06c4847dc5
books/faq/book.sgml 1.780 -> 1.781 books/handbook/Makefile 1.98 -> 1.100 books/handbook/book.sgml 1.164 -> 1.166 books/handbook/chapters.ent 1.33 -> 1.35 books/handbook/firewalls/chapter.sgml 1.66 -> 1.67 books/handbook/mirrors/chapter.sgml 1.416 -> 1.418 books/handbook/network-servers/chapter.sgml 1.79 -> 1.81 books/handbook/preface/preface.sgml 1.30 -> 1.32 flyer/Makefile 1.1 -> 1.2 flyer/flyer.tex 1.10 -> 1.13 Obtained from: The FreeBSD German Documentation Project.
539 lines
20 KiB
Text
539 lines
20 KiB
Text
<!--
|
|
The FreeBSD Documentation Project
|
|
The FreeBSD German Documentation Project
|
|
|
|
$FreeBSD$
|
|
$FreeBSDde: de-docproj/books/handbook/firewalls/chapter.sgml,v 1.4 2006/05/13 17:32:31 jkois Exp $
|
|
basiert auf: 1.67
|
|
-->
|
|
|
|
<chapter id="firewalls">
|
|
<chapterinfo>
|
|
<authorgroup>
|
|
<author>
|
|
<firstname>Joseph J.</firstname>
|
|
<surname>Barbish</surname>
|
|
<contrib>Beigetragen von </contrib>
|
|
</author>
|
|
</authorgroup>
|
|
<authorgroup>
|
|
<author>
|
|
<firstname>Brad</firstname>
|
|
<surname>Davis</surname>
|
|
<contrib>Nach SGML konvertiert und aktualisiert von </contrib>
|
|
</author>
|
|
</authorgroup>
|
|
<authorgroup>
|
|
<author>
|
|
<firstname>Michael</firstname>
|
|
<surname>Bunzel</surname>
|
|
<contrib>Teilweise übersetzt von </contrib>
|
|
</author>
|
|
</authorgroup>
|
|
|
|
</chapterinfo>
|
|
|
|
<title>Firewalls</title>
|
|
|
|
<indexterm><primary>firewall</primary></indexterm>
|
|
|
|
<indexterm>
|
|
<primary>security</primary>
|
|
|
|
<secondary>firewalls</secondary>
|
|
</indexterm>
|
|
|
|
<sect1 id="firewalls-intro">
|
|
<title>Einführung</title>
|
|
|
|
<para>Firewalls ermöglichen es, den ein- und ausgehenden
|
|
Netzwerkverkehr Ihres Systems zu filtern. Dazu verwendet eine
|
|
Firewall eine oder mehrere Gruppen von <quote>Regeln</quote>,
|
|
um ankommende Netzwerkpakete zu untersuchen und entweder
|
|
durchzulassen oder zu blockieren. Die Regeln einer
|
|
Firewall untersuchen charakteristische Eigenschaften von
|
|
Datenpaketen, darunter den Protokolltyp, die Quell- und
|
|
Zieladresse sowie den Quell- und Zielport.</para>
|
|
|
|
<para>Firewalls können die Sicherheit eines Rechners oder
|
|
eines Netzwerks erhöhen, indem sie folgende Aufgaben
|
|
übernehmen:</para>
|
|
|
|
<itemizedlist>
|
|
<listitem>
|
|
<para>Den Schutz der Anwendungen, Dienste und Rechner Ihres
|
|
internen Netzwerks vor unerwünschtem Datenverkehr
|
|
aus dem Internet.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para>Die Beschränkung des Zugriffs von Rechnern des
|
|
internen Netzwerk auf Rechner oder Dienste des externen
|
|
Internets.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para>Den Einsatz von Network Address Translation
|
|
(<acronym>NAT</acronym>), die es Ihnen durch die Verwendung
|
|
von privaten <acronym>IP</acronym>-Adressen ermöglicht,
|
|
eine einzige gemeinsame Internetverbindung für mehrere
|
|
Rechner zu nutzen (entweder über eine einzige Adresse
|
|
oder über eine Gruppe von jeweils automatisch
|
|
zugewiesenen öffentlichen
|
|
<acronym>IP</acronym>-Adressen).</para>
|
|
</listitem>
|
|
</itemizedlist>
|
|
|
|
<para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie:</para>
|
|
|
|
<itemizedlist>
|
|
<listitem>
|
|
<para>Wissen, wie man korrekte Paketfilterregeln erstellt.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para>Die Unterschiede zwischen den in &os; eingebauten Firewalls
|
|
kennen.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para>Wissen, wie man die <application>PF</application>-Firewall
|
|
von OpenBSD konfiguriert und einsetzt.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para><application>IPFILTER</application> konfigurieren und
|
|
einsetzen können.</para>
|
|
</listitem>
|
|
|
|
<listitem>
|
|
<para>Wissen, wie man
|
|
<application>IPFW</application> konfiguriert und einsetzt.</para>
|
|
</listitem>
|
|
</itemizedlist>
|
|
|
|
<para>Bevor Sie dieses Kapitel lesen, sollten Sie:</para>
|
|
|
|
<itemizedlist>
|
|
<listitem>
|
|
<para>Die grundlegenden Konzepte von &os; und dem Internet
|
|
verstehen.</para>
|
|
</listitem>
|
|
</itemizedlist>
|
|
</sect1>
|
|
|
|
<sect1 id="firewalls-concepts">
|
|
<title>Firewallkonzepte</title>
|
|
|
|
<indexterm>
|
|
<primary>firewall</primary>
|
|
|
|
<secondary>rulesets</secondary>
|
|
</indexterm>
|
|
|
|
<para>Es gibt zwei grundlegende Arten, Regelgruppen für
|
|
Firewalls zu erstellen: <quote>einschließend</quote>
|
|
(<foreignphrase>inclusive firewall</foreignphrase>) sowie
|
|
<quote>auschließend</quote> (<foreignphrase>exclusive
|
|
Firewall</foreignphrase>). Eine auschließende Firewall
|
|
lässt jeden Datenverkehr durch, der nicht durch eine Regel
|
|
ausgeschlossen wurde. Eine einschließende Firewall macht
|
|
das genaue Gegenteil. Sie lässt Datenverkehr nur dann
|
|
durch, wenn er einer der definierten Regeln entspricht.</para>
|
|
|
|
<para>Einschließende Firewalls sind tendentiell sicherer als
|
|
ausschließende Firewalls, da sie das Risiko, dass
|
|
unerwünschter Datenverkehr die Firewall passiert, signifikant
|
|
reduzieren.</para>
|
|
|
|
<para>Die Sicherheit einer Firewall kann durch den Einsatz einer
|
|
<quote>zustandsabhängigen Firewall</quote>
|
|
(<foreignphrase>stateful firewall</foreignphrase>) weiter
|
|
erhöht werden. Eine zustandsabhängige Firewall
|
|
überwacht alle durch die Firewall gehenden offenen
|
|
Verbindungen und erlaubt nur schon bestehenden Verkehr oder
|
|
Datenverkehr, der eine neue Verbindung öffnet. Der Nachteil
|
|
einer zustandsabhängigen Firewall ist allerdings, dass sie
|
|
anfällig für Denial of Service (<acronym>DoS</acronym>)
|
|
-Attacken ist, wenn sehr schnell sehr viele neue Verbindungen
|
|
erstellt werden. Bei den meisten Firewalls können Sie eine
|
|
Kombination aus zustandsabhängigem und nicht
|
|
zustandsabhängigem Verhalten verwenden, um eine für Ihre
|
|
Bedürfnisse optimale Fireall einzurichten.</para>
|
|
</sect1>
|
|
|
|
<sect1 id="firewalls-apps">
|
|
<title>Firewallpakete</title>
|
|
|
|
<para>Das Basissystem von &os; enthält bereits drei
|
|
Firewallpakete: <emphasis>IPFILTER</emphasis> (auch als
|
|
<acronym>IPF</acronym> bekannt), <emphasis>IPFIREWALL</emphasis>
|
|
(auch als <acronym>IPFW</acronym> bezeichnet) sowie das von OpenBSD
|
|
übernommene <emphasis>PacketFilter</emphasis> (das auch als
|
|
<acronym>PF</acronym> bezeichnet wird). Zusätzlich
|
|
verfügt &os; über zwei eingebaute Pakete für das
|
|
sogenannte <foreignphrase>traffic shaping</foreignphrase> (dabei
|
|
handelt es sich die Steuerung des Bandbreitenverbrauchs):
|
|
&man.altq.4; sowie &man.dummynet.4;. Dummynet steht traditionell
|
|
in enger Verbindung mit <acronym>IPFW</acronym>, während
|
|
<acronym>ALTQ</acronym> gemeinsam mit
|
|
<acronym>IPF</acronym>/<acronym>PF</acronym> eingesetzt wird.
|
|
Gemeinsam ist allen Firewallpaketen (IPF, IPFW sowie PF), dass sie
|
|
Regeln einsetzen, um den Transfer von Datenpaketen auf und von
|
|
Ihrem System zu regeln. Unterschiedlich sind aber die Art und
|
|
Weise, wie dies realisiert wird. Auch die für diese Regeln
|
|
verwendete Syntax ist unterschiedlich.</para>
|
|
|
|
<para>&os; überlässt es dem Anwender, das Firewallsystem
|
|
zu wählen, dass seinen Anforderungen und Vorlieben am Besten
|
|
entspricht. Keines der im Basissystem enthaltenen Firewallpakete
|
|
wird dabei als <quote>das beste</quote> angesehen.</para>
|
|
|
|
<para>IPFILTER hat etwa den Vorteil, dass dessen
|
|
zustandsabhängige Regeln relativ einfach in einer
|
|
<acronym>NAT</acronym>-Umgebung implementiert werden können.
|
|
Außerdem verfügt es über einen eigenen FTP-Proxy,
|
|
der die Erstellung von sicheren Regeln für ausgehende
|
|
FTP-Verbindungen vereinfacht.</para>
|
|
|
|
<para>Da alle Firewalls auf der Untersuchung der Werte
|
|
ausgewählter Kontrollfelder von Datenpaketen basieren, ist es
|
|
für die Erstellung von Firewallregeln notwendig, die
|
|
Funktionsweise von <acronym>TCP</acronym>/IP zu verstehen.
|
|
Außerdem muss man dazu wissen, was die Werte der einzelnen
|
|
Kontrollfelder bedeuten und wie diese während einer
|
|
Verbindung eingesetzt werden. Eine gute Erklärung dieser
|
|
Thematik finden Sie unter <ulink
|
|
url="http://www.ipprimer.com/overview.cfm"></ulink>.</para>
|
|
</sect1>
|
|
|
|
<sect1 id="firewalls-pf">
|
|
<title>Paket Filter (PF) von OpenBSD und
|
|
<acronym>ALTQ</acronym></title>
|
|
|
|
<indexterm>
|
|
<primary>firewall</primary>
|
|
|
|
<secondary>PF</secondary>
|
|
</indexterm>
|
|
|
|
<para>Im Juli 2003 wurde <acronym>PF</acronym>, die
|
|
Standard-Firewall von OpenBSD, nach &os; portiert und in die
|
|
&os;-Ports-Sammlung aufgenommen. Die erste &os;-Version,
|
|
die <acronym>PF</acronym> als Teil des Basisssytems enthielt, war
|
|
&os; 5.3 im November 2004. Bei <acronym>PF</acronym>
|
|
handelt es sich um eine komplette, vollausgestattete Firewall,
|
|
die optional auch <acronym>ALTQ</acronym> (Alternatives
|
|
Queuing) unterstützt. <acronym>ALTQ</acronym> bietet Ihnen
|
|
<foreignphrase>Quality of Service</foreignphrase>
|
|
(<acronym>QoS</acronym>)-Bandbreitenformung. Dadurch können
|
|
Sie, basierend auf Filterregeln, unterschiedlichen Diensten eine
|
|
bestimmte Bandbreite garantieren. Da das OpenBSD-Projekt bereits
|
|
über eine hervorragende Dokumentation verfügt, wurde das
|
|
PF-Handbuch nicht in dieses Kapitel aufgenommen.</para>
|
|
|
|
<para>PF ist für folgende &os;-Versionen verfügbar:</para>
|
|
|
|
<informaltable frame="none" pgwide="1">
|
|
<tgroup cols="2">
|
|
<thead>
|
|
<row>
|
|
<entry>&os;-Version</entry>
|
|
|
|
<entry>PF-Verfügbarkeit</entry>
|
|
</row>
|
|
</thead>
|
|
|
|
<tbody>
|
|
<row>
|
|
<entry>Versionen vor 4.X</entry>
|
|
|
|
<entry>Für &os;-Versionen vor 4.X ist PF nicht
|
|
verfügbar.</entry>
|
|
</row>
|
|
|
|
<row>
|
|
<entry>Alle Versionen des 4.X-Zweiges</entry>
|
|
|
|
<entry>PF ist als Teil von KAME verfügbar.</entry>
|
|
</row>
|
|
|
|
<row>
|
|
<entry>5.X-Versionen vor 5.3-RELEASE</entry>
|
|
|
|
<entry>Für diese &os;-Versionen kann der Port
|
|
<filename role="package">security/pf</filename>
|
|
verwendet werden, um PF zu installieren. Da diese
|
|
&os;-Versionen aber nur für Entwickler und Personen
|
|
gedacht waren, die einen Einblick in die frühen
|
|
5.X-Versionen haben wollten, wird Nutzern dieser
|
|
Versionen dringend empfohlen, Ihr System auf
|
|
5.3-RELEASE oder neuer zu aktualisieren.</entry>
|
|
</row>
|
|
|
|
<row>
|
|
<entry>5.3-RELEASE und neuer</entry>
|
|
|
|
<entry>Seit 5.3-RELEASE ist PF Teil des Basissystems.
|
|
Benutzen Sie daher <emphasis>nicht</emphasis> den
|
|
Port <filename role="package">security/pf</filename>,
|
|
da dieser unter diesen Versionen nicht funktioniert.
|
|
Verwenden Sie stattdessen das im Basissystem enthaltene
|
|
&man.pf.4;.</entry>
|
|
</row>
|
|
</tbody>
|
|
</tgroup>
|
|
</informaltable>
|
|
|
|
<para>Weitere Informationen finden Sie unter
|
|
<ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
|
|
|
|
<sect2>
|
|
<title>PF aktivieren</title>
|
|
|
|
<para>PF ist in Standardinstallationen von &os; 5.3 oder
|
|
neuer als eigenes, zur Laufzeit ladbares Kernelmodul enthalten.
|
|
Das System lädt das PF-Kernelmodul automatisch, wenn die
|
|
Anweisung <literal>pf_enable="YES"</literal> in
|
|
<filename>/etc/rc.conf</filename> enthalten ist. Das ladbare
|
|
Kernelmodul wurde mit aktivierter &man.pflog.4;-Protokollierung
|
|
erstellt.</para>
|
|
|
|
<note>
|
|
<para>Das Kernelmodul geht davon aus, dass die Einträge
|
|
<literal>options INET</literal> sowie
|
|
<literal>device bpf</literal> in Ihrer Kernelkonfigurationsdatei
|
|
vorhanden sind. Haben Sie <literal>NO_INET6</literal> (seit
|
|
&os; 6.X) oder <literal>NOINET6</literal> (in &os;-Versionen
|
|
vor 6.X) nicht definiert, benötigen Sie (etwa in
|
|
&man.make.conf.5;) zusätzlich die Option
|
|
<literal>options INET6</literal>.</para>
|
|
</note>
|
|
|
|
<para>Nachdem Sie das Kernelmodul geladen oder die
|
|
PF-Unterstützung statisch in Ihren Kernel kompiliert haben,
|
|
können Sie <application>pf</application> über den
|
|
Befehl <command>pfctl</command> aktivieren beziehungsweise
|
|
deaktivieren.</para>
|
|
|
|
<para>Das folgende Beispiel zeigt, wie Sie
|
|
<application>pf</application> aktivieren:</para>
|
|
|
|
<screen>&prompt.root; <userinput>pfctl -e</userinput></screen>
|
|
|
|
<para><command>pfctl</command> ermöglicht es Ihnen, die
|
|
<application>pf</application>-Firewall zu steuern. Lesen Sie
|
|
&man.pfctl.8;, bevor Sie das Programm einsetzen.</para>
|
|
</sect2>
|
|
|
|
<sect2>
|
|
<title>Kernel-Optionen</title>
|
|
|
|
<indexterm>
|
|
<primary>kernel options</primary>
|
|
|
|
<secondary>device pf</secondary>
|
|
</indexterm>
|
|
|
|
<indexterm>
|
|
<primary>kernel options</primary>
|
|
|
|
<secondary>device pflog</secondary>
|
|
</indexterm>
|
|
|
|
<indexterm>
|
|
<primary>kernel options</primary>
|
|
|
|
<secondary>device pfsync</secondary>
|
|
</indexterm>
|
|
|
|
<para>Es ist nicht zwingend nötig, dass Sie PF durch die
|
|
Angabe der folgenden Optionen in den &os;-Kernel kompilieren.
|
|
Kompilieren Sie die PF-Unterstützung in Ihren Kernel, so
|
|
wird das Kernelmodul <emphasis>nie</emphasis> verwendet werden.
|
|
Die folgenden Angaben dienen daher nur als
|
|
Hintergrundinformationen.</para>
|
|
|
|
<para><filename>/usr/src/sys/conf/NOTES</filename> enthält
|
|
Beispiele für die Kernelkonfigurationsoptionen von PF:</para>
|
|
|
|
<programlisting>device pf
|
|
device pflog
|
|
device pfsync</programlisting>
|
|
|
|
<para><literal>device pf</literal> aktiviert die Unterstützung
|
|
für die <quote>Packet Filter</quote>-Firewall.</para>
|
|
|
|
<para><literal>device pflog</literal> aktiviert das optionale
|
|
&man.pflog.4;-Pseudonetzwerkgerät, das zum Protokollieren
|
|
des Datenverkehrs über einen &man.bpf.4;-Deskriptor
|
|
dient. &man.pflogd.8; ist in der Lage, diese Protokolldateien
|
|
auf Ihre Platte zu speichern.</para>
|
|
|
|
<para><literal>device pfsync</literal> aktiviert das optionale
|
|
&man.pfsync.4;-Pseudonetzwerkgerät für die
|
|
Überwachung von <quote>Statusänderungen</quote>.
|
|
Da es sich dabei nicht um einen Bestandteil des Kernelmoduls
|
|
handelt, muss diese Option auf jeden Fall in den Kernel kompiliert
|
|
werden, bevor man sie verwenden kann.</para>
|
|
|
|
<para>Diese Einstellungen werden erst dann übernommen, wenn
|
|
man einen Kernel mit diesen Optionen kompiliert und
|
|
installiert.</para>
|
|
</sect2>
|
|
|
|
<sect2>
|
|
<title>Verfügbare rc.conf-Optionen</title>
|
|
|
|
<para>Um PF beim Systemstart zu aktivieren, benötigen Sie die
|
|
folgenden Einträge in <filename>/etc/rc.conf</filename>:</para>
|
|
|
|
<programlisting>pf_enable="YES" # PF aktivieren(Modul, wenn nötig, aktivieren)
|
|
pf_rules="/etc/pf.conf" # Datei mit Regeldefinitionen für pf
|
|
pf_flags="" # zusätzliche Parameter für den Start von pfctl
|
|
pflog_enable="YES" # stare pflogd(8)
|
|
pflog_logfile="/var/log/pflog" # wo soll pflogd die Protokolldatei speichern
|
|
pflog_flags="" # zusätzliche Parameter für den Start von pflogd</programlisting>
|
|
|
|
<para>Wenn Sie ein lokales Netzwerk hinter dieser Firewall
|
|
betreiben, und Pakete für dessen Rechner weiterleiten oder
|
|
NAT verwenden wollen, benötigen Sie zusätzlich die
|
|
folgende Option:</para>
|
|
|
|
<programlisting>gateway_enable="YES" # LAN Gateway aktivieren</programlisting>
|
|
</sect2>
|
|
|
|
<sect2>
|
|
<title><acronym>ALTQ</acronym> aktivieren</title>
|
|
|
|
<para><acronym>ALTQ</acronym> muss vor der Verwendung in den
|
|
&os;-Kernel kompiliert werden. Beachten Sie, dass
|
|
<acronym>ALTQ</acronym> nicht von allen verfügbaren
|
|
Netzwerkkartentreibern unterstützt wird. Sehen Sie daher
|
|
zuerst in &man.altq.4; nach, ob Ihre Netzwerkkarte diese
|
|
Funktion unter Ihrer &os;-Version unterstützt. Die
|
|
folgenden Kerneloptionen aktivieren <acronym>ALTQ</acronym>
|
|
sowie alle Zusatzfunktionen:</para>
|
|
|
|
<programlisting>options ALTQ
|
|
options ALTQ_CBQ # Class Bases Queuing (CBQ)
|
|
options ALTQ_RED # Random Early Detection (RED)
|
|
options ALTQ_RIO # RED In/Out
|
|
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
|
|
options ALTQ_PRIQ # Priority Queuing (PRIQ)
|
|
options ALTQ_NOPCC # Wird von SMP benötigt</programlisting>
|
|
|
|
<para><literal>options ALTQ</literal> aktiviert das
|
|
<acronym>ALTQ</acronym>-Framework.</para>
|
|
|
|
<para><literal>options ALTQ_CBQ</literal> aktiviert das
|
|
<foreignphrase>Class Based Queuing</foreignphrase>
|
|
(<acronym>CBQ</acronym>). <acronym>CBQ</acronym> erlaubt es, die
|
|
Bandbreite einer Verbindung in verschiedene Klassen oder
|
|
Warteschlangen zu unterteilen, um die Priorität von
|
|
Datenpaketen basierend auf Filterregeln zu ändern.</para>
|
|
|
|
<para><literal>options ALTQ_RED</literal> aktiviert
|
|
<foreignphrase>Random Early Detection</foreignphrase>
|
|
(<acronym>RED</acronym>). <acronym>RED</acronym> wird
|
|
zur Vermeidung einer Netzwerkverstopfung verwendet. Dazu
|
|
ermittelt <acronym>RED</acronym> die Größe der
|
|
Warteschlange und vergleicht diesen Wert mit den minimalen
|
|
und maximalen Grenzwerten der Warteschlange. Ist die
|
|
Warteschlange größer als das erlaubte Maximum,
|
|
werden alle neuen Pakete verworfen. Getreu seinem Namen
|
|
verwirft <acronym>RED</acronym> Pakete unterschiedlicher
|
|
Verbindungen nach dem Zufallsprinzip.</para>
|
|
|
|
<para><literal>options ALTQ_RIO</literal> aktiviert
|
|
<foreignphrase>Random Early Detection In and
|
|
Out</foreignphrase>.</para>
|
|
|
|
<para><literal>options ALTQ_HFSC</literal> aktiviert den
|
|
<foreignphrase>Hierarchical Fair Service Curve</foreignphrase>
|
|
-Paketplaner. Weitere Informationen zu <acronym>HFSC</acronym>
|
|
finden Sie unter <ulink
|
|
url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.</para>
|
|
|
|
<para><literal>options ALTQ_PRIQ</literal> aktiviert
|
|
<foreignphrase>Priority Queuing</foreignphrase>
|
|
(<acronym>PRIQ</acronym>). <acronym>PRIQ</acronym>
|
|
lässt Verkehr einer Warteschlange mit höherer
|
|
Priorität zuerst durch.</para>
|
|
|
|
<para><literal>options ALTQ_NOPCC</literal> aktiviert die
|
|
<acronym>SMP</acronym> Unterstützung von
|
|
<acronym>ALTQ</acronym>. Diese Option ist nur auf
|
|
<acronym>SMP</acronym>-System erforderlich.</para>
|
|
</sect2>
|
|
|
|
<sect2>
|
|
<title>Filterregeln generieren</title>
|
|
|
|
<para>Der Packetfilter liest seine Konfiguration aus der Datei
|
|
&man.pf.conf.5; ein, um entsprechend der dort definierten Regeln
|
|
Pakete durchzulassen oder zu verwerfen. Die Standardinstallation
|
|
von &os; enthält bereits eine beispielhafte Version der
|
|
Datei <filename>/etc/pf.conf</filename> mit einigen hilfreichen
|
|
Beispielen und Erklärungen.</para>
|
|
|
|
<para>Obwohl &os; eine eigene Version der Datei
|
|
<filename>/etc/pf.conf</filename> enthält, wird dennoch die
|
|
gleiche Syntax wie unter OpenBSD verwendet. Das OpenBSD-Team hat
|
|
eine großartige Dokumentation zur Konfiguration von
|
|
<application>pf</application> geschrieben, die unter
|
|
<ulink url="http://www.openbsd.org/faq/pf/"></ulink>
|
|
erhältlich ist.</para>
|
|
|
|
<warning>
|
|
<para>Denken Sie beim Lesen des pf-Handbuch daran, dass die
|
|
verschiedenen &os;-Versionen unterschiedliche Versionen
|
|
der <application>pf</application>-Firewall einsetzen. So
|
|
wird unter &os; 5.X noch die OpenBSD-Version 3.5
|
|
der Firewall eingesetzt, während in den
|
|
&os;-6.X-Versionen die OpenBSD-Version 3.7 zum
|
|
Einsatz kommt.</para>
|
|
</warning>
|
|
|
|
<para>Haben Sie weitere Fragen zur
|
|
<application>pf</application>-Firewall, so
|
|
können Sie auf der Mailingliste &a.pf;
|
|
stellen. Vergessen Sie aber nicht, vorher die Archive der
|
|
Mailinglisten zu durchsuchen, bevor Sie dort eine Frage
|
|
stellen.</para>
|
|
</sect2>
|
|
</sect1>
|
|
|
|
<sect1 id="firewalls-ipf">
|
|
<title>Die IPFILTER-Firewall (IPF)</title>
|
|
|
|
<para>Dieses Kapitel ist noch nicht übersetzt.
|
|
Lesen Sie bitte <ulink
|
|
url="&url.books.handbook.en;/firewalls-ipf.html">
|
|
das Original in englischer Sprache</ulink>. Wenn Sie helfen
|
|
wollen, dieses Kapitel zu übersetzen, senden Sie bitte
|
|
eine E-Mail an die Mailingliste &a.de.translators;.</para>
|
|
</sect1>
|
|
|
|
<sect1 id="firewalls-ipfw">
|
|
<title>IPFW</title>
|
|
|
|
<para>Dieses Kapitel ist noch nicht übersetzt.
|
|
Lesen Sie bitte <ulink
|
|
url="&url.books.handbook.en;/firewalls-ipfw.html">
|
|
das Original in englischer Sprache</ulink>. Wenn Sie helfen
|
|
wollen, dieses Kapitel zu übersetzen, senden Sie bitte
|
|
eine E-Mail an die Mailingliste &a.de.translators;.</para>
|
|
</sect1>
|
|
</chapter>
|
|
|
|
<!--
|
|
Local Variables:
|
|
mode: sgml
|
|
sgml-declaration: "../chapter.decl"
|
|
sgml-indent-data: t
|
|
sgml-omittag: nil
|
|
sgml-always-quote-attributes: t
|
|
sgml-parent-document: ("../book.sgml" "part" "chapter")
|
|
End:
|
|
-->
|