os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44080:

Browse source 
Remove NAT section from advanced-networking chapter.

It was linked to from the firewalls chapter, but we aren't there yet.
To make the handbook build in the german tree and allow further updates
to the advanced-networking chapter, simply remove the link. The firewalls
chapter will be updated eventually, and will then get the NAT info back.

Submitted by:	    Bjoern Heidotting (changes to advanced-networking)
Obtained from:	    The FreeBSD German Documentation Project
This commit is contained in:
Benedict Reuschling 2014-05-24 12:22:13 +00:00
parent 7330f15619
commit 5d568eae7c
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=44932
2 changed files with 3 additions and 380 deletions
de_DE.ISO8859-1/books/handbook
advanced-networking
chapter.xml
firewalls
chapter.xml

378
de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde:$
basiert auf: r44011
basiert auf: r44080
-->
<chapter xmlns="http://docbook.org/ns/docbook"
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
@ -63,11 +63,6 @@ xml:id="advanced-networking">
bootet und ein NFS-Root-Dateisystem einrichtet.</para>
</listitem>
<listitem>
<para>Wissen, wie man NAT (Network Address Translation)
einrichtet.</para>
</listitem>
<listitem>
<para>Zwei Computer über PLIP verbinden können.</para>
</listitem>
@ -5652,377 +5647,6 @@ ISDN BRI Verbindung
</sect2>
</sect1>
<sect1 xml:id="network-natd">
<info><title>NAT - Network Address Translation</title>
<authorgroup>
<author>
<personname>
<firstname>Chern</firstname>
<surname>Lee</surname>
</personname><contrib>Beigetragen von </contrib>
</author>
</authorgroup>
</info>
<sect2 xml:id="network-natoverview">
<title>Überblick</title>
<indexterm>
<primary><application>natd</application></primary>
</indexterm>
<para>&man.natd.8;, der Network-Address-Translation-Daemon von
&os;, akzeptiert ankommende Raw-IP-Pakete, ändert den
Sender der Daten in den eigenen Rechner und leitet diese Pakete
in den ausgehenden IP-Paketstrom um, indem IP-Adresse und Port
des Senders so geändert werden, dass bei einer Antwort der
ursprüngliche Sender wieder bestimmt und die Daten an
ihn weitergeleitet werden können.</para>
<indexterm>
<primary>Internet connection sharing</primary>
</indexterm>
<indexterm>
<primary>NAT</primary>
</indexterm>
<para>Der häufigste Grund für die Verwendung von NAT ist
die gemeinsame Nutzung einer Internetverbindung.</para>
</sect2>
<sect2 xml:id="network-natsetup">
<title>Einrichtung</title>
<para>Wegen der begrenzten Verfügbarkeit von IPv4-Adressen
und der gestiegenen Anzahl von Breitbandverbindungen über
Kabelmodem oder DSL, wird die gemeinsame Nutzung von
Internetverbindungen immer wichtiger. Der &man.natd.8;-Daemon
ermöglicht die Anbindung von mehreren Rechnern an das
Internet unter Nutzung einer gemeinsamen Verbindung und einer
IP-Adresse.</para>
<para>Häufig soll ein über Kabelmodem oder DSL und eine
IP-Adresse an das Internet angebundener Rechner mehreren
Rechnern eines lokalen Netzwerks Internetdienste anbieten.</para>
<para>Um dies zu ermöglichen, muss der &os;-Rechner als
Gateway fungieren. Dazu sind zwei Netzwerkkarten notwendig. Eine
für die Verbindung zum Internet, die zweite für die
Verbindung mit dem lokalen Netzwerk. Sämtliche Rechner
des lokalen Netzwerks sind über einen Hub oder einen Switch
miteinander verbunden.</para>
<note>
<para>Es gibt verschiedene Möglichkeiten, ein LAN über
ein &os;-Gateway an das Internet anzubinden. Das folgende
Beispiel beschreibt ein Gateway, das zumindest zwei
Netzwerkkarten enthält.</para>
</note>
<mediaobject>
<imageobject>
<imagedata fileref="advanced-networking/natd"/>
</imageobject>
<textobject>
<literallayout class="monospaced"> _______ __________ ________
| | | | | |
| Hub |-----| Client B |-----| Router |----- Internet
|_______| |__________| |________|
|
____|_____
| |
| Client A |
|__________|</literallayout>
</textobject>
<textobject>
<phrase>Network Layout</phrase>
</textobject>
</mediaobject>
<para>Eine derartige Netzwerkkonfiguration wird vor allem zur
gemeinsamen Nutzung einer Internetverbindung verwendet. Ein
Rechner des lokalen Netzwerks (<acronym>LAN</acronym>) ist mit
dem Internet verbunden. Alle anderen Rechner des lokalen
Netzwerks haben nur über diesen
<quote>Gateway</quote>-Rechner Zugriff auf das Internet.</para>
</sect2>
<sect2 xml:id="network-natdloaderconfiguration">
<title>Boot Loader Konfiguration</title>
<indexterm>
<primary>boot loader</primary>
<secondary>configuration</secondary>
</indexterm>
<para>Die Kerneleigenschaften für Network Address Translation mit
&man.natd.8; sind im <filename>GENERIC</filename>-Kernel nicht
aktiviert, können aber bereits zur Bootzeit geladen werden, indem
ein paar Zeilen in die Datei <filename>/boot/loader.conf</filename>
hinzugefügt werden:</para>
<programlisting>ipfw_load="YES"
ipdivert_load="YES"</programlisting>
<para>Zusätzlich kann die Option
<literal>net.inet.ip.fw.default_to_accept</literal> auf
<literal>1</literal> gesetzt werden:</para>
<programlisting>net.inet.ip.fw.default_to_accept="1"</programlisting>
<note>
<para>Es ist eine gute Idee, diese Option während den ersten
Versuchen, eine Firewall und ein NAT-Gateway aufzusetzen, zu
aktivieren. Damit ist die Standardvorgehensweise von &man.ipfw.8;
diejenige, <literal>allow ip from any to any</literal>, anstatt der
weniger freizügigen <literal>deny ip from any to any</literal>.
Es wird dadurch etwas schwieriger, sich aus Versehen nach einem
Neustart aus dem System auszusperren.</para>
</note>
</sect2>
<sect2 xml:id="network-natdkernconfiguration">
<title>Kernelkonfiguration</title>
<indexterm>
<primary>Kernel</primary>
<secondary>Konfiguration</secondary>
</indexterm>
<para>Wenn Module nicht in Frage kommen oder Sie bevorzugen, alle
notwendigen Eigenschaften in den laufenden Kernel einzubauen,
müssen die folgenden Optionen in die Kernelkonfigurationsdatei
eingetragen werden:</para>
<programlisting>options IPFIREWALL
options IPDIVERT</programlisting>
<para>Die folgende Optionen können ebenfalls eingetragen
werden:</para>
<programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE</programlisting>
</sect2>
<sect2 xml:id="network-natdsystemconfiguration">
<title>System Bootkonfiguration</title>
<para>Um Firewall- und NAT-Unterstützung zur Bootzeit zu aktivieren,
tragen Sie Folgendes in <filename>/etc/rc.conf</filename> ein:</para>
<programlisting>gateway_enable="YES" <co xml:id="co-natd-gateway-enable"/>
firewall_enable="YES" <co xml:id="co-natd-firewall-enable"/>
firewall_type="OPEN" <co xml:id="co-natd-firewall-type"/>
natd_enable="YES"
natd_interface="<replaceable>fxp0</replaceable>" <co xml:id="co-natd-natd-interface"/>
natd_flags="" <co xml:id="co-natd-natd-flags"/></programlisting>
<calloutlist>
<callout arearefs="co-natd-gateway-enable">
<para>Richtet den Rechner als Gateway ein. Die
Ausführung von
<command>sysctl net.inet.ip.forwarding=1</command>
hätte den gleichen Effekt.</para>
</callout>
<callout arearefs="co-natd-firewall-enable">
<para>Aktiviert die Firewallregeln in
<filename>/etc/rc.firewall</filename> beim
Systemstart.</para>
</callout>
<callout arearefs="co-natd-firewall-type">
<para>Ein vordefinierter Satz von Firewallregeln, der alle
Pakete durchlässt. Sehen Sie sich
<filename>/etc/rc.firewall</filename> an, wenn Sie diese
Option verwenden wollen.</para>
</callout>
<callout arearefs="co-natd-natd-interface">
<para>Die Netzwerkkarte, die Pakete weiterleitet (und mit dem
Internet verbunden ist).</para>
</callout>
<callout arearefs="co-natd-natd-flags">
<para>Zusätzliche Konfigurationsoptionen, die beim
Systemstart an &man.natd.8; übergeben werden.</para>
</callout>
</calloutlist>
<para>Durch die Definition dieser Optionen in
<filename>/etc/rc.conf</filename> wird die Anweisung
<command>natd -interface fxp0</command> beim Systemstart
ausgeführt. Dies kann aber auch manuell erfolgen.</para>
<note>
<para>Falls Sie viele Optionen an &man.natd.8; übergeben
müssen, können Sie auch eine Konfigurationsdatei
verwenden. Dazu fügen Sie folgende Zeile in
<filename>/etc/rc.conf</filename> ein:</para>
<programlisting>natd_flags="-f /etc/natd.conf"</programlisting>
<para>Die Datei <filename>/etc/natd.conf</filename> enthält
verschiedene Konfigurationsoptionen, wobei jede Option in einer
Zeile steht. Das Beispiel im nächsten Abschnitt würde
folgende Konfigurationsdatei verwenden:</para>
<programlisting>redirect_port tcp 192.168.0.2:6667 6667
redirect_port tcp 192.168.0.3:80 80</programlisting>
<para>Wenn Sie eine Konfigurationsdatei verwenden wollen, sollten
Sie sich die Handbuchseite zu &man.natd.8; durchlesen,
insbesondere den Abschnitt über die Nutzung der Option
<option>-f</option>.</para>
</note>
<para>Jedem Rechner und jeder Schnittstelle des lokalen Netzwerks
sollte eine IP-Adresse des im <link xlink:href="ftp://ftp.isi.edu/in-notes/rfc1918.txt">RFC 1918</link>
definierten privaten Adressraums zugewiesen werden. Der
Standardgateway entspricht der internen IP-Adresse des
<application>natd</application>-Rechners.</para>
<para>Im Beispiel werden den LAN-Clients <systemitem>A</systemitem> und
<systemitem>B</systemitem> die IP-Adressen
<systemitem class="ipaddress">192.168.0.2</systemitem> und
<systemitem class="ipaddress">192.168.0.3</systemitem> zugewiesen,
während die LAN-Netzwerkkarte des
<application>natd</application>-Rechners die IP-Adresse
<systemitem class="ipaddress">192.168.0.1</systemitem> erhält. Der
<application>natd</application>-Rechner mit der IP-Adresse
<systemitem class="ipaddress">192.168.0.1</systemitem> wird als
Standardgateway für die Clients <systemitem>A</systemitem> und
<systemitem>B</systemitem> gesetzt. Die externe Netzwerkkarte des
<application>natd</application>-Rechners muss für die
korrekte Funktion von &man.natd.8; nicht konfiguriert
werden.</para>
</sect2>
<sect2 xml:id="network-natdport-redirection">
<title>Ports umleiten</title>
<para>Wenn Sie &man.natd.8; verwenden, sind Ihre LAN-Clients von
aussen nicht erreichbar. LAN-Clients können zwar
Verbindungen nach aussen aufbauen, sind aber für
ankommende Verbindungen nicht erreichbar. Wenn Sie
Internetdienste auf einem LAN-Client anbieten wollen, haben Sie
daher ein Problem. Eine einfache Lösung ist die Umleitung
von bestimmten Internetports des
<application>natd</application>-Rechners auf einen LAN-Client.</para>
<para>Beispielsweise könnte ein IRC-Server auf Client
<systemitem>A</systemitem> und ein Webserver auf Client
<systemitem>B</systemitem> laufen. Damit diese Konfiguration
funktioniert, müssen Verbindungen, die auf den Ports 6667
(IRC) und 80 (Web) ankommen, auf die entsprechenden Clients
umgeleitet werden.</para>
<para>Dazu wird die Option <option>-redirect_port</option> unter
Nutzung folgender Syntax an &man.natd.8; übergeben:</para>
<programlisting> -redirect_port proto targetIP:targetPORT[-targetPORT]
[aliasIP:]aliasPORT[-aliasPORT]
[remoteIP[:remotePORT[-remotePORT]]]</programlisting>
<para>Für unser Beispiel heißt das:</para>
<programlisting> -redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80</programlisting>
<para>Dadurch werden die entsprechenden
<emphasis>tcp</emphasis>-Ports auf die jeweiligen LAN-Clients
umgeleitet.</para>
<para>Mit <option>-redirect_port</option> können auch ganze
Portbereiche statt einzelner Ports umgeleitet werden. So werden
mit <replaceable>tcp 192.168.0.2:2000-3000
2000-3000</replaceable> alle Verbindungen, die auf den Ports
2000 bis 3000 ankommen, auf die entsprechenden Ports des Clients
<systemitem>A</systemitem> umgeleitet.</para>
<para>Diese Optionen können während des Betriebs von
&man.natd.8; oder über die Option
<literal>natd_flags=""</literal> in
<filename>/etc/rc.conf</filename> gesetzt werden.</para>
<para>Eine ausführliche Konfigurationsanleitung finden Sie
in &man.natd.8;.</para>
</sect2>
<sect2 xml:id="network-natdaddress-redirection">
<title>Adressen umleiten</title>
<indexterm>
<primary>address redirection</primary>
</indexterm>
<para>Die Umleitung von Adressen ist nützlich, wenn mehrere
IP-Adressen verfügbar sind, die aber alle auf einem Rechner
verbleiben sollen. In diesem Fall kann &man.natd.8; jedem
LAN-Client eine eigene externe IP-Adresse zuweisen. Ausgehende
Pakete eines LAN-Clients werden so der entsprechenden
externen IP-Adresse des Clients zugeordnet. Ankommender Verkehr
für diese IP-Adresse wird automatisch an den entsprechenden
LAN-Client weitergeleitet. Diesen Vorgang bezeichnet man
auch als statisches NAT. Dem
<application>natd</application>-Gatewayrechner könnten
beispielsweise die IP-Adressen
<systemitem class="ipaddress">128.1.1.1</systemitem>,
<systemitem class="ipaddress">128.1.1.2</systemitem> sowie
<systemitem class="ipaddress">128.1.1.3</systemitem> zugewiesen werden.
<systemitem class="ipaddress">128.1.1.1</systemitem> wird als die externe
IP-Adresse des <application>natd</application>-Gatewayrechners
verwendet, während <systemitem class="ipaddress">128.1.1.2</systemitem>
und <systemitem class="ipaddress">128.1.1.3</systemitem> an die LAN-Clients
<systemitem>A</systemitem> und <systemitem>B</systemitem> weitergegeben werden.
</para>
<para><option>-redirect_address</option> benutzt folgende
Syntax:</para>
<programlisting>-redirect_address localIP publicIP</programlisting>
<informaltable frame="none" pgwide="1">
<tgroup cols="2">
<tbody>
<row>
<entry>localIP</entry>
<entry>Die interne IP-Adresse des LAN-Clients</entry>
</row>
<row>
<entry>publicIP</entry>
<entry>Die externe IP-Adresse des LAN-Clients</entry>
</row>
</tbody>
</tgroup>
</informaltable>
<para>Für unser Beispiel hieße dies:</para>
<programlisting>-redirect_address 192.168.0.2 128.1.1.2
-redirect_address 192.168.0.3 128.1.1.3</programlisting>
<para>Analog zur Option <option>-redirect_port</option>
können Sie diese Argumente auch in der Option
<literal>natd_flags=""</literal> in
<filename>/etc/rc.conf</filename> angeben. Bei der Nutzung
der Adressumleitung ist die Portumleitung überflüssig,
weil alle für eine bestimmte IP-Adresse ankommenden Daten
umgeleitet werden.</para>
<para>Die externe IP-Adresse des
<application>natd</application>-Rechners muss aktiv sein und
der externen Netzwerkkarte zugewiesen sein. Weitere Informationen
zu diesem Thema finden Sie in &man.rc.conf.5;.</para>
</sect2>
</sect1>
<sect1 xml:id="network-plip">
<title>PLIP &ndash; Parallel Line IP</title>

5
de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
View file

@ -2416,9 +2416,8 @@ ipfw add deny out</programlisting>
<para>Sollte Ihre Maschinen als Gateway fungieren (also mittels
&man.natd.8; <foreignphrase>Network Address
Translation</foreignphrase> (<acronym>NAT</acronym>)
durchführen), finden Sie in Abschnitt
<xref linkend="network-natd"/> weitere Optionen für die
<filename>/etc/rc.conf</filename>.</para>
durchführen), finden Sie weitere Optionen in
<filename>/etc/rc.conf</filename>.</para>
</sect2>
<sect2 xml:id="firewalls-ipfw-cmd">