From owner-svn-doc-head@freebsd.org Mon Mar 4 19:10:04 2019 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 8D48F151F385; Mon, 4 Mar 2019 19:10:04 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from mxrelay.nyi.freebsd.org (mxrelay.nyi.freebsd.org [IPv6:2610:1c1:1:606c::19:3]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) server-signature RSA-PSS (4096 bits) client-signature RSA-PSS (4096 bits) client-digest SHA256) (Client CN "mxrelay.nyi.freebsd.org", Issuer "Let's Encrypt Authority X3" (verified OK)) by mx1.freebsd.org (Postfix) with ESMTPS id 31016823D9; Mon, 4 Mar 2019 19:10:04 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mxrelay.nyi.freebsd.org (Postfix) with ESMTPS id 25D8E8554; Mon, 4 Mar 2019 19:10:04 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id x24JA48Z002985; Mon, 4 Mar 2019 19:10:04 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id x24JA4c0002984; Mon, 4 Mar 2019 19:10:04 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201903041910.x24JA4c0002984@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Mon, 4 Mar 2019 19:10:04 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r52840 - head/de_DE.ISO8859-1/books/handbook/firewalls X-SVN-Group: doc-head X-SVN-Commit-Author: bhd X-SVN-Commit-Paths: head/de_DE.ISO8859-1/books/handbook/firewalls X-SVN-Commit-Revision: 52840 X-SVN-Commit-Repository: doc MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Rspamd-Queue-Id: 31016823D9 X-Spamd-Bar: -- Authentication-Results: mx1.freebsd.org X-Spamd-Result: default: False [-2.98 / 15.00]; local_wl_from(0.00)[FreeBSD.org]; NEURAL_HAM_MEDIUM(-1.00)[-1.000,0]; NEURAL_HAM_LONG(-1.00)[-1.000,0]; NEURAL_HAM_SHORT(-0.98)[-0.979,0]; ASN(0.00)[asn:11403, ipnet:2610:1c1:1::/48, country:US] X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.29 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 04 Mar 2019 19:10:04 -0000 Author: bhd Date: Mon Mar 4 19:10:03 2019 New Revision: 52840 URL: https://svnweb.freebsd.org/changeset/doc/52840 Log: Update to r52831: Document kernel compile options for ipfw Introduce a dedicated interface Use sysrc Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Sat Mar 2 21:50:54 2019 (r52839) +++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Mon Mar 4 19:10:03 2019 (r52840) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.xml,v 1.53 2012/04/30 16:15:52 bcr Exp $ - basiert auf: r52785 + basiert auf: r52831 --> IPFW zu benutzen. - - Kerneloptionen - IPFIREWALL - - - - Kerneloptionen - IPFIREWALL_VERBOSE - - - - Kerneloptionen - IPFIREWALL_VERBOSE_LIMIT - - - - IPFW - Kerneloptionen - - Wenn Sie eine statische Unterstützung für IPFW in den Kernel kompilieren - wollen, lesen Sie . Folgende - Optionen können in der Kernelkonfigurationsdatei verwendet - werden: + wollen, lesen Sie . - options IPFIREWALL # enables IPFW -options IPFIREWALL_VERBOSE # enables logging for rules with log keyword -options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry -options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied -options IPDIVERT # enables NAT - Um IPFW beim Systemstart zu - aktivieren, fügen Sie folgende Zeile in - /etc/rc.conf ein: + aktivieren, fügen Sie firewall_enable="YES" + in /etc/rc.conf ein: - firewall_enable="YES" + &prompt.root; sysrc firewall_enable="YES" Wenn Sie einen der von &os; zur Verfügung gestellten Firewall-Profile benutzen möchten, fügen Sie eine weitere Zeile hinzu, in der Sie das Profil bestimmen: - firewall_type="open" + &prompt.root; sysrc firewall_type="open" Folgende Profile stehen zur Verfügung: @@ -1858,12 +1830,12 @@ options IPDIVERT # enables NAT firewall_script auf /etc/ipfw.rules gesetzt ist. - firewall_script="/etc/ipfw.rules" + &prompt.root; sysrc firewall_script="/etc/ipfw.rules" - Die Protokollierung wird mit diesem Eintrag + Die Protokollierung wird mit diesem Befehl aktiviert: - firewall_logging="YES" + &prompt.root; sysrc firewall_logging="YES" Es existiert keine Variable für /etc/rc.conf, um die Protokollierung zu @@ -1871,9 +1843,27 @@ options IPDIVERT # enables NAT Verbindungsversuch zu begrenzen, legen Sie die Anzahl der Einträge in /etc/sysctl.conf fest: - net.inet.ip.fw.verbose_limit=5 + &prompt.root; sysrc -f /etc/sysctl.conf net.inet.ip.fw.verbose_limit=5 - Nachdem Sie die Änderungen gespeichert haben, können Sie + Um die Protokollierung über die spezielle Schnittstelle + ipfw0 zu aktivieren, fügen Sie stattdessen + folgende Zeile in /etc/rc.conf + hinzu: + + &prompt.root; sysrc firewall_logif="YES" + + Benutzen Sie dann tcpdump, um + zu sehen, was protokolliert wird: + + &prompt.root; tcpdump -t -n -i ipfw0 + + + Durch die Protokollierung entsteht kein Aufwand, es sei + denn, tcpdump wird an die + Schnittstelle angebunden. + + + Nachdem Sie die Änderungen vorgenommen haben, können Sie die Firewall starten. Um auch die Anzahl der Protokoll-Nachrichten zu konfigurieren, setzen Sie mit sysctl den gewünschten Wert: @@ -2424,7 +2414,7 @@ good_tcpo="22,25,37,53,80,443,110" Die eingehenden Regeln bleiben unverändert, mit Ausnahme der letzten Regel, in der das - via $pif entfert wird, um ein- und + via $pif entfernt wird, um ein- und ausgehende Pakete prüfen zu können. Nach der letzten Regel für ausgehende Pakete muss die NAT-Regel folgen. Die Regel muss eine höhere Nummer als die letzte @@ -2795,6 +2785,53 @@ ks="keep-state" # just too lazy to key this eac &prompt.root; ipfw -q add allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state &prompt.root; ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state + + + + <application>IPFW</application> Kerneloptionen + + + Kerneloptionen + IPFIREWALL + + + + Kerneloptionen + IPFIREWALL_VERBOSE + + + + Kerneloptionen + IPFIREWALL_VERBOSE_LIMIT + + + + IPFW + Kerneloptionen + + + Um die Unterstützung für IPFW + statisch in den Kernel zu kompilieren, lesen Sie die + Anweisungen in . Die folgenden + Optionen können in der Kernelkonfigurationsdatei verwendet + werden: + + options IPFIREWALL # enables IPFW +options IPFIREWALL_VERBOSE # enables logging for rules with log keyword to syslogd(8) +options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry +options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied +options IPFIREWALL_NAT # enables in-kernel NAT support +options IPFIREWALL_NAT64 # enables in-kernel NAT64 support +options IPFIREWALL_NPTV6 # enables in-kernel IPv6 NPT support +options IPFIREWALL_PMOD # enables protocols modification module support +options IPDIVERT # enables NAT through natd(8) + + + IPFW kann auch als + Kernelmodul geladen werden: Die oben genannten Optionen + werden standardmäßig als Module erstellt, oder können zur + Laufzeit über Parameter festgelegt werden. +