diff --git a/de_DE.ISO8859-1/books/faq/book.sgml b/de_DE.ISO8859-1/books/faq/book.sgml
index df77d8fcff..8d7db12600 100644
--- a/de_DE.ISO8859-1/books/faq/book.sgml
+++ b/de_DE.ISO8859-1/books/faq/book.sgml
@@ -3,9 +3,9 @@
The FreeBSD German Documentation Project
$FreeBSD$
-$FreeBSDde: de-docproj/books/faq/book.sgml,v 1.773 2011/08/31 17:37:48 jkois Exp $
+$FreeBSDde: de-docproj/books/faq/book.sgml,v 1.774 2011/10/08 11:35:53 jkois Exp $
- basiert auf: 1.1140
+ basiert auf: 1.1142
-->
@@ -36,7 +36,7 @@ $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.773 2011/08/31 17:37:48 jkois Exp
- $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.773 2011/08/31 17:37:48 jkois Exp $
+ $FreeBSDde: de-docproj/books/faq/book.sgml,v 1.774 2011/10/08 11:35:53 jkois Exp $1995
@@ -2962,26 +2962,6 @@ bindkey ^[[3~ delete-char # for xterm
-
-
- Unterstützt &os; Software Modems, wie die
- Winmodems?
-
-
-
- &os; unterstützt viele Software-Modems, wenn
- Sie zusätzliche Software installieren. Der Port
- comms/ltmdm bietet zum
- Beispiel Unterstützung für Modems, die auf dem oft
- verwendeten Lucent LT Chipsatz basieren.
-
- Sie können &os; nicht über ein
- Software-Modem installieren, diese Software kann nur
- installiert werden, nachdem das Betriebssystem installiert
- wurde.
-
-
-
Gibt es einen &os;-Treiber für die Karten der
@@ -2989,18 +2969,8 @@ bindkey ^[[3~ delete-char # for xterm
- Nein, und es wird wohl auch nie einen geben.
-
- Broadcom weigert sich, Informationen zu ihren drahtlosen
- Chipsätzen zu veröffentlichen. Wahrscheinlich
- liegt dies daran, dass Broadcom auch softwaregesteuerte
- Radios herstellt. Damit ihre Produkte von der FCC
- zugelassen werden, muss sichergestellt sein, dass Benutzer
- nicht in der Lage sind, Betriebsfrequenzen,
- Modulationsparameter, Ausgangsleistung und andere Werte
- nach Belieben einzustellen. Ohne solche Informationen ist
- es aber nahezu unmöglich, einen Treiber zu
- programmieren.
+ Ja. Zahlreiche Broadcom 43xx-Karten werden von den Treibern
+ &man.bwn.4; sowie &man.bwi.4; unterstützt.
diff --git a/de_DE.ISO8859-1/books/fdp-primer/sgml-primer/chapter.sgml b/de_DE.ISO8859-1/books/fdp-primer/sgml-primer/chapter.sgml
index f8304bf378..99ffe387d1 100644
--- a/de_DE.ISO8859-1/books/fdp-primer/sgml-primer/chapter.sgml
+++ b/de_DE.ISO8859-1/books/fdp-primer/sgml-primer/chapter.sgml
@@ -28,8 +28,8 @@
POSSIBILITY OF SUCH DAMAGE.
$FreeBSD$
- $FreeBSDde: de-docproj/books/fdp-primer/sgml-primer/chapter.sgml,v 1.23 2010/08/29 16:04:48 jkois Exp $
- basiert auf: 1.50
+ $FreeBSDde: de-docproj/books/fdp-primer/sgml-primer/chapter.sgml,v 1.24 2011/09/14 09:10:59 jkois Exp $
+ basiert auf: 1.51
-->
+
@@ -207,6 +208,7 @@
+
diff --git a/de_DE.ISO8859-1/books/handbook/bsdinstall/chapter.sgml b/de_DE.ISO8859-1/books/handbook/bsdinstall/chapter.sgml
new file mode 100644
index 0000000000..0d46940415
--- /dev/null
+++ b/de_DE.ISO8859-1/books/handbook/bsdinstall/chapter.sgml
@@ -0,0 +1,33 @@
+
+
+
+ &os; 9.<replaceable>X</replaceable> (und neuer)
+ installieren
+
+ Dieses Kapitel ist noch nicht übersetzt.
+ Lesen Sie bitte
+ das Original in englischer Sprache. Wenn Sie helfen
+ wollen, dieses Kapitel zu übersetzen, senden Sie bitte
+ eine E-Mail an die Mailingliste &a.de.translators;.
+
+
+
+
+
diff --git a/de_DE.ISO8859-1/books/handbook/chapters.ent b/de_DE.ISO8859-1/books/handbook/chapters.ent
index 2b51741f54..ad3799969b 100644
--- a/de_DE.ISO8859-1/books/handbook/chapters.ent
+++ b/de_DE.ISO8859-1/books/handbook/chapters.ent
@@ -8,8 +8,8 @@
referenziert wird.
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/chapters.ent,v 1.33 2008/12/27 12:14:01 jkois Exp $
- basiert auf: 1.39
+ $FreeBSDde: de-docproj/books/handbook/chapters.ent,v 1.34 2011/10/08 16:47:33 jkois Exp $
+ basiert auf: 1.40
-->
@@ -17,6 +17,7 @@
+
diff --git a/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml b/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml
index b352f9c4c1..304756a3bc 100644
--- a/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/desktop/chapter.sgml
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/desktop/chapter.sgml,v 1.89 2011/03/28 16:28:13 bcr Exp $
- basiert auf: 1.105
+ $FreeBSDde: de-docproj/books/handbook/desktop/chapter.sgml,v 1.90 2011/10/08 17:09:17 jkois Exp $
+ basiert auf: 1.115
-->
@@ -195,17 +195,12 @@
&prompt.root; pkg_add -r firefox
- Damit installieren Sie Firefox 4.0, wenn
+ Damit installieren Sie Firefox 7.0, wenn
Sie stattdessen Firefox 3.6 einsetzen
möchten, geben Sie folgenden Befehl ein:&prompt.root; pkg_add -r firefox36
- Wenn Sie hingegen Firefox 3.5 benutzen
- möchten, geben Sie folgendes ein:
-
- &prompt.root; pkg_add -r firefox35
-
Alternativ können Sie auch die Ports-Sammlung verwenden,
um das Programm aus dem Quellcode zu installieren:
@@ -213,10 +208,8 @@
&prompt.root; make install cleanErsetzen Sie im vorherigen Kommando firefox
- durch firefox36 für
- Firefox 3.6. Für
- Firefox 3.5 benutzen Sie stattdessen
- firefox35.
+ durch firefox36, falls Sie
+ Firefox 3.6 verwenden wollen.
@@ -228,100 +221,24 @@
haben.
- Die Schritte zur Installation des Plugins hängen davon,
- welche Firefox Sie installiert
- haben.
-
-
-
- Firefox 3.5
-
- Die &os; Foundation hat von Sun Microsystems eine Lizenz
- erworben, die es erlaubt, &os;-Binärpakete des
- Java Runtime Environment (&jre;) und des Java Development Kit
- (&jdk;) zu verteilen. Diese Binärpakete sind auf der
- Webseite der &os;
- Foundation erhältlich.
-
-
- Die eben genannte Seite bietet keine dezidierten Pakete
- für &os; 8.X an. Es ist
- allerdings problemlos möglich, Pakete für
- &os; 7.X auf einem
- 8.X-System einzusetzen. Dazu
- installieren Sie den Port misc/compat7x, bevor Sie das
- Java-Binärpaket installieren.
-
- Alternativ können Sie das
- Diablo &jre; (ebenso wie das
- (Diablo &jdk;) auch über die
- Ports-Sammlung installieren (über die Ports
- java/diablo-jre16 sowie
- java/diablo-jdk16).
- Damit die Installation über die Ports-Sammlung klappt,
- müssen Sie die Quelldateien manuell herunterladen (da
- deren Lizenz den automatischen Download nicht erlaubt).
- Führen Sie den Befehl
- make install aus,
- um Informationen zum Download der Quelldateien zu erhalten.
-
-
- Damit Firefox &java; unterstützt,
- müssen Sie zuerst den Port java/javavmwrapper installieren.
- Anschließend laden Sie das
- Diablo &jre;-Paket von
- herunter und installieren es mit &man.pkg.add.1;.
-
- Danach starten Sie Ihren Browser und geben in der
- Adresszeile about:plugins ein
- und bestätigen die Eingabe mit der
- Enter-Taste. Dadurch wird eine Seite
- geladen, auf der alle installierten Plugins aufgelistet werden.
- Auch das &java;-Plugin sollte nun
- in dieser Liste aufgeführt sein. Sollte dies bei Ihnen
- nicht der Fall sein, muss jeder Benutzer noch das folgende Kommando
- ausführen:
-
- &prompt.user; ln -s /usr/local/diablo-jre1.6.0/plugin/i386/ns7/libjavaplugin_oji.so \
- $HOME/.mozilla/plugins/
-
- Oder, falls Sie das Diablo &jdk;-Paket
- installiert haben:
-
- &prompt.user; ln -s /usr/local/diablo-jdk1.6.0/jre/plugin/i386/ns7/libjavaplugin_oji.so \
- $HOME/.mozilla/plugins/
-
- Danach starten Sie Ihren Browser neu, um das Plugin zu
- aktivieren.
-
-
- Bei den Befehlen oben wird davon ausgegangen, dass Sie die
- &arch.i386;-Architektur verwenden. Pakete für &arch.amd64;
- sind ebenfalls erhältlich.
-
-
-
-
- Firefox 3.6
+ Die Schritte zur Installation des Plugins hängen davon,
+ welche Firefox Sie installiert
+ haben.Installieren Sie das OpenJDK 6
über die Ports-Sammlung:&prompt.root; cd /usr/ports/java/openjdk6
-&prompt.root; make config install clean
+&prompt.root; make install clean
- Stellen Sie dabei sicher, dass Sie die Option WEB aktiviert
- haben.
+ Danach installieren Sie den Port java/icedtea-web:
- Um das Plugin zu aktivieren, muss jeder Benutzer den folgenden
- Befehl ausführen:
+ &prompt.root; cd /usr/ports/java/icedtea-web
+&prompt.root; make install clean
- &prompt.user; ln -s /usr/local/openjdk6/jre/lib/IcedTeaPlugin.so \
- $HOME/.mozilla/plugins/
+ Stellen Sie dabei sicher, dass Sie jeweils die Standardoptionen
+ verwenden.Starten Sie nun Ihren Browser, geben Sie in der Adresszeile
about:plugins ein und bestätigen Sie diese
@@ -329,8 +246,12 @@
Seite geöffnet, die alle installierten Plugins auflistet. In
dieser Liste sollte sich nun auch das
&java;-Plugin befinden.
-
-
+
+ Wird das Plugin nicht gefunden, muss für jeden Benutzer
+ der folgende Befel ausgeführt werden:
+
+ &prompt.user; ln -s /usr/local/lib/IcedTeaPlugin.so \
+ $HOME/.mozilla/plugins/
@@ -480,11 +401,30 @@
Wenn Sie die Linux-Version des Browsers verwenden wollen,
ersetzen Sie in den Beispielen opera durch
- linux-opera. Wenn Sie Plugins einsetzen
- wollen, die nur für Linux erhältlich sind, wie
- das Adobe &acrobat.reader; Plugin,
- benötigen Sie die Linux-Version. Ansonsten sind die
- FreeBSD- und Linux-Versionen des Browsers äquivalent.
+ linux-opera.
+
+ Das &adobe; &flash;-Plugin ist für &os; nicht
+ verfügbar. Es gibt aber eine &linux;-Version des Plugins, die
+ auch unter &os; installiert werden kann. Dazu installieren Sie zuerst
+ den Port www/linux-f10-flashplugin10, danach den Port
+ www/opera-linuxplugins:
+
+ &prompt.root; cd /usr/ports/www/linux-f10-flashplugin10
+&prompt.root; make install clean
+&prompt.root; cd /usr/ports/www/opera-linuxplugins
+&prompt.root; make install clean
+
+ Danach sollte das Plugin installiert sein. Um dies zu
+ überprüfen, starten Sie den Browser und geben in die
+ Adresszeile opera:plugins ein und bestätigen
+ diese Eingabe mit der Return-Taste. Dadurch
+ erhalten Sie eine Liste aller derzeit installierter Plugins.
+
+ Um das &java;-Plugin zu installieren,
+ folgen Sie bitte den entsprechenden Anweisungen für Firefox.
@@ -578,7 +518,7 @@
Gtk+,
KDE/
GNOME oder
- &jdk;
+ &jdk;
@@ -787,7 +727,7 @@
&prompt.user; openoffice.org
-
+
LibreOffice
@@ -807,7 +747,7 @@
url="http://www.documentfoundation.org/">The Document
Foundation entwickelt wird, das mit anderen
grossen Office-Paketen kompatibel ist und auf einer Vielzahl von
- Plattformen lauffähig ist. Es ist ein Fork von
+ Plattformen lauffähig ist. Es ist ein Fork von
OpenOffice.org unter neuem Namen, der alle
notwendigen Anwendungen in einem kompletten Büroanwendungspaket
enthält: eine Textverarbeitung, eine Tabellenkalkulation, ein
@@ -832,7 +772,7 @@
Um LibreOffice als Paket zu
installieren, geben Sie folgenden Befehl ein:
-
+
&prompt.root; pkg_add -r libreoffice
@@ -866,7 +806,7 @@
ersetzen Sie das vorhergehende Kommando mit dem folgenden:
&prompt.root; make LOCALIZED_LANG=ihre_Sprache install clean
-
+
Sie müssen ihre_Sprache mit dem
richtigen ISO-Code für ihre Sprache ersetzen. Eine Liste von
unterstützten Sprachcodes sind im Makefile
@@ -1273,7 +1213,7 @@
Schnelligkeit und Stabilität eingesetzt, es ist aber auch
zum Einrichten eines Arbeitsplatzes geeignet. Mit tausenden
Anwendungen, die als
- Pakete oder
+ Pakete oder
Ports
zur Verfügung stehen, können Sie sich einen
Arbeitsplatz nach Ihren Wünschen einrichten.
@@ -1306,7 +1246,7 @@
KOffice
- koffice-kde3
+ kofficeeditors/koffice-kde3
diff --git a/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml b/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml
index 6623e264d6..59b29e5ee0 100644
--- a/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/eresources/chapter.sgml
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/eresources/chapter.sgml,v 1.97 2011/09/03 15:45:46 bcr Exp $
- basiert auf: 1.210
+ $FreeBSDde: de-docproj/books/handbook/eresources/chapter.sgml,v 1.99 2011/10/08 17:43:50 jkois Exp $
+ basiert auf: 1.213
-->
@@ -385,12 +385,6 @@
Portierung von LFS nach FreeBSD
-
- &a.libh.name;
- Das nächste Installations- und
- Paketsystem
-
-
&a.mips.name;Portierung von FreeBSD zu &mips;
@@ -588,6 +582,12 @@
Diskussionen über die &os; Portierung auf &xen; -
Implementierung und Verwendung
+
+
+ &a.xfce.name;
+ Portierung und Wartung von
+ XFCE
+
@@ -770,6 +770,13 @@
Zweig des src Subversion Repository
+
+ &a.svn-src-stable-9.name;
+ /usr/src
+ Änderungen im stable/8
+ Zweig des src Subversion Repository
+
+
&a.svn-src-stable-other.name;/usr/src
@@ -1857,6 +1864,24 @@
Verteilaspekte ausgelegt ist.
+
+
+ &a.xfce.name;
+
+
+ XFCE
+
+ Eine Liste, auf der Fragen zum Einsatz von
+ XFCE unter &os; diskutiert werden.
+ Es handelt sich um eine technische Mailingliste, die sich
+ primär an Entwickler richtet, die aktiv an der Portierung
+ von XFCE nach &os; arbeiten. Aber
+ auch Nutzer, die einfach nur die technischen Diskussionen
+ verfolgen wollen, sind willkommen. Diskutiert werden vor allem
+ bei der Portierung auftretende Probleme und mögliche
+ Lösungswege.
+
+
diff --git a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
index 0ea00e504c..ee4173b7fa 100644
--- a/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/firewalls/chapter.sgml
@@ -3,7 +3,7 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.27 2010/12/18 09:32:47 jkois Exp $
+ $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.33 2011/04/17 08:30:55 jkois Exp $
basiert auf: 1.95
-->
@@ -27,7 +27,15 @@
MichaelBunzel
- Teilweise übersetzt von
+ Übersetzt von
+
+
+ Johann
+ Kois
+
+
+ Benjamin
+ Lukas
@@ -88,27 +96,27 @@
- Wissen, wie man korrekte Paketfilterregeln erstellt.
+ Wissen, wie man korrekte Paketfilterregeln erstellt.
- Die Unterschiede zwischen den in &os; eingebauten Firewalls
- kennen.
+ Die Unterschiede zwischen den in &os; eingebauten Firewalls
+ kennen.
- Wissen, wie man die PF-Firewall
- von OpenBSD konfiguriert und einsetzt.
+ Wissen, wie man die PF-Firewall
+ von OpenBSD konfiguriert und einsetzt.
- IPFILTER konfigurieren und
- einsetzen können.
+ IPFILTER konfigurieren und
+ einsetzen können.
- Wissen, wie man
- IPFW konfiguriert und einsetzt.
+ Wissen, wie man IPFW konfiguriert
+ und einsetzt.
@@ -116,8 +124,8 @@
- Die grundlegenden Konzepte von &os; und dem Internet
- verstehen.
+ Die grundlegenden Konzepte von &os; und dem Internet
+ verstehen.
@@ -152,7 +160,7 @@
Wenn nicht anders vermerkt, verwenden alle Konfigurationen
- und Beispielregelsets dieses Kapitels inclusive Firewalls.
+ und Beispielregelsets dieses Kapitels inclusive Firewalls.
Die Sicherheit einer Firewall kann durch den Einsatz einer
@@ -185,9 +193,8 @@
handelt es sich die Steuerung des Bandbreitenverbrauchs):
&man.altq.4; sowie &man.dummynet.4;. Dummynet steht traditionell
in enger Verbindung mit IPFW, während
- ALTQ gemeinsam mit
- PF eingesetzt wird.
- Traffic Shaping für IPFILTER ist derzeit
+ ALTQ gemeinsam mit PF
+ eingesetzt wird. Traffic Shaping für IPFILTER ist derzeit
mit IPFILTER für NAT sowie Filterung und
mit IPFW und &man.dummynet.4;
oder durch die Kombination von
@@ -254,10 +261,10 @@
Das OpenBSD-Projekt leistet bereits hervorragende
Dokumentationsarbeit mit der PF FAQ. Aus diesem Grund
+ url="http://www.openbsd.org/faq/pf/">PF FAQ. Aus diesem Grund
konzentriert sich dieser Handbuchabschnitt nur auf diejenigen
Besonderheiten von PF, die &os; betreffen, sowie ein
- paar allgemeine Informationen hinsichtlich der Verwendung. Genauere
+ paar allgemeine Informationen hinsichtlich der Verwendung. Genauere
Informationen zum Einsatz erhalten Sie in der PF FAQ.
@@ -268,28 +275,28 @@
Verwendung der PF-KernelmoduleUm die PF Kernel Module zu laden, fügen Sie folgende
- Zeile in ihre /etc/rc.conf ein:
+ Zeile in ihre /etc/rc.conf ein:pf_enable="YES"Danach starten Sie das Startup Script um die Module
- zu laden:
+ zu laden:
&prompt.root; /etc/rc.d/pf startDas PF Modul wird nicht geladen, falls es die Ruleset
- Konfigurationsdatei nicht findet. Standardmässig befindet
- sich diese Datei in /etc/pf.conf. Falls das
- PF Ruleset sich an einem anderen Platz befindet, können Sie das
- durch Hinzufügen einer Zeile ähnlich der folgenden, in
- ihrer /etc/rc.conf ändern:
+ Konfigurationsdatei nicht findet. Standardmässig befindet
+ sich diese Datei in /etc/pf.conf. Falls das
+ PF Ruleset sich an einem anderen Platz befindet, können Sie das
+ durch Hinzufügen einer Zeile ähnlich der folgenden, in
+ ihrer /etc/rc.conf ändern:
- pf_rules="/path/to/pf.conf"
+ pf_rules="/path/to/pf.conf"
- Ein Beispiel für die Datei
- pf.conf finden Sie im Verzeichnis /usr/share/examples/pf/.
+ Ein Beispiel für die Datei pf.conf
+ finden Sie im Verzeichnis /usr/share/examples/pf/.Das PF-Modul kann auch manuell über die
@@ -298,47 +305,46 @@
&prompt.root; kldload pf.koProtokollierungsfunktionen für PF werden durch das Modul
- pflog.ko zur Verfügung gestellt und
- können durch folgenden Eintrag in der
- /etc/rc.conf aktiviert werden:
+ pflog.ko zur Verfügung gestellt und
+ können durch folgenden Eintrag in der
+ /etc/rc.conf aktiviert werden:pflog_enable="YES"Danach starten Sie das Startup Script, um das Modul
- zu laden:
+ zu laden:
&prompt.root; /etc/rc.d/pflog startFalls Sie noch weitere Features für
- PF benötigen, müssen Sie diese in den
- Kernel einbauen.
-
+ PF benötigen, müssen Sie diese in den
+ Kernel einbauen.
PF Kernel-Optionen
- kernel options
+ kernel options
- device pf
+ device pf
- kernel options
+ kernel options
- device pflog
+ device pflog
- kernel options
+ kernel options
- device pfsync
+ device pfsyncEs ist nicht zwingend nötig, dass Sie
- PF-Unterstützung in den &os; Kernel
- kompilieren. Sie werden dies tun müssen, um eine von PFs
+ PF-Unterstützung in den &os;-Kernel
+ kompilieren. Sie werden dies tun müssen, um eine von PFs
fortgeschritteneren Eigenschaften nutzen zu können, die nicht als
Kernelmodul verfügbar ist. Genauer handelt es sich dabei um
&man.pfsync.4;, ein Pseudo-Gerät, welches bestimmte
@@ -361,14 +367,14 @@ device pfsync
Filter-Firewall (&man.pf.4;).Die Option device pflog aktiviert das optionale
- &man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren
- des Datenverkehrs über einen &man.bpf.4;-Deskriptor
- dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien
- auf Ihre Platte zu speichern.
+ &man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren
+ des Datenverkehrs über einen &man.bpf.4;-Deskriptor
+ dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien
+ auf Ihre Platte zu speichern.
Die Option device pfsync aktiviert das optionale
- &man.pfsync.4;-Pseudonetzwerkgerät für die
- Überwachung von Statusänderungen.
+ &man.pfsync.4;-Pseudonetzwerkgerät für die
+ Überwachung von Statusänderungen.
@@ -384,10 +390,9 @@ pflog_enable="YES" # starte pflogd(8)
pflog_logfile="/var/log/pflog" # wo soll pflogd die Protokolldatei speichern
pflog_flags="" # zusätzliche Parameter für den Start von pflogd
- Wenn Sie ein lokales Netzwerk hinter dieser Firewall
- betreiben und Pakete für dessen Rechner weiterleiten oder
- NAT verwenden wollen, benötigen Sie zusätzlich die
- folgende Option:
+ Wenn Sie ein lokales Netzwerk hinter dieser Firewall betreiben
+ und Pakete für dessen Rechner weiterleiten oder NAT verwenden
+ wollen, benötigen Sie zusätzlich die folgende Option:gateway_enable="YES" # LAN Gateway aktivieren
@@ -476,14 +481,14 @@ pflog_flags="" # zusätzliche Parameter für den Start
<acronym>ALTQ</acronym> aktivierenALTQ muss vor der Verwendung in den
- &os;-Kernel kompiliert werden. Beachten Sie, dass
- ALTQ nicht von allen verfügbaren
- Netzwerkkartentreibern unterstützt wird. Sehen Sie daher
- zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese
- Funktion unter Ihrer &os;-Version unterstützt.
+ &os;-Kernel kompiliert werden. Beachten Sie, dass
+ ALTQ nicht von allen verfügbaren
+ Netzwerkkartentreibern unterstützt wird. Sehen Sie daher
+ zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese
+ Funktion unter Ihrer &os;-Version unterstützt.
Die folgenden Kerneloptionen aktivieren ALTQ
- sowie alle Zusatzfunktionen:
+ sowie alle Zusatzfunktionen:
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
@@ -497,56 +502,1666 @@ options ALTQ_NOPCC # Wird von SMP benötigt
ALTQ-Framework.
options ALTQ_CBQ aktiviert das
- Class Based Queuing
- (CBQ). CBQ erlaubt es, die
- Bandbreite einer Verbindung in verschiedene Klassen oder
- Warteschlangen zu unterteilen, um die Priorität von
- Datenpaketen basierend auf Filterregeln zu ändern.
+ Class Based Queuing (CBQ).
+ CBQ erlaubt es, die Bandbreite einer Verbindung in
+ verschiedene Klassen oder Warteschlangen zu unterteilen, um die
+ Priorität von Datenpaketen basierend auf Filterregeln zu
+ ändern.
options ALTQ_RED aktiviert
- Random Early Detection
- (RED). RED wird
- zur Vermeidung einer Netzwerkverstopfung verwendet. Dazu
- ermittelt RED die Größe der
- Warteschlange und vergleicht diesen Wert mit den minimalen
- und maximalen Grenzwerten der Warteschlange. Ist die
- Warteschlange größer als das erlaubte Maximum,
- werden alle neuen Pakete verworfen. Getreu seinem Namen
- verwirft RED Pakete unterschiedlicher
- Verbindungen nach dem Zufallsprinzip.
+ Random Early Detection
+ (RED). RED wird
+ zur Vermeidung einer Netzwerkverstopfung verwendet. Dazu
+ ermittelt RED die Größe der
+ Warteschlange und vergleicht diesen Wert mit den minimalen
+ und maximalen Grenzwerten der Warteschlange. Ist die
+ Warteschlange größer als das erlaubte Maximum,
+ werden alle neuen Pakete verworfen. Getreu seinem Namen
+ verwirft RED Pakete unterschiedlicher
+ Verbindungen nach dem Zufallsprinzip.
options ALTQ_RIO aktiviert
- Random Early Detection In and
- Out.
+ Random Early Detection In and Out.
options ALTQ_HFSC aktiviert den
- Hierarchical Fair Service Curve
- -Paketplaner. Weitere Informationen zu HFSC
- finden Sie unter .
+ Hierarchical Fair Service Curve-Paketplaner.
+ Weitere Informationen zu HFSC finden Sie
+ unter .
options ALTQ_PRIQ aktiviert
- Priority Queuing
- (PRIQ). PRIQ
- lässt Verkehr einer Warteschlange mit höherer
- Priorität zuerst durch.
+ Priority Queuing (PRIQ).
+ PRIQ lässt Verkehr einer Warteschlange mit
+ höherer Priorität zuerst durch.
options ALTQ_NOPCC aktiviert die
- SMP Unterstützung von
- ALTQ. Diese Option ist nur auf
- SMP-System erforderlich.
+ SMP Unterstützung von
+ ALTQ. Diese Option ist nur auf
+ SMP-System erforderlich.
Die IPFILTER-Firewall (IPF)
- Dieses Kapitel ist noch nicht übersetzt.
- Lesen Sie bitte
- das Original in englischer Sprache. Wenn Sie helfen
- wollen, dieses Kapitel zu übersetzen, senden Sie bitte
- eine E-Mail an die Mailingliste &a.de.translators;.
+
+ firewall
+
+ IPFILTER
+
+
+ Geschrieben wurde IPFILTER von Darren Reed. IPFILTER ist vom
+ Betriebssystem unabhängig: Es ist eine Open Source Anwendung,
+ die auf die Betriebssysteme &os;, NetBSD, OpenBSD, &sunos;, HP/UX
+ und &solaris; portiert wurde. IPFILTER wird aktiv betreut und
+ gepflegt. Es werden regelmäßig neue Versionen
+ herausgegeben.
+
+ IPFILTER basiert auf einer kernelseitigen Firewall und einem
+ NAT Mechanismus, der durch Anwenderprogramme
+ betreut und gesteuert werden kann. Die Regeln der Firewall werden
+ mit dem Programm &man.ipf.8; gesetzt oder gelöscht. Für
+ die Manipulation der NAT Regeln verwendet man
+ &man.ipnat.1;. Mit &man.ipfstat.8; werden Laufzeitstatistiken der
+ kernelseitigen Anteile von IPFILTER aufgelistet. Und mit dem
+ Programm &man.ipmon.8; kann man die Aktionen von IPFILTER in die
+ Protokolldateien des Systems speichern.
+
+ IPF funktionierte ursprünglich mit einer
+ Regel-Prozeß-Logik à la die letzte Regel, die
+ paßt, entscheidet und verwendete ausschließlich
+ Regeln ohne feste Zustände. Inzwischen wurde die
+ Regel-Prozeß-Logik drastisch modernisiert: Es gibt eine
+ und eine zustandsorientierte Option. Die offizielle Dokumentation beinhaltet
+ leider nur die veralteten Parameter zur Regelerstellung - die neuen
+ Funktionen werden nur als Zusatzoptionen aufgelistet, was ihre
+ Vorteile beim Erstellen einer weit überlegenen und viel
+ sichereren Firewall völlig untergräbt.
+
+ Die Anweisungen in diesem Kapitel basieren darauf, Regeln mit
+ den Optionen und
+ zu erstellen. Mit diesem Grundwissen wird man einen kompletten
+ einschließenden Regelsatz erstellen können.
+
+ Für eine ausführliche Erläuterung der alten Methode
+ zur Regelverarbeitung schauen Sie bitte auf
+ oder .
+
+ Antworten auf häufige Fragen finden Sie unter
+ .
+
+ Und ein durchsuchbares Archiv der Mailingliste zu IPFILTER
+ gibt es unter .
+
+
+ Aktivieren von IPF
+
+
+ IPFILTER
+
+ enabling
+
+
+ &os; enthält IPF in der Standardversion als ladbares
+ Kernelmodul. Dieses Modul wird vom System automatisch geladen,
+ wenn in der rc.conf der Eintrag
+ ipfilter_enable="YES" angelegt wird. In dieser
+ ursprünglichen Konfiguration ist die Protokollierung aktiv
+ und die Option default pass all ("Pakete passieren
+ lassen") als Standard gesetzt. Um die block all
+ ("alles Blockieren") Option zu setzen, muß man nicht gleich
+ einen neuen Kernel bauen - es reicht, block all
+ als letzte Position des Regelsatzes aufzulisten.
+
+
+
+ Kernel-Optionen
+
+
+ kernel options
+
+ IPFILTER
+
+
+
+ kernel options
+
+ IPFILTER_LOG
+
+
+
+ kernel options
+
+ IPFILTER_DEFAULT_BLOCK
+
+
+
+ IPFILTER
+
+ kernel options
+
+
+ Es ist nicht unbedingt notwendig, IPF durch die folgenden
+ Optionen direkt in der Kernel einzubinden. Diese Möglichkeit
+ der Verwendung von IPF wird hier mehr als Hintergrundwissen angeboten.
+ Man sollte nur wissen, dass dadurch nicht mehr das Kernelmodul geladen
+ wird - und dementsprechend auch nicht mehr entladen werden kann.
+
+ Die Beschreibung der einzelnen Optionen von IPF für die
+ Verwendung in der Kernelkonfiguration finden Sie auch in der Datei
+ /usr/src/sys/conf/NOTES.
+
+ options IPFILTER
+options IPFILTER_LOG
+options IPFILTER_DEFAULT_BLOCK
+
+ options IPFILTER aktiviert die Verwendung
+ der IPFILTER Firewall.
+
+ options IPFILTER_LOG aktiviert den
+ Logging-Mechanismus. Das bedeutet, dass jedes Paket geloggt wird,
+ auf das eine Regel paßt, die das Schlüsselwort
+ log enthält. Dazu wird der
+ Pseudo—Device ipl verwendet.
+
+ options IPFILTER_DEFAULT_BLOCK ändert
+ das Verhalten der Firewall dahingehend, dass jedes Paket, dass nicht
+ explizit von einer pass Regel Zugang erhält,
+ abgewiesen, bzw. geblockt, wird.
+
+ Diese Einstellungen werden erst aktiv, wenn der Kernel, in den sie
+ eingebunden wurden, kompiliert, installiert und gebootet wurde.
+
+
+
+ Optionen in rc.conf
+
+ Um IPF während des Bootvorgangs einzubinden, braucht man
+ lediglich die folgenden Zeilen der Datei
+ /etc/rc.conf anzufügen:
+
+ ipfilter_enable="YES" # Startet IPF
+ipfilter_rules="/etc/ipf.rules" # liest den Regelsatz aus einer Datei
+ipmon_enable="YES" # Startet das IP-Monitor Log
+ipmon_flags="-Ds" # D = Als Da:mon starten
+ # s = Protokollierung via syslog
+ # v = Protokollierung von tcp window, ack, seq
+ # n = Namen statt IP & port ausgeben
+
+
+ Falls sich hinter der Firewall ein lokales Netzwerk befindet,
+ das den reservierten privaten Adressbereich verwendet, müssen
+ die folgenden Zeilen zur Aktivierung von NAT
+ ebenfalls in /etc/rc.conf eingetragen
+ werden:
+
+ gateway_enable="YES" # Aktivierung des LAN-Gateways
+ipnat_enable="YES" # Startet die ipnat Funktion
+ipnat_rules="/etc/ipnat.rules" # Liest die ipnat-Regeldefinitionen aus einer Datei
+
+
+
+
+ Der Befehl ipf
+
+ ipf
+
+ Mit dem Befehl &man.ipf.8; liest man die Datei, die den Regelsatz
+ enthält ein. Mit dem folgenden Befehl können Sie Ihre
+ eigenen, für Ihr System maßgeschneiderten Regeln einlesen
+ und so in einem Schritt alle Regeln der laufenden Firewall
+ ersetzen:
+
+ &prompt.root; ipf -Fa -f /etc/ipf.rules
+
+ bedeutet, dass alle intern gespeicherten
+ Tabellen mit Regeln gelöscht werden.
+
+ gibt die Datei an, aus der die neuen Regeln
+ gelesen werden sollen.
+
+ Mit diesen beiden Optionen erhalten Sie die Möglichkeit,
+ Änderungen an der Datei mit Ihrem Regelsatz vorzunehmen und
+ gleich die Firewall mit den neuen Regeln zu bestücken, ohne
+ den Rechner neu starten zu müssen. Da dieser Vorgang beliebig
+ wiederholt werden kann, ist es ein sehr bequemer Weg, neue Regeln
+ einzuarbeiten und zu testen.
+
+ Um mehr über diese und weitere Optionen von &man.ipf.8;
+ zu erfahren, konsultieren Sie bitte die Manpage.
+
+ &man.ipf.8; erwartet, dass es sich bei der Datei mit dem Regelsatz
+ um eine Standard-Textdatei handelt. Eine Datei, die ein Skript oder
+ Variablen enthält, wird nicht verarbeitet.
+
+ Es gibt allerdings doch einen Weg, IPF Regeln mit Hilfe von
+ Skripten und Variablen zu erstellen. Weitere Informationen dazu
+ finden Sie unter .
+
+
+
+ IPFSTAT
+
+ ipfstat
+
+
+ IPFILTER
+
+ statistics
+
+
+ Das normale Verhalten von &man.ipfstat.8; ist, die Zusammenfassung
+ der angefallenen Statistiken, die als Resultat der Anwendung von
+ nutzerspezifischen Regeln auf ein- und ausgehende Pakete seit dem
+ letzten Start der Firewall oder seit dem letzten Zurücksetzen
+ der Zähler auf Null durch das Kommando
+ ipf -Z angesammelt wurden, abzurufen und
+ anzuzeigen.
+
+ Für weiterführende Informationen schauen Sie bitte
+ auf die Manpage von &man.ipfstat.8;!
+
+ Die Ausgabe von &man.ipfstat.8;, wenn keine Parameter
+ übergeben wurden, sieht etwa so aus:
+
+ input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
+output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
+input packets logged: blocked 99286 passed 0
+output packets logged: blocked 0 passed 0
+packets logged: input 0 output 0
+log failures: input 3898 output 0
+fragment state(in): kept 0 lost 0
+fragment state(out): kept 0 lost 0
+packet state(in): kept 169364 lost 0
+packet state(out): kept 431395 lost 0
+ICMP replies: 0 TCP RSTs sent: 0
+Result cache hits(in): 1215208 (out): 1098963
+IN Pullups succeeded: 2 failed: 0
+OUT Pullups succeeded: 0 failed: 0
+Fastroute successes: 0 failures: 0
+TCP cksum fails(in): 0 (out): 0
+Packet log flags set: (0)
+
+ Wenn die Option für
+ eingehend oder für
+ ausgehend übergeben wird, liefert das Kommando
+ eine entsprechende Liste von Filter-Regeln, die gerade installiert
+ sind und vom Kernel verwendet werden.
+
+ ipfstat -in zeigt alle aktive Regeln
+ für eingehende Verbindungen zusammen mit ihren Nummern.
+
+ ipfstat -on erledigt dasselbe für die
+ ausgehenden Verbindungen.
+
+ Die Ausgabe sieht in etwa folgermaßen aus:
+
+ @1 pass out on xl0 from any to any
+@2 block out on dc0 from any to any
+@3 pass out quick on dc0 proto tcp/udp from any to any keep state
+
+ ipfstat -ih zeigt die Tabelle der aktiven
+ Regeln für eingehende Verbindungen zusammen mit der Anzahl,
+ wie oft jeder einzelnen Regel entsprochen wurde.
+
+ ipfstat -oh zeigt das Gleiche für
+ die ausgehenden Verbindungen.
+
+ Hier wird die Ausgabe so oder so ähnlich aussehen:
+
+ 2451423 pass out on xl0 from any to any
+354727 block out on dc0 from any to any
+430918 pass out quick on dc0 proto tcp/udp from any to any keep state
+
+ Einer der wichtigsten Funktionen von ipfstat
+ wird über die Option bereitgestellt. Mit
+ ihr wird eine Statustabelle vergleichbar der Prozeß-Tabelle
+ von &man.top.1; ausgegeben. Mit dieser Funktion erhalten Sie im
+ Falle eines Angriffs die Möglichkeit, die angreifenden Pakete
+ zu identifizieren, abzufangen und auszuwerten. Weitere Unteroptionen
+ eröffnen, die IP-Adresse, den Port oder das Protokoll, geteilt
+ nach Herkunft und Ziel, auszuwählen und dann in Echtzeit zu
+ beobachten. Lesen Sie dazu bitte auch die Manpage von
+ &man.ipfstat.8;.
+
+
+
+ IPMON
+
+ ipmon
+
+
+ IPFILTER
+
+ logging
+
+
+ Damit der Befehl ipmon korrekt arbeiten kann,
+ muß die Option IPFILTER_LOG in die
+ Kernelkonfiguration eingearbeitet werden. Das Kommando selbst
+ arbeitet in zwei verschiedenen Modi. Für den nativen Modus
+ startet man ipmon auf der Kommandozeile ohne die
+ Option .
+
+ Der Hintergrundmodus (daemon mode) dient der
+ Erstellung eines stetigen Systemprotokolls, so dass Einträge
+ vergangener Ereignisse inspiziert werden können. So sollen &os;
+ und IPFILTER entsprechend ihrer Konfiguration zusammen arbeiten.
+ &os; kann mit einem eingebauten Mechanismus Systemprotokolle
+ turnusmäßig abspeichern. Aus diesem Grund sollte man
+ besser &man.syslogd.8; verwenden anstatt die Protokollinformationen
+ in eine Datei zu schreiben, wie es als Standard vorgesehen ist. In
+ der Standard-rc.conf-Datei (im Ordner
+ /etc/defaults/) wird dem Eintrag
+ ipmon_flags die Option
+ übergeben:
+
+ ipmon_flags="-Ds" # D = Als Da:mon starten
+# s = Protokollierung via syslog
+# v = Protokollierung von tcp window, ack, seq
+# n = Namen statt IP & port ausgeben
+
+ Die Vorteile des Protokollierens liegen auf der Hand: Sie
+ versetzen den Administrator in die Lage, nach einem Vorfall
+ Informationen abzurufen, etwa welche Pakete aussortiert wurden,
+ welche Adressen diese Pakete gesendet haben oder wohin sie gesendet
+ werden sollten. Alles in allem erhält er ein sehr gutes Werkzeug
+ zum Aufspüren von Angreifern.
+
+ Jedoch, auch wenn die Protokollierung aktiviert ist, wird IPF
+ keine einzige Regel zum Protokollieren von alleine entwerfen und
+ umsetzen. Der Administrator der Firewall entscheidet, welche Regeln
+ in seinem Regelsatz mitgeschrieben werden sollen und er muß
+ dementsprechend das Schlüsselword log in
+ dieser Regel angeben. Normalerweise werden nur Treffer auf abweisende
+ Regeln protokolliert.
+
+ Es ist üblich, als letzte Regel eine alles blockierende
+ Regel mit dem Schlüsselwort log in den
+ Regelsatz einzutragen. Dadurch erkennt man alle Pakete, die keiner
+ Regel im Regelsatz entsprachen.
+
+
+
+ IPMON Logging
+
+ Syslogd verwendet seine eigene Methode
+ zum Sortieren der gesammtelten Protokolldaten - spezielle Gruppierungen
+ namens facility und level. IPMON
+ verwendet im daemon-Modus als
+ facility den Wert security. Die
+ folgenden level können für eine genauere
+ Trennung der Protokolldaten verwendet werden:
+
+ LOG_INFO - Alle zu protokollierenden Pakete
+LOG_NOTICE - Protokollierte Pakete, die passieren durften
+LOG_WARNING - Protokollierte Pakete, die blockiert wurden
+LOG_ERR - Protokollierte Pakete, deren Headerdaten nicht komplett vorlagen
+
+ Damit IPFILTER angewiesen werden kann, alle Protokolldaten in
+ die Datei /var/log/ipfilter.log zu schreiben,
+ muß diese erst erstellt werden. Folgendes Kommando
+ übernimmt diese Aufgabe:
+
+ &prompt.root; touch /var/log/ipfilter.log
+
+ Die Funktionen von &man.syslogd.8; werden durch Definition in
+ der Datei /etc/syslog.conf gesteuert. In dieser
+ Datei kann sehr weitläfig eingestellt werden, wie
+ syslog mit den Systemnachrichten umgehen
+ soll, die ihm von Anwendungen wie IPF übergeben werden.
+
+ Fügen Sie folgende Definition in die Datei
+ /etc/syslog.conf ein, um die Protokollierung
+ für IPF via syslog zu aktivieren:
+
+ security.* /var/log/ipfilter.log
+
+ security.* bedeutet, dass alle Nachrichten
+ der Klasse security.* am angegebenen Ort (hier
+ eine Datei) geschrieben werden sollen.
+
+ Um Änderungen an der Datei
+ /etc/syslog.conf zu aktivieren müssen Sie
+ den Rechner neu starten, oder den Befehl
+
+ &prompt.root; /etc/rc.d/syslogd reload
+
+ ausführen.
+
+ Vergessen Sie nicht, /etc/newsyslog.conf
+ anzupassen, damit die neuen Protokolldateien, die eben konfiguriert
+ wurden, auch in den Rotationsturnus eingefügt werden!
+
+
+
+ Die Formatierung der Logdatei
+
+ Nachrichten, die durch ipmon erzeugt werden,
+ bestehen aus durch Leerstellen getrennten Datenfeldern. Folgende
+ Felder sind in allen Nachrichten enthalten:
+
+
+
+ Das Datum der Paketerstellung.
+
+
+
+ Die Uhrzeit der Paketerstellung in der Form
+ HH:MM:SS.F, mit Stunden, Minuten, Sekunden
+ und Sekundenbruchteilen, wobei letztere mehrere Stellen lang
+ sein können.
+
+
+
+ Der Name der Schnittstelle, die das Paket verarbeitet hat,
+ bspw. dc0.
+
+
+
+ Die Gruppe und die Nummer der angewandten Regel, bspw.
+ @0:17.
+
+
+
+ Die ausgeführte Aktion: p für
+ passed (zugelassen), b für blockiert,
+ S für short packet (unvollständiger
+ Header), n für no match (gar keine Regel
+ wurde berührt) und L für Log-Regel. Die Reihe, in der
+ die Flags angezeigt werden ist: S, p, b, n, L. Ein groß
+ geschriebenes P oder B bedeutet, dass das Paket aufgrund einer
+ globalen Einstellung protokolliert wurde und nicht wegen einer
+ einzelnen Regel.
+
+
+
+ Die Adressen. Diese bestehen aus drei Feldern: Der
+ Quelladresse mit Port (getrennt durch ein Komma), dem Symbol
+ -> und der Zieladresse. Also bspw.
+ 209.53.15.22,80 -> 198.64.221.18,1722.
+
+
+
+ PR gefolgt vom Namen eines
+ Netzwerk-Protokolls oder dessen Nummer. Bspw.
+ PR tcp.
+
+
+
+ len gefolgt von der Länge des Headers
+ und der Gesamtlänge des Paketes, beispielsweise
+ len 20 40.
+
+
+
+ Wenn es sich um ein TCP-Paket handelt, wird
+ ein weiteres Feld, beginnend mit einem Querstrich und gefolgt von
+ Buchstaben, die den gesetzten Flags entsprechen, angezeigt. Lesen
+ Sie bitte die Manpage &man.ipmon.8; für eine Liste der Buchstaben
+ und deren Bedeutungen.
+
+ Falls das Paket ein ICMP-Paket ist, werden zwei Felder am Ende
+ hinzugefügt - das erstere ist immer ICMP, das
+ zweite enthält die ICMP-Nachricht und den Nachrichtentyp,
+ getrennt durch einen Schrägstrich. ICMP 3/3
+ steht beispielsweise für Port nicht
+ erreichbar.
+
+
+
+ Die Erstellung eines Regelsatzes mit Variablen
+
+ Erfahrenere IPF Anwender erstellen sich eine Datei, die die
+ Regeln enthält und gestalten diese als ein Skript, in dem
+ Variablen verwendet werden. Der wichtigste Vorteil besteht darin,
+ dass man lediglich den Wert der Variablen anpassen muss und diese,
+ sobald das Skript gestartet wird, durch die entsprechenden Werte
+ ersetzt und die Regeln entsprechend formuliert werden. In Skripten
+ kann man so häufig verwendete Werte einfach als Variable in
+ mehreren Regeln zuweisen. Am folgenden Beispiel soll das
+ verdeutlicht werden.
+
+ Die Syntax dieses Skriptes ist kompatibel mit den Shells
+ &man.sh.1;, &man.csh.1; und &man.tcsh.1;.
+
+ Variablen beginnen mit einem Dollar-Zeichen:
+ $Variablenname. Im Beispiel unten steht
+ $oif für die Variable, in der der Name
+ der Schnittstelle abgelegt wird, über die der Verkehr nach
+ außen erfolgt.
+
+ In Variablenzuweisungen fehlt das beginnende $-Zeichen.
+ Alleine der Name der Variable wird angegeben, gefolgt von einem
+ Gleichheitszeichen, und dem Wert, der der Variablen zugewiesen werden
+ soll. Dieser muß in doppelten Anführungszeichen
+ (") stehen. Also folgt eine Zuweisung dem Schema
+ Variablenname = "Wert".
+
+ ############# Start of IPF rules script ########################
+
+oif="dc0" # Name der Internet-Schnittstelle
+odns="192.0.2.11" # IP des DNS-Servers unseres ISPs
+myip="192.0.2.7" # die statische IP, die uns der ISP zugeteilt hat
+ks="keep state"
+fks="flags S keep state"
+
+# Sie haben die Wahl, aus diesem Skript eine eigene
+# /etc/ipf.rules erstellen zu lassen oder es einfach
+# direkt als Skript laufen zu lassen.
+#
+# Entfernen Sie dazu das eine Kommentarzeichen
+# und kommentieren Sie die andere Zeile aus!
+#
+# 1) Diese Zeile verwenden Sie zur Erstellung von /etc/ipf.rules
+#cat > /etc/ipf.rules << EOF
+#
+# 2) Diese Zeile, wenn Sie direkt mit dem Skript arbeiten wollen
+/sbin/ipf -Fa -f - << EOF
+
+# Erlaubnis ausgehenden Verkehrs an den Nameserver des ISPs
+pass out quick on $oif proto tcp from any to $odns port = 53 $fks
+pass out quick on $oif proto udp from any to $odns port = 53 $ks
+
+# Erlaubnis ausgehenden unsicheren www-Verkehrs
+pass out quick on $oif proto tcp from $myip to any port = 80 $fks
+
+# Erlaubnis ausgehenden sicheren www-Verkehrs https via TLS SSL
+pass out quick on $oif proto tcp from $myip to any port = 443 $fks
+EOF
+################## End of IPF rules script ########################
+
+ Das ist schon alles. Die Regeln selbst sind im Beispiel nicht
+ so wichtig - achten Sie auf die Anwendung der Variablenzuweisung
+ am Anfang und die Verwendung der Variablen im Skript. Falls das
+ obige Beispiel in einer Datei namens
+ /etc/ipf.rules.script gespeichert wurde,
+ können die Regeln mit folgenden Kommando neu geladen
+ werden:
+
+ &prompt.root; sh /etc/ipf.rules.script
+
+ Es gibt ein Problem mit Regelsatz-Dateien, die Variablen
+ verwenden: IPF kann mit Variablen nichts anfangen - und kann derartige
+ Skripte nicht direkt einlesen.
+
+ Unser kleines Skript kann daher nur auf eine der beiden folgenden
+ Weisen verwendet werden:
+
+
+
+ Entfernen Sie das Kommentarzeichen der Zeile, die mit
+ cat beginnt. Kommentieren Sie die Zeile aus,
+ die mit /sbin/ipf beginnt. Schreiben Sie die
+ Zeile ipfilter_enable="YES" in die Datei
+ /etc/rc.conf und rufen Sie dann das Skript
+ auf, um /etc/ipf.rules zu erstellen oder
+ zu erneuern.
+
+
+
+ Deaktivieren Sie IPFILTER in den Systemstart-Skripten, indem
+ Sie die Zeile ipfilter_enable="NO" in die
+ Datei /etc/rc.conf eintragen (was auch der
+ Standard-Einstellung entspricht).
+
+ Fügen Sie ein Skript ähnlich dem folgenden in Ihr
+ Verzeichnis /usr/local/etc/rc.d/. Es
+ sinnvoll, dem Skript einen offensichtlichen Namen zu geben, wie
+ etwa ipf.loadrules.sh. Die Endung
+ .sh ist dabei verbindlich.
+
+ #!/bin/sh
+sh /etc/ipf.rules.script
+
+ Die Zugriffsrechte für die Datei, die das Skript
+ enthält, müssen für den Eigentümer
+ root auf Lesen, Schreiben und Ausführen
+ gesetzt werden.
+
+ &prompt.root; chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh
+
+
+
+ Wenn nun Ihr System startet, werden Ihre IPF-Regeln geladen.
+
+
+
+ IPF Regelsätze
+
+ Ein Regelsatz ist eine Gruppe von IPF-Regeln, die anhand der
+ Werte eines Netzwerkpaketes entscheiden, ob dieses Paket durchgelassen
+ oder blockiert wird. Der Austausch von Paketen erfolgt immer
+ zweiseitig in Form einer sogenannten Session. Der Regelsatz der
+ Firewall verarbeitet sowohl die eingehenden Pakete aus dem
+ öffentlichen Internet als auch die Pakete, die vom System als
+ Antwort auf die Ersteren gesendet werden. Jeder Dienst, der via
+ TCP/IP arbeitet, zum Beispiel
+ telnet, www oder
+ mail, ist vordefiniert durch sein Protokoll und
+ seinen privilegierten Port, an dem er auf Anfragen wartet und
+ reagieren kann. Pakete, die gezielt einen Dienst ansprechen sollen,
+ werden von einem unprivilegierten Port des Senders an einen konkreten
+ privilegierten Port des Zielsystems geschickt. Alle genannten
+ Parameter (Ports, Adressen usw.) können als Auswahlkriterien zum
+ erstellen von Regeln eingesetzt werden, die Dienste erlauben oder
+ blockieren.
+
+
+ IPFILTER
+
+ rule processing order
+
+
+ IPF wurde ursprünglich mit einer Regel-Prozeß-Logik
+ geschrieben, die ausschließlich statusfreie Regeln zuließ
+ und nach dem Prinzip die letzte Regel, die paßt,
+ entscheidet arbeitete. Mit der Zeit erhielt IPF eine
+ Option sowie Option
+ für die Anwendung von zustandsorientierten Regeln, was die
+ Regel-Prozeß-Logik signifikant modernisierte.
+
+ Die Anweisungen in diesem Kapitel basieren auf der Verwendung
+ von Regeln, die diese beiden neuen Optionen verarbeiten. Dies ist
+ das Framework zur Entwicklung eines Firewall-Regelsatzes.
+
+
+ Wenn Sie mit Firewall arbeiten, seien Sie
+ sehr vorsichtig. Durch wenige Einstellungen
+ können Sie sich aus Ihrem System
+ aussperren. Wenn Sie auf der sicheren Seite
+ sein wollen, führen Sie die Firewall-Konfiguration direkt am
+ entsprechenden Gerät aus und nicht über eine
+ Netzwerkverbindung wie bspw. ssh.
+
+
+
+
+ IPF Regel-Syntax
+
+
+ IPFILTER
+
+ rule syntax
+
+
+ Die Syntax zur Erstellung der Regeln, die hier vorgestellt wird,
+ ist dahingehend vereinfacht worden, dass sie ausschliesslich auf
+ den modernen Regelkontext, mit statusbehafteten Regeln und einer
+ die erste Regel, die paßt, gewinnt-Logik,
+ zurückgreift. Um alles über die veraltete Syntax zu
+ erfahren, lesen Sie bitte die Man-Page von &man.ipf.8;.
+
+ Ein #-Zeichen markiert den Beginn eines
+ Kommentars. Es darf nach nach einer Regel stehen oder als erstes
+ Zeichen einer Zeile. Leere Zeilen werden von der
+ Regel-Prozeß-Logik ignoriert.
+
+ Regeln enthalten Schlüsselwörter. Diese
+ Schlüsselwörter müssen in einer bestimmten Reihenfolge
+ von links nach rechts in einer Zeile erscheinen. Als solche
+ identifizierte Schlüsselwörter werden fett wiedergegeben.
+ Einige Schlüsselwörter haben Unteroptionen, die wiederum
+ selbst Schlüsselwörter sein und ebenfalls weiter
+ Unteroptionen einschließen können.
+
+
+
+
+ ACTION IN-OUT OPTIONS SELECTION STATEFUL PROTO
+ SRC_ADDR,DST_ADDR OBJECT PORT_NUM TCP_FLAG
+ STATEFUL
+
+ ACTION = block | pass
+
+ IN-OUT = in | out
+
+ OPTIONS = log | quick | on
+ interface-name
+
+ SELECTION = proto value |
+ source/destination IP | port = number | flags flag-value
+
+ PROTO = tcp/udp | udp | tcp |
+ icmp
+
+ SRC_ADD,DST_ADDR = all | from
+ object to object
+
+ OBJECT = IP address | any
+
+ PORT_NUM = port number
+
+ TCP_FLAG = S
+
+ STATEFUL = keep state
+
+
+ ACTION
+
+ Die ACTION bestimmt, was mit dem Paket passieren
+ soll, wenn der Rest der Regel zutrifft. Dieser Teil muß
+ für jede Regel angegeben werden.
+
+ Das Schlüsselwort block gibt an, dass
+ das Paket verfallen soll, wenn die Auswahlparameter zutreffen.
+
+ Das Schlüsselwort pass gibt an, dass
+ das Paket durch die Firewall durchgelassen werden soll, wenn die
+ Auswahlparameter zutreffen.
+
+
+
+ IN-OUT
+
+ Ebenfalls verbindlich ist die Angabe, welchen Teil der
+ Verbindung, Ein- oder Ausgang, die Regel beeinflussen soll. Das
+ nächste Schlüsselwort muß daher entweder
+ in, für eingehend, oder
+ out, für ausgehend, lauten - oder die Regel
+ wird aufgrund eines Syntaxfehlers nicht umgesetzt.
+
+ in bedeutet, dass diese Regel auf eingehende
+ Pakete angewendet wird, die gerade an der dem öffentlichen
+ Internet zugewandten Schnittstelle empfangen wurden.
+
+ out bedeutet, das diese Regel auf ausgehende
+ Pakete angewendet wird, also Pakete die gerade gesendet werden und
+ deren Zieladresse im öffentlichen Internet liegt.
+
+
+
+ OPTIONS
+
+
+ Die Optionen müssen in der hier aufgeführten
+ Reihenfolge verwendet werden.
+
+
+ log bestimmt, dass die Kopfdaten des Paketes
+ an die Systemschnittstelle &man.ipl.4; geschrieben werden sollen.
+ Genaueres dazu weiter unten im Abschnitt LOGGING.
+
+ quick bestimmt, dass,
+ wenn die Auswahlkriterien der Regel auf das
+ Paket zutreffen, keine weiteren Regeln ausgewertet werden. So
+ vermeidet man das Abarbeiten des gesamten Regelsatzes. Diese Option
+ ist eine verbindliche Vorraussetzung der modernen
+ Regel-Prozeß-Logik.
+
+ on bestimmt den Namen der Schnittstelle,
+ der als Auswahlkriterium hinzugefügt werden soll. Die Namen
+ aller verfügbaren Schnittstellen werden durch den Befehl
+ &man.ifconfig.8; angezeigt. wenn man diese Option verwendet,
+ paßt die Regeln nur auf Pakete, die durch diese Schnittstelle
+ empfangen (in) oder gesendet
+ (out) wurden. Für die modernisierte
+ Regel-Prozeß-Logik ist die Verwendung dieser Option
+ verbindlich.
+
+ Wenn ein Paket protokolliert wird, werden die Kopfdaten in
+ die Pseudo-Schnittstelle &man.ipl.4; geschrieben. Folgende Parameter
+ können zusätzlich übergeben werden, müssen dazu
+ aber direkt nach dem Schlüsselwort log und in
+ gleicher Reihenfolge stehen:
+
+ body bestimmt, dass die ersten 128 Bytes des
+ Paketinhaltes zusätzlich zu den Kopfdaten protokolliert
+ werden.
+
+ first trifft nur zu, wenn das
+ Schlüsselwort log zusammen mit
+ keep-state verwendet wird. Es bestimmt, dass nur
+ das auslösende Paket protokolliert wird und nicht jedes weitere
+ Paket, dass von der gespeicherten Status-Regel betroffen ist.
+
+
+
+ SELECTION
+
+ Die Schlüsselwörter, die in diesem Abschnitt
+ vorgestellt werden, dienen zur Beschreibung von Attributen, anhand
+ derer geprüft und entschieden wird, ob eine Regel zutrifft
+ oder nicht. Es gibt ein Schlüsselwort, und das hat mehrere
+ Optionen, von denen eine ausgewählt werden muß. Die
+ folgenden allgemeinen Attribute können beliebig zum Erstellen
+ einer Regel verwendet werden, allerdings nur in der vorgestellten
+ Reihenfolge:
+
+
+
+ PROTO
+
+ proto ist das Schlüsselwort für
+ das im Paket angewendete Protokoll. Als Option ein Protokoll aus
+ Auswahlkriterium übergeben. Diese Option ist verbindlich, wenn
+ man die moderne Regel-Prozeß-Logik verwendet.
+
+ tcp/udp | udp | tcp | icmp oder irgendein
+ Protokollname, der in der Datei /etc/protocols
+ zu finden ist, kann übergeben werden. Außerdem kann das
+ Schlüsselwort tcp/udp verwendet werden, wenn
+ sowohl TCP als auch UDP von der
+ Regel betroffen sein sollen. Dieses Schlüsselwort wurde
+ eingeführt, um Duplikate sonst identischer Regeln zu
+ vermeiden.
+
+
+
+ SRC_ADDR/DST_ADDR
+
+ Das Schlüsselwort all ist ein Synonym
+ für from any to any ohne weitere
+ Auswahlkriterien.
+
+ from src to dst: Die Schlüsselwörter
+ from und to dienen zur Angabe
+ von Quelle und Ziel in Form von IP-Adressen oder -Bereichen.
+ Innerhalb einer Regel muß immer beides angegeben werden.
+ Statt einer Adresse kann auch das Schlüsselwort
+ any übergeben werden, das für jede
+ beliebige IP-Adresse steht. Zum Beispiel:
+ from any to any oder
+ from 0.0.0.0/0 to any oder
+ from any to 0.0.0.0/0 oder
+ from 0.0.0.0 to any oder
+ from any to 0.0.0.0 bedeuten alle das
+ Gleiche.
+
+ IP-Bereiche können nur in der CIDR-Notation angegeben
+ werden. Der Port net-mgmt/ipcalc
+ hilft Ihnen bei der Berechnung der richtigen Angaben.
+ Weiterführende Informationen zu CIDR finden Sie auf der Webseite
+ von ipcalc.
+
+
+
+ PORT
+
+ Wenn ein Port als Auswahlkriterium übergeben wurde, bei
+ Quelle und/oder Ziel, wird er nur bei TCP und
+ UDP Paketen verwendet. Angegeben werden kann
+ entweder die Portnummer oder der Dienstname aus
+ /etc/services. Die Verwendung der
+ Portoption mit dem to-Objekt ist verbindlich
+ für die Verwendung der modernisierten Regel-Prozeß-Logik.
+ Ein Beispiel für die Filterung Paketen von allen Quell-IPs mit
+ beliebiger Portnummer auf beliebige Ziel-IPs mit der Portnummer 80
+ (dem www-Port):
+ from any to any port = 80.
+
+
+
+ Einfache Portvergleiche können auf verschiedenen Wegen
+ erfolgen. Mehrere Vergleichsoperatoren stehen dafür zur
+ Verfügung. Genauso können Bereiche angegeben
+ werden.
+
+ port "=" | "!=" | "<" | ">" | "<=" | ">=" | "eq"
+ | "ne" | "lt" | "gt" | "le" | "ge".
+
+ Um einen Bereich anzugeben: port "<>" | "><"
+
+
+ Genau wie die Trefferspezifikation für Quelle und Ziel
+ sind auch die beiden folgenden Parameter obligatorisch bei der
+ Verwendung der modernen Regel-Prozeß-Logik.
+
+
+
+
+ <acronym>TCP</acronym>_FLAG
+
+ Flags spielen nur beim Filtern von TCP eine
+ Rolle. Die Buchstaben entsprechen jeweils einem möglichen
+ Flag, dass in den Kopfdaten der TCP-Pakete
+ geprueft werden soll.
+
+ Die moderne Regel-Prozeß-Logik verwendet den Parameter
+ flags S um eine Anfrage zum Start einer
+ TCP-Session zu identifizieren.
+
+
+
+ STATEFUL
+
+ keep state zeigt bei einer Passage-Regel an,
+ dass für alle Pakete, die die Selektion erfolgreich durchlaufen,
+ Stateful Filtering eingerichtet werden
+ soll.
+
+
+ Diese Option ist obligatorisch für die Verwendung der
+ modernen Prozeß-Regel-Logik.
+
+
+
+
+
+ Stateful Filtering
+
+
+ IPFILTER
+
+ stateful filtering
+
+
+
+
+ Stateful filtering treats traffic as a bi-directional
+ exchange of packets comprising a session conversation. When
+ activated, keep-state dynamically generates internal rules for
+ each anticipated packet being exchanged during the
+ bi-directional session conversation. It has sufficient matching
+ capabilities to determine if the session conversation between the
+ originating sender and the destination are following the valid
+ procedure of bi-directional packet exchange. Any packets that
+ do not properly fit the session conversation template are
+ automatically rejected as impostors.
+
+ Keep state will also allow ICMP packets related to a
+ TCP or UDP session through. So if you get
+ ICMP type 3 code 4 in response to some web surfing allowed out
+ by a keep state rule, they will be automatically allowed in.
+ Any packet that IPF can be certain is part of an active
+ session, even if it is a different protocol, will be let
+ in.
+
+ What happens is:
+
+ Packets destined to go out through the interface connected to the
+ public Internet are first checked against the dynamic state
+ table. If the packet matches the next expected packet
+ comprising an active session conversation, then it exits the
+ firewall and the state of the session conversation flow is
+ updated in the dynamic state table. Packets that do not belong to
+ an already active session, are simply checked against the outbound
+ ruleset.
+
+ Packets coming in from the interface connected to the public
+ Internet are first checked against the dynamic state table. If
+ the packet matches the next expected packet comprising an
+ active session conversation, then it exits the firewall and
+ the state of the session conversation flow is updated in the
+ dynamic state table. Packets that do not belong to an already active
+ session, are simply checked against the inbound ruleset.
+
+ When the conversation completes it is removed from the
+ dynamic state table.
+
+ Stateful filtering allows you to focus on blocking/passing
+ new sessions. If the new session is passed, all its subsequent
+ packets will be allowed through automatically and any impostors
+ automatically rejected. If a new session is blocked, none of
+ its subsequent packets will be allowed through. Stateful
+ filtering has technically advanced matching abilities
+ capable of defending against the flood of different attack
+ methods currently employed by attackers.
+
+
+
+
+
+ Inclusive Ruleset Example
+
+ The following ruleset is an example of how to code a very
+ secure inclusive type of firewall. An inclusive firewall only
+ allows services matching pass rules through, and blocks all
+ others by default. Firewalls intended to protect other machines,
+ also called network firewalls, should have at least
+ two interfaces, which are generally configured to trust one side
+ (the LAN) and not the other (the public Internet). Alternatively,
+ a firewall might be configured to protect only the system it is
+ running on—this is called a
+ host based firewall, and is particularly appropriate
+ for servers on an untrusted network.
+
+ All &unix; flavored systems including &os; are designed to
+ use interface lo0 and IP address
+ 127.0.0.1 for internal
+ communication within the operating system. The firewall rules
+ must contain rules to allow free unmolested movement of these
+ special internally used packets.
+
+ The interface which faces the public Internet is the one
+ to place the rules that authorize and control access of the outbound
+ and inbound connections. This can be your user PPP
+ tun0 interface or your NIC that is
+ connected to your DSL or cable modem.
+
+ In cases where one or more NICs are cabled to private network
+ segments, those interfaces may require rules to allow packets
+ originating from those LAN interfaces transit to each other and/or
+ to the outside (Internet).
+
+ The rules should be organized into three major
+ sections: first trusted interfaces, then the public
+ interface outbound, and last the public untrusted interface inbound.
+
+ The rules in each of the public interface sections should
+ have the most frequently matched rules placed before less
+ commonly matched rules, with the last rule in the section
+ blocking and logging all packets on that interface and
+ direction.
+
+ The Outbound section in the following ruleset only
+ contains pass rules which contain selection values that
+ uniquely identify the service that is authorized for public
+ Internet access. All the rules have the quick, on,
+ proto, port, and keep state options set. The proto
+ tcp rules have the flag option included to identify the
+ session start request as the triggering packet to activate the
+ stateful facility.
+
+ The Inbound section has all the blocking of undesirable
+ packets first, for two different reasons. The first is that
+ malicious packets may be partial matches for legitimate traffic.
+ These packets have to be discarded rather than allowed in, based on
+ their partial matches against allow rules.
+ The second reason is that known and uninteresting rejects may be
+ blocked silently, rather than being caught and logged by the last
+ rules in the section. The final rule in each section, blocks and
+ logs all packets and can be used to create the legal evidence needed
+ to prosecute the people who are attacking your system.
+
+ Another thing that should be taken care of, is to ensure there is no
+ response returned for any of the undesirable traffic. Invalid
+ packets should just get dropped and vanish. This way the attacker
+ has no knowledge if his packets have reached your system. The
+ less the attackers can learn about your system, the more
+ time they must invest before actually doing something bad.
+ Rules that include a log first option, will only
+ log the event the first time they are triggered. This option is
+ included in the sample nmap OS fingerprint rule.
+ The security/nmap utility is
+ commonly used by attackers who attempt to identify the operating
+ system of your server.
+
+ Any time there are logged messages on a rule with
+ the log first option, an ipfstat -hio
+ command should be executed to evaluate how many times the rule has
+ actually matched. Large number of matches usually indicate that the
+ system is being flooded (i.e.: under attack).
+
+ The /etc/services file may be used to
+ lookup unknown port numbers. Alternatively,
+ visit
+ and do a port number lookup to find the purpose of a particular
+ port number.
+
+ Check out this link for port numbers used by Trojans .
+
+ The following ruleset creates a complete and very secure
+ inclusive type of firewall ruleset that has been
+ tested on production systems. It can be easily modified for your
+ own system. Just comment out any pass rules for
+ services that should not be authorized.
+
+ To avoid logging unwanted messages,
+ just add a block rule in the inbound section.
+
+ The dc0 interface name has to be changed
+ in every rule to the real interface name of the NIC
+ card that connects your system to the public Internet. For
+ user PPP it would be tun0.
+
+ Add the following statements to
+ /etc/ipf.rules:
+
+ #################################################################
+# No restrictions on Inside LAN Interface for private network
+# Not needed unless you have LAN
+#################################################################
+
+#pass out quick on xl0 all
+#pass in quick on xl0 all
+
+#################################################################
+# No restrictions on Loopback Interface
+#################################################################
+pass in quick on lo0 all
+pass out quick on lo0 all
+
+#################################################################
+# Interface facing Public Internet (Outbound Section)
+# Match session start requests originating from behind the
+# firewall on the private network
+# or from this gateway server destined for the public Internet.
+#################################################################
+
+# Allow out access to my ISP's Domain name server.
+# xxx must be the IP address of your ISP's DNS.
+# Dup these lines if your ISP has more than one DNS server
+# Get the IP addresses from /etc/resolv.conf file
+pass out quick on dc0 proto tcp from any to xxx port = 53 flags S keep state
+pass out quick on dc0 proto udp from any to xxx port = 53 keep state
+
+# Allow out access to my ISP's DHCP server for cable or DSL networks.
+# This rule is not needed for 'user ppp' type connection to the
+# public Internet, so you can delete this whole group.
+# Use the following rule and check log for IP address.
+# Then put IP address in commented out rule & delete first rule
+pass out log quick on dc0 proto udp from any to any port = 67 keep state
+#pass out quick on dc0 proto udp from any to z.z.z.z port = 67 keep state
+
+
+# Allow out non-secure standard www function
+pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
+
+# Allow out secure www function https over TLS SSL
+pass out quick on dc0 proto tcp from any to any port = 443 flags S keep state
+
+# Allow out send & get email function
+pass out quick on dc0 proto tcp from any to any port = 110 flags S keep state
+pass out quick on dc0 proto tcp from any to any port = 25 flags S keep state
+
+# Allow out Time
+pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state
+
+# Allow out nntp news
+pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state
+
+# Allow out gateway & LAN users' non-secure FTP ( both passive & active modes)
+# This function uses the IPNAT built in FTP proxy function coded in
+# the nat rules file to make this single rule function correctly.
+# If you want to use the pkg_add command to install application packages
+# on your gateway system you need this rule.
+pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
+
+# Allow out ssh/sftp/scp (telnet/rlogin/FTP replacements)
+# This function is using SSH (secure shell)
+pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
+
+# Allow out insecure Telnet
+pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
+
+# Allow out FreeBSD CVSup
+pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
+
+# Allow out ping to public Internet
+pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state
+
+# Allow out whois from LAN to public Internet
+pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
+
+# Block and log only the first occurrence of everything
+# else that's trying to get out.
+# This rule implements the default block
+block out log first quick on dc0 all
+
+#################################################################
+# Interface facing Public Internet (Inbound Section)
+# Match packets originating from the public Internet
+# destined for this gateway server or the private network.
+#################################################################
+
+# Block all inbound traffic from non-routable or reserved address spaces
+block in quick on dc0 from 192.168.0.0/16 to any #RFC 1918 private IP
+block in quick on dc0 from 172.16.0.0/12 to any #RFC 1918 private IP
+block in quick on dc0 from 10.0.0.0/8 to any #RFC 1918 private IP
+block in quick on dc0 from 127.0.0.0/8 to any #loopback
+block in quick on dc0 from 0.0.0.0/8 to any #loopback
+block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto-config
+block in quick on dc0 from 192.0.2.0/24 to any #reserved for docs
+block in quick on dc0 from 204.152.64.0/23 to any #Sun cluster interconnect
+block in quick on dc0 from 224.0.0.0/3 to any #Class D & E multicast
+
+##### Block a bunch of different nasty things. ############
+# That I do not want to see in the log
+
+# Block frags
+block in quick on dc0 all with frags
+
+# Block short tcp packets
+block in quick on dc0 proto tcp all with short
+
+# block source routed packets
+block in quick on dc0 all with opt lsrr
+block in quick on dc0 all with opt ssrr
+
+# Block nmap OS fingerprint attempts
+# Log first occurrence of these so I can get their IP address
+block in log first quick on dc0 proto tcp from any to any flags FUP
+
+# Block anything with special options
+block in quick on dc0 all with ipopts
+
+# Block public pings
+block in quick on dc0 proto icmp all icmp-type 8
+
+# Block ident
+block in quick on dc0 proto tcp from any to any port = 113
+
+# Block all Netbios service. 137=name, 138=datagram, 139=session
+# Netbios is MS/Windows sharing services.
+# Block MS/Windows hosts2 name server requests 81
+block in log first quick on dc0 proto tcp/udp from any to any port = 137
+block in log first quick on dc0 proto tcp/udp from any to any port = 138
+block in log first quick on dc0 proto tcp/udp from any to any port = 139
+block in log first quick on dc0 proto tcp/udp from any to any port = 81
+
+# Allow traffic in from ISP's DHCP server. This rule must contain
+# the IP address of your ISP's DHCP server as it's the only
+# authorized source to send this packet type. Only necessary for
+# cable or DSL configurations. This rule is not needed for
+# 'user ppp' type connection to the public Internet.
+# This is the same IP address you captured and
+# used in the outbound section.
+pass in quick on dc0 proto udp from z.z.z.z to any port = 68 keep state
+
+# Allow in standard www function because I have apache server
+pass in quick on dc0 proto tcp from any to any port = 80 flags S keep state
+
+# Allow in non-secure Telnet session from public Internet
+# labeled non-secure because ID/PW passed over public Internet as clear text.
+# Delete this sample group if you do not have telnet server enabled.
+#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
+
+# Allow in secure FTP, Telnet, and SCP from public Internet
+# This function is using SSH (secure shell)
+pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
+
+# Block and log only first occurrence of all remaining traffic
+# coming into the firewall. The logging of only the first
+# occurrence avoids filling up disk with Denial of Service logs.
+# This rule implements the default block.
+block in log first quick on dc0 all
+################### End of rules file #####################################
+
+
+
+ <acronym>NAT</acronym>
+
+ NAT
+
+
+ IP masquerading
+
+ NAT
+
+
+
+ network address translation
+
+ NAT
+
+
+ NAT stands for Network Address
+ Translation. To those familiar with &linux;, this concept is
+ called IP Masquerading; NAT and IP
+ Masquerading are the same thing. One of the many things the
+ IPF NAT function enables is the ability to
+ have a private Local Area Network (LAN) behind the firewall
+ sharing a single ISP assigned IP address on the public
+ Internet.
+
+ You may ask why would someone want to do this. ISPs
+ normally assign a dynamic IP address to their non-commercial
+ users. Dynamic means that the IP address can be different each
+ time you dial in and log on to your ISP, or for cable and DSL
+ modem users, when the modem is power cycled. This dynamic IP
+ address is used to identify your system to the public Internet.
+
+ Now lets say you have five PCs at home and each one needs
+ Internet access. You would have to pay your ISP for an
+ individual Internet account for each PC and have five phone
+ lines.
+
+ With NAT only a single account is needed
+ with your ISP. The other four PCs may then be cabled to a switch and
+ the switch to the NIC in your &os; system which is going to
+ service your LAN as a gateway. NAT will
+ automatically translate the private LAN IP address for each
+ separate PC on the LAN to the single public IP address as it
+ exits the firewall bound for the public Internet. It also does
+ the reverse translation for returning packets.
+
+ There is a special range of IP addresses reserved for
+ NATed private LANs. According to
+ RFC 1918, the following IP ranges may be used for private nets
+ which will never be routed directly to the public
+ Internet:
+
+
+
+
+
+
+
+
+
+
+
+ Start IP 10.0.0.0
+
+ -
+
+ Ending IP 10.255.255.255
+
+
+
+ Start IP 172.16.0.0
+
+ -
+
+ Ending IP 172.31.255.255
+
+
+
+ Start IP 192.168.0.0
+
+ -
+
+ Ending IP 192.168.255.255
+
+
+
+
+
+
+
+ IP<acronym>NAT</acronym>
+
+
+ NAT
+
+ and IPFILTER
+
+
+ ipnat
+
+ NAT rules are loaded by using the
+ ipnat command. Typically the
+ NAT rules are stored in
+ /etc/ipnat.rules. See &man.ipnat.1; for
+ details.
+
+ When changing the NAT rules after
+ NAT has been started, make your changes to
+ the file containing the NAT rules, then run the ipnat command with
+ the flags to delete the internal in use
+ NAT rules and flush the contents of the
+ translation table of all active entries.
+
+ To reload the NAT rules issue a command
+ like this:
+
+ &prompt.root; ipnat -CF -f /etc/ipnat.rules
+
+ To display some statistics about your
+ NAT, use this command:
+
+ &prompt.root; ipnat -s
+
+ To list the NAT table's current
+ mappings, use this command:
+
+ &prompt.root; ipnat -l
+
+ To turn verbose mode on, and display information relating
+ to rule processing and active rules/table entries:
+
+ &prompt.root; ipnat -v
+
+
+
+ IP<acronym>NAT</acronym> Rules
+
+ NAT rules are very flexible and can
+ accomplish many different things to fit the needs of commercial
+ and home users.
+
+ The rule syntax presented here has been simplified to what
+ is most commonly used in a non-commercial environment. For a
+ complete rule syntax description see the &man.ipnat.5; manual
+ page.
+
+ The syntax for a NAT rule looks
+ something like this:
+
+ map IFLAN_IP_RANGE -> PUBLIC_ADDRESS
+
+ The keyword map starts the rule.
+
+ Replace IF with the external
+ interface.
+
+ The LAN_IP_RANGE is what your
+ internal clients use for IP Addressing, usually this is
+ something like 192.168.1.0/24.
+
+ The PUBLIC_ADDRESS can either
+ be the external IP address or the special keyword
+ 0/32, which means to use the IP address
+ assigned to IF.
+
+
+
+ How <acronym>NAT</acronym> works
+
+ A packet arrives at the firewall from the LAN with a public
+ destination. It passes through the outbound filter rules,
+ NAT gets its turn at the packet and applies
+ its rules top down, first matching rule wins.
+ NAT tests each of its rules against the
+ packet's interface name and source IP address. When a packet's
+ interface name matches a NAT rule then the
+ source IP address (i.e.: private LAN IP address) of the packet
+ is checked to see if it falls within the IP address range
+ specified to the left of the arrow symbol on the
+ NAT rule. On a match the packet has its
+ source IP address rewritten with the public IP address
+ obtained by the 0/32 keyword.
+ NAT posts an entry in its internal
+ NAT table so when the packet returns from
+ the public Internet it can be mapped back to its original
+ private IP address and then passed to the filter rules for
+ processing.
+
+
+
+ Enabling IP<acronym>NAT</acronym>
+
+ To enable IPNAT add these statements to
+ /etc/rc.conf.
+
+ To enable your machine to route traffic between
+ interfaces:
+
+ gateway_enable="YES"
+
+ To start IPNAT automatically each
+ time:
+
+ ipnat_enable="YES"
+
+ To specify where to load the IPNAT rules
+ from:
+
+ ipnat_rules="/etc/ipnat.rules"
+
+
+
+ <acronym>NAT</acronym> for a very large LAN
+
+ For networks that have large numbers of PC's on the LAN or
+ networks with more than a single LAN, the process of funneling
+ all those private IP addresses into a single public IP address
+ becomes a resource problem that may cause problems with the
+ same port numbers being used many times across many
+ NATed LAN PC's, causing collisions. There
+ are two ways to relieve this resource problem.
+
+
+ Assigning Ports to Use
+
+
+
+
+ A normal NAT rule would look like:
+
+ map dc0 192.168.1.0/24 -> 0/32
+
+ In the above rule the packet's source port is unchanged
+ as the packet passes through IPNAT. By
+ adding the portmap keyword,
+ IPNAT can be directed to only use source ports in the specified range.
+ For example the following rule will tell
+ IPNAT to modify the source port to be
+ within the range shown:
+
+ map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp 20000:60000
+
+ Additionally we can make things even easier by using the
+ auto keyword to tell
+ IPNAT to determine by itself which ports
+ are available to use:
+
+ map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
+
+
+
+ Using a Pool of Public Addresses
+
+ In very large LANs there comes a point where there are just too
+ many LAN addresses to fit into a single public address. If a block
+ of public IP addresses is available, these addresses can be used as
+ a pool, and IPNAT may pick one of
+ the public IP addresses as packet-addresses are mapped on their way
+ out.
+
+ For example, instead of mapping all packets through a single
+ public IP address, as in:
+
+ map dc0 192.168.1.0/24 -> 204.134.75.1
+
+ A range of public IP addresses can be specified either with a
+ netmask:
+
+ map dc0 192.168.1.0/24 -> 204.134.75.0/255.255.255.0
+
+ or using CIDR notation:
+
+ map dc0 192.168.1.0/24 -> 204.134.75.0/24
+
+
+
+
+ Port Redirection
+
+ A very common practice is to have a web server, email
+ server, database server and DNS server each segregated to a
+ different PC on the LAN. In this case the traffic from these
+ servers still have to be NATed, but there
+ has to be some way to direct the inbound traffic to the
+ correct LAN PCs. IPNAT has the redirection
+ facilities of NAT to solve this problem.
+ For example, assuming a web server operating on LAN address 10.0.10.25 and using a single public IP
+ address of 20.20.20.5 the rule would
+ be coded as follows:
+
+ rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80
+
+ or:
+
+ rdr dc0 0.0.0.0/0 port 80 -> 10.0.10.25 port 80
+
+ or for a LAN DNS Server on LAN address of 10.0.10.33 that needs to receive
+ public DNS requests:
+
+ rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp
+
+
+
+ FTP and <acronym>NAT</acronym>
+
+ FTP is a dinosaur left over from the time before the
+ Internet as it is known today, when research universities were
+ leased lined together and FTP was used to share files among
+ research Scientists. This was a time when data security was
+ not a consideration. Over the years the FTP protocol became
+ buried into the backbone of the emerging Internet and its
+ username and password being sent in clear text was never
+ changed to address new security concerns. FTP has two flavors,
+ it can run in active mode or passive mode. The difference is
+ in how the data channel is acquired. Passive mode is more
+ secure as the data channel is acquired by the ordinal ftp
+ session requester. For a real good explanation of FTP and the
+ different modes see .
+
+
+ IP<acronym>NAT</acronym> Rules
+
+ IPNAT has a special built in FTP proxy
+ option which can be specified on the NAT
+ map rule. It can monitor all outbound packet traffic for FTP
+ active or passive start session requests and dynamically
+ create temporary filter rules containing only the port number
+ really in use for the data channel. This eliminates the
+ security risk FTP normally exposes the firewall to from
+ having large ranges of high order port numbers open.
+
+ This rule will handle all the traffic for the internal
+ LAN:
+
+ map dc0 10.0.10.0/29 -> 0/32 proxy port 21 ftp/tcp
+
+ This rule handles the FTP traffic from the
+ gateway:
+
+ map dc0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
+
+ This rule handles all non-FTP traffic from the internal
+ LAN:
+
+ map dc0 10.0.10.0/29 -> 0/32
+
+ The FTP map rule goes before our regular map rule. All
+ packets are tested against the first rule from the top.
+ Matches on interface name, then private LAN source IP
+ address, and then is it a FTP packet. If all that matches
+ then the special FTP proxy creates temp filter rules to let
+ the FTP session packets pass in and out, in addition to also
+ NATing the FTP packets. All LAN packets
+ that are not FTP do not match the first rule and fall
+ through to the third rule and are tested, matching on
+ interface and source IP, then are
+ NATed.
+
+
+
+ IP<acronym>NAT</acronym> FTP Filter Rules
+
+ Only one filter rule is needed for FTP if the
+ NAT FTP proxy is used.
+
+ Without the FTP Proxy, the following three rules will be
+ needed:
+
+ # Allow out LAN PC client FTP to public Internet
+# Active and passive modes
+pass out quick on rl0 proto tcp from any to any port = 21 flags S keep state
+
+# Allow out passive mode data channel high order port numbers
+pass out quick on rl0 proto tcp from any to any port > 1024 flags S keep state
+
+# Active mode let data channel in from FTP server
+pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state
+
+
@@ -571,3 +2186,5 @@ options ALTQ_NOPCC # Wird von SMP benötigt
sgml-parent-document: ("../book.sgml" "part" "chapter")
End:
-->
+
+
diff --git a/de_DE.ISO8859-1/books/handbook/install/chapter.sgml b/de_DE.ISO8859-1/books/handbook/install/chapter.sgml
index 60dd7448d3..5dfd2f1ff7 100644
--- a/de_DE.ISO8859-1/books/handbook/install/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/install/chapter.sgml
@@ -2,8 +2,8 @@
The FreeBSD Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/install/chapter.sgml,v 1.104 2011/07/25 15:20:16 bcr Exp $
- basiert auf: 1.426
+ $FreeBSDde: de-docproj/books/handbook/install/chapter.sgml,v 1.105 2011/10/08 16:31:26 jkois Exp $
+ basiert auf: 1.429
-->
@@ -39,7 +39,8 @@
- &os; installieren
+ &os; 8.<replaceable>X</replaceable> (und älter)
+ installierenÜbersicht
@@ -58,12 +59,15 @@
-->
- &os; wird mit dem textorientierten Programm
- sysinstall installiert. Distributoren
- können ein anderes Installationsprogramm verwenden,
- voreingestellt ist jedoch sysinstall.
- Dieses Kapitel zeigt Ihnen, wie Sie mithilfe von
- sysinstall &os; installieren.
+ &os; wird mit dem textorientierten und einfach zu benutzendem
+ Installationsprogramm installiert. Beginnend mit
+ &os; 9.0-RELEASE handelt es sich dabei um das Programm
+ bsdinstall. Ältere &os;-Versionen
+ verwenden hingegen nach wie vor sysinstall
+ für die Installation. Dieses Kapitel beschreibt die
+ Installation von &os; über sysinstall.
+ Der Einsatz von bsdinstall wird hingegen
+ in besprochen.Dieses Kapitel behandelt folgende Punkte:
@@ -729,13 +733,6 @@
Das Image mit &man.dd.1; auf den Stick schreiben
- Setzen Sie die sysctl-Variable
- kern.geom.debugflags, damit Sie einen
- Master Boot Record auf
- das Zielgerät schreiben können.
-
- &prompt.root; sysctl kern.geom.debugflags=16
-
Bei der .img-Datei handelt es sich
nicht um eine normale Datei, die Sie
einfach auf den Stick kopieren können. Vielmehr handelt
@@ -743,6 +740,13 @@
Sie mit &man.dd.1; direkt auf den USB-Stick schreiben müssen:&prompt.root; dd if=&os;-&rel.current;-RELEASE-&arch.i386;-memstick.img of=/dev/da0 bs=64k
+
+ Wird dabei die Fehlermeldung
+ Operation not permitted
+ angezeigt, stellen Sie bitte sicher, dass das Zielgerät
+ nicht verwendet, manuell eingehängt oder von einem
+ Systemprogramm automatisch eingehängt wurde. Dann
+ versuchen Sie es erneut.
diff --git a/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml b/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml
index e1cccf4764..d2cf8a8760 100644
--- a/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml
+++ b/de_DE.ISO8859-1/books/handbook/kernelconfig/chapter.sgml
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/handbook/kernelconfig/chapter.sgml,v 1.114 2011/09/03 15:33:33 bcr Exp $
- basiert auf: 1.198
+ $FreeBSDde: de-docproj/books/handbook/kernelconfig/chapter.sgml,v 1.115 2011/10/08 17:32:27 jkois Exp $
+ basiert auf: 1.199
-->
@@ -259,7 +259,7 @@ ath_hal(4) - Atheros Hardware Access Layer (HAL)
Manualpage:
Alternatively, to load the driver as a module at boot time, place the
-following line in &man.loader.conf.5:
+following line in &man.loader.conf.5;:
if_ath_load="YES"
@@ -1069,7 +1069,7 @@ device asr # DPT SmartRAID V, VI and Adaptec SCSI RAID
device ciss # Compaq Smart RAID 5*
device dpt # DPT Smartcache III, IV - See NOTES for options
device hptmv # Highpoint RocketRAID 182x
-device rr232x # Highpoint RocketRAID 232x
+device hptrr # Highpoint RocketRAID 17xx, 22xx, 23xx, 25xx
device iir # Intel Integrated RAID
device ips # IBM (Adaptec) ServeRAID
device mly # Mylex AcceleRAID/eXtremeRAID
diff --git a/de_DE.ISO8859-1/books/porters-handbook/Makefile b/de_DE.ISO8859-1/books/porters-handbook/Makefile
index a7382ee9f4..2baebb1b1d 100644
--- a/de_DE.ISO8859-1/books/porters-handbook/Makefile
+++ b/de_DE.ISO8859-1/books/porters-handbook/Makefile
@@ -1,7 +1,8 @@
-#
+#
# $FreeBSD$
-# $FreeBSDde: de-docproj/books/porters-handbook/Makefile,v 1.3 2007/07/23 17:53:00 jkois Exp $
-# Build the FreeBSD Porter's Handbook.
+# $FreeBSDde: de-docproj/books/porters-handbook/Makefile,v 1.4 2011/10/08 11:40:27 jkois Exp $
+# Das FreeBSD Porter's Handbook bauen.
+# Basiert auf: 1.9
#
MAINTAINER=doc@FreeBSD.org
@@ -13,7 +14,7 @@ FORMATS?= html-split
INSTALL_COMPRESSED?= gz
INSTALL_ONLY_COMPRESSED?=
-#
+#
# SRCS lists the individual SGML files that make up the document. Changes
# to any of these files will force a rebuild
#
@@ -36,6 +37,17 @@ IMAGES_LIB+= callouts/7.png
IMAGES_LIB+= callouts/8.png
IMAGES_LIB+= callouts/9.png
IMAGES_LIB+= callouts/10.png
+IMAGES_LIB+= callouts/11.png
+IMAGES_LIB+= callouts/12.png
+IMAGES_LIB+= callouts/13.png
+IMAGES_LIB+= callouts/14.png
+IMAGES_LIB+= callouts/15.png
+IMAGES_LIB+= callouts/16.png
+IMAGES_LIB+= callouts/17.png
+IMAGES_LIB+= callouts/18.png
+IMAGES_LIB+= callouts/19.png
+IMAGES_LIB+= callouts/20.png
+IMAGES_LIB+= callouts/21.png
URL_RELPREFIX?= ../../../..
DOC_PREFIX?= ${.CURDIR}/../../..
diff --git a/de_DE.ISO8859-1/books/porters-handbook/book.sgml b/de_DE.ISO8859-1/books/porters-handbook/book.sgml
index 0d839cea7d..a485485890 100644
--- a/de_DE.ISO8859-1/books/porters-handbook/book.sgml
+++ b/de_DE.ISO8859-1/books/porters-handbook/book.sgml
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD$
- $FreeBSDde: de-docproj/books/porters-handbook/book.sgml,v 1.237 2011/08/31 18:34:34 jkois Exp $
- basiert auf: 1.1109
+ $FreeBSDde: de-docproj/books/porters-handbook/book.sgml,v 1.241 2011/10/08 16:18:17 jkois Exp $
+ basiert auf: 1.1117
-->
<makevar>LATEST_LINK</makevar>
+ Die Umgebungsvariable LATEST_LINK wird
+ während der Paketerstellung verwendet, um einen Kurznamen
+ festzulegen, der danach von pkg_add -r genutzt
+ werden kann. Dadurch wird es beispielsweise möglich, die
+ aktuelle Perl-Version durch einen einfachen Aufruf von
+ pkg_add -r perl zu installieren (ohne die
+ Angabe der korrekten Versionsnummer). Dieser Name muss eindeutig
+ sowie offensichtlich sein.
+
In einigen Fällen können mehrere Versionen
einer Applikation gleichzeitig in der Ports-Sammlung sein.
Das index build- und das package build-System müssen
@@ -1293,10 +1302,13 @@ PORTEPOCH= 1
LATEST_LINK auf einen unterschiedlichen
Wert für alle Ports gesetzt werden mit Ausnahme des
Haupt-Ports. Beispiele hierfür sind die
- editors/vim5 und
- editors/vim-Ports und die
- www/apache*-Familie. Beachten Sie
- bitte, dass die Frage der Auswahl der
+ lang/gcc46 und
+ lang/gcc-Ports und die
+ www/apache*-Familie. Wenn Sie die
+ Umgebungsvariable NO_LATEST_LINK setzen, wird
+ kein Link erzeugt, was für alle Versionen (aber nicht für
+ die Hauptversion) nützlich sein kann. Beachten
+ Sie bitte, dass die Frage der Auswahl der
wichtigsten Version
(am populärsten,
am besten Unterstützt,
@@ -5210,7 +5222,7 @@ PORTVERSION= 1.0
Beispiel), oder durch einen Shell-Wrapper, der
LD_LIBRARY_PATH setzt, bevor er die
Binärdatei ausführt, wie es www/mozilla tut.
+ role="package">www/seamonkey tut.
Wenn Sie 32-Bit Libraries auf 64-Bit Systemen
installieren, benutzen Sie stattdessen
@@ -6989,7 +7001,7 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
Java-Versionen für den Port. Ein optionales
"+" ermöglicht die Angabe eines
Bereiches von Versionen (mögliche Werte:
- 1.1[+] 1.2[+] 1.3[+] 1.4[+] 1.5[+] 1.6[+]).
+ 1.5[+] 1.6[+] 1.7[+]).
@@ -7003,8 +7015,7 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
JAVA_VENDORDurch Leerzeichen getrennte Liste von geeigneten
JDK-Port-Anbietern für den Port. (erlaubte Werte:
- freebsd bsdjava sun blackdown
- openjdk).
+ freebsd bsdjava sun openjdk).
@@ -7027,26 +7038,6 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
JDK-Port zu den Extract-Abhängigkeiten des Ports
hinzugefügt werden soll.
-
-
- USE_JIKES
- Legt fest, ob der Port den jikes
- Bytecode-Compiler zum Kompilieren benutzen soll. Wenn
- kein Wert für diese Variable gesetzt ist, wird der
- Port jikes für die Kompilierung
- benutzen– falls vorhanden. Sie können
- die Benutzung von jikes auch
- ausdrücklich verbieten oder erzwingen (durch
- Setzen auf 'no' oder
- 'yes'). Im letzteren Fall wird
- devel/jikes zu den
- Build-Abhängigkeiten des Ports hinzugefügt.
- In jedem Fall wird, wenn jikes
- tatsächlich statt javac zur
- Kompilierung benutzt wird, die Variable
- HAVE_JIKES von
- bsd.java.mk definiert.
-
@@ -7071,13 +7062,13 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
JAVA_PORTDer Name des JDK-Ports (z.B.
- 'java/jdk14').
+ 'java/diablo-jdk16').
JAVA_PORT_VERSIONDie volle Version des JDK Ports (z.B.
- '1.4.2'). Wenn Sie nur die ersten
+ '1.6.0'). Wenn Sie nur die ersten
beiden Stellen dieser Versionsnummer benötigen,
benutzen Sie
${JAVA_PORT_VERSION:C/^([0-9])\.([0-9])(.*)$/\1.\2/}.
@@ -7086,20 +7077,20 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
JAVA_PORT_OSDas vom JDK-Port benutzte Betriebssystem (z.B.
- 'linux').
+ 'native').
JAVA_PORT_VENDORDer Anbieter des JDK-Ports (z.B.
- 'sun').
+ 'freebsd').
JAVA_PORT_OS_DESCRIPTIONBeschreibung des vom JDK-Port benutzten
Betriebssystems (z.B.
- 'Linux').
+ 'Native').
@@ -7111,38 +7102,34 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
JAVA_HOMEPfad zum Installationsverzeichnis des JDK (z.B.
- '/usr/local/jdk1.3.1').
+ '/usr/local/diablo-jdk1.6.0').
JAVACPfad zum Java-Compiler, der benutzt werden soll
- (z.B.
- '/usr/local/jdk1.3.1/bin/javac' oder
- '/usr/local/bin/jikes').
+ (z.B. '/usr/local/diablo-jdk1.6.0/bin/javac'.
JARPfad zum jar-Werkzeug, das
- benutzt werden soll (z.B.
- '/usr/local/jdk1.3.1/bin/jar' oder
+ benutzt werden soll
+ (z.B.''/usr/local/diablo-jdk1.6.0/bin/jar oder
'/usr/local/bin/fastjar').APPLETVIEWERPfad zum appletviewer-Werkzeug
- (z.B.
- '/usr/local/linux-jdk1.3.1/bin/appletviewer').
+ (z.B. '/usr/local/diablo-jdk1.6.0/bin/appletviewer').
JAVAPfad zur java Binärdatei.
Benutzen Sie dies, um Java-Programme auszuführen
- (z.B.
- '/usr/local/jdk1.3.1/bin/java').
+ (z.B.'/usr/local/diablo-jdk1.6.0/bin/java').
@@ -7205,13 +7192,6 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
Pfad zum Archiv, das die JDK-Klassendateien
enthält, ${JAVA_HOME}/jre/lib/rt.jar.
-
-
- HAVE_JIKES
- Ist dann gesetzt, wenn jikes
- vom Port benutzt wird (s. USE_JIKES
- oben).
-
@@ -7282,12 +7262,6 @@ QT_COMPONENTS= qmake_build moc_build rcc_build uic_build
ALL_TARGET aufruft. Das ähnelt dem
USE_GMAKE-Mechanismus, der in dokumentiert ist.
-
- Wenn jikes anstelle von
- javac benutzt wird (siehe
- USE_JIKES in ), dann wird Ant es automatisch
- benutzen, um den Port zu kompilieren.
@@ -9780,9 +9754,8 @@ GROUPS= pulse pulse-access pulse-rt
Weg, wie Sie feststellen können, ob der Benutzer die
Kernelsourcen installiert hat:
- SRC_BASE?= /usr/src
+ .if !exists(${SRC_BASE}/sys/Makefile)
-.if !exists(${SRC_BASE}/sys/Makefile)
IGNORE= requires kernel sources to be installed
.endif
@@ -10649,7 +10622,9 @@ as .putsy.conf and edit it.
&prompt.user; /usr/bin/diff dateiname.orig dateiname > dateiname.diff
- Soll mehr als eine Datei gepatcht werden, kopieren Sie den
+ Soll mehr als eine Datei gepatcht werden, können Sie
+ entweder cvs diff verwenden (siehe dazu ) oder Sie kopieren
den kompletten Port in ein neues Verzeichnis und speichern die
Ausgabe des rekursiven &man.diff.1; auf das neue und alte
Portverzeichniss (wenn Ihr verändertes Portverzeichnis z.B.
@@ -10726,10 +10701,142 @@ as .putsy.conf and edit it.
Ihre Änderungen nachzuvollziehen.
- Nun, da Sie all das geschafft haben, werden Sie in nachlesen können, wie Sie den Port
+ Nun, da Sie all das geschafft haben, können Sie in nachlesen, wie Sie den Port
aktuell halten.
+
+ Patches mit CVS erstellen
+
+ Wenn möglich, sollten Sie stets eine &man.cvs.1;-Differenz
+ einreichen. Diese sind leichter zu bearbeiten als Differenzen
+ zwischen neuen und alten Verzeichnissen. Außerdem
+ könenn Sie so einfacher feststellen, welche Änderungen Sie
+ vorgenommen haben oder Ihren Patch modifizieren, falls dies durch
+ Änderungen in einem anderen Bereich der Ports-Sammlung notwendig
+ wird oder Sie vom Committer um eine Korrektur Ihres Patches gebeten
+ werden.
+
+ &prompt.user; cd ~/my_wrkdir
+&prompt.user; cvs -d R_CVSROOT co pdnsd
+&prompt.user; cd ~/my_wrkdir/pdnsd
+
+
+
+ Das Verzeichnis, in dem Sie den Port bauen wollen. Dieses
+ Arbeitsverzeichnis kann sich auch außerhalb von
+ /usr/ports/ befinden.
+
+
+
+ R_CVSROOT steht für einen öffentlichen CVS-Server.
+ Eine Liste aller verfügbaren Server finden Sie im &os; Handbuch.
+
+
+
+ Ersetzen Sie pdnsd durch den Modulnamen des
+ Ports. Dieser entspricht in der Regel dem Namen des Ports.
+ Allerdings gibt es einige Ausnahmen von dieser Regel, insbesondere
+ bei sprachspezifischen Ports (beispielsweise lautet der Modulname
+ für den Port german/selfhtml
+ de-selfhtml). Um den Namen des Moduls herauszufinden, können
+ Sie entweder die cvsweb-Schnittstelle
+ verwenden oder den kompletten Pfad des Ports angeben (in unserem
+ Beispiel wäre der komplette Pfad also ports/dns/pdnsd).
+
+
+
+ Danach modifizieren Sie den Port in gewohnter Weise. Falls Sie
+ Dateien hinzufügen oder entfernen, sollten Sie dies mit
+ cvs protokollieren:
+
+ &prompt.user; cvs add new_file
+&prompt.user; cvs remove deleted_file
+
+ Überprüfen Sie die Funktion Ihres Ports anhand der
+ Checklisten in und
+ .
+
+ &prompt.user; cvs status
+&prompt.user; cvs update
+
+
+
+ Dadurch wird versucht, die Differenz zwischen Ihrer
+ geänderten Version und dem aktuellen Stand im CVS zu
+ kombinieren. Achten Sie dabei unbedingt auf die Ausgabe dieses
+ Befehls. Vor jeder Datei wird ein Buchstabe angezeigt, der
+ Ihnen mitteilt, was mit dieser Datei passiert ist. Eine
+ vollständige Liste dieser Präfixe finden Sie in
+ .
+
+
+
+
+ Von cvs update verwendete Präfixe
+
+
+
+
+ U
+ Die Datei wurde aktualisiert. Es traten dabei keine
+ Probleme auf.
+
+
+
+ P
+ Die Datei wurde ohne Probleme aktualisiert (dieses
+ Präfix wird nur verwendet, wenn Sie mit einem
+ entfernten Repository arbeiten).
+
+
+
+ M
+ Die Datei wurde modifiziert. Es traten keine Konflikte
+ auf.
+
+
+
+ C
+ Die Datei wurde modifiziert, allerdings kam es dabei zu
+ Konflikten zwischen Ihrer geänderten Version und der
+ aktuellen Version im CVS.
+
+
+
+
+
+ Wird das Präfix C nach einem
+ cvs update angezeigt, bedeutet dies, dass im CVS
+ etwas geändert wurde und &man.cvs.1; daher nicht in der Lage war,
+ Ihre Änderungen und die Änderungen im CVS zu kombinieren.
+ Es ist immer sinnvoll, sich die Änderungen anzusehen, da
+ cvs keine Informationen darüber hat, wie ein
+ Port aufgebaut sein soll. Es kann (und wird wahrscheinlich) daher
+ vorkommen, dass sich manchmal Änderungen ergeben, die keinen
+ Sinn machen.
+
+ Im letzten Schritt erzeugen Sie einen unified
+ &man.diff.1; gegen die derzeit im CVS vorhandenen Dateien:
+
+ &prompt.user; cvs diff -uN > ../`basename ${PWD}`.diff
+
+
+ Verwenden Sie unbedingt die Option , um
+ sicherzustellen, dass von hinzugefügte oder gelöschte
+ Dateien im Patch erfasst sind. Der Patch enthät auch
+ von Ihnen gelöschte Dateien (allerdings ohne Inhalt). Dies
+ ist wichtig, da nur so der Committer wissen kann, welche Dateien
+ er entfernen muss.
+
+
+ Zuletzt reichen Sie Ihren Patch ein, indem Sie der Anleitung in
+ folgen.
+
+
Die Dateien UPDATING und MOVED
@@ -10897,10 +11004,9 @@ as .putsy.conf and edit it.
FreeBSD
Sicherheitsinformationen beschrieben wird.
- In Ordnung, Sie haben sich also für den
- schwierigen Weg entschieden. Wie vielleicht aus dem Titel
- hervorgeht, ist die VuXMl-Datenbank hauptsächlich ein
- XML-Dokument. Die Quelldatei vuln.xml
+ Wie vielleicht aus dem Titel hervorgeht, handelt es sich
+ bei der VuXMl-Datenbank um ein
+ XML-Dokument. Die Quelldatei vuln.xml
können Sie im Port security/vuxml finden. Deshalb
wird der komplette Pfadname
@@ -11005,12 +11111,7 @@ as .putsy.conf and edit it.
nicht die UUID der Vorlage zu ersetzen, es sei denn,
Sie schreiben den Eintrag von Grund auf selbst). Sie
können &man.uuidgen.1; verwenden, um eine VuXML
- UUID zu erzeugen. Wahlweise können Sie, wenn Sie
- FreeBSD 4.x verwenden, den Port devel/p5-Data-UUID
- verwenden und folgenden Befehl aufrufen:
-
- perl -MData::UUID -le 'print lc new Data::UUID->create_str'
+ UUID zu erzeugen.
@@ -11236,12 +11337,31 @@ as .putsy.conf and edit it.
ausgefüllt, die in der Version
0.65_7 korrigiert wurde.
- Als Voraussetzung sollten Sie eine neue Version der
- Ports ports-mgmt/portaudit und
- ports-mgmt/portaudit-db
- installieren.
+ Als Voraussetzung müssen Sie die aktuellen Versionen
+ der Ports ports-mgmt/portaudit, ports-mgmt/portaudit-db sowie
+ security/vuxml
+ installieren.
+
+
+ Um packaudit auszuführen,
+ müssen Sie die Berechtigung haben
+ DATABASEDIR zu
+ schreiben – üblicherweise ist das
+ /var/db/portaudit.
+
+ Durch Setzen der Umgebungsvariable
+ DATABASEDIR können
+ Sie hier auch ein anderes Verzeichnis angeben.
+
+ Arbeiten Sie nicht aus dem Verzeichnis
+ ${PORTSDIR}/security/vuxml heraus,
+ müssen Sie zusätzlich die Umgebungsvariable
+ VUXMLDIR setzen, um
+ anzugeben, in welchem Verzeichnis sich die Datei
+ vuln.xml befindet.
+ Zuerst überprüfen Sie bitte, ob bereits
ein Eintrag für diese Schwachstelle existiert. Wenn
@@ -11251,16 +11371,8 @@ as .putsy.conf and edit it.
&prompt.user; packaudit
&prompt.user; portaudit clamav-0.65_6
-
- Um packaudit auszuführen,
- müssen Sie die Berechtigung haben
- DATABASEDIR zu
- schreiben – üblicherweise ist das
- /var/db/portaudit.
-
-
Wenn keine vorhandenen Einträge gefunden werden
- haben Sie grünes Licht einen neuen Eintrag für
+ haben Sie grünes Licht, einen neuen Eintrag für
diese Sicherheitslücke anzulegen. Sie können nun
eine neue UUID erzeugen (wir nehmen an, diese lautet
74a9541d-5d6c-11d8-80e3-0020ed76ef5a)
@@ -15342,6 +15454,63 @@ Reference: <http://www.freebsd.org/ports/portaudit/74a9541d-5d6c-11d8-80e3-00
wurden.
+
+ 802503
+ 1. Mai 2011
+ 8.2-STABLE, nachdem gcc auf die letzte unter der GPLv2
+ stehenden Version (aus dem FSF gcc-4_2-Zweig) aktualisiert
+ wurde.
+
+
+
+ 802504
+ 28. Mai 2011
+ 8.2-STABLE, nachdem KPI sowie die Infrastruktur zur
+ Unterstützung von modular congestion
+ control implementiert wurden.
+
+
+
+ 802505
+ 28. Mai 2011
+ 8.2-STABLE, nachdem die KPIs Hhook und Khelp
+ implementiert wurden.
+
+
+
+ 802506
+ M28. Mai 2011
+ 8.2-STABLE, nachdem OSD in die Struktur tcpcb
+ eingebaut wurde.
+
+
+
+ 802507
+ 6. Juni 2011
+ 8.2-STABLE nach dem Import von ZFS v28.
+
+
+
+ 802508
+ 8. Juni 2011
+ 8.2-STABLE, nach dem Entfernen der Methode
+ sv_schedtail struct sysvec.
+
+
+
+ 802509
+ 14. Juli 2011
+ 8.2-STABLE, nachdem die binutils um die
+ SSSE3-Unterstützung erweitert wurden.
+
+
+
+ 802510
+ 19. Juli 2011
+ 8.2-STABLE, nach dem Hinzufügen des Flags
+ RFTSIGZMB zu rfork(2).
+
+
90000022. August 2009
@@ -15638,6 +15807,27 @@ Reference: <http://www.freebsd.org/ports/portaudit/74a9541d-5d6c-11d8-80e3-00
libprocstat(3)-Bibliothek sowie von fuser(1) in das
Basissystem.
+
+
+ 900038
+ 22. Mai 2011
+ 9.0-CURRENT, nachdem ein Lock-Flag zu VFS_FHTOVP(9)
+ hinzugefügt wurde.
+
+
+
+ 900039
+ 28. Juni 2011
+ 9.0-CURRENT, nachdem pf von OpenBSD 4.5 importiert
+ wurde.
+
+
+ 900041
+ 13. August 2011
+ 9.0-CURRENT, nachdem Capsicum-Funktionalitäten
+ implementiert wurden. Zusätzlich wurde fget(9) um ein
+ Rechte-Argument erweitert.
+
diff --git a/de_DE.ISO8859-1/share/sgml/mailing-lists.ent b/de_DE.ISO8859-1/share/sgml/mailing-lists.ent
index 359c7e2488..aa392663b8 100644
--- a/de_DE.ISO8859-1/share/sgml/mailing-lists.ent
+++ b/de_DE.ISO8859-1/share/sgml/mailing-lists.ent
@@ -2,8 +2,8 @@
Namen der FreeBSD Mailinglisten und verwandter Software
$FreeBSD$
- $FreeBSDde: de-docproj/share/sgml/mailing-lists.ent,v 1.47 2011/09/03 15:45:46 bcr Exp $
- basiert auf: 1.81
+ $FreeBSDde: de-docproj/share/sgml/mailing-lists.ent,v 1.48 2011/10/08 17:53:26 jkois Exp $
+ basiert auf: 1.85
-->
@@ -147,6 +147,10 @@
CTM 8-STABLE src branch distribution mailing list">
ctm-src-8">
+
+CTM 9-STABLE src branch distribution mailing list">
+ctm-src-9">
+
CTM -CURRENT
src branch distribution">
@@ -322,11 +326,6 @@
FreeBSD LFS porting">
freebsd-lfs">
-
-FreeBSD libh installation
- and packaging system">
-freebsd-libh">
-
FreeBSD MIPS porting">
freebsd-mips">
@@ -547,6 +546,12 @@
svn-src
stable-8">
+
+SVN commit
+ messages for only the 9-stable src tree">
+svn-src-stable-9">
+
SVN
commit messages for the old stable src trees">
@@ -655,6 +660,10 @@
list">
freebsd-xen">
+
+XFCE for FreeBSD mailing list">
+freebsd-xfce">
+
bug-followup@FreeBSD.org">