diff --git a/ru_RU.KOI8-R/books/handbook/Makefile b/ru_RU.KOI8-R/books/handbook/Makefile
index 62fe2aa540..04e90640d6 100644
--- a/ru_RU.KOI8-R/books/handbook/Makefile
+++ b/ru_RU.KOI8-R/books/handbook/Makefile
@@ -1,262 +1,263 @@
 #
 # The FreeBSD Russian Documentation Project
 #
 # $FreeBSD$
 # $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/Makefile,v 1.37 2004/07/08 12:12:43 den Exp $
 #
 # Original revision: 1.90
 # 
 # Build the FreeBSD Handbook.
 #
 
 # ------------------------------------------------------------------------
 #
 # Handbook-specific variables
 #
 #      WITH_PGPKEYS    The print version of the handbook only prints PGP
 #                      fingerprints by default.  If you would like for the
 #                      entire key to be displayed, then set this variable.
 #                      This option has no affect on the HTML formats.
 #
 # Handbook-specific targets
 #
 #       pgpkeyring      This target will read the contents of
 #                       pgpkeys/chapter.sgml and will extract all of
 #                       the pgpkeys to standard out.  This output can then
 #                       be redirected into a file and distributed as a
 #                       public keyring of FreeBSD developers that can
 #                       easily be imported into PGP/GPG.
 #
 # ------------------------------------------------------------------------
 
 .PATH: ${.CURDIR}/../../share/sgml/glossary
 
 MAINTAINER=phantom@FreeBSD.org
 
 DOC?= book
 
 FORMATS?= html-split
 
 HAS_INDEX= true
 
 INSTALL_COMPRESSED?= gz
 INSTALL_ONLY_COMPRESSED?=
 
 IMAGES_EN = advanced-networking/isdn-bus.eps
 IMAGES_EN+= advanced-networking/isdn-twisted-pair.eps
 IMAGES_EN+= advanced-networking/natd.eps
 IMAGES_EN+= advanced-networking/net-routing.pic
 IMAGES_EN+= advanced-networking/static-routes.pic
 IMAGES_EN+= install/adduser1.scr
 IMAGES_EN+= install/adduser2.scr
 IMAGES_EN+= install/adduser3.scr
 IMAGES_EN+= install/boot-mgr.scr
 IMAGES_EN+= install/console-saver1.scr
 IMAGES_EN+= install/console-saver2.scr
 IMAGES_EN+= install/console-saver3.scr
 IMAGES_EN+= install/console-saver4.scr
 IMAGES_EN+= install/desktop.scr
 IMAGES_EN+= install/disklabel-auto.scr
 IMAGES_EN+= install/disklabel-ed1.scr
 IMAGES_EN+= install/disklabel-ed2.scr
 IMAGES_EN+= install/disklabel-fs.scr
 IMAGES_EN+= install/disklabel-root1.scr
 IMAGES_EN+= install/disklabel-root2.scr
 IMAGES_EN+= install/disklabel-root3.scr
 IMAGES_EN+= install/disk-layout.eps
 IMAGES_EN+= install/dist-set.scr
 IMAGES_EN+= install/dist-set2.scr
 IMAGES_EN+= install/docmenu1.scr
 IMAGES_EN+= install/ed0-conf.scr
 IMAGES_EN+= install/ed0-conf2.scr
 IMAGES_EN+= install/edit-inetd-conf.scr
 IMAGES_EN+= install/fdisk-drive1.scr
 IMAGES_EN+= install/fdisk-drive2.scr
 IMAGES_EN+= install/fdisk-edit1.scr
 IMAGES_EN+= install/fdisk-edit2.scr
 IMAGES_EN+= install/ftp-anon1.scr
 IMAGES_EN+= install/ftp-anon2.scr
 IMAGES_EN+= install/hdwrconf.scr
 IMAGES_EN+= install/keymap.scr
 IMAGES_EN+= install/main1.scr
 IMAGES_EN+= install/mainexit.scr
 IMAGES_EN+= install/main-std.scr
 IMAGES_EN+= install/main-options.scr
 IMAGES_EN+= install/main-doc.scr
 IMAGES_EN+= install/main-keymap.scr
 IMAGES_EN+= install/media.scr
 IMAGES_EN+= install/mouse1.scr
 IMAGES_EN+= install/mouse2.scr
 IMAGES_EN+= install/mouse3.scr
 IMAGES_EN+= install/mouse4.scr
 IMAGES_EN+= install/mouse5.scr
 IMAGES_EN+= install/mouse6.scr
 IMAGES_EN+= install/mta-main.scr
 IMAGES_EN+= install/net-config-menu1.scr
 IMAGES_EN+= install/net-config-menu2.scr
 IMAGES_EN+= install/nfs-server-edit.scr
 IMAGES_EN+= install/ntp-config.scr
 IMAGES_EN+= install/options.scr
 IMAGES_EN+= install/pkg-cat.scr
 IMAGES_EN+= install/pkg-confirm.scr
 IMAGES_EN+= install/pkg-install.scr
 IMAGES_EN+= install/pkg-sel.scr
 IMAGES_EN+= install/probstart.scr
 IMAGES_EN+= install/routed.scr
 IMAGES_EN+= install/security.scr
 IMAGES_EN+= install/sysinstall-exit.scr
 IMAGES_EN+= install/timezone1.scr
 IMAGES_EN+= install/timezone2.scr
 IMAGES_EN+= install/timezone3.scr
 IMAGES_EN+= install/userconfig.scr
 IMAGES_EN+= install/userconfig2.scr
 IMAGES_EN+= install/xf86setup.scr
 IMAGES_EN+= mail/mutt1.scr
 IMAGES_EN+= mail/mutt2.scr
 IMAGES_EN+= mail/mutt3.scr
 IMAGES_EN+= mail/pine1.scr
 IMAGES_EN+= mail/pine2.scr
 IMAGES_EN+= mail/pine3.scr
 IMAGES_EN+= mail/pine4.scr
 IMAGES_EN+= mail/pine5.scr
 
 
 IMAGES_EN+= install/example-dir1.eps
 IMAGES_EN+= install/example-dir2.eps
 IMAGES_EN+= install/example-dir3.eps
 IMAGES_EN+= install/example-dir4.eps
 IMAGES_EN+= install/example-dir5.eps
 IMAGES_EN+= security/ipsec-network.pic
 IMAGES_EN+= security/ipsec-crypt-pkt.pic
 IMAGES_EN+= security/ipsec-encap-pkt.pic
 IMAGES_EN+= security/ipsec-out-pkt.pic
 IMAGES_EN+= vinum/vinum-concat.pic
 IMAGES_EN+= vinum/vinum-mirrored-vol.pic
 IMAGES_EN+= vinum/vinum-raid10-vol.pic
 IMAGES_EN+= vinum/vinum-raid5-org.pic
 IMAGES_EN+= vinum/vinum-simple-vol.pic
 IMAGES_EN+= vinum/vinum-striped-vol.pic
 IMAGES_EN+= vinum/vinum-striped.pic
 
 # Images from the cross-document image library
 IMAGES_LIB=  callouts/1.png
 IMAGES_LIB+= callouts/2.png
 IMAGES_LIB+= callouts/3.png
 IMAGES_LIB+= callouts/4.png
 IMAGES_LIB+= callouts/5.png
 IMAGES_LIB+= callouts/6.png
 IMAGES_LIB+= callouts/7.png
 IMAGES_LIB+= callouts/8.png
 IMAGES_LIB+= callouts/9.png
 IMAGES_LIB+= callouts/10.png
 
 # 
 # SRCS lists the individual SGML files that make up the document. Changes
 # to any of these files will force a rebuild
 #
 
 # SGML content
 SRCS+=	book.sgml
 SRCS+=	colophon.sgml
 SRCS+=	freebsd-glossary.sgml
 SRCS+=	advanced-networking/chapter.sgml
 SRCS+=	basics/chapter.sgml
 SRCS+=	bibliography/chapter.sgml
 SRCS+=	boot/chapter.sgml
 SRCS+=	config/chapter.sgml
 SRCS+=	cutting-edge/chapter.sgml
 SRCS+=	desktop/chapter.sgml
 SRCS+=	disks/chapter.sgml
 SRCS+=	eresources/chapter.sgml
+SRCS+=	firewalls/chapter.sgml
 SRCS+=	install/chapter.sgml
 SRCS+=	introduction/chapter.sgml
 SRCS+=	kernelconfig/chapter.sgml
 SRCS+=	l10n/chapter.sgml
 SRCS+=	linuxemu/chapter.sgml
 SRCS+=	mac/chapter.sgml
 SRCS+=	mail/chapter.sgml
 SRCS+=	mirrors/chapter.sgml
 SRCS+=	multimedia/chapter.sgml
 SRCS+=	network-servers/chapter.sgml
 SRCS+=	pgpkeys/chapter.sgml
 SRCS+=	ports/chapter.sgml
 SRCS+=	ppp-and-slip/chapter.sgml
 SRCS+=	preface/preface.sgml
 SRCS+=	printing/chapter.sgml
 SRCS+=	security/chapter.sgml
 SRCS+=	serialcomms/chapter.sgml
 SRCS+=	users/chapter.sgml
 SRCS+=	vinum/chapter.sgml
 SRCS+=	x11/chapter.sgml
 
 # Entities
 SRCS+=	chapters.ent 
 
 SYMLINKS=	${DESTDIR} index.html handbook.html
 
 # Turn on all the chapters.
 CHAPTERS?=	${SRCS:M*chapter.sgml}
 
 SGMLFLAGS+=	${CHAPTERS:S/\/chapter.sgml//:S/^/-i chap./}
 SGMLFLAGS+=	-i chap.freebsd-glossary
 
 # XXX The Handbook build currently overflows some internal, hardcoded 
 # limits in pdftex.  Until we split the Handbook up, build the PDF 
 # version using ps2pdf instead of pdftex.
 
 PS2PDF?=	${PREFIX}/bin/ps2pdf
 
 book.tex-pdf:
 	${TOUCH} book.tex-pdf
 
 book.pdf: book.ps
 	${PS2PDF} book.ps book.pdf
 
 pgpkeyring: pgpkeys/chapter.sgml
 	@${JADE} -V nochunks ${OTHERFLAGS} ${JADEOPTS} -d ${DSLPGP} -t sgml ${MASTERDOC}
 
 #
 # Handbook-specific variables
 #
 .if defined(WITH_PGPKEYS)
 JADEFLAGS+=    -V withpgpkeys
 .endif
 
 .for p in ftp cvsup
 SRCS+= mirrors.sgml.${p}.inc
 CLEANFILES+= mirrors.sgml.${p}.inc
 CLEANFILES+= mirrors.sgml.${p}.inc.tmp
 .endfor
 
 SRCS+= eresources.sgml.www.inc
 CLEANFILES+= eresources.sgml.www.inc
 CLEANFILES+= eresources.sgml.www.inc.tmp
 
 URL_RELPREFIX?=	../../../..
 DOC_PREFIX?=	${.CURDIR}/../../..
 
 .include "${DOC_PREFIX}/share/mk/doc.project.mk"
 
 .for p in ftp cvsup
 mirrors.sgml.${p}.inc: ${XML_MIRRORS} ${XSL_MIRRORS}
 	${XSLTPROC} ${XSLTPROCOPTS} \
 	    -o $@.tmp \
 	    --param 'type' "'$p'" \
 	    --param 'proto' "'$p'" \
 	    --param 'target' "'handbook/mirrors/chapter.sgml'" \
 	    ${XSL_MIRRORS} ${XML_MIRRORS}
 	${SED} -e 's,<\([^ >]*\)\([^>]*\)/>,<\1\2></\1>,;s,</anchor>,,'\
 	    < $@.tmp > $@ || (${RM} -f $@ && false)
 	${RM} -f $@.tmp
 .endfor
 
 eresources.sgml.www.inc: ${XML_MIRRORS} ${XSL_MIRRORS}
 	${XSLTPROC} ${XSLTPROCOPTS} \
 	    -o $@.tmp \
 	    --param 'type' "'www'" \
 	    --param 'proto' "'http'" \
 	    --param 'target' "'handbook/eresources/chapter.sgml'" \
 	    ${XSL_MIRRORS} ${XML_MIRRORS}
 	${SED} -e 's,<\([^ >]*\)\([^>]*\)/>,<\1\2></\1>,;s,</anchor>,,'\
 	    < $@.tmp > $@ || (${RM} -f $@ && false)
 	${RM} -f $@.tmp
diff --git a/ru_RU.KOI8-R/books/handbook/book.sgml b/ru_RU.KOI8-R/books/handbook/book.sgml
index b15489630d..1bba7d592e 100644
--- a/ru_RU.KOI8-R/books/handbook/book.sgml
+++ b/ru_RU.KOI8-R/books/handbook/book.sgml
@@ -1,345 +1,346 @@
 <!--
      The FreeBSD Russian Documentation Project
 
      $FreeBSD$
      $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/book.sgml,v 1.53 2004/08/12 08:30:15 den Exp $
      Original revision: 1.156
 
      TODO: review ENTITY'es
            review and compare to real state chap.*
 -->
 
 <!DOCTYPE BOOK PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [
 <!ENTITY % books.ent PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Books Entity Set//EN">
 %books.ent;
 <!ENTITY % chapters SYSTEM "chapters.ent">
 %chapters;
 <!ENTITY % txtfiles SYSTEM "txtfiles.ent">
 %txtfiles;
 
 <!ENTITY % not.published "INCLUDE">
 
 <!ENTITY % chap.introduction "IGNORE">
 <!ENTITY % chap.install "IGNORE">
 <!ENTITY % chap.basics "IGNORE">
 <!ENTITY % chap.ports "IGNORE">
 <!ENTITY % chap.config "IGNORE">
 <!ENTITY % chap.boot "IGNORE">
 <!ENTITY % chap.users "IGNORE">
 <!ENTITY % chap.kernelconfig "IGNORE">
 <!ENTITY % chap.security "IGNORE">
 <!ENTITY % chap.printing "IGNORE">
 <!ENTITY % chap.disks "IGNORE">
 <!ENTITY % chap.vinum "IGNORE">
 <!ENTITY % chap.x11 "IGNORE">
 <!ENTITY % chap.l10n "IGNORE">
 <!ENTITY % chap.multimedia "IGNORE">
 <!ENTITY % chap.desktop "IGNORE">
 <!ENTITY % chap.serialcomms "IGNORE">
 <!ENTITY % chap.ppp-and-slip "IGNORE">
 <!ENTITY % chap.advanced-networking "IGNORE">
 <!ENTITY % chap.network-servers "IGNORE">
 <!ENTITY % chap.mail "IGNORE">
 <!ENTITY % chap.cutting-edge "IGNORE">
 <!ENTITY % chap.linuxemu "IGNORE">
 <!ENTITY % chap.mirrors "IGNORE">
 <!ENTITY % chap.bibliography "IGNORE">
 <!ENTITY % chap.eresources "IGNORE">
 <!ENTITY % chap.pgpkeys "IGNORE">
 <!ENTITY % chap.index "IGNORE">
 <!ENTITY % chap.freebsd-glossary "IGNORE">
 <!ENTITY % chap.mac "IGNORE">
 
 <!ENTITY % pgpkeys SYSTEM "../../../share/pgpkeys/pgpkeys.ent"> %pgpkeys;
 
 ]>
 
 <book lang="ru">
   <bookinfo>
     <title>Руководство FreeBSD</title>
 
     <corpauthor>Проект Документации FreeBSD</corpauthor>
 
     <pubdate>Февраль 1999</pubdate>
 
     <copyright>
       <year>1995</year>
       <year>1996</year>
       <year>1997</year>
       <year>1998</year>
       <year>1999</year>
       <year>2000</year>
       <year>2001</year>
       <year>2002</year>
       <year>2003</year>
       <year>2004</year>
       <holder>The FreeBSD Documentation Project</holder>
     </copyright>
 
     <copyright>
       <year>2000</year>
       <year>2001</year>
       <year>2002</year>
       <year>2003</year>
       <year>2004</year>
       <holder>Проект Русской Документации FreeBSD</holder>
     </copyright>
 
     &bookinfo.legalnotice;
 
     <legalnotice id="trademarks" role="trademarks">
       &tm-attrib.freebsd;
       &tm-attrib.3com;
       &tm-attrib.3ware;
       &tm-attrib.arm;
       &tm-attrib.adaptec;
       &tm-attrib.adobe;
       &tm-attrib.apple;
       &tm-attrib.corel;
       &tm-attrib.creative;
       &tm-attrib.cvsup;
       &tm-attrib.heidelberger;
       &tm-attrib.ibm;
       &tm-attrib.ieee;
       &tm-attrib.intel;
       &tm-attrib.intuit;
       &tm-attrib.linux;
       &tm-attrib.lsilogic;
       &tm-attrib.m-systems;
       &tm-attrib.macromedia;
       &tm-attrib.microsoft;
       &tm-attrib.netscape;
       &tm-attrib.nexthop;
       &tm-attrib.opengroup;
       &tm-attrib.oracle;
       &tm-attrib.powerquest;
       &tm-attrib.realnetworks;
       &tm-attrib.redhat;
       &tm-attrib.sap;
       &tm-attrib.sun;
       &tm-attrib.symantec;
       &tm-attrib.themathworks;
       &tm-attrib.thomson;
       &tm-attrib.usrobotics;
       &tm-attrib.vmware;
       &tm-attrib.waterloomaple;
       &tm-attrib.wolframresearch;
       &tm-attrib.xfree86;
       &tm-attrib.xiph;
       &tm-attrib.general;
     </legalnotice>
 
     <abstract>
       <para>Добро пожаловать в FreeBSD!  Это Руководство охватывает процесс
       установки и ежедневного использования <emphasis>FreeBSD
       &rel2.current;-RELEASE</emphasis> и <emphasis>FreeBSD
       &rel.current;-RELEASE</emphasis>.
       Это руководство находится <emphasis>в процессе
       разработки</emphasis> и являет собой результат работы множества
       людей. Многие из разделов до сих пор не существуют, а некоторые из
       существующих требуют обновления. Если вы заинтересованы в помощи
       этому проекту, отправьте письмо в &a.ru.doc;. Обновленная версия этого
       документа постоянно доступна с <ulink url="http://www.FreeBSD.org.ua">
       Основного Web сервера Проекта Русской Документации FreeBSD</ulink> и
       <ulink url="http://www.FreeBSD.org/ru/index.html">Основного Web сервера
       FreeBSD</ulink>. Он также может быть загружен из
       Internet в одном из наиболее распространенных форматов с <ulink
       URL="ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/">FTP сервера Проекта
       FreeBSD</ulink> или с одного из многочисленных <link
       linkend="mirrors-ftp">зеркал</link>. Если вы предпочитаете иметь
       напечатанный (английский) вариант Руководства, то можете приобрести
       его на <ulink url="http://www.freebsdmall.com/">FreeBSD Mall</ulink>.
       Вы также можете воспользоваться <ulink
       URL="&url.base;/ru/search/index.html">Поиском в Руководстве
       FreeBSD</ulink>.</para>
     </abstract>
   </bookinfo>
 
   &chap.preface;
 
   <part id="getting-started">
     <title>В начале</title>
 
     <partintro>
       <para>Эта часть Руководства Пользователя FreeBSD предназначена для
 	пользователей и администраторов - новичков в FreeBSD. Эти главы:</para>
 
       <itemizedlist>
 	<listitem>
 	  <para>Введут вас в FreeBSD.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Проведут вас по процессу установки FreeBSD.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Обучат вас некоторым основам &unix;.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Покажут вам как устанавливать программные пакеты не входящие
 	    в стандартную поставку FreeBSD.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Введут вас в X Window, оконную систему для &unix;, и опишут
 	    как настроить графическое окружение и сделать вашу работу
 	    более продуктивной.</para>
 	</listitem>
       </itemizedlist>
 
       <para>Мы попытались сократить множество ссылок в тексте до минимума
 	для того, чтоб вы могли прочитать эту секцию Руководства с начала
 	до конца с минимумом перелистываний страниц.</para>
     </partintro>
 
     <![ %chap.introduction;             [ &chap.introduction;         ]]>
     <![ %chap.install;                  [ &chap.install;              ]]>
     <![ %chap.basics;                   [ &chap.basics;               ]]>
     <![ %chap.ports;                    [ &chap.ports;                ]]>
     <![ %chap.x11;                      [ &chap.x11;                  ]]>
   </part>
   
   <part id="common-tasks">
     <title>Общие задачи</title>
     
     <partintro>
       <para>Теперь, когда основы были пройдены, в данной части Руководства
         FreeBSD будут обсуждаться некоторые часто используемые возможности
         FreeBSD.  В этих главах:</para>
 
       <itemizedlist>
 	<listitem>
 	  <para>Введение в популярные и полезные графические приложения:
 	    браузеры, бизнес приложения, программы просмотра документов
 	    и т.д.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Представлены множество мультимедийных программ,
 	    доступных в FreeBSD.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Описан процесс создания собственного ядра FreeBSD
 	    для включения дополнительных функций системы.</para>
 	</listitem>
 
         <listitem>
           <para>Система печати разобрана в деталях, как для
 	    непосредственно подключенных принтеров, так и для
 	    принтеров, подключенных через сеть.</para>
         </listitem>
 
         <listitem>
           <para>Показано, как запускать приложения Linux в системе
 	    FreeBSD.</para>
         </listitem>
 
       </itemizedlist>
 
       <para>Перед прочтением некоторых из этих глав необходимо
 	предварительно ознакомиться с предварительной информацией,
 	что указано в кратком обзоре в начале каждой главы.</para>
 
     </partintro>
 
     <![ %chap.desktop;                  [ &chap.desktop;              ]]>
     <![ %chap.multimedia;               [ &chap.multimedia;           ]]>
     <![ %chap.kernelconfig;             [ &chap.kernelconfig;         ]]>
     <![ %chap.printing;                 [ &chap.printing;             ]]>
     <![ %chap.linuxemu;                 [ &chap.linuxemu;             ]]>
   </part>
 
   <part id="system-administration">
     <title>Системное Администрирование</title>
 
     <partintro>
       <para>Оставшиеся главы Руководства охватывают все аспекты
 	администрирования FreeBSD системы. Каждая глава начинается с
 	описания того, что вы сможете изучить в результате прочтения
 	этой главы.</para>
 
       <para>Эти главы спланированы там, что вы можете прочитать их когда
 	вам нужно узнать какую-либо информацию. Вам не нужно читать их
 	в определенном порядке, и не нужно прочитать их все перед тем, как
 	начать пользоваться FreeBSD.</para>
     </partintro>
 
     <![ %chap.config;                   [ &chap.config;               ]]>
     <![ %chap.boot;                     [ &chap.boot;                 ]]>
     <![ %chap.users;                    [ &chap.users;                ]]>
     <![ %chap.security;                 [ &chap.security;             ]]>
     <![ %chap.mac;			[ &chap.mac;		      ]]>
     <![ %chap.disks;                    [ &chap.disks;                ]]>
     <![ %chap.vinum;                    [ &chap.vinum;                ]]>
     <![ %chap.l10n;                     [ &chap.l10n;                 ]]>
     <![ %chap.cutting-edge;             [ &chap.cutting-edge;         ]]>
   </part>
 
   <part id="network-communication">
     <title>Сетевые коммуникации</title>
 
     <partintro>
       <para>FreeBSD это одна из наиболее широко используемых в
 	высокопроизводительных сетевых серверах операционных систем.
 	Главы этой части книги охватывают:</para>
 
       <itemizedlist>
         <listitem>
           <para>Последовательные соединения</para>
         </listitem>
 
         <listitem>
           <para>PPP и PPP через Ethernet</para>
         </listitem>
 
         <listitem>
           <para>Электронную почту</para>
         </listitem>
 
         <listitem>
           <para>Запуск сетевых серверов</para>
         </listitem>
 
         <listitem>
           <para>Другую сетевую тематику повышенной сложности</para>
         </listitem>
       </itemizedlist>
 
       <para>Эти главы предназначены для получения дополнительной
 	информации.  Нет необходимости читать их в определенной
 	последовательности, или читать их все перед тем, как
 	начать использовать FreeBSD в сети.</para>
     </partintro>
 
     <![ %chap.serialcomms;              [ &chap.serialcomms;          ]]>
     <![ %chap.ppp-and-slip;             [ &chap.ppp-and-slip;         ]]>
     <![ %chap.mail;                     [ &chap.mail;                 ]]>
     <![ %chap.network-servers;          [ &chap.network-servers;      ]]>
+    <![ %chap.firewalls;		[ &chap.firewalls;	      ]]>
     <![ %chap.advanced-networking;      [ &chap.advanced-networking;  ]]>
   </part>
 
   <part id="appendices">
     <title>Приложения</title>
 
     <![ %chap.mirrors;                  [ &chap.mirrors;              ]]>
     <![ %chap.bibliography;             [ &chap.bibliography;         ]]>
     <![ %chap.eresources;               [ &chap.eresources;           ]]>
     <![ %chap.pgpkeys;                  [ &chap.pgpkeys;              ]]>
 
   </part>
   <![ %chap.freebsd-glossary;           [ &bookinfo.freebsd-glossary;     ]]>
   <![ %chap.index;                      [ &chap.index;                ]]>
   &chap.colophon;
 </book>
 
 <!--
      Local Variables:
      mode: sgml
      sgml-indent-data: t
      sgml-omittag: nil
      sgml-always-quote-attributes: t
      End:
 -->
diff --git a/ru_RU.KOI8-R/books/handbook/chapters.ent b/ru_RU.KOI8-R/books/handbook/chapters.ent
index 052c7844e8..cb9449546d 100644
--- a/ru_RU.KOI8-R/books/handbook/chapters.ent
+++ b/ru_RU.KOI8-R/books/handbook/chapters.ent
@@ -1,62 +1,63 @@
 <!-- 
      The FreeBSD Russian Documentation Project
 
      $FreeBSD$
      $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/chapters.ent,v 1.18 2004/09/06 08:28:41 den Exp $
 
      Original revision: 1.28
 -->
 <!--
      Создание сущностей для каждого раздела Руководства. Каждая сущность
      называется chap.foo, где foo значение аттрибута id этого раздела,
      и соответствует названию каталога в котором .sgml файлы относящиеся
      к этому разделу сохранены.
 
      Разделы должны быть отсортированы в порядке в котором они используются.
 -->
 
 <!ENTITY chap.preface			SYSTEM "preface/preface.sgml">
 
 <!-- Часть первая -->
 <!ENTITY chap.introduction		SYSTEM "introduction/chapter.sgml">
 <!ENTITY chap.install			SYSTEM "install/chapter.sgml">
 <!ENTITY chap.basics			SYSTEM "basics/chapter.sgml">
 <!ENTITY chap.ports			SYSTEM "ports/chapter.sgml">
 <!ENTITY chap.x11			SYSTEM "x11/chapter.sgml">
 
 <!-- Часть вторая -->
 <!ENTITY chap.desktop			SYSTEM "desktop/chapter.sgml">
 <!ENTITY chap.multimedia		SYSTEM "multimedia/chapter.sgml">
 <!ENTITY chap.kernelconfig		SYSTEM "kernelconfig/chapter.sgml">
 <!ENTITY chap.printing			SYSTEM "printing/chapter.sgml">
 <!ENTITY chap.linuxemu			SYSTEM "linuxemu/chapter.sgml">
 
 <!-- Часть третья -->
 <!ENTITY chap.config			SYSTEM "config/chapter.sgml">
 <!ENTITY chap.boot			SYSTEM "boot/chapter.sgml">
 <!ENTITY chap.users			SYSTEM "users/chapter.sgml">
 <!ENTITY chap.security			SYSTEM "security/chapter.sgml">
 <!ENTITY chap.mac			SYSTEM "mac/chapter.sgml">
 <!ENTITY chap.disks			SYSTEM "disks/chapter.sgml">
 <!ENTITY chap.vinum			SYSTEM "vinum/chapter.sgml">
 <!ENTITY chap.l10n			SYSTEM "l10n/chapter.sgml">
 <!ENTITY chap.cutting-edge		SYSTEM "cutting-edge/chapter.sgml">
 
 <!-- Часть четвертая -->
 <!ENTITY chap.serialcomms		SYSTEM "serialcomms/chapter.sgml">
 <!ENTITY chap.ppp-and-slip		SYSTEM "ppp-and-slip/chapter.sgml">
 <!ENTITY chap.mail			SYSTEM "mail/chapter.sgml">
 <!ENTITY chap.network-servers		SYSTEM "network-servers/chapter.sgml">
+<!ENTITY chap.firewalls			SYSTEM "firewalls/chapter.sgml">
 <!ENTITY chap.advanced-networking	SYSTEM "advanced-networking/chapter.sgml">
 
 <!-- Часть пятая (приложения) -->
 <!ENTITY chap.mirrors			SYSTEM "mirrors/chapter.sgml">
 <!ENTITY chap.mirrors.ftp.inc		SYSTEM "mirrors.sgml.ftp.inc">
 <!ENTITY chap.mirrors.cvsup.inc		SYSTEM "mirrors.sgml.cvsup.inc">
 
 <!ENTITY chap.bibliography		SYSTEM "bibliography/chapter.sgml">
 <!ENTITY chap.eresources		SYSTEM "eresources/chapter.sgml">
 <!ENTITY chap.eresources.www.inc	SYSTEM "eresources.sgml.www.inc">
 <!ENTITY chap.pgpkeys			SYSTEM "pgpkeys/chapter.sgml">
 <!ENTITY chap.index			SYSTEM "index.sgml">
 <!ENTITY chap.colophon			SYSTEM "colophon.sgml">
diff --git a/ru_RU.KOI8-R/books/handbook/firewalls/Makefile b/ru_RU.KOI8-R/books/handbook/firewalls/Makefile
new file mode 100644
index 0000000000..c9ee62c7cc
--- /dev/null
+++ b/ru_RU.KOI8-R/books/handbook/firewalls/Makefile
@@ -0,0 +1,17 @@
+#
+# Build the Handbook with just the content from this chapter.
+#
+# $FreeBSD$
+# $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/firewalls/Makefile,v 1.1 2004/12/15 14:37:20 den Exp $
+# Original revision: 1.1
+#
+
+CHAPTERS= 	firewalls/chapter.sgml
+
+VPATH=		..
+
+MASTERDOC=	${.CURDIR}/../${DOC}.${DOCBOOKSUFFIX}
+
+DOC_PREFIX?= 	${.CURDIR}/../../../..
+
+.include "../Makefile"
diff --git a/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml
new file mode 100644
index 0000000000..ccbdb17ca2
--- /dev/null
+++ b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml
@@ -0,0 +1,1090 @@
+<!--
+     The FreeBSD Documentation Project
+
+     $FreeBSD$
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml,v 1.11 2005/03/07 16:51:25 den Exp $
+
+     Original revision: 1.51
+-->
+
+<chapter id="firewalls">
+  <chapterinfo>
+    <authorgroup>
+      <author>
+	<firstname>Joseph J.</firstname>
+        <surname>Barbish</surname>
+	<contrib>Предоставил </contrib>
+      </author>
+    </authorgroup>
+    <authorgroup>
+      <author>
+	<firstname>Brad</firstname>
+	<surname>Davis</surname>
+	<contrib>Преобразовал в SGML и обновил </contrib>
+      </author>
+    </authorgroup>
+  </chapterinfo>
+
+  <title>Межсетевые экраны</title>
+
+  <indexterm><primary>межсетевой экран</primary></indexterm>
+  <indexterm>
+    <primary>безопасность</primary>
+    <secondary>межсетевой экран</secondary>
+  </indexterm>
+
+  <!-- только в переводе -->
+  <indexterm>
+    <primary>брандмауэр</primary>
+    <see>межсетевой экран</see>
+  </indexterm>
+
+  <sect1 id="firewalls-intro">
+
+    <title>Введение</title>
+
+    <para>Межсетевые экраны (firewall, брандмауэр)
+      делают возможной фильтрацию входящего и исходящего
+      трафика, идущего через систему.  Межсетевой экран использует один
+      или более наборов <quote>правил</quote> для проверки сетевых
+      пакетов при их входе или выходе через сетевое соединение, он
+      или позволяет прохождение трафика или блокирует его.  Правила
+      межсетевого экрана могут проверять одну или более характеристик пакетов,
+      включая но не ограничиваясь типом протокола, адресом хоста источника
+      или назначения и портом источника или назначения.</para>
+
+    <para>Межсетевые экраны могут серьезно повысить уровень безопасности хоста
+      или сети.  Они могут быть использованы для
+      выполнения одной или более нижеперечисленных задач:</para>
+
+    <itemizedlist>
+      <listitem>
+	<para>Для защиты и изоляции приложений, сервисов и машин во
+	  внутренней сети от нежелательного трафика, приходящего
+	  из внешней сети интернет.</para>
+      </listitem>
+
+      <listitem>
+	<para>Для ограничения или запрещения доступа хостов внутренней
+	  сети к сервисам внешней сети интернет.</para>
+      </listitem>
+
+      <listitem>
+	<para>Для поддержки преобразования сетевых адресов (network
+	  address translation, <acronym>NAT</acronym>), что позволяет
+	  использование во внутренней сети приватных
+	  <acronym>IP</acronym> адресов (либо через один выделенный
+	  <acronym>IP</acronym> адрес, либо через адрес из пула
+	  автоматически присваиваемых публичных адресов).</para>
+      </listitem>
+    </itemizedlist>
+
+    <para>После прочтения этой главы вы узнаете:</para>
+
+    <itemizedlist>
+      <listitem>
+	<para>Как правильно задать правила фильтрации
+	  пакетов.</para>
+      </listitem>
+
+      <listitem>
+	<para>Разницу между межсетевыми экранами,
+	  встроенными в &os;</para>
+      </listitem>
+
+      <listitem>
+	<para>Как использовать и настраивать межсетевой экран
+	  OpenBSD <application>PF</application>.</para>
+      </listitem>
+
+      <listitem>
+	<para>Как использовать и настраивать
+	  <application>IPFILTER</application>.</para>
+      </listitem>
+
+      <listitem>
+	<para>Как использовать и настраивать
+	<application>IPFW</application>.</para>
+      </listitem>
+    </itemizedlist>
+
+    <para>Перед прочтением этой главы вам потребуется:</para>
+
+    <itemizedlist>
+      <listitem>
+	<para>Ознакомиться с основами &os; и интернет.</para>
+      </listitem>
+    </itemizedlist>
+  </sect1>
+
+  <sect1 id="firewalls-concepts">
+    <title>Принципы работы межсетевых экранов</title>
+
+    <indexterm>
+      <primary>межсетевой экран</primary>
+      <secondary>наборы правил</secondary>
+    </indexterm>
+
+    <para>Существует два основных способа создания наборов правил
+      межсетевого экрана: <quote>включающий</quote> и <quote>исключающий</quote>.
+      Исключающий межсетевой экран позволяет прохождение всего трафика,
+      за исключением трафика, соответствующего набору правил.
+      Включающий межсетевой экран действует прямо противоположным образом.
+      Он пропускает только трафик, соответствующий правилам и
+      блокирует все остальное.</para>
+
+    <para>Включающие межсетевые экраны обычно более безопасны, чем
+      исключающие, поскольку они существенно уменьшают риск
+      пропуска межсетевым экраном нежелательного трафика.</para>
+
+    <para>Безопасность может быть дополнительно повышена с
+      использованием <quote>межсетевого экрана с сохранением
+      состояния</quote>.  Такой межсетевой экран сохраняет информацию
+      об открытых соединениях и разрешает только трафик через
+      открытые соединения или открытие новых соединений.
+      Недостаток межсетевого экрана с сохранением состояния в том, что
+      он может быть уязвим для атак <acronym>DoS</acronym>
+      (Denial of Service, отказ в обслуживании), если множество
+      новых соединений открывается очень быстро.  Большинство
+      межсетевых экранов позволяют комбинировать поведение с сохранением
+      состояния и без сохранения состояния, что оптимально
+      для реальных применений.</para>
+  </sect1>
+
+  <sect1 id="firewalls-apps">
+
+    <title>Программные пакеты межсетевых экранов</title>
+
+    <para>В &os; встроено три программных межсетевых экрана.  Это
+      IPFILTER (известный также как IPF), IPFIREWALL
+      (известный также как IPFW) и PF (OpenBSD PacketFilter).
+      В IPFIREWALL встроена
+      поддержка ограничителя трафика DUMMYNET для контроля
+      использования пропускной способности.  В IPFILTER
+      поддержка ограничителя трафика не встроена, но в тех
+      же целях может использоваться ALTQ.
+      <!-- для USSR скорее всего неверно:
+      The DUMMYNET feature and <acronym>ALTQ</acronym> is generally useful only to large
+      ISPs or commercial users.-->
+      IPF, IPFW и PF для контроля исходящих и входящих пакетов
+      используют наборы правил, хотя и разными способами с разным
+      синтаксисом правил.</para>
+
+    <!-- XXX: Is rc.firewall really outdated and complicated?
+	AND: should we modify/remove /etc/rc.firewall or rewrite this: -->
+    <para>Пример набора правил IPFW (находящийся в
+      <filename>/etc/rc.firewall</filename>), поставляемый в составе
+      базовой системы, является устаревшим, сложным, и не использует
+      правила с сохранением состояния на интерфейсах, выходящих
+      во внешнюю сеть интернет.  В нем используются правила
+      без сохранения состояния, способные только открывать или
+      закрывать порты сервисов.  Приводимый здесь пример набора
+      правил IPFW с сохранением состояния расширяет набор из файла
+      <filename>/etc/rc.firewall</filename>.</para>
+
+    <para>Правила с сохранением состояния лучше подходят для анализа
+      пакетов с целью защиты от переполнения в результате различных
+      атак, применяемых в в настоящее время.</para>
+
+<!-- фактически повторение, в переводе пропущено:
+    <para>All of these firewall software solutions IPF, IPFW and PF still
+      maintain their legacy heritage of their original rule processing
+      order and reliance on non-stateful rules. These outdated
+      concepts are not covered here, only the new, modern stateful
+      rule construct and rule processing order is presented.</para>
+
+    <para>You should read about both of them and make your own
+      decision on which one best fits your needs.</para>
+
+-->
+    <para>Автор предпочитает IPFILTER, поскольку его
+      правила с сохранением состояния гораздо проще использовать
+      совместно с <acronym>NAT</acronym>; кроме того, в него встроен
+      ftp прокси, упрощающий настройку безопасного внешнего использования
+      FTP.  Он также гораздо проще в освоении для пользователя, не имеющего
+      опыта настройки межсетевых экранов.</para>
+
+    <para>Поскольку все межсетевые экраны основаны на анализе значений выбранных
+      полей заголовка пакета, для создания правил межсетевого экрана необходимо
+      понимание принципов <acronym>TCP</acronym>/IP, того, что означают
+      различные поля заголовка пакета, и как эти поля используются в
+      обычной сессии.  Хорошим примером является:
+      <ulink url="http://www.ipprimer.com/overview.cfm"></ulink>.</para>
+  </sect1>
+
+  <sect1 id="firewalls-pf">
+    <title>Packet Filter Firewall (PF, межсетевой экран OpenBSD)</title>
+
+    <indexterm>
+      <primary>межсетевой экран</primary>
+      <secondary>PF</secondary>
+    </indexterm>
+
+    <para>В июле 2003 программный межсетевой экран OpenBSD, известный как
+      <acronym>PF</acronym>, был портирован в &os; и стал доступен
+      из коллекции портов &os;; первым релизом, где
+      <acronym>PF</acronym> был интегрирован в основную систему,
+      стала &os;&nbsp;5.3 в ноябре 2004.
+      <acronym>PF</acronym> это полноценный межсетевой экран с широким набором
+      возможностей, в котором есть опциональная поддержка
+      <acronym>ALTQ</acronym> (Alternate Queuing).
+      <acronym>ALTQ</acronym> предоставляет управление пропускной способностью
+      Quality of Service (<acronym>QoS</acronym>), позволяющее гарантировать
+      пропускную способность для различных сервисов на основе фильтрующих
+      правил.  Проект OpenBSD поддерживает Руководство
+      Пользователя PF, которое не было внесено в этот раздел руководства
+      во избежание дублирования работы.</para>
+
+    <para>Информация по доступности PF для различных версий &os;
+      приведена ниже:</para>
+
+    <informaltable frame="none" pgwide="1">
+      <tgroup cols="2">
+	<thead>
+	  <row>
+	    <entry>Версия &os;</entry>
+	    <entry>Доступность PF</entry>
+	  </row>
+	</thead>
+
+	<tbody>
+	  <row>
+	    <entry>Версии до 4.X</entry>
+
+	    <entry>PF недоступен для релизов &os; более старых, чем
+	      релизы из ветви 4.X.</entry>
+	  </row>
+
+	  <row>
+	    <entry>Все версии ветви 4.X</entry>
+	    <entry>PF доступен как часть KAME.</entry>
+	  </row>
+
+	  <row>
+	    <entry>Релизы 5.X до 5.3-RELEASE</entry>
+
+	    <entry>Для установки PF на эти версии &os; может использоваться
+	      порт <filename role="package">security/pf</filename>.
+	      Эти релизы предназначались для разработчиков и тех, кто
+	      желал ознакомиться с ранними версиями 5.X.  Настоятельно
+	      рекомендуется обновление до 5.3-RELEASE или более свежих
+	      версий &os;.</entry>
+	  </row>
+
+	  <row>
+	    <entry>5.3-RELEASE и более свежие версии</entry>
+
+	    <entry>PF стал частью основной системы.  <emphasis>Не</emphasis>
+	      используйте порт <filename role="package">security/pf</filename>
+	      на этих версиях &os;.  Он не будет работать.  Вместо этого
+	      воспользуйтесь поддержкой &man.pf.4; в базовой системе.</entry>
+	  </row>
+	</tbody>
+      </tgroup>
+    </informaltable>
+
+    <para>Дополнительную информацию можно получить с веб сайта PF для &os;:
+      <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
+
+    <para>Руководство пользователя OpenBSD PF находится здесь:
+      <ulink url="http://www.openbsd.org/faq/pf/"></ulink>.</para>
+
+    <warning>
+	<para>PF в &os; 5.X соответствует OpenBSD версии 3.5. Порт
+	  из коллекции портов &os; соответствует OpenBSD версии
+	  3.4.  Имейте это ввиду при просмотре руководства
+	  пользователя.</para>
+    </warning>
+
+    <sect2>
+      <title>Включение PF</title>
+
+      <para>PF включен в базовую поставку &os; версии 5.3 и выше в качестве
+	отдельного загружаемого модуля.  PF динамически подгружает модуль ядра
+	если включена переменная rc.conf <literal>pf_enable="YES"</literal>.
+	Загружаемый модуль создан с включенным &man.pflog.4;.</para>
+    </sect2>
+
+    <sect2>
+      <title>Параметры ядра</title>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>device pf</secondary>
+      </indexterm>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>device pflog</secondary>
+      </indexterm>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>device pfsync</secondary>
+      </indexterm>
+
+      <para>Включение PF путем компиляции с ядром &os; не является обязательным
+	требованием, и описано здесь в качестве дополнительной информации.
+	При компиляции PF с ядром загружаемый модуль не используется.</para>
+
+      <para>Пример параметров конфигурации ядра для включения PF находится в
+	<filename>/usr/src/sys/conf/NOTES</filename>
+	(<filename>/usr/src/sys/<replaceable>arch</replaceable>/conf/LINT</filename>
+	для &os;&nbsp;4.X) и показан здесь:</para>
+
+      <programlisting>device pf
+device pflog
+device pfsync</programlisting>
+
+      <para><literal>device pf</literal> включает поддержку межсетевого экрана
+	<quote>Packet Filter</quote>.</para>
+
+      <para><literal>device pflog</literal> включает необязательное сетевое
+	псевдоустройство &man.pflog.4;, которое может использоваться для
+	протоколирования трафика через &man.bpf.4;.  Даемон &man.pflogd.8;
+	может использоваться для сохранения протоколируемой информации
+	на диск.</para>
+
+      <para><literal>device pfsync</literal> включает необязательное
+	сетевое псевдоустройство &man.pfsync.4;, используемое для
+	отслеживания <quote>изменений состояния</quote>.  Поскольку оно
+	не входит в загружаемый модуль, для его использования необходимо
+	собрать собственное ядро.</para>
+
+      <para>Эти настройки будут действовать только после сборки и установки
+	нового ядра.</para>
+    </sect2>
+
+    <sect2>
+      <title>Доступные параметры rc.conf</title>
+
+      <para>Для активации PF во время загрузки в
+	<filename>/etc/rc.conf</filename> должны быть включены следующие
+	переменные:</para>
+
+      <programlisting>pf_enable="YES"                 # Включить PF (загрузить модуль если необходимо)
+pf_rules="/etc/pf.conf"         # определение правил для pf
+pf_flags=""                     # дополнительные флаги для запуска pfctl
+pflog_enable="YES"              # запустить pflogd(8)
+pflog_logfile="/var/log/pflog"  # где pflogd должен сохранять протокол
+pflog_flags=""                  # дополнительные флаги для запуска pflogd</programlisting>
+
+      <para>Если за межсетевым экраном находится локальная сеть и необходимо передавать
+	пакеты для компьютеров этой сети, или использовать NAT, включите также
+	следующий параметр:</para>
+
+      <programlisting>gateway_enable="YES"            # Включить сетевой шлюз</programlisting>
+
+    </sect2>
+
+    <sect2>
+      <title>Включение <acronym>ALTQ</acronym></title>
+
+      <para><acronym>ALTQ</acronym> может быть включен только путем
+	компилирования ядра &os; с соответствующими параметрами.
+	<acronym>ALTQ</acronym> поддерживается не всеми существующими
+	драйверами сетевых карт.  Для просмотра списка поддерживаемых
+	устройств в вашем релизе &os; обратитесь к странице справочника
+	&man.altq.4;.  Следующие параметры включат <acronym>ALTQ</acronym>
+	и добавят дополнительную функциональность.</para>
+
+      <programlisting>options         ALTQ
+options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
+options         ALTQ_RED        # Random Early Detection (RED)
+options         ALTQ_RIO        # RED In/Out
+options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
+options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
+options         ALTQ_NOPCC      # Required for SMP build</programlisting>
+
+      <para><literal>options ALTQ</literal> включает подсистему
+	<acronym>ALTQ</acronym>.</para>
+
+      <para><literal>options ALTQ_CBQ</literal> включает Class Based
+	Queuing (<acronym>CBQ</acronym>).  <acronym>CBQ</acronym>
+	позволяет распределять пропускную способность соединений
+	по классам или очередям для выставления приоритетов трафика
+	на основе правил фильтрации.</para>
+
+      <para><literal>options ALTQ_RED</literal> включает Random Early
+	Detection (<acronym>RED</acronym>).  <acronym>RED</acronym>
+	используется для предотвращения перегрузки сети.
+	<acronym>RED</acronym> вычисляет длину очереди и сравнивает ее
+	с минимальной и максимальной границей очереди.  Если
+	очередь превышает максимум, все новые пакеты отбрасываются.
+	В соответствии со своим названием, <acronym>RED</acronym>
+	отбрасывает пакеты из различные соединений в произвольном
+	порядке.</para>
+
+      <para><literal>options ALTQ_RIO</literal> включает Random Early
+	Detection In and Out.</para>
+
+      <para><literal>options ALTQ_HFSC</literal> включает
+	Hierarchical Fair Service Curve Packet Scheduler.  Дополнительная
+	информация о <acronym>HFSC</acronym> находится по адресу: <ulink
+	  url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.
+	</para>
+
+      <para><literal>options ALTQ_PRIQ</literal> включает Priority
+	Queuing (<acronym>PRIQ</acronym>).  <acronym>PRIQ</acronym>
+	всегда пропускает трафик из более высокой очереди
+	первым.</para>
+
+      <para><literal>options ALTQ_NOPCC</literal> включает
+	поддержку <acronym>SMP</acronym> для <acronym>ALTQ</acronym>.
+	Эта опция необходима для <acronym>SMP</acronym>
+	систем.</para>
+    </sect2>
+
+  </sect1>
+
+  <sect1 id="firewalls-ipf">
+    <title>* IPFILTER (IPF)</title>
+
+    <indexterm>
+      <primary>межсетевой экран</primary>
+      <secondary>IPFILTER</secondary>
+    </indexterm>
+
+    <warning><para>Перевод раздела не завершен.</para></warning>
+
+    <para>Автором IPFILTER является Darren Reed.  IPFILTER не
+      зависит от операционной системы:  это приложение с открытыми
+      исходными текстами, которое было портировано на операционные
+      системы &os;, NetBSD, OpenBSD, SunOS, HP/UX, и Solaris.
+      IPFILTER активно разрабатывается и поддерживается, регулярно
+      выпускаются обновленные версии.</para>
+
+    <para>IPFILTER основан на межсетевом экране уровня ядра, механизм
+      <acronym>NAT</acronym> может управляться и контролироваться
+      через пользовательский интерфейс.  Правила межсетевого экрана
+      могут устанавливаться или удаляться утилитой &man.ipf.8;.
+      Правила <acronym>NAT</acronym> могут устанавливаться или
+      удаляться утилитой &man.ipnat.1;.  Утилита &man.ipfstat.8;
+      выводит статистику IPFILTER для ядра.  Программа
+      &man.ipmon.8; заносит действия IPFILTER в файлы системных
+      протоколов.</para>
+
+    <para>IPF был первоначально написан с использованием правила
+      <quote>последнее совпадение применяется</quote> и только
+      с правилами без сохранения состояния. Со временем IPF
+      был расширен и включает параметры <quote>quick</quote> и
+      <quote>keep state</quote> (сохранение состояния), которые
+      кардинальным образом изменяют обработку пакетов.
+      Официальная документация IPF включает традиционные параметры
+      правил с традиционной последовательностью обработки пакетов.
+      Измененные функции включены в виде дополнительных параметров,
+      они необходимы для создания эффективного межсетевого экрана.</para>
+
+    <para>Инструкции этого раздела подразумевают использование
+      параметра <quote>quick</quote> и параметра сохранения
+      состояния <quote>keep state</quote>.  Это основа для создания
+      включающего межсетевого экрана.</para>
+
+<!-- практически полное дублирование вышеизложенного
+      <para>An inclusive firewall only allows packets matching the
+        rules to pass through. This way you can control what services
+        can originate behind the firewall destined for the public
+        Internet and also control the services which can originate from
+        the public Internet accessing your private network. Everything
+        else is blocked and logged by default design. Inclusive
+        firewalls are much, much more secure than exclusive firewall
+        rule sets and is the only rule set type covered herein.</para>
+-->
+
+    <para>Детальное описание методов обработки правил:
+      <ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
+      и
+      <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para>
+
+    <para>IPF FAQ
+      <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.</para>
+
+    <sect2>
+      <title>Включение IPF</title>
+
+      <indexterm>
+	<primary>IPFILTER</primary>
+	<secondary>включение</secondary>
+      </indexterm>
+
+      <para>IPF включен в базовую систему &os; в качестве отдельного
+	загружаемого модуля.  Система динамически загрузит модуль IPF,
+	если в rc.conf указана переменная
+	<literal>ipfilter_enable="YES"</literal>.  Модуль создается
+	с включенным протоколированием и правилом по умолчанию
+	<literal>block all</literal> (пропускать все).  Для изменения
+	правила по умолчанию не обязательно собирать ядро с новыми
+	параметрами.  Просто добавьте в конец набора правило,
+	блокирующее все пакеты.</para>
+    </sect2>
+
+    <sect2>
+      <title>Параметры ядра</title>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>IPFILTER</secondary>
+      </indexterm>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>IPFILTER_LOG</secondary>
+      </indexterm>
+
+      <indexterm>
+	<primary>параметры ядра</primary>
+	<secondary>IPFILTER_DEFAULT_BLOCK</secondary>
+      </indexterm>
+
+      <indexterm>
+	<primary>IPFILTER</primary>
+	<secondary>параметры ядра</secondary>
+      </indexterm>
+
+      <para>Сборка ядра с &os; включением IPF не обязательна.
+	Эта процедура представлена здесь в качестве дополнительной
+	информации.  При включении IPF в ядро загружаемый модуль
+	не используется.</para>
+
+      <para>Пример параметров настройки ядра для IPF находится в
+	<filename>/usr/src/sys/conf/NOTES</filename>
+	(<filename>/usr/src/sys/<replaceable>arch</replaceable>/conf/LINT</filename>
+	для &os;&nbsp;4.X) и воспроизведен здесь:</para>
+
+      <programlisting>options IPFILTER
+options IPFILTER_LOG
+options IPFILTER_DEFAULT_BLOCK</programlisting>
+
+      <para><literal>options IPFILTER</literal> включает поддержку
+	межсетевого экрана <quote>IPFILTER</quote>.</para>
+
+      <para><literal>options IPFILTER_LOG</literal> включает
+	протоколирование трафика через IPF путем записи его в
+	псевдо-устройство протоколирования пакетов
+	<devicename>ipl</devicename> для каждого
+	правила, содержащего ключевое слово
+	<literal>log</literal>.</para>
+
+      <para><literal>options IPFILTER_DEFAULT_BLOCK</literal>
+        изменяет поведение по умолчанию так, что блокируется каждый
+	пакет, не соответствующий правилу
+	<literal>pass</literal>.</para>
+
+      <para>Эти настройки будут работать только после сборки и установки
+	нового ядра.</para>
+    </sect2>
+
+    <sect2>
+      <title>Доступные параметры rc.conf</title>
+
+      <para>Для активации IPF во время загрузки в
+	<filename>/etc/rc.conf</filename> потребуется добавить
+	следующие переменные:</para>
+
+      <programlisting>ipfilter_enable="YES"             # Запуск межсетевого экрана ipf
+ipfilter_rules="/etc/ipf.rules"   # Загрузка файла с правилами
+ipmon_enable="YES"                # Включение протоколирования IP monitor
+ipmon_flags="-Ds"                 # D = запуск в виде даемона
+                                  # s = протоколирование в syslog
+                                  # v = протоколирование tcp window, ack, seq
+                                  # n = отображение имен IP и портов</programlisting>
+
+      <para>Если за межсетевым экраном находится локальная сеть, использующая
+	приватные IP адреса, для включения <acronym>NAT</acronym>
+	потребуется добавить следующие переменные:</para>
+
+      <programlisting>gateway_enable="YES"              # Включение шлюза для локальной сети
+ipnat_enable="YES"                # Запуск функции ipnat
+ipnat_rules="/etc/ipnat.rules"    # Определение файла правил для ipnat</programlisting>
+
+    </sect2>
+
+    <sect2>
+      <title>IPF</title>
+
+      <indexterm>
+	<primary><command>ipf</command></primary>
+      </indexterm>
+
+      <para>Команда ipf используется для загрузки файла с правилами.
+	Обычно создается файл, содержащий подготовленный набор
+	правил, который полностью замещает набор, используемый
+	на данный момент:</para>
+
+      <screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen>
+
+      <para><option>-Fa</option> означает сброс всех внутренних таблиц правил.</para>
+
+      <para><option>-f</option> указывает файл с правилами, который необходимо загрузить.</para>
+
+      <para>Таким образом, после внесения изменений в файл правил и
+	запуска вышеприведенной команды IPF, набор правил межсетевого экрана
+	обновляется без перезагрузки системы.  Для обновления правил
+	такой подход очень удобен, поскольку команду можно выполнять
+	столько раз, сколько нужно.</para>
+
+      <para>На странице справочной системы &man.ipf.8; находится
+	подробная информация по флагам этой команды.</para>
+
+      <para>Набор правил для команды &man.ipf.8; должен быть в виде
+	стандартного текстового файла.  Правила, написанные в виде
+	скрипта с символами подстановки, не принимаются.</para>
+
+      <para>Есть способ составления правил IPF, использующих
+	символы подстановки.  Обратитесь к <xref
+	linkend="firewalls-ipf-rules-script">.</para>
+
+    </sect2>
+
+    <sect2>
+      <title>IPFSTAT</title>
+
+      <indexterm>
+	<primary><command>ipfstat</command></primary>
+      </indexterm>
+
+      <indexterm>
+	<primary>IPFILTER</primary>
+	<secondary>статистика</secondary>
+      </indexterm>
+
+      <para>По умолчанию &man.ipfstat.8; получает и отображает суммарную
+	статистику, полученную в результате применения действующих правил
+	к пакетам, проходящим через межсетевой экран с момента его последнего
+	запуска, или с того момента, когда статистика была последний раз
+	обнулена командой <command>ipf -Z</command>.</para>
+
+      <para>Детальная информация приводится на странице справочника
+	&man.ipfstat.8;.</para>
+
+      <para>Вывод команды &man.ipfstat.8; по умолчанию выглядит
+	примерно так:</para>
+
+      <screen>input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
+ output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
+ input packets logged: blocked 99286 passed 0
+ output packets logged: blocked 0 passed 0
+ packets logged: input 0 output 0
+ log failures: input 3898 output 0
+ fragment state(in): kept 0 lost 0
+ fragment state(out): kept 0 lost 0
+ packet state(in): kept 169364 lost 0
+ packet state(out): kept 431395 lost 0
+ ICMP replies: 0 <acronym>TCP</acronym> RSTs sent: 0
+ Result cache hits(in): 1215208 (out): 1098963
+ IN Pullups succeeded: 2 failed: 0
+ OUT Pullups succeeded: 0 failed: 0
+ Fastroute successes: 0 failures: 0
+ <acronym>TCP</acronym> cksum fails(in): 0 (out): 0
+ Packet log flags set: (0)</screen>
+
+      <para>При задании флага <option>-i</option> или <option>-o</option>
+	соответственно для входящих или
+	или исходящих пакетов, будет получен и отображен список правил,
+	используемых на данный момент.</para>
+
+      <para><command>ipfstat -in</command> отображает правила, применяемые
+	к входящим пакетам, вместе с номерами этих правил.</para>
+
+      <para><command>ipfstat -on</command> отображает правила, применяемые
+	к исходящим пакетам, вместе с номерами этих правил.</para>
+
+      <para>Вывод команды будет выглядеть примерно так:</para>
+
+      <screen>@1 pass out on xl0 from any to any
+@2 block out on dc0 from any to any
+@3 pass out quick on dc0 proto tcp/udp from any to any keep state</screen>
+
+      <para><command>ipfstat -ih</command> отображает правила, применяемые
+	к входящим пакетам, со счетчиком количества совпадений для
+	каждого правила.</para>
+
+      <para><command>ipfstat -oh</command> отображает правила, применяемые
+	к исходящим пакетам, со счетчиком количества совпадений для
+	каждого правила.</para>
+
+      <para>Вывод команды будет выглядеть примерно так:</para>
+
+      <screen>2451423 pass out on xl0 from any to any
+354727 block out on dc0 from any to any
+430918 pass out quick on dc0 proto tcp/udp from any to any keep state</screen>
+
+      <para>Одна из наиболее важных функций команды
+	<command>ipfstat</command> активируется флагом <option>-t</option>,
+	правила отображаются подобно тому, как &man.top.1;
+	показывает таблицу запущенных процессов &os;.  Когда межсетевой экран
+	подвергается атаке, эта функция позволяет обнаружить соответствующие
+	пакеты.  Дополнительные флаги дают возможность выбирать IP
+	адрес назначения или источника, порт или протокол, которые
+	будут отслеживаться в реальном времени.  Подробная информация
+	приведена на странице &man.ipfstat.8;.</para>
+    </sect2>
+
+    <sect2>
+      <title>IPMON</title>
+
+      <indexterm>
+	<primary><command>ipmon</command></primary>
+      </indexterm>
+
+      <indexterm>
+	<primary>IPFILTER</primary>
+	<secondary>logging</secondary>
+      </indexterm>
+
+      <para>Для того, чтобы стало возможно использование команды
+	<command>ipmon</command>, необходимо включить параметр ядра
+	IPFILTER_LOG.  Эта команда может использоваться в двух различных
+	режимах.  В основном режиме, который используется по умолчанию,
+	она используется без флага <option>-D</option>.</para>
+
+      <para>В режиме даемона создается непрерывный протокол, и возможен
+	просмотр предыдущих событий.  В этом режиме IPFILTER работает
+	в &os;.  Поскольку в &os; встроена функция ротации файлов
+	протокола, лучше использовать syslogd, чем используемый по
+	умолчанию вывод в обычный файл.  В <filename>rc.conf</filename>
+	по умолчанию ipmon_flags имеет значение <option>-Ds</option>:</para>
+
+      <programlisting>ipmon_flags="-Ds" # D = start as daemon
+                  # s = log to syslog
+                  # v = log tcp window, ack, seq
+                  # n = map IP & port to names</programlisting>
+
+      <para>Описывать преимущества протоколирования излишне.  Например,
+	оно дает возможность просмотра информации о отброшенных
+	пакетах, откуда они пришли и куда направлялись.  Это дает
+	определенные возможности отслеживания атак.</para>
+
+      <para>Даже с включенным протоколированием, IPF не ведет протокол
+	для каждого правила.  Администратор межсетевого экран должен решить,
+	по каким правилам набора нужно вести протокол и добавить ключевое
+	слово log к этим правилам.  Обычно протоколируются только правила,
+	отбрасывающие пакеты.</para>
+
+      <para>Довольно часто правило по умолчанию, запрещающее прохождение
+	пакетов, включается в набор последним, и для него применяется
+	ключевое слово log.  Так вы можете увидеть все пакеты, не
+	попадающие ни под одно правило набора.</para>
+    </sect2>
+
+    <sect2>
+      <title>Протоколирование IPMON</title>
+
+      <para>Для сбора данных <application>Syslogd</application>
+	использует свой собственный
+	специальный метод.  Он использует группировку по категории
+	(<quote>facility</quote>) и уровню (<quote>level</quote>).
+	IPMON в режиме <option>-Ds</option> использует
+	<literal>local0</literal> в качестве имени
+	<quote>категории</quote>.  Все протоколируемые IPMON данные
+	отправляются на <literal>local0</literal>.  Для сбора
+	протоколируемых данных могут быть использованы следующие
+	уровни:</para>
+
+       <screen>LOG_INFO - packets logged using the "log" keyword as the action rather than pass or block.
+LOG_NOTICE - packets logged which are also passed
+LOG_WARNING - packets logged which are also blocked
+LOG_ERR - packets which have been logged and which can be considered short</screen>
+	<!-- XXX: "can be considered short" == "with incomplete header" -->
+
+      <para>Для указания IPFILTER протоколировать все данные в
+	<filename>/var/log/ipfilter.log</filename>, создайте этот
+	файл следующей командой:</para>
+
+      <screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen>
+
+      <para>Функционирование syslog управляется настройками в файле
+	<filename>/etc/syslog.conf</filename>.  Файл
+	<filename>syslog.conf</filename> позволяет достаточно гибко
+	настроить обработку системных сообщений, выдаваемых программами,
+	такими как IPF.</para>
+
+      <para>Добавьте в <filename>/etc/syslog.conf</filename>
+	следующий оператор:</para>
+
+      <programlisting>local0.* /var/log/ipfilter.log</programlisting>
+
+      <para><literal>local0.*</literal> означает запись всех
+	протоколируемых сообщений в указанный файл.</para>
+
+      <para>Для применения внесенных в
+	<filename>/etc/syslog.conf</filename> изменений вы можете
+	перезагрузиться или заставить syslog перечитать
+	<filename>/etc/syslog.conf</filename>, выполнив команду
+	<command>/etc/rc.d/syslogd reload</command> (<command>
+	killall -HUP syslogd</command>
+	в &os;&nbsp;4.X).</para>
+
+      <para>Не забудьте отредактировать
+	<filename>/etc/newsyslog.conf</filename> для ротации только
+	что созданного лог файла.</para>
+    </sect2>
+
+    <sect2>
+      <title>Формат протоколируемых сообщений</title>
+
+      <para>Сообщения, генерируемые <command>ipmon</command>, состоят
+	из полей данных, разделенных пробелами. Поля, общие для всех
+	сообщений:</para>
+
+      <orderedlist>
+	<listitem>
+	  <para>Дата получения пакета.</para>
+	</listitem>
+
+	<listitem>
+	  <para>Время получения пакета.  Формат времени
+	    HH:MM:SS.F для часов, минут, секунд и долей секунд
+	    (последнее поле может состоять из нескольких цифр).</para>
+	</listitem>
+
+	<listitem>
+	  <para>Имя интерфейса, через который прошел пакет,
+	    например <devicename>dc0</devicename>.</para>
+	</listitem>
+
+	<listitem>
+	  <para>Группа и номер правила, например
+	    <literal>@0:17</literal>.</para>
+	</listitem>
+      </orderedlist>
+
+      <para>Эти сообщения могут быть просмотрены командой
+	<command>ipfstat -in</command>.</para>
+
+      <orderedlist>
+	<listitem>
+	  <para>Действие: p для пропущенных, b для заблокированных, S
+	    для пакетов с неполным заголовком (short packet),
+	    n для пакетов, не соответствующих какому-либо правилу,
+	    L для соответствующих правилу протоколирования.
+	    Порядок следования по флагам: S, p, b, n, L.  Знаки
+	    P или B в верхнем регистре означают, что пакет был
+	    протоколирован в соответствии с общими настройками,
+	    а не каким-то конкретным правилом.</para>
+	</listitem>
+
+	<listitem>
+	  <para>Адреса.  Всего три поля: адрес и порт источника
+	    (разделенные запятой), ->, адрес и порт
+	    назначения.
+	    209.53.17.22,80 -> 198.73.220.17,1722.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>PR</literal>, с последующим именем или
+	    номером протокола, например PR tcp.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>len</literal>, с последующей длиной заголовка
+	    и общей длиной пакета, например len 20 40.</para>
+	</listitem>
+      </orderedlist>
+
+      <para>Для <acronym>TCP</acronym> пакетов добавляется дополнительное
+	поле, начинающееся с дефиса, за которым следуют буквы,
+	соответствующие установленным флагам.  На странице справочника
+	находится список букв и флагов.</para>
+
+      <para>Для пакетов ICMP, в конце находятся два поля,
+	одно всегда <quote>ICMP</quote>, а во втором тип
+	ICMP сообщения (message и sub-message),
+	например ICMP 3/3 для сообщения <quote>port
+	unreachable</quote>.</para>
+    </sect2>
+
+    <sect2 id="firewalls-ipf-rules-script">
+      <title>Создание набора правил с использованием символьной подстановки</title>
+
+      <para>Некоторые опытные пользователи IPF создают файл правил,
+	поддерживающий использование символьной подстановки.  Основное
+	преимущество использования такого скрипта заключается в
+	возможности изменения значения, присваиваемого символьному
+	имени, в результате чего во всех правилах, содержащих эту
+	символьную подстановку, будет использоваться новое значение.
+	В начале скрипта вы можете поместить часто используемые
+	переменные, а затем использовать их сразу в нескольких
+	правилах.  Ниже дан пример такого использования.</para>
+
+      <para>Синтаксис скрипта совместим с sh, csh, и
+	tcsh.</para>
+
+      <para>Символьная подстановка предваряется знаком доллара:
+	<literal>&dollar;</literal>.</para>
+
+      <para>Для присвоения значения символьным переменным знак
+	&dollar; не используется.</para>
+
+      <para>Присваиваемое символической переменной значение должно
+	быть заключено в двойные кавычки (<literal>"</literal>).</para>
+
+      <para>Начните файл правил примерно так:</para>
+
+<programlisting>############# Start of IPF rules script ########################
+
+oif="dc0"            # name of the outbound interface
+odns="192.0.2.11"    # ISP's DNS server IP address
+myip="192.0.2.7"     # my static IP address from ISP
+ks="keep state"
+fks="flags S keep state"
+
+# You can choose between building /etc/ipf.rules file
+# from this script or running this script "as is".
+#
+# Uncomment only one line and comment out another.
+#
+# 1) This can be used for building /etc/ipf.rules:
+#cat &gt; /etc/ipf.rules &lt;&lt; EOF
+#
+# 2) This can be used to run script "as is":
+/sbin/ipf -Fa -f - &lt;&lt; EOF
+
+# Allow out access to my ISP's Domain name server.
+pass out quick on &dollar;oif proto tcp from any to &dollar;odns port = 53 &dollar;fks
+pass out quick on &dollar;oif proto udp from any to &dollar;odns port = 53 &dollar;ks
+
+# Allow out non-secure standard www function
+pass out quick on &dollar;oif proto tcp from &dollar;myip to any port = 80 &dollar;fks
+
+# Allow out secure www function https over TLS SSL
+pass out quick on &dollar;oif proto tcp from &dollar;myip to any port = 443 &dollar;fks
+EOF
+################## End of IPF rules script ########################</programlisting>
+
+      <para>Это все, что требовалось сделать.  В данном примере сами
+	правила не важны; важно то, как используется символьная подстановка.
+	Если вышеприведенный пример помещен в файл
+	<filename>/etc/ipf.rules.script</filename>, вы можете
+	перезагрузить набор правил, введя следующую команду:</para>
+
+      <screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen>
+
+      <para>С использованием в правилах символьной подстановки связана одна
+	проблема: IPF не понимает символьную подстановку и не может обработать
+	такой скрипт непосредственно.</para>
+
+      <para>Скрипт может использоваться одним из следующих двух
+	способов:</para>
+
+      <itemizedlist>
+        <listitem>
+	  <para>Уберите комментарий перед строкой, начинающейся с
+	    <literal>cat</literal>, и закомментируйте строку,
+	    начинающуюся с <literal>/sbin/ipf</literal>.  Поместите
+	    строку <literal>ipfilter_enable="YES"</literal> в файл
+	    <filename>/etc/rc.conf</filename> как обычно, и запускайте
+	    скрипт после каждого его обновления для создания или обновления
+	    файла <filename>/etc/ipf.rules</filename>.</para>
+	</listitem>
+
+	<listitem>
+	  <para>Отключите IPFILTER в стартовых скриптах системы, поместив
+	    строку <literal>ipfilter_enable="NO"</literal> (это значение
+	    по умолчанию) в файл <filename>/etc/rc.conf</filename>.</para>
+
+	  <para>Поместите скрипт, подобный нижеприведенному в каталог
+	    <filename>/usr/local/etc/rc.d/</filename>.  У него должно
+	    быть однозначно говорящее о его назначении имя, например
+	    <filename>ipf.loadrules.sh</filename>.  Расширение
+	    <filename>.sh</filename> обязательно.</para>
+
+	  <programlisting>#!/bin/sh
+sh /etc/ipf.rules.script</programlisting>
+
+	  <para>Права на этот скрипт должны разрешать чтение, запись и
+	    выполнение владельцу <username>root</username>.</para>
+
+	  <screen>&prompt.root; <userinput>chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh</userinput></screen>
+	</listitem>
+      </itemizedlist>
+
+	<para>Теперь, при загрузке системы, правила IPF будут
+	  загружены.</para>
+    </sect2>
+
+    <sect2>
+      <title>IPF Rule Sets</title>
+
+      <!-- очередное разжевывание ip basics -->
+      <para>Набор правил ipf это группа правил, составленных для
+	пропускания или блокирования пакетов на основе их содержимого.
+	Двусторонний обмен пакетами между хостами составляет сессию.
+	Межсетевой экран обрабатывает пакеты в обеих направлениях,
+	<!--некорректно: The firewall rule set processes the
+         packet two times, once on its arrival from the public Internet
+         host and again as it leaves for its return trip back to the
+         public Internet host. Each TCP/IP service (i.e. telnet, www,
+         mail, etc.) is predefined by its protocol, source and
+         destination IP address, or the source and destination port
+         number.-->
+	Каждый IP пакет имеет такие характеристики как порт и адрес
+	источника и назначения.  Эти основные характеристики используются
+	для пропускания или блокирования пакетов.</para>
+
+      <indexterm>
+	<primary>IPFILTER</primary>
+	<secondary>порядок обработки правил</secondary>
+      </indexterm>
+
+    <!-- XXX: something like this already in
+	 <xref linkend="firewalls-concepts">
+	 AND: the para below is repeated 3 times in this chapter-->
+      <para>IPF был первоначально написан с использованием логики
+	<quote>последнее совпадающее правило побеждает</quote> и
+	только с правилами без сохранения состояния.  Со временем
+	в IPF был включен параметр <quote>quick</quote> и параметр
+	сохранения состояния <quote>keep state</quote>, что
+	существенно улучшило логику обработки правил.</para>
+
+      <para>Инструкции, помещенные в эту главу, созданы с использованием
+	параметров <quote>quick</quote> и <quote>keep state</quote>.
+	Это основа для создания набора правил включающего межсетевого
+	экрана.</para>
+
+<!-- опять network basics, кроме того то же самое повторяется ниже по
+     тексту практически один в один
+      <para>An inclusive firewall only allows services matching the
+         rules through. This way you can control what services can
+         originate behind the firewall destined for the public Internet
+         and also control the services which can originate from the
+         public Internet accessing your private network. Everything
+         else is blocked and logged by default design. Inclusive
+         firewalls are much, much securer than exclusive firewall rule
+         sets and is the only rule set type covered herein.</para>
+-->
+
+      <warning>
+	<para>При работе с правилами межсетевого экрана, будьте
+	  <emphasis>очень осторожны</emphasis>.  Некоторые
+	  конфигурации <emphasis>могут заблокировать вам
+	  доступ</emphasis> к серверу.  В целях предосторожности,
+	  первоначальную настройку межсетевого экрана вы можете
+	  выполнить с локальной консоли, а не через удаленное
+	  подключение, такое как
+	  <application>ssh</application>.</para>
+      </warning>
+    </sect2>
+
+    <!-- Перевод остальной части раздела IPF отложен до исправления
+	ошибок в следующем sect2 оригинальной версии -->
+
+  </sect1>
+
+  <sect1 id="firewalls-ipfw">
+      <title>* IPFW</title>
+
+      <para>Этот раздел не переведен.</para>
+  </sect1>
+</chapter>
+
+<!--
+     Local Variables:
+     mode: sgml
+     sgml-declaration: "../chapter.decl"
+     sgml-indent-data: t
+     sgml-omittag: nil
+     sgml-always-quote-attributes: t
+     sgml-parent-document: ("../book.sgml" "part" "chapter")
+     End:
+-->