Date: Thu, 5 Mar 2020 20:39:58 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r53950 - head/de_DE.ISO8859-1/books/handbook/firewalls Message-ID: <202003052039.025KdwJv067946@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Thu Mar 5 20:39:58 2020 New Revision: 53950 URL: https://svnweb.freebsd.org/changeset/doc/53950 Log: Update to r53911: - Simplify multiple sentences to remove the words: furthermore, also, ... - Fix typo's, IP address is redirect_port example & visible double space after sentence stop - Restructure TSO comment together with the in-kernel NAT instance paragraph - Add kernel option for libalias full functionality - Unify engine/facility/... to facility Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Thu Mar 5 15:42:09 2020 (r53949) +++ head/de_DE.ISO8859-1/books/handbook/firewalls/chapter.xml Thu Mar 5 20:39:58 2020 (r53950) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/firewalls/chapter.xml,v 1.53 2012/04/30 16:15:52 bcr Exp $ - basiert auf: r53723 + basiert auf: r53911 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" @@ -2319,14 +2319,17 @@ $ <secondary>und <application>IPFW</application></secondary> </indexterm> - <para>&os;s integrierter <acronym>NAT</acronym>-Daemon, - &man.natd.8;, arbeitet in Verbindung mit - <application>IPFW</application>, um - <foreignphrase>Network Address Translation</foreignphrase> - bereitzustellen. <acronym>NAT</acronym> wird verwendet, um - mehreren internen Rechnern, über eine einzige - <acronym>IP</acronym>-Adresse, eine gemeinsame Verbindung zum - Internet zu ermöglichen.</para> + <para>Die <application>IPFW</application>-Firewall von &os; hat + zwei <acronym>NAT</acronym>-Implementierungen: die + Userland-Implementierung &man.natd.8; und die neuere, + kernelinterne <acronym>NAT</acronym>-Implementierung. Beide + arbeiten in Verbindung mit <application>IPFW</application>, um + die Übersetzung von Netzwerkadressen zu ermöglichen. Damit + kann eine Lösung zur gemeinsamen Nutzung der + Internetverbindung bereitgestellt werden, so dass mehrere + interne Rechner unter Verwendung einer einzigen öffentlichen + <acronym>IP</acronym>-Adresse eine Verbindung zum Internet + herstellen können.</para> <para>Um dies zu tun, muss der mit dem Internet verbundene &os;-Rechner als Gateway eingerichtet sein. Das System muss @@ -2349,8 +2352,8 @@ firewall_enable="YES" firewall_nat_enable="YES"</programlisting> <note> - <para>Wenn <literal>firewall_enable</literal> nicht gesetzt - ist, <literal>firewall_nat_enable</literal> jedoch schon, + <para>Wenn <literal>firewall_nat_enable</literal> gesetzt ist, + <literal>firewall_enable</literal> jedoch nicht, hat dies keine Auswirkung, da die <acronym>NAT</acronym>-Implementierung im Kernel nur mit <application>IPFW</application> kompatibel ist.</para> @@ -2361,25 +2364,12 @@ firewall_nat_enable="YES"</programlisting> <literal>skipto</literal>-Aktion wird benutzt. Die Aktion <literal>skipto</literal> benötigt eine Regelnummer, damit <application>IPFW</application> weiß, zu welcher Regel es - springen muss. Darüber hinaus ist es aufgrund der Architektur - von &man.libalias.3;, einer Bibliothek die als Kernelmodul - implementiert ist und für das In-Kernel <acronym>NAT</acronym> - von <application>IPFW</application> benutzt wird, notwendig, - <foreignphrase>TCP segmentation offloading</foreignphrase> - (<acronym>TSO</acronym>) zu deaktivieren. - <acronym>TSO</acronym> kann pro Netzwerkschnittstelle mit - &man.ifconfig.8;, oder systemweit mit &man.sysctl.8; - deaktiviert werden. Um <acronym>TSO</acronym> systemweit zu - deaktivieren, muss folgende Zeile in - <filename>/etc/sysctl.conf</filename> enthalten sein:</para> - - <programlisting>net.inet.tcp.tso="0"</programlisting> - - <para>Das folgende Beispiel baut auf den im vorherigen Abschnitt - gezeigten Firewall-Relgelsatz auf. Es werden einige neue - Einträge hinzugefügt und bestehende Regeln modifiziert, um - In-Kernel <acronym>NAT</acronym> zu konfigurieren. Zunächst werden - einige Variablen hinzugefügt, darunter Regelnummern, die + springen muss. Das folgende Beispiel baut auf den im + vorherigen Abschnitt gezeigten Firewall-Relgelsatz auf. Es + werden einige neue Einträge hinzugefügt und bestehende Regeln + modifiziert, um In-Kernel <acronym>NAT</acronym> zu + konfigurieren. Zunächst werden einige Variablen hinzugefügt, + darunter Regelnummern, die <literal>keep-state</literal>-Option und eine Liste mit <acronym>TCP</acronym>-Ports um die Anzahl der Regeln zu reduzieren:</para> @@ -2392,13 +2382,28 @@ pif=dc0 ks="keep-state" good_tcpo="22,25,37,53,80,443,110"</programlisting> + <para>Bei In-Kernel <acronym>NAT</acronym> muss aufgrund der + Architektur von &man.libalias.3;, einer Bibliothek, die als + Kernel-Modul implementiert ist, um die In-Kernel + <acronym>NAT</acronym>-Funktion für + <application>IPFW</application> bereitzustellen, + <foreignphrase>TCP segment offloading</foreignphrase> + (<acronym>TSO</acronym>) deaktiviert werden. + <acronym>TSO</acronym> kann pro Netzwerkschnittstelle mit + &man.ifconfig.8;, oder systemweit mit &man.sysctl.8; + deaktiviert werden. Um <acronym>TSO</acronym> systemweit zu + deaktivieren, muss folgende Zeile in + <filename>/etc/sysctl.conf</filename> enthalten sein:</para> + + <programlisting>net.inet.tcp.tso="0"</programlisting> + <para>Danach wird eine <acronym>NAT</acronym>-Instanz konfiguriert. Mit In-Kernel <acronym>NAT</acronym> ist es möglich, mehrere <acronym>NAT</acronym>-Instanzen mit jeweils eigener Konfiguration zu betreiben. In diesem Beispiel wird jedoch nur eine <acronym>NAT</acronym>-Instanz mit der Nummer - 1 benötigt. Die Konfiguration nimmt ein paar Argumente und - Schalter an, zum Beispiel: <option>if</option>, dass die + 1 benötigt. Die Konfiguration kann ein paar Optionen + enthalten, zum Beispiel: <option>if</option>, dass die öffentliche Netzwerkschnittstelle angibt, <option>same_ports</option>, das dafür sorgt, dass Alias-Ports und lokale Portnummern identisch zugeordnet werden, @@ -2410,8 +2415,8 @@ good_tcpo="22,25,37,53,80,443,110"</programlisting> wenn sich die öffentliche <acronym>IP</acronym>-Adresse des Rechners ändert. Weitere mögliche Optionen, die an einzelne <acronym>NAT</acronym>-Instanzen übergeben werden können, - finden Sie in &man.ipfw.8;. Darüber hinaus ist es aufgrund - der zustandsorientierten <acronym>NAT</acronym>-Firewall + finden Sie in &man.ipfw.8;. Wenn eine zustandsorientierte + <acronym>NAT</acronym>-Firewall konfiguriert wird, ist es notwendig, dass übersetzte Pakete zur weiteren Verarbeitung in die Firewall eingespielt werden können, was durch die Deaktivierung des <option>one_pass</option>-Verhaltens beim @@ -2433,20 +2438,26 @@ ipfw -q nat 1 config if $pif same_ports unreg_o empfohlen, eine Reassamble-Regel kurz vor der ersten <acronym>NAT</acronym>-Regel, aber hinter den Regeln zu platzieren, die den Datenverkehr auf einer vertrauenswürdigen - Schnittstelle erlauben.</para> + Schnittstelle erlauben. In der Regel sollte es nicht zu einer + Fragmentierung kommen, aber bei getunnelten + <acronym>IPSEC/ESP/GRE</acronym>-Verkehr kann es vorkommen, + und das Zusammensetzen von Fragmenten ist notwendig, bevor das + komplette Paket an das In-Kernel <acronym>NAT</acronym> + übergeben werden kann.</para> - <note> + <note> <para>Die Reassamble-Regel wird beim Userland &man.natd.8; nicht benötigt, da die Aktion <literal>divert</literal> von <application>IPFW</application> dies bereits automatisch - übernimmt. Dies ist auch in &man.ipfw.8; - dokumentiert.</para> + übernimmt, bevor das Paket an den Socket ausgeliefert wird. + Dies ist auch in &man.ipfw.8; dokumentiert.</para> <para>Beachten Sie, dass die aktuelle <acronym>NAT</acronym>-Instanznummer und - <acronym>NAT</acronym>-Regelnummer nicht mit der - voreingestellten <acronym>NAT</acronym>-Instanznummer - und Regelnummer übereinstimmt, wenn sie mit dem + <acronym>NAT</acronym>-Regelnummer in diesem Beispiel + nicht mit der voreingestellten + <acronym>NAT</acronym>-Instanznummer und Regelnummer + übereinstimmt, wenn sie mit dem <filename>rc.firewall</filename>-Skript von &os; erstellt wurde.</para> </note> @@ -2555,10 +2566,10 @@ ipfw -q nat 1 config if $pif same_ports unreg_o <application>IPFW</application> das Kernelmodul <filename>libalias.ko</filename> laden, wenn <literal>firewall_nat_enable</literal> in - <filename>rc.conf</filename> aktiviert ist. Das geladene - Kernelmodul stellt nur grundlegende - <acronym>NAT</acronym>-Funktionalität bereit, während - die Userland-Implementierung &man.natd.8; alle + <filename>rc.conf</filename> aktiviert ist. Das + Kernelmodul <filename>libalias.ko</filename> stellt nur + grundlegende <acronym>NAT</acronym>-Funktionalität bereit, + während die Userland-Implementierung &man.natd.8; alle Funktionalitäten ohne zusätzliche Konfiguration zur Verfügung stellt. Die gesamte Funktionalität bezieht sich auf die folgenden Kernelmodule, die bei Bedarf zusätzlich @@ -2570,11 +2581,10 @@ ipfw -q nat 1 config if $pif same_ports unreg_o <filename>alias_pptp.ko</filename> und <filename>alias_smedia.ko</filename> unter Verwendung der <literal>kld_list</literal> Direktive in - <filename>rc.conf</filename>, um die volle Funktionalität - der Userland-Implementierung zu erreichen. Wenn ein + <filename>rc.conf</filename>. Wenn ein angepasster Kernel benutzt wird, kann die volle Funktionalität der Userland-Bibliothek im Kernel mit - <option>option LIBALIAS</option> gebaut werden.</para> + <option>options LIBALIAS</option> gebaut werden.</para> </note> <sect3> @@ -2627,7 +2637,7 @@ redirect_port tcp 192.168.0.3:80 80</programlisting> <programlisting>ipfw -q nat 1 config if $pif same_ports unreg_only reset \ redirect_port tcp 192.168.0.2:6667 6667 \ - redirect_port tcp 192.1683.0.3:80 80</programlisting> + redirect_port tcp 192.168.0.3:80 80</programlisting> <para>Portbereiche können über <option>redirect_port</option> festgelegt werden. Zum Beispiel würde @@ -2722,14 +2732,13 @@ natd_interface="rl0"</programlisting> <para>Generell kann der obige Regelsatz, wie er für In-Kernel <acronym>NAT</acronym> erklärt wurde, auch zusammen mit - &man.natd.8; benutzt werden. Die einzigen Ausnahmen sind, - dass die Konfiguration der In-Kernel - <acronym>NAT</acronym>-Instanz - <literal>(ipfw -q nat 1 config ...)</literal> nicht - anwendbar ist und die Regeln müssen wie unten beschrieben - leicht geändert werden, und Regel 99 wird nicht mehr - benötigt, da die <option>divert</option>-Aktion sich um die - Fragmentierung kümmert.</para> + &man.natd.8; benutzt werden. Die Ausnahmen sind die + Konfiguration der In-Kernel <acronym>NAT</acronym>-Instanz + <literal>(ipfw -q nat 1 config ...)</literal>, die nicht + zusammen mit der Regel 99 benötigt wird, da die + <option>divert</option>-Aktion sich um die Fragmentierung + kümmert. Die Regeln 100 und 1000 müssen leicht modifiziert + werden, wie unten gezeigt.</para> <programlisting>$cmd 100 divert natd ip from any to any in via $pif $cmd 1000 divert natd ip from any to any out via $pif</programlisting> @@ -2968,7 +2977,8 @@ ks="keep-state" # just too lazy to key this eac options IPFIREWALL_VERBOSE # enables logging for rules with log keyword to syslogd(8) options IPFIREWALL_VERBOSE_LIMIT=5 # limits number of logged packets per-entry options IPFIREWALL_DEFAULT_TO_ACCEPT # sets default policy to pass what is not explicitly denied -options IPFIREWALL_NAT # enables in-kernel NAT support +options IPFIREWALL_NAT # enables basic in-kernel NAT support +options LIBALIAS # enables full in-kernel NAT support options IPFIREWALL_NAT64 # enables in-kernel NAT64 support options IPFIREWALL_NPTV6 # enables in-kernel IPv6 NPT support options IPFIREWALL_PMOD # enables protocols modification module support
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?202003052039.025KdwJv067946>