diff options
| author | Xin LI <delphij@FreeBSD.org> | 2005-08-28 17:38:11 +0000 |
|---|---|---|
| committer | Xin LI <delphij@FreeBSD.org> | 2005-08-28 17:38:11 +0000 |
| commit | 97182dc67fb58468307fb1a0752d27fe2c2de988 (patch) | |
| tree | 2c6535e9297683030fe21e64e69cae28e5e40eed /zh_CN.GB2312/books | |
| parent | f2df6b310fa7a6028966b65f56e02575582e04ff (diff) | |
Notes
Diffstat (limited to 'zh_CN.GB2312/books')
| -rw-r--r-- | zh_CN.GB2312/books/handbook/firewalls/chapter.sgml | 39 |
1 files changed, 25 insertions, 14 deletions
diff --git a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml index 5b3c904199..57e2b0482f 100644 --- a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml @@ -2,7 +2,7 @@ The FreeBSD Documentation Project The FreeBSD Simplified Chinese Project - Original Revision: 1.57 + Original Revision: 1.62 $FreeBSD$ --> @@ -687,13 +687,13 @@ ipnat_rules="/etc/ipnat.rules" # 用于 ipnat 的规则定义文件</programlisting> <sect2> <title>IPMON 的日志</title> - <para><application>Syslogd</application> 使用其自有的方法, - 来对日志数据进行分类。 它使用称为 <quote>facility</quote> - 的组, 以及 <quote>level</quote> 来区分它们。 以 <option>-Ds</option> - 模式运行的 IPMON 会使用 <literal>local0</literal> 作为 - <quote>facility</quote> 名。 所有由 IPMON 记录的数据都会记录到 - <literal>local0</literal>。 如果需要的话, 可以使用下面的 - levels 来区分数据:</para> + <para><application>Syslogd</application> 使用特殊的方法对日志数据进行分类。 + 它使用称为 <quote>facility</quote> 和 <quote>level</quote> 的组。 + 以 <option>-Ds</option> 模式运行的 IPMON 采用 <literal>security</literal> + (在 4.X 中是<literal>local0</literal>) 作为 <quote>facility</quote> + 名。 所有由 IPMON 记录的数据都会进入 <literal>security</literal> + (在 4.X 中是 <literal>local0</literal>)。 如果需要, 可以用下列 levels + 来进一步区分数据:</para> <screen>LOG_INFO - 使用 "log" 关键字指定的通过或阻止动作 LOG_NOTICE - 同时记录通过的那些数据包 @@ -711,12 +711,18 @@ LOG_ERR - 进一步记录含不完整的包头的数据包</screen> <filename>syslog.conf</filename> 提供了相当多的用以控制 syslog 如何处理类似 IPF 这样的用用程序所产生的系统消息的方法。</para> - <para>将下面的语句加入 <filename>/etc/syslog.conf</filename>:</para> + <para>对 &os; 5.X 和更新版本, 将下列语句加到 + <filename>/etc/syslog.conf</filename>:</para> + + <programlisting>security.* /var/log/ipfilter.log</programlisting> + + <para>对于 &os; 4.X 则应在 + <filename>/etc/syslog.conf</filename> 中加入:</para> <programlisting>local0.* /var/log/ipfilter.log</programlisting> - <para>这里, <literal>local0.*</literal> - 表示把所有的相关日志信息写到指定的位置。</para> + <para>这里的 <literal>security.*</literal> (对 4.X 则是 + <literal>local0</literal>) 表示把所有的相关日志信息写到指定的文件中。</para> <para>要让 <filename>/etc/syslog.conf </filename> 中的修改立即生效, 您可以重新启动计算机, 或者通过执行 @@ -1711,17 +1717,17 @@ block in log first quick on dc0 all role="ipaddr">10.0.10.25</hostid>, 而您的唯一的公网 IP 地址是 <hostid role="ipaddr">20.20.20.5</hostid>, 则可以编写这样的规则:</para> - <programlisting>map dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting> + <programlisting>rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80</programlisting> <para>或者:</para> - <programlisting>map dc0 0/32 port 80 -> 10.0.10.25 port 80</programlisting> + <programlisting>rdr dc0 0/32 port 80 -> 10.0.10.25 port 80</programlisting> <para>另外, 也可以让 LAN 地址 <hostid role="ipaddr">10.0.10.33</hostid> 上运行的 LAN DNS 服务器来处理公网上的 DNS 请求:</para> - <programlisting>map dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp</programlisting> + <programlisting>rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp</programlisting> </sect2> <sect2> @@ -1993,6 +1999,11 @@ options IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting> <programlisting>net.inet.ip.fw.verbose_limit=5</programlisting> </warning> + + <para>如果您的计算机是作为网关使用的, 也就是它通过 &man.natd.8; + 提供网络地址翻译 (NAT), + 请参见 <xref linkend="network-natd"> 以了解需要在 + <filename>/etc/rc.conf</filename> 中配置的选项。</para> </sect2> <sect2 id="firewalls-ipfw-cmd"> |