1 files changed, 31 insertions, 22 deletions

diff --git a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
index 5e0720aad1..96d479fca3 100644
--- a/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
+++ b/zh_CN.GB2312/books/handbook/firewalls/chapter.sgml
@@ -2,7 +2,7 @@
      The FreeBSD Documentation Project
      The FreeBSD Simplified Chinese Project
 
-     Original Revision: 1.68
+     Original Revision: 1.70
      $FreeBSD$
 -->
 
@@ -208,7 +208,7 @@
 	  &man.make.conf.5; 中定义) 它还需要 <literal>options INET6</literal>。</para>
       </note>
 
-      <para>一旦加载了这个内河模块， 或者将 PF 支持静态联编进内核，
+      <para>一旦加载了这个内核模块， 或者将 PF 支持静态联编进内核，
 	就可以随时通过 <command>pfctl</command> 来启用或禁用
 	<application>pf</application> 了。</para>
 
@@ -288,7 +288,7 @@ pflog_flags=""                  # 启动时传递给 pflogd 的其他选项</programlisting
 	而且需要通过它来转发 LAN 上的包， 或进行 NAT，
 	还必须同时启用下述选项：</para>
 
-      <programlisting>gateway_enable="YES"            # 启用作为 LAN 网关的功能</programlisting>
+      <programlisting>gateway_enable="YES"            # 启用为 LAN 网关</programlisting>
     </sect2>
 
     <sect2>
@@ -300,12 +300,12 @@ pflog_flags=""                  # 启动时传递给 pflogd 的其他选项</programlisting
 	下面这些选项将启用 <acronym>ALTQ</acronym> 以及一些附加的功能。</para>
 
       <programlisting>options         ALTQ
-options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
-options         ALTQ_RED        # Random Early Detection (RED)
-options         ALTQ_RIO        # RED In/Out
-options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
-options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
-options         ALTQ_NOPCC      # Required for SMP build</programlisting>
+options         ALTQ_CBQ        # 基于分类的排列 (CBQ)
+options         ALTQ_RED        # 随机先期检测 (RED)
+options         ALTQ_RIO        # 对进入和发出的包进行 RED
+options         ALTQ_HFSC       # 带等级的包调度器 (HFSC)
+options         ALTQ_PRIQ       # 按优先级的排列 (PRIQ)
+options         ALTQ_NOPCC      # 在联编 SMP 内核时必须使用，禁止读时钟</programlisting>
 
       <para><literal>options ALTQ</literal> 将启用
 	<acronym>ALTQ</acronym> 框架的支持。</para>
@@ -387,9 +387,9 @@ options         ALTQ_NOPCC      # Required for SMP build</programlisting>
       OpenBSD、 SunOS、 HP/UX， 以及 Solaris 操作系统上。
       IPFILTER 的支持和维护都相当活跃， 并且有规律地发布更新版本。</para>
 
-    <para>IPFILTER 基于内核模式的防火墙和
+    <para>IPFILTER 提供了内核模式的防火墙和
       <acronym>NAT</acronym> 机制，
-      这些机制可以通过用户模式运行的接口程序中进行控制。
+      这些机制可以通过用户模式运行的接口程序进行监视和控制。
       防火墙规则可以使用 &man.ipf.8; 工具来动态地设置和删除。
       <acronym>NAT</acronym> 规则可以通过
       &man.ipnat.1; 工具来维护。 &man.ipfstat.8; 工具则可以用来显示
@@ -677,9 +677,9 @@ ipnat_rules="/etc/ipnat.rules"    # 用于 ipnat 的规则定义文件</programlisting>
       <para><application>Syslogd</application> 使用特殊的方法对日志数据进行分类。
 	它使用称为 <quote>facility</quote> 和 <quote>level</quote> 的组。
 	以 <option>-Ds</option> 模式运行的 IPMON 采用 <literal>security</literal>
-	(在 4.X 中是<literal>local0</literal>) 作为 <quote>facility</quote>
-	名。 所有由 IPMON 记录的数据都会进入 <literal>security</literal>
-	(在 4.X 中是 <literal>local0</literal>)。 如果需要， 可以用下列 levels
+	作为 <quote>facility</quote>
+	名。 所有由 IPMON 记录的数据都会进入 <literal>security</literal>。
+	如果需要， 可以用下列 levels
 	来进一步区分数据：</para>
 
       <screen>LOG_INFO - 使用 "log" 关键字指定的通过或阻止动作
@@ -698,7 +698,7 @@ LOG_ERR - 进一步记录含不完整的包头的数据包</screen>
 	<filename>syslog.conf</filename> 提供了相当多的用以控制 syslog
 	如何处理类似 IPF 这样的用用程序所产生的系统消息的方法。</para>
 
-      <para>对 &os;&nbsp;5.X 和更新版本， 将下列语句加到
+      <para>您需要将下列语句加到
 	<filename>/etc/syslog.conf</filename>：</para>
 
       <programlisting>security.* /var/log/ipfilter.log</programlisting>
@@ -1817,13 +1817,15 @@ pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state</pro
     </note>
 
     <para>IPFIREWALL (IPFW) 是一个由 &os; 发起的防火墙应用软件，
-      它由 &os; 的志愿者成员编写和维护。 它使用了传统的无状态规则，
-      以及传统的规则编写技巧， 以期达到所谓的简单状态逻辑。</para>
+      它由 &os; 的志愿者成员编写和维护。
+      它使用了传统的无状态规则和规则编写方式，
+      以期达到简单状态逻辑所期望的目标。</para>
 
-    <para>标准的 &os; 安装中， IPFW 所给出的规则集例子 (可以在
+    <para>标准的 &os; 安装中， IPFW 所给出的规则集样例 (可以在
       <filename>/etc/rc.firewall</filename> 中找到) 非常简单，
-      以至于没有办法不加修改地加以使用。 那个例子中没有使用状态过滤，
-      而这对于许多配置都非常有好处， 因此这一节并不以系统自带的例子作为基础。</para>
+      建议不要不加修改地直接使用。 该样例中没有使用状态过滤，
+      而该功能在大部分的配置中都是非常有用的，
+      因此这一节并不以系统自带的样例作为基础。</para>
 
     <para>IPFW 的无状态规则语法， 是由一种提供复杂的选择能力的技术支持的，
       这种技术远远超出了一般的防火墙安装人员的知识水平。
@@ -1834,7 +1836,7 @@ pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state</pro
       并根据它们独特的包头信息来编写规则。
       这一级别的详细阐述超出了这本手册的范围。</para>
 
-    <para>IPFW 由其部分组成， 其主要组件是内核的防火墙过滤规则处理器，
+    <para>IPFW 由七个部分组成， 其主要组件是内核的防火墙过滤规则处理器，
       及其集成的数据包记帐工具、 日志工具、  用以触发
       <acronym>NAT</acronym> 工具的 'divert' (转发) 规则、
       高级特殊用途工具、 dummynet 流量整形机制，
@@ -1963,7 +1965,14 @@ options    IPV6FIREWALL_DEFAULT_TO_ACCEPT</programlisting>
 
       <programlisting>firewall_enable="YES"</programlisting>
 
-      <para>用以激活您的防火墙规则的配置脚本：</para>
+      <para>要选择由 &os; 提供的几种防火墙类型中的一种来作为默认配置，
+	您需要阅读
+	<filename>/etc/rc.firewall</filename> 文件并选出合适的类型，
+	然后在 <filename>/etc/rc.conf</filename> 中加入类似下面的配置：</para>
+
+      <programlisting>firewall_type="open"</programlisting>
+
+      <para>除此之外， 也可以通过配置下面的变量来加载包含自定义规则的文件：</para>
 
       <programlisting>firewall_script="/etc/ipfw.rules"</programlisting>