diff --git a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml index b4fa81f952..b4d983de1c 100644 --- a/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/advanced-networking/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde:$ - basiert auf: r44011 + basiert auf: r44080 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" @@ -63,11 +63,6 @@ xml:id="advanced-networking"> bootet und ein NFS-Root-Dateisystem einrichtet.</para> </listitem> - <listitem> - <para>Wissen, wie man NAT (Network Address Translation) - einrichtet.</para> - </listitem> - <listitem> <para>Zwei Computer �ber PLIP verbinden k�nnen.</para> </listitem> @@ -5652,377 +5647,6 @@ ISDN BRI Verbindung </sect2> </sect1> - <sect1 xml:id="network-natd"> - <info><title>NAT - Network Address Translation</title> - <authorgroup> - <author> - <personname> - <firstname>Chern</firstname> - <surname>Lee</surname> - </personname><contrib>Beigetragen von </contrib> - </author> - </authorgroup> - </info> - - - - <sect2 xml:id="network-natoverview"> - <title>�berblick</title> - - <indexterm> - <primary><application>natd</application></primary> - </indexterm> - - <para>&man.natd.8;, der Network-Address-Translation-Daemon von - &os;, akzeptiert ankommende Raw-IP-Pakete, �ndert den - Sender der Daten in den eigenen Rechner und leitet diese Pakete - in den ausgehenden IP-Paketstrom um, indem IP-Adresse und Port - des Senders so ge�ndert werden, dass bei einer Antwort der - urspr�ngliche Sender wieder bestimmt und die Daten an - ihn weitergeleitet werden k�nnen.</para> - - <indexterm> - <primary>Internet connection sharing</primary> - </indexterm> - - <indexterm> - <primary>NAT</primary> - </indexterm> - - <para>Der h�ufigste Grund f�r die Verwendung von NAT ist - die gemeinsame Nutzung einer Internetverbindung.</para> - </sect2> - - <sect2 xml:id="network-natsetup"> - <title>Einrichtung</title> - - <para>Wegen der begrenzten Verf�gbarkeit von IPv4-Adressen - und der gestiegenen Anzahl von Breitbandverbindungen �ber - Kabelmodem oder DSL, wird die gemeinsame Nutzung von - Internetverbindungen immer wichtiger. Der &man.natd.8;-Daemon - erm�glicht die Anbindung von mehreren Rechnern an das - Internet unter Nutzung einer gemeinsamen Verbindung und einer - IP-Adresse.</para> - - <para>H�ufig soll ein �ber Kabelmodem oder DSL und eine - IP-Adresse an das Internet angebundener Rechner mehreren - Rechnern eines lokalen Netzwerks Internetdienste anbieten.</para> - - <para>Um dies zu erm�glichen, muss der &os;-Rechner als - Gateway fungieren. Dazu sind zwei Netzwerkkarten notwendig. Eine - f�r die Verbindung zum Internet, die zweite f�r die - Verbindung mit dem lokalen Netzwerk. S�mtliche Rechner - des lokalen Netzwerks sind �ber einen Hub oder einen Switch - miteinander verbunden.</para> - - <note> - <para>Es gibt verschiedene M�glichkeiten, ein LAN �ber - ein &os;-Gateway an das Internet anzubinden. Das folgende - Beispiel beschreibt ein Gateway, das zumindest zwei - Netzwerkkarten enth�lt.</para> - </note> - - <mediaobject> - <imageobject> - <imagedata fileref="advanced-networking/natd"/> - </imageobject> - - <textobject> - <literallayout class="monospaced"> _______ __________ ________ - | | | | | | - | Hub |-----| Client B |-----| Router |----- Internet - |_______| |__________| |________| - | - ____|_____ -| | -| Client A | -|__________|</literallayout> - </textobject> - - <textobject> - <phrase>Network Layout</phrase> - </textobject> - </mediaobject> - - <para>Eine derartige Netzwerkkonfiguration wird vor allem zur - gemeinsamen Nutzung einer Internetverbindung verwendet. Ein - Rechner des lokalen Netzwerks (<acronym>LAN</acronym>) ist mit - dem Internet verbunden. Alle anderen Rechner des lokalen - Netzwerks haben nur �ber diesen - <quote>Gateway</quote>-Rechner Zugriff auf das Internet.</para> - </sect2> - - <sect2 xml:id="network-natdloaderconfiguration"> - <title>Boot Loader Konfiguration</title> - - <indexterm> - <primary>boot loader</primary> - <secondary>configuration</secondary> - </indexterm> - - <para>Die Kerneleigenschaften f�r Network Address Translation mit - &man.natd.8; sind im <filename>GENERIC</filename>-Kernel nicht - aktiviert, k�nnen aber bereits zur Bootzeit geladen werden, indem - ein paar Zeilen in die Datei <filename>/boot/loader.conf</filename> - hinzugef�gt werden:</para> - - <programlisting>ipfw_load="YES" -ipdivert_load="YES"</programlisting> - - <para>Zus�tzlich kann die Option - <literal>net.inet.ip.fw.default_to_accept</literal> auf - <literal>1</literal> gesetzt werden:</para> - - <programlisting>net.inet.ip.fw.default_to_accept="1"</programlisting> - - <note> - <para>Es ist eine gute Idee, diese Option w�hrend den ersten - Versuchen, eine Firewall und ein NAT-Gateway aufzusetzen, zu - aktivieren. Damit ist die Standardvorgehensweise von &man.ipfw.8; - diejenige, <literal>allow ip from any to any</literal>, anstatt der - weniger freiz�gigen <literal>deny ip from any to any</literal>. - Es wird dadurch etwas schwieriger, sich aus Versehen nach einem - Neustart aus dem System auszusperren.</para> - </note> - </sect2> - - <sect2 xml:id="network-natdkernconfiguration"> - <title>Kernelkonfiguration</title> - - <indexterm> - <primary>Kernel</primary> - <secondary>Konfiguration</secondary> - </indexterm> - - <para>Wenn Module nicht in Frage kommen oder Sie bevorzugen, alle - notwendigen Eigenschaften in den laufenden Kernel einzubauen, - m�ssen die folgenden Optionen in die Kernelkonfigurationsdatei - eingetragen werden:</para> - - <programlisting>options IPFIREWALL -options IPDIVERT</programlisting> - - <para>Die folgende Optionen k�nnen ebenfalls eingetragen - werden:</para> - - <programlisting>options IPFIREWALL_DEFAULT_TO_ACCEPT -options IPFIREWALL_VERBOSE</programlisting> - </sect2> - - <sect2 xml:id="network-natdsystemconfiguration"> - <title>System Bootkonfiguration</title> - - <para>Um Firewall- und NAT-Unterst�tzung zur Bootzeit zu aktivieren, - tragen Sie Folgendes in <filename>/etc/rc.conf</filename> ein:</para> - - <programlisting>gateway_enable="YES" <co xml:id="co-natd-gateway-enable"/> -firewall_enable="YES" <co xml:id="co-natd-firewall-enable"/> -firewall_type="OPEN" <co xml:id="co-natd-firewall-type"/> -natd_enable="YES" -natd_interface="<replaceable>fxp0</replaceable>" <co xml:id="co-natd-natd-interface"/> -natd_flags="" <co xml:id="co-natd-natd-flags"/></programlisting> - - <calloutlist> - <callout arearefs="co-natd-gateway-enable"> - <para>Richtet den Rechner als Gateway ein. Die - Ausf�hrung von - <command>sysctl net.inet.ip.forwarding=1</command> - h�tte den gleichen Effekt.</para> - </callout> - - <callout arearefs="co-natd-firewall-enable"> - <para>Aktiviert die Firewallregeln in - <filename>/etc/rc.firewall</filename> beim - Systemstart.</para> - </callout> - - <callout arearefs="co-natd-firewall-type"> - <para>Ein vordefinierter Satz von Firewallregeln, der alle - Pakete durchl�sst. Sehen Sie sich - <filename>/etc/rc.firewall</filename> an, wenn Sie diese - Option verwenden wollen.</para> - </callout> - - <callout arearefs="co-natd-natd-interface"> - <para>Die Netzwerkkarte, die Pakete weiterleitet (und mit dem - Internet verbunden ist).</para> - </callout> - - <callout arearefs="co-natd-natd-flags"> - <para>Zus�tzliche Konfigurationsoptionen, die beim - Systemstart an &man.natd.8; �bergeben werden.</para> - </callout> - </calloutlist> - - <para>Durch die Definition dieser Optionen in - <filename>/etc/rc.conf</filename> wird die Anweisung - <command>natd -interface fxp0</command> beim Systemstart - ausgef�hrt. Dies kann aber auch manuell erfolgen.</para> - - <note> - <para>Falls Sie viele Optionen an &man.natd.8; �bergeben - m�ssen, k�nnen Sie auch eine Konfigurationsdatei - verwenden. Dazu f�gen Sie folgende Zeile in - <filename>/etc/rc.conf</filename> ein:</para> - - <programlisting>natd_flags="-f /etc/natd.conf"</programlisting> - - <para>Die Datei <filename>/etc/natd.conf</filename> enth�lt - verschiedene Konfigurationsoptionen, wobei jede Option in einer - Zeile steht. Das Beispiel im n�chsten Abschnitt w�rde - folgende Konfigurationsdatei verwenden:</para> - - <programlisting>redirect_port tcp 192.168.0.2:6667 6667 -redirect_port tcp 192.168.0.3:80 80</programlisting> - - <para>Wenn Sie eine Konfigurationsdatei verwenden wollen, sollten - Sie sich die Handbuchseite zu &man.natd.8; durchlesen, - insbesondere den Abschnitt �ber die Nutzung der Option - <option>-f</option>.</para> - </note> - - <para>Jedem Rechner und jeder Schnittstelle des lokalen Netzwerks - sollte eine IP-Adresse des im <link xlink:href="ftp://ftp.isi.edu/in-notes/rfc1918.txt">RFC 1918</link> - definierten privaten Adressraums zugewiesen werden. Der - Standardgateway entspricht der internen IP-Adresse des - <application>natd</application>-Rechners.</para> - - <para>Im Beispiel werden den LAN-Clients <systemitem>A</systemitem> und - <systemitem>B</systemitem> die IP-Adressen - <systemitem class="ipaddress">192.168.0.2</systemitem> und - <systemitem class="ipaddress">192.168.0.3</systemitem> zugewiesen, - w�hrend die LAN-Netzwerkkarte des - <application>natd</application>-Rechners die IP-Adresse - <systemitem class="ipaddress">192.168.0.1</systemitem> erh�lt. Der - <application>natd</application>-Rechner mit der IP-Adresse - <systemitem class="ipaddress">192.168.0.1</systemitem> wird als - Standardgateway f�r die Clients <systemitem>A</systemitem> und - <systemitem>B</systemitem> gesetzt. Die externe Netzwerkkarte des - <application>natd</application>-Rechners muss f�r die - korrekte Funktion von &man.natd.8; nicht konfiguriert - werden.</para> - </sect2> - - <sect2 xml:id="network-natdport-redirection"> - <title>Ports umleiten</title> - - <para>Wenn Sie &man.natd.8; verwenden, sind Ihre LAN-Clients von - aussen nicht erreichbar. LAN-Clients k�nnen zwar - Verbindungen nach aussen aufbauen, sind aber f�r - ankommende Verbindungen nicht erreichbar. Wenn Sie - Internetdienste auf einem LAN-Client anbieten wollen, haben Sie - daher ein Problem. Eine einfache L�sung ist die Umleitung - von bestimmten Internetports des - <application>natd</application>-Rechners auf einen LAN-Client.</para> - - <para>Beispielsweise k�nnte ein IRC-Server auf Client - <systemitem>A</systemitem> und ein Webserver auf Client - <systemitem>B</systemitem> laufen. Damit diese Konfiguration - funktioniert, m�ssen Verbindungen, die auf den Ports 6667 - (IRC) und 80 (Web) ankommen, auf die entsprechenden Clients - umgeleitet werden.</para> - - <para>Dazu wird die Option <option>-redirect_port</option> unter - Nutzung folgender Syntax an &man.natd.8; �bergeben:</para> - - <programlisting> -redirect_port proto targetIP:targetPORT[-targetPORT] - [aliasIP:]aliasPORT[-aliasPORT] - [remoteIP[:remotePORT[-remotePORT]]]</programlisting> - - <para>F�r unser Beispiel hei�t das:</para> - - <programlisting> -redirect_port tcp 192.168.0.2:6667 6667 - -redirect_port tcp 192.168.0.3:80 80</programlisting> - - <para>Dadurch werden die entsprechenden - <emphasis>tcp</emphasis>-Ports auf die jeweiligen LAN-Clients - umgeleitet.</para> - - <para>Mit <option>-redirect_port</option> k�nnen auch ganze - Portbereiche statt einzelner Ports umgeleitet werden. So werden - mit <replaceable>tcp 192.168.0.2:2000-3000 - 2000-3000</replaceable> alle Verbindungen, die auf den Ports - 2000 bis 3000 ankommen, auf die entsprechenden Ports des Clients - <systemitem>A</systemitem> umgeleitet.</para> - - <para>Diese Optionen k�nnen w�hrend des Betriebs von - &man.natd.8; oder �ber die Option - <literal>natd_flags=""</literal> in - <filename>/etc/rc.conf</filename> gesetzt werden.</para> - - <para>Eine ausf�hrliche Konfigurationsanleitung finden Sie - in &man.natd.8;.</para> - </sect2> - - <sect2 xml:id="network-natdaddress-redirection"> - <title>Adressen umleiten</title> - - <indexterm> - <primary>address redirection</primary> - </indexterm> - - <para>Die Umleitung von Adressen ist n�tzlich, wenn mehrere - IP-Adressen verf�gbar sind, die aber alle auf einem Rechner - verbleiben sollen. In diesem Fall kann &man.natd.8; jedem - LAN-Client eine eigene externe IP-Adresse zuweisen. Ausgehende - Pakete eines LAN-Clients werden so der entsprechenden - externen IP-Adresse des Clients zugeordnet. Ankommender Verkehr - f�r diese IP-Adresse wird automatisch an den entsprechenden - LAN-Client weitergeleitet. Diesen Vorgang bezeichnet man - auch als statisches NAT. Dem - <application>natd</application>-Gatewayrechner k�nnten - beispielsweise die IP-Adressen - <systemitem class="ipaddress">128.1.1.1</systemitem>, - <systemitem class="ipaddress">128.1.1.2</systemitem> sowie - <systemitem class="ipaddress">128.1.1.3</systemitem> zugewiesen werden. - <systemitem class="ipaddress">128.1.1.1</systemitem> wird als die externe - IP-Adresse des <application>natd</application>-Gatewayrechners - verwendet, w�hrend <systemitem class="ipaddress">128.1.1.2</systemitem> - und <systemitem class="ipaddress">128.1.1.3</systemitem> an die LAN-Clients - <systemitem>A</systemitem> und <systemitem>B</systemitem> weitergegeben werden. - </para> - - <para><option>-redirect_address</option> benutzt folgende - Syntax:</para> - - <programlisting>-redirect_address localIP publicIP</programlisting> - - <informaltable frame="none" pgwide="1"> - <tgroup cols="2"> - <tbody> - <row> - <entry>localIP</entry> - - <entry>Die interne IP-Adresse des LAN-Clients</entry> - </row> - <row> - <entry>publicIP</entry> - - <entry>Die externe IP-Adresse des LAN-Clients</entry> - </row> - </tbody> - </tgroup> - </informaltable> - - <para>F�r unser Beispiel hie�e dies:</para> - - <programlisting>-redirect_address 192.168.0.2 128.1.1.2 --redirect_address 192.168.0.3 128.1.1.3</programlisting> - - <para>Analog zur Option <option>-redirect_port</option> - k�nnen Sie diese Argumente auch in der Option - <literal>natd_flags=""</literal> in - <filename>/etc/rc.conf</filename> angeben. Bei der Nutzung - der Adressumleitung ist die Portumleitung �berfl�ssig, - weil alle f�r eine bestimmte IP-Adresse ankommenden Daten - umgeleitet werden.</para> - - <para>Die externe IP-Adresse des - <application>natd</application>-Rechners muss aktiv sein und - der externen Netzwerkkarte zugewiesen sein. Weitere Informationen - zu diesem Thema finden Sie in &man.rc.conf.5;.</para> - </sect2> - </sect1> <sect1 xml:id="network-plip"> <title>PLIP – Parallel Line IP</title> diff --git a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml index a9481b78ef..f2a218f28f 100644 --- a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml @@ -2416,9 +2416,8 @@ ipfw add deny out</programlisting> <para>Sollte Ihre Maschinen als Gateway fungieren (also mittels &man.natd.8; <foreignphrase>Network Address Translation</foreignphrase> (<acronym>NAT</acronym>) - durchf�hren), finden Sie in Abschnitt - <xref linkend="network-natd"/> weitere Optionen f�r die - <filename>/etc/rc.conf</filename>.</para> + durchf�hren), finden Sie weitere Optionen in + <filename>/etc/rc.conf</filename>.</para> </sect2> <sect2 xml:id="firewalls-ipfw-cmd">