os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

- Run igor(1) on firewalls chapter

Browse source 
- Some minor fixes
- Bump revision number
This commit is contained in:
Bjoern Heidotting 2016-09-26 20:10:43 +00:00
parent c9c356f60f
commit 85591727e8
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=49432
1 changed files with 92 additions and 58 deletions
Download patch file Download diff file Expand all files Collapse all files

150
de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml
View file

@ -5,32 +5,67 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/firewalls/chapter.xml,v 1.53 2012/04/30 16:15:52 bcr Exp $
basiert auf: r39270
basiert auf: r48265
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="firewalls">
<info><title>Firewalls</title>
<chapter xmlns="http://docbook.org/ns/docbook"
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
xml:id="firewalls">
<info>
<title>Firewalls</title>
<authorgroup>
<author><personname><firstname>Joseph J.</firstname><surname>Barbish</surname></personname><contrib>Beigetragen von </contrib></author>
</authorgroup>
<authorgroup>
<author><personname><firstname>Brad</firstname><surname>Davis</surname></personname><contrib>Nach SGML konvertiert und aktualisiert von </contrib></author>
</authorgroup>
<authorgroup>
<author><personname><firstname>Michael</firstname><surname>Bunzel</surname></personname><contrib>Übersetzt von </contrib></author>
<author><personname><firstname>Johann</firstname><surname>Kois</surname></personname></author>
<author><personname><firstname>Benjamin</firstname><surname>Lukas</surname></personname></author>
<author><personname><firstname>Björn</firstname><surname>Heidotting</surname></personname></author>
<author>
<personname>
<firstname>Joseph J.</firstname>
<surname>Barbish</surname>
</personname>
<contrib>Beigetragen von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<personname>
<firstname>Brad</firstname>
<surname>Davis</surname>
</personname>
<contrib>Nach SGML konvertiert und aktualisiert von </contrib>
</author>
</authorgroup>
<authorgroup>
<author>
<personname>
<firstname>Michael</firstname>
<surname>Bunzel</surname>
</personname>
<contrib>Übersetzt von </contrib>
</author>
<author>
<personname>
<firstname>Johann</firstname>
<surname>Kois</surname>
</personname>
</author>
<author>
<personname>
<firstname>Benjamin</firstname>
<surname>Lukas</surname>
</personname>
</author>
<author>
<personname>
<firstname>Björn</firstname>
<surname>Heidotting</surname>
</personname>
</author>
</authorgroup>
</info>
<indexterm><primary>firewall</primary></indexterm>
<indexterm>
<primary>security</primary>
<secondary>firewalls</secondary>
</indexterm>
@ -52,23 +87,23 @@
<itemizedlist>
<listitem>
<para>Den Schutz der Anwendungen, Dienste und Rechner eines
internen Netzwerks vor unerwünschtem Datenverkehr
aus dem Internet.</para>
<para>Den Schutz der Anwendungen, Dienste und Rechner eines
internen Netzwerks vor unerwünschtem Datenverkehr
aus dem Internet.</para>
</listitem>
<listitem>
<para>Die Beschränkung des Zugriffs von Rechnern des
internen Netzwerks auf Rechner oder Dienste des öffentlichen
Internets.</para>
<para>Die Beschränkung des Zugriffs von Rechnern des internen
Netzwerks auf Rechner oder Dienste des öffentlichen
Internets.</para>
</listitem>
<listitem>
<para>Den Einsatz von Network Address Translation
(<acronym>NAT</acronym>), welches es durch die Verwendung
von privaten <acronym>IP</acronym>-Adressen ermöglicht,
eine einzige gemeinsame Internetverbindung für mehrere
Rechner zu nutzen. Dies geschieht entweder über eine
<para>Den Einsatz von Network Address Translation
(<acronym>NAT</acronym>), welches es durch die Verwendung
von privaten <acronym>IP</acronym>-Adressen ermöglicht,
eine einzige gemeinsame Internetverbindung für mehrere
Rechner zu nutzen. Dies geschieht entweder über eine
einzige <acronym>IP</acronym>-Adresse oder über eine Gruppe
von jeweils automatisch zugewiesenen öffentlichen
Adressen.</para>
@ -110,17 +145,17 @@
</listitem>
<listitem>
<para>Wie die <application>PF</application>-Firewall
<para>Wie die <application>PF</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
<listitem>
<para>Wie die <application>IPFW</application>-Firewall
<para>Wie die <application>IPFW</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
<listitem>
<para>Wie die <application>IPFILTER</application>-Firewall
<para>Wie die <application>IPFILTER</application>-Firewall
konfiguriert und einsetzt wird.</para>
</listitem>
</itemizedlist>
@ -129,8 +164,8 @@
<itemizedlist>
<listitem>
<para>Die grundlegenden Konzepte von &os; und dem Internet
verstehen.</para>
<para>Die grundlegenden Konzepte von &os; und dem Internet
verstehen.</para>
</listitem>
</itemizedlist>
@ -187,7 +222,8 @@
Passiv-Modus ist sicherer, da der Datenkanal vom Client
bestimmt wird. Eine ausführliche Erklärung von
<acronym>FTP</acronym> und den verschiedenen Modi finden Sie
unter <link xlink:href="http://www.slacksite.com/other/ftp.html">
unter <link
xlink:href="http://www.slacksite.com/other/ftp.html">
http://www.slacksite.com/other.ftp.html</link>.</para>
<para>Ein Firewall-Regelsatz kann entweder
@ -298,7 +334,7 @@
<title>PF</title>
<authorgroup>
<author>
<author>
<personname>
<firstname>John</firstname>
<surname>Ferrell</surname>
@ -310,7 +346,6 @@
<indexterm>
<primary>firewall</primary>
<secondary>PF</secondary>
</indexterm>
@ -333,7 +368,7 @@
<warning>
<para>Bedenken Sie beim Studium der <link
xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>,
xlink:href="http://www.openbsd.org/faq/pf/">PF FAQ</link>,
dass &os; die <application>PF</application>-Version aus
OpenBSD&nbsp;4.5 enthält.</para>
</warning>
@ -413,7 +448,7 @@ pflog_flags="" # additional flags for pflogd startup</programli
<programlisting>gateway_enable="YES" # Enable as LAN gateway</programlisting>
<para>Nachdem die Änderungen gespeichert wurden, kann
<application>PF</application> mit Unterstützung für
<application>PF</application> mit Unterstützung für
Protokollierung gestartet werden:</para>
<screen>&prompt.root; <userinput>service pf start</userinput>
@ -588,10 +623,10 @@ options ALTQ_PRIQ # Priority Queuing (PRIQ)</programlisting>
<term>CBQ</term>
<listitem>
<para>Class Based Queuing (<acronym>CBQ</acronym>) erlaubt
es, die Bandbreite einer Verbindung in verschiedene
Klassen oder Warteschlangen zu unterteilen, um die
Priorität von Datenpaketen basierend auf Filterregeln zu
beeinflussen.</para>
es, die Bandbreite einer Verbindung in verschiedene
Klassen oder Warteschlangen zu unterteilen, um die
Priorität von Datenpaketen basierend auf Filterregeln zu
beeinflussen.</para>
</listitem>
</varlistentry>
@ -921,7 +956,7 @@ pass quick inet proto { tcp, udp } to any port $udp_services keep state</program
und schon vom Design her unsicher. Die häufigsten Argumente
gegen eine Verwendung von <acronym>FTP</acronym>
sind:</para>
<itemizedlist>
<listitem>
<para>Passwörter werden im Klartext übertragen.</para>
@ -988,7 +1023,7 @@ rdr-anchor "ftp-proxy/*"</programlisting>
<para>Zum Schluss muss der umgeleitete Verkehr die Firewall
passieren dürfen:</para>
<programlisting>pass out proto tcp from $proxy to any port ftp</programlisting>
<para><literal>$poxy</literal> enthält die Adresse, an dem der
@ -1103,7 +1138,7 @@ pass out on $ext_if inet proto udp from any to any port 33433 &gt;&lt; 33626 kee
Protokolle verwenden, zum Beispiel <acronym>ICMP</acronym>
Echo Request, wenn der Schalter <option>-I</option> benutzt
wird. Details finden Sie in &man.traceroute.8;.</para>
<sect4 xml:id="pftut-pathmtudisc">
<title>Path <acronym>MTU</acronym> Discovery</title>
@ -1383,7 +1418,7 @@ pass inet proto tcp from any to $localnet port $tcp_services \
<acronym>SMTP</acronym>-Verkehr jeweils ein Byte groß sind.
Diese Technik, die möglichst viel Zeit des Spammers
verschwenden soll, wird
<foreignphrase>Tarpitting</foreignphrase> genannt. Die
<foreignphrase>Tarpitting</foreignphrase> genannt. Die
spezifische Implementierung, welche ein Byte
<acronym>SMTP</acronym>-Antworten verwendet, wird als
<foreignphrase>Stuttering</foreignphrase> bezeichnet.</para>
@ -1618,7 +1653,7 @@ rdr pass on $ext_if inet proto tcp from !&lt;spamd-white&gt; to \
Paketen aufbauen. Es stehen viele Optionen zur Verfügung,
jedoch sollte die einfachste Form für die meisten
Konfigurationen ausreichend sein:</para>
<programlisting>scrub in all</programlisting>
<para>Einige Dienste, wie beispielsweise
@ -1627,7 +1662,7 @@ rdr pass on $ext_if inet proto tcp from !&lt;spamd-white&gt; to \
Sie unter <link
xlink:href="http://www.openbsd.org/faq/pf/scrub.html">
http://www.openbsd.org/faq/pf/scrub.html</link>.</para>
<para>Dieses Beispiel fügt fragmentierte Pakete wieder
zusammen, löscht das <quote>do not fragment</quote>-Bit und
setzt die maximale Segmentgröße auf 1440 Bytes:</para>
@ -1680,7 +1715,6 @@ block drop out quick on $ext_if from any to $martians</programlisting>
<indexterm>
<primary>Firewall</primary>
<secondary>IPFW</secondary>
</indexterm>
@ -1747,7 +1781,7 @@ block drop out quick on $ext_if from any to $martians</programlisting>
Optionen können in der Kernelkonfigurationsdatei verwendet
werden:</para>
<programlisting>options IPFIREWALL # enables IPFW
<programlisting>options IPFIREWALL # enables IPFW
options IPFIREWALL_VERBOSE # enables logging for rules with log keyword
options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry
options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied
@ -1886,10 +1920,10 @@ options IPDIVERT # enables NAT</programlisting>
werden. Einige Schlüsselwörter müssen zwingend angegeben
werden, während andere optional sind. Die Wörter in
Großbuchstaben repräsentieren Variablen und die Wörter in
Kleinbuchstaben müssen den Variablen vorangestellt
werden. Das Zeichen <literal>#</literal> wird benutzt, um
einen Kommentar einzuleiten und kann am Ende einer Regel oder
in einer eigenen Zeile stehen. Leerzeilen werden
Kleinbuchstaben müssen den Variablen vorangestellt werden.
Das Zeichen <literal>#</literal> wird benutzt, um einen
Kommentar einzuleiten und kann am Ende einer Regel oder in
einer eigenen Zeile stehen. Leerzeilen werden
ignoriert.</para>
<para><replaceable>CMD RULE_NUMBER set SET_NUMBER ACTION log
@ -2326,7 +2360,7 @@ natd_flags="-dynamic -m" # -m = preserve port numbers; additional options are li
<programlisting>natd_flags="-f /etc/natd.conf"</programlisting>
<para>Die angegebene Datei muss die Konfigurationsoptionen
enthalten, eine Option pro Zeile. Zum Beispiel:</para>
enthalten, eine Option pro Zeile. Zum Beispiel:</para>
<programlisting>redirect_port tcp 192.168.0.2:6667 6667
redirect_port tcp 192.168.0.3:80 80</programlisting>
@ -2491,7 +2525,7 @@ good_tcpo="22,25,37,53,80,443,110"</programlisting>
aussehen:</para>
<programlisting>-redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80</programlisting>
-redirect_port tcp 192.168.0.3:80 80</programlisting>
<para>Damit werden die entsprechenden
<acronym>TCP</acronym>-Ports an die Rechner im
@ -2660,7 +2694,7 @@ good_tcpo="22,25,37,53,80,443,110"</programlisting>
diesen Regeln muss dann das Schlüsselwort
<literal>log</literal> hinzugefügt werden. Normalerweise
werden nur geblockte Pakete protokolliert. Es ist üblich,
die <quote>ipfw default deny everything</quote>-Regel am
die <quote>ipfw default deny everything</quote>-Regel am
Ende des Regelwerks mit dem Schlüsselwort
<literal>log</literal> zu duplizieren. Dadurch ist es
möglich, alle Pakete zu sehen, auf die keine Regel
@ -3095,7 +3129,7 @@ ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat</programlist
</varlistentry>
<varlistentry>
<term><literal>SRC_ADDR</literal></term>
<term>SRC_ADDR</term>
<listitem>
<para>Das Schlüsselwort <literal>from</literal> ist
@ -3118,7 +3152,7 @@ ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat</programlist
</varlistentry>
<varlistentry>
<term><literal>SCR_PORT</literal></term>
<term>SCR_PORT</term>
<listitem>
<para>Die Portnummer der Quelle ist optional. Wenn sie