernel <acronym>NAT</acronym> muss aufgrund der
+ Architektur von &man.libalias.3;, einer Bibliothek, die als
+ Kernel-Modul implementiert ist, um die In-Kernel
+ <acronym>NAT</acronym>-Funktion für
+ <application>IPFW</application> bereitzustellen,
+ <foreignphrase>TCP segment offloading</foreignphrase>
+ (<acronym>TSO</acronym>) deaktiviert werden.
+ <acronym>TSO</acronym> kann pro Netzwerkschnittstelle mit
+ &man.ifconfig.8;, oder systemweit mit &man.sysctl.8;
+ deaktiviert werden. Um <acronym>TSO</acronym> systemweit zu
+ deaktivieren, muss folgende Zeile in
+ <filename>/etc/sysctl.conf</filename> enthalten sein:</para>
+
+ <programlisting>net.inet.tcp.tso="0"</programlisting>
+
<para>Danach wird eine <acronym>NAT</acronym>-Instanz
konfiguriert. Mit In-Kernel <acronym>NAT</acronym> ist es
möglich, mehrere <acronym>NAT</acronym>-Instanzen mit jeweils
eigener Konfiguration zu betreiben. In diesem Beispiel wird
jedoch nur eine <acronym>NAT</acronym>-Instanz mit der Nummer
- 1 benötigt. Die Konfiguration nimmt ein paar Argumente und
- Schalter an, zum Beispiel: <option>if</option>, dass die
+ 1 benötigt. Die Konfiguration kann ein paar Optionen
+ enthalten, zum Beispiel: <option>if</option>, dass die
öffentliche Netzwerkschnittstelle angibt,
<option>same_ports</option>, das dafür sorgt, dass Alias-Ports
und lokale Portnummern identisch zugeordnet werden,
@@ -2410,8 +2415,8 @@ good_tcpo="22,25,37,53,80,443,110"</programlisting>
wenn sich die öffentliche <acronym>IP</acronym>-Adresse des
Rechners ändert. Weitere mögliche Optionen, die an einzelne
<acronym>NAT</acronym>-Instanzen übergeben werden können,
- finden Sie in &man.ipfw.8;. Darüber hinaus ist es aufgrund
- der zustandsorientierten <acronym>NAT</acronym>-Firewall
+ finden Sie in &man.ipfw.8;. Wenn eine zustandsorientierte
+ <acronym>NAT</acronym>-Firewall konfiguriert wird, ist es
notwendig, dass übersetzte Pakete zur weiteren Verarbeitung in
die Firewall eingespielt werden können, was durch die
Deaktivierung des <option>one_pass</option>-Verhaltens beim
@@ -2433,20 +2438,26 @@ ipfw -q nat 1 config if $pif same_ports unreg_o
empfohlen, eine Reassamble-Regel kurz vor der ersten
<acronym>NAT</acronym>-Regel, aber hinter den Regeln zu
platzieren, die den Datenverkehr auf einer vertrauenswürdigen
- Schnittstelle erlauben.</para>
+ Schnittstelle erlauben. In der Regel sollte es nicht zu einer
+ Fragmentierung kommen, aber bei getunnelten
+ <acronym>IPSEC/ESP/GRE</acronym>-Verkehr kann es vorkommen,
+ und das Zusammensetzen von Fragmenten ist notwendig, bevor das
+ komplette Paket an das In-Kernel <acronym>NAT</acronym>
+ übergeben werden kann.</para>
- <note>
+ <note>
<para>Die Reassamble-Regel wird beim Userland &man.natd.8;
nicht benötigt, da die Aktion <literal>divert</literal> von
<application>IPFW</application> dies bereits automatisch
- übernimmt. Dies ist auch in &man.ipfw.8;
- dokumentiert.</para>
+ übernimmt, bevor das Paket an den Socket ausgeliefert wird.
+ Dies ist auch in &man.ipfw.8; dokumentiert.</para>
<para>Beachten Sie, dass die aktuelle
<acronym>NAT</acronym>-Instanznummer und
- <acronym>NAT</acronym>-Regelnummer nicht mit der
- voreingestellten <acronym>NAT</acronym>-Instanznummer
- und Regelnummer übereinstimmt, wenn sie mit dem
+ <acronym>NAT</acronym>-Regelnummer in diesem Beispiel
+ nicht mit der voreingestellten
+ <acronym>NAT</acronym>-Instanznummer und Regelnummer
+ übereinstimmt, wenn sie mit dem
<filename>rc.firewall</filename>-Skript von &os; erstellt
wurde.</para>
</note>
@@ -2555,10 +2566,10 @@ ipfw -q nat 1 config if $pif same_ports unreg_o
<application>IPFW</application> das Kernelmodul
<filename>libalias.ko</filename> laden, wenn
<literal>firewall_nat_enable</literal> in
- <filename>rc.conf</filename> aktiviert ist. Das geladene
- Kernelmodul stellt nur grundlegende
- <acronym>NAT</acronym>-Funktionalität bereit, während
- die Userland-Implementierung &man.natd.8; alle
+ <filename>rc.conf</filename> aktiviert ist. Das
+ Kernelmodul <filename>libalias.ko</filename> stellt nur
+ grundlegende <acronym>NAT</acronym>-Funktionalität bereit,
+ während die Userland-Implementierung &man.natd.8; alle
Funktionalitäten ohne zusätzliche Konfiguration zur
Verfügung stellt. Die gesamte Funktionalität bezieht sich
auf die folgenden Kernelmodule, die bei Bedarf zusätzlich
@@ -2570,11 +2581,10 @@ ipfw -q nat 1 config if $pif same_ports unreg_o
<filename>alias_pptp.ko</filename> und
<filename>alias_smedia.ko</filename> unter Verwendung der
<literal>kld_list</literal> Direktive in
- <filename>rc.conf</filename>, um die volle Funktionalität
- der Userland-Implementierung zu erreichen. Wenn ein
+ <filename>rc.conf</filename>. Wenn ein
angepasster Kernel benutzt wird, kann die volle
Funktionalität der Userland-Bibliothek im Kernel mit
- <option>option LIBALIAS</option> gebaut werden.</para>
+ <option>options LIBALIAS</option> gebaut werden.</para>
</note>
<sect3>
@@ -2627,7 +2637,7 @@ redirect_port tcp 192.168.0.3:80 80</programlisting>
<programlisting>ipfw -q nat 1 config if $pif same_ports unreg_only reset \
redirect_port tcp 192.168.0.2:6667 6667 \
- redirect_port tcp 192.1683.0.3:80 80</programlisting>
+ redirect_port tcp 192.168.0.3:80 80</programlisting>
<para>Portbereiche können über <option>redirect_port</option>
festgelegt werden. Zum Beispiel würde
@@ -2722,14 +2732,13 @@ natd_interface="rl0"</programlisting>
<para>Generell kann der obige Regelsatz, wie er für In-Kernel
<acronym>NAT</acronym> erklärt wurde, auch zusammen mit
- &man.natd.8; benutzt werden. Die einzigen Ausnahmen sind,
- dass die Konfiguration der In-Kernel
- <acronym>NAT</acronym>-Instanz
- <literal>(ipfw -q nat 1 config ...)</literal> nicht
- anwendbar ist und die Regeln müssen wie unten beschrieben
- leicht geändert werden, und Regel 99 wird nicht mehr
- benötigt, da die <option>divert</option>-Aktion sich um die
- Fragmentierung kümmert.</para>
+ &man.natd.8; benutzt werden. Die Ausnahmen sind die
+ Konfiguration der In-Kernel <acronym>NAT</acronym>-Instanz
+ <literal>(ipfw -q nat 1 config ...)</literal>, die nicht
+ zusammen mit der Regel 99 benötigt wird, da die
+ <option>divert</option>-Aktion sich um die Fragmentierung
+ kümmert. Die Regeln 100 und 1000 müssen leicht modifiziert
+ werden, wie unten gezeigt.</para>
<programlisting>$cmd 100 divert natd ip from any to any in via $pif
$cmd 1000 divert natd ip from any to any out via $pif</programlisting>
@@ -2968,7 +2977,8 @@ ks="keep-state" # just too lazy to key this eac
options IPFIREWALL_VERBOSE # enables logging for rules with log keyword to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry
options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied
-options IPFIREWALL_NAT # enables in-kernel NAT support
+options IPFIREWALL_NAT # enables basic in-kernel NAT support
+options LIBALIAS # enables full in-kernel NAT support
options IPFIREWALL_NAT64 # enables in-kernel NAT64 support
options IPFIREWALL_NPTV6 # enables in-kernel IPv6 NPT support
options IPFIREWALL_PMOD # enables protocols modification module support
More information about the svn-doc-all
mailing list