diff --git a/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml
index ccbdb17ca2..7c5637538e 100644
--- a/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml
+++ b/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml
@@ -1,1090 +1,1092 @@
 <!--
      The FreeBSD Documentation Project
 
      $FreeBSD$
      $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/firewalls/chapter.sgml,v 1.11 2005/03/07 16:51:25 den Exp $
 
      Original revision: 1.51
 -->
 
 <chapter id="firewalls">
   <chapterinfo>
     <authorgroup>
       <author>
 	<firstname>Joseph J.</firstname>
         <surname>Barbish</surname>
 	<contrib>Предоставил </contrib>
       </author>
     </authorgroup>
     <authorgroup>
       <author>
 	<firstname>Brad</firstname>
 	<surname>Davis</surname>
 	<contrib>Преобразовал в SGML и обновил </contrib>
       </author>
     </authorgroup>
   </chapterinfo>
 
   <title>Межсетевые экраны</title>
 
   <indexterm><primary>межсетевой экран</primary></indexterm>
   <indexterm>
     <primary>безопасность</primary>
     <secondary>межсетевой экран</secondary>
   </indexterm>
 
   <!-- только в переводе -->
+  <!--
   <indexterm>
     <primary>брандмауэр</primary>
     <see>межсетевой экран</see>
   </indexterm>
+  -->
 
   <sect1 id="firewalls-intro">
 
     <title>Введение</title>
 
     <para>Межсетевые экраны (firewall, брандмауэр)
       делают возможной фильтрацию входящего и исходящего
       трафика, идущего через систему.  Межсетевой экран использует один
       или более наборов <quote>правил</quote> для проверки сетевых
       пакетов при их входе или выходе через сетевое соединение, он
       или позволяет прохождение трафика или блокирует его.  Правила
       межсетевого экрана могут проверять одну или более характеристик пакетов,
       включая но не ограничиваясь типом протокола, адресом хоста источника
       или назначения и портом источника или назначения.</para>
 
     <para>Межсетевые экраны могут серьезно повысить уровень безопасности хоста
       или сети.  Они могут быть использованы для
       выполнения одной или более нижеперечисленных задач:</para>
 
     <itemizedlist>
       <listitem>
 	<para>Для защиты и изоляции приложений, сервисов и машин во
 	  внутренней сети от нежелательного трафика, приходящего
 	  из внешней сети интернет.</para>
       </listitem>
 
       <listitem>
 	<para>Для ограничения или запрещения доступа хостов внутренней
 	  сети к сервисам внешней сети интернет.</para>
       </listitem>
 
       <listitem>
 	<para>Для поддержки преобразования сетевых адресов (network
 	  address translation, <acronym>NAT</acronym>), что позволяет
 	  использование во внутренней сети приватных
 	  <acronym>IP</acronym> адресов (либо через один выделенный
 	  <acronym>IP</acronym> адрес, либо через адрес из пула
 	  автоматически присваиваемых публичных адресов).</para>
       </listitem>
     </itemizedlist>
 
     <para>После прочтения этой главы вы узнаете:</para>
 
     <itemizedlist>
       <listitem>
 	<para>Как правильно задать правила фильтрации
 	  пакетов.</para>
       </listitem>
 
       <listitem>
 	<para>Разницу между межсетевыми экранами,
 	  встроенными в &os;</para>
       </listitem>
 
       <listitem>
 	<para>Как использовать и настраивать межсетевой экран
 	  OpenBSD <application>PF</application>.</para>
       </listitem>
 
       <listitem>
 	<para>Как использовать и настраивать
 	  <application>IPFILTER</application>.</para>
       </listitem>
 
       <listitem>
 	<para>Как использовать и настраивать
 	<application>IPFW</application>.</para>
       </listitem>
     </itemizedlist>
 
     <para>Перед прочтением этой главы вам потребуется:</para>
 
     <itemizedlist>
       <listitem>
 	<para>Ознакомиться с основами &os; и интернет.</para>
       </listitem>
     </itemizedlist>
   </sect1>
 
   <sect1 id="firewalls-concepts">
     <title>Принципы работы межсетевых экранов</title>
 
     <indexterm>
       <primary>межсетевой экран</primary>
       <secondary>наборы правил</secondary>
     </indexterm>
 
     <para>Существует два основных способа создания наборов правил
       межсетевого экрана: <quote>включающий</quote> и <quote>исключающий</quote>.
       Исключающий межсетевой экран позволяет прохождение всего трафика,
       за исключением трафика, соответствующего набору правил.
       Включающий межсетевой экран действует прямо противоположным образом.
       Он пропускает только трафик, соответствующий правилам и
       блокирует все остальное.</para>
 
     <para>Включающие межсетевые экраны обычно более безопасны, чем
       исключающие, поскольку они существенно уменьшают риск
       пропуска межсетевым экраном нежелательного трафика.</para>
 
     <para>Безопасность может быть дополнительно повышена с
       использованием <quote>межсетевого экрана с сохранением
       состояния</quote>.  Такой межсетевой экран сохраняет информацию
       об открытых соединениях и разрешает только трафик через
       открытые соединения или открытие новых соединений.
       Недостаток межсетевого экрана с сохранением состояния в том, что
       он может быть уязвим для атак <acronym>DoS</acronym>
       (Denial of Service, отказ в обслуживании), если множество
       новых соединений открывается очень быстро.  Большинство
       межсетевых экранов позволяют комбинировать поведение с сохранением
       состояния и без сохранения состояния, что оптимально
       для реальных применений.</para>
   </sect1>
 
   <sect1 id="firewalls-apps">
 
     <title>Программные пакеты межсетевых экранов</title>
 
     <para>В &os; встроено три программных межсетевых экрана.  Это
       IPFILTER (известный также как IPF), IPFIREWALL
       (известный также как IPFW) и PF (OpenBSD PacketFilter).
       В IPFIREWALL встроена
       поддержка ограничителя трафика DUMMYNET для контроля
       использования пропускной способности.  В IPFILTER
       поддержка ограничителя трафика не встроена, но в тех
       же целях может использоваться ALTQ.
       <!-- для USSR скорее всего неверно:
       The DUMMYNET feature and <acronym>ALTQ</acronym> is generally useful only to large
       ISPs or commercial users.-->
       IPF, IPFW и PF для контроля исходящих и входящих пакетов
       используют наборы правил, хотя и разными способами с разным
       синтаксисом правил.</para>
 
     <!-- XXX: Is rc.firewall really outdated and complicated?
 	AND: should we modify/remove /etc/rc.firewall or rewrite this: -->
     <para>Пример набора правил IPFW (находящийся в
       <filename>/etc/rc.firewall</filename>), поставляемый в составе
       базовой системы, является устаревшим, сложным, и не использует
       правила с сохранением состояния на интерфейсах, выходящих
       во внешнюю сеть интернет.  В нем используются правила
       без сохранения состояния, способные только открывать или
       закрывать порты сервисов.  Приводимый здесь пример набора
       правил IPFW с сохранением состояния расширяет набор из файла
       <filename>/etc/rc.firewall</filename>.</para>
 
     <para>Правила с сохранением состояния лучше подходят для анализа
       пакетов с целью защиты от переполнения в результате различных
       атак, применяемых в в настоящее время.</para>
 
 <!-- фактически повторение, в переводе пропущено:
     <para>All of these firewall software solutions IPF, IPFW and PF still
       maintain their legacy heritage of their original rule processing
       order and reliance on non-stateful rules. These outdated
       concepts are not covered here, only the new, modern stateful
       rule construct and rule processing order is presented.</para>
 
     <para>You should read about both of them and make your own
       decision on which one best fits your needs.</para>
 
 -->
     <para>Автор предпочитает IPFILTER, поскольку его
       правила с сохранением состояния гораздо проще использовать
       совместно с <acronym>NAT</acronym>; кроме того, в него встроен
       ftp прокси, упрощающий настройку безопасного внешнего использования
       FTP.  Он также гораздо проще в освоении для пользователя, не имеющего
       опыта настройки межсетевых экранов.</para>
 
     <para>Поскольку все межсетевые экраны основаны на анализе значений выбранных
       полей заголовка пакета, для создания правил межсетевого экрана необходимо
       понимание принципов <acronym>TCP</acronym>/IP, того, что означают
       различные поля заголовка пакета, и как эти поля используются в
       обычной сессии.  Хорошим примером является:
       <ulink url="http://www.ipprimer.com/overview.cfm"></ulink>.</para>
   </sect1>
 
   <sect1 id="firewalls-pf">
     <title>Packet Filter Firewall (PF, межсетевой экран OpenBSD)</title>
 
     <indexterm>
       <primary>межсетевой экран</primary>
       <secondary>PF</secondary>
     </indexterm>
 
     <para>В июле 2003 программный межсетевой экран OpenBSD, известный как
       <acronym>PF</acronym>, был портирован в &os; и стал доступен
       из коллекции портов &os;; первым релизом, где
       <acronym>PF</acronym> был интегрирован в основную систему,
       стала &os;&nbsp;5.3 в ноябре 2004.
       <acronym>PF</acronym> это полноценный межсетевой экран с широким набором
       возможностей, в котором есть опциональная поддержка
       <acronym>ALTQ</acronym> (Alternate Queuing).
       <acronym>ALTQ</acronym> предоставляет управление пропускной способностью
       Quality of Service (<acronym>QoS</acronym>), позволяющее гарантировать
       пропускную способность для различных сервисов на основе фильтрующих
       правил.  Проект OpenBSD поддерживает Руководство
       Пользователя PF, которое не было внесено в этот раздел руководства
       во избежание дублирования работы.</para>
 
     <para>Информация по доступности PF для различных версий &os;
       приведена ниже:</para>
 
     <informaltable frame="none" pgwide="1">
       <tgroup cols="2">
 	<thead>
 	  <row>
 	    <entry>Версия &os;</entry>
 	    <entry>Доступность PF</entry>
 	  </row>
 	</thead>
 
 	<tbody>
 	  <row>
 	    <entry>Версии до 4.X</entry>
 
 	    <entry>PF недоступен для релизов &os; более старых, чем
 	      релизы из ветви 4.X.</entry>
 	  </row>
 
 	  <row>
 	    <entry>Все версии ветви 4.X</entry>
 	    <entry>PF доступен как часть KAME.</entry>
 	  </row>
 
 	  <row>
 	    <entry>Релизы 5.X до 5.3-RELEASE</entry>
 
 	    <entry>Для установки PF на эти версии &os; может использоваться
 	      порт <filename role="package">security/pf</filename>.
 	      Эти релизы предназначались для разработчиков и тех, кто
 	      желал ознакомиться с ранними версиями 5.X.  Настоятельно
 	      рекомендуется обновление до 5.3-RELEASE или более свежих
 	      версий &os;.</entry>
 	  </row>
 
 	  <row>
 	    <entry>5.3-RELEASE и более свежие версии</entry>
 
 	    <entry>PF стал частью основной системы.  <emphasis>Не</emphasis>
 	      используйте порт <filename role="package">security/pf</filename>
 	      на этих версиях &os;.  Он не будет работать.  Вместо этого
 	      воспользуйтесь поддержкой &man.pf.4; в базовой системе.</entry>
 	  </row>
 	</tbody>
       </tgroup>
     </informaltable>
 
     <para>Дополнительную информацию можно получить с веб сайта PF для &os;:
       <ulink url="http://pf4freebsd.love2party.net/"></ulink>.</para>
 
     <para>Руководство пользователя OpenBSD PF находится здесь:
       <ulink url="http://www.openbsd.org/faq/pf/"></ulink>.</para>
 
     <warning>
 	<para>PF в &os; 5.X соответствует OpenBSD версии 3.5. Порт
 	  из коллекции портов &os; соответствует OpenBSD версии
 	  3.4.  Имейте это ввиду при просмотре руководства
 	  пользователя.</para>
     </warning>
 
     <sect2>
       <title>Включение PF</title>
 
       <para>PF включен в базовую поставку &os; версии 5.3 и выше в качестве
 	отдельного загружаемого модуля.  PF динамически подгружает модуль ядра
 	если включена переменная rc.conf <literal>pf_enable="YES"</literal>.
 	Загружаемый модуль создан с включенным &man.pflog.4;.</para>
     </sect2>
 
     <sect2>
       <title>Параметры ядра</title>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>device pf</secondary>
       </indexterm>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>device pflog</secondary>
       </indexterm>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>device pfsync</secondary>
       </indexterm>
 
       <para>Включение PF путем компиляции с ядром &os; не является обязательным
 	требованием, и описано здесь в качестве дополнительной информации.
 	При компиляции PF с ядром загружаемый модуль не используется.</para>
 
       <para>Пример параметров конфигурации ядра для включения PF находится в
 	<filename>/usr/src/sys/conf/NOTES</filename>
 	(<filename>/usr/src/sys/<replaceable>arch</replaceable>/conf/LINT</filename>
 	для &os;&nbsp;4.X) и показан здесь:</para>
 
       <programlisting>device pf
 device pflog
 device pfsync</programlisting>
 
       <para><literal>device pf</literal> включает поддержку межсетевого экрана
 	<quote>Packet Filter</quote>.</para>
 
       <para><literal>device pflog</literal> включает необязательное сетевое
 	псевдоустройство &man.pflog.4;, которое может использоваться для
 	протоколирования трафика через &man.bpf.4;.  Даемон &man.pflogd.8;
 	может использоваться для сохранения протоколируемой информации
 	на диск.</para>
 
       <para><literal>device pfsync</literal> включает необязательное
 	сетевое псевдоустройство &man.pfsync.4;, используемое для
 	отслеживания <quote>изменений состояния</quote>.  Поскольку оно
 	не входит в загружаемый модуль, для его использования необходимо
 	собрать собственное ядро.</para>
 
       <para>Эти настройки будут действовать только после сборки и установки
 	нового ядра.</para>
     </sect2>
 
     <sect2>
       <title>Доступные параметры rc.conf</title>
 
       <para>Для активации PF во время загрузки в
 	<filename>/etc/rc.conf</filename> должны быть включены следующие
 	переменные:</para>
 
       <programlisting>pf_enable="YES"                 # Включить PF (загрузить модуль если необходимо)
 pf_rules="/etc/pf.conf"         # определение правил для pf
 pf_flags=""                     # дополнительные флаги для запуска pfctl
 pflog_enable="YES"              # запустить pflogd(8)
 pflog_logfile="/var/log/pflog"  # где pflogd должен сохранять протокол
 pflog_flags=""                  # дополнительные флаги для запуска pflogd</programlisting>
 
       <para>Если за межсетевым экраном находится локальная сеть и необходимо передавать
 	пакеты для компьютеров этой сети, или использовать NAT, включите также
 	следующий параметр:</para>
 
       <programlisting>gateway_enable="YES"            # Включить сетевой шлюз</programlisting>
 
     </sect2>
 
     <sect2>
       <title>Включение <acronym>ALTQ</acronym></title>
 
       <para><acronym>ALTQ</acronym> может быть включен только путем
 	компилирования ядра &os; с соответствующими параметрами.
 	<acronym>ALTQ</acronym> поддерживается не всеми существующими
 	драйверами сетевых карт.  Для просмотра списка поддерживаемых
 	устройств в вашем релизе &os; обратитесь к странице справочника
 	&man.altq.4;.  Следующие параметры включат <acronym>ALTQ</acronym>
 	и добавят дополнительную функциональность.</para>
 
       <programlisting>options         ALTQ
 options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
 options         ALTQ_RED        # Random Early Detection (RED)
 options         ALTQ_RIO        # RED In/Out
 options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
 options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
 options         ALTQ_NOPCC      # Required for SMP build</programlisting>
 
       <para><literal>options ALTQ</literal> включает подсистему
 	<acronym>ALTQ</acronym>.</para>
 
       <para><literal>options ALTQ_CBQ</literal> включает Class Based
 	Queuing (<acronym>CBQ</acronym>).  <acronym>CBQ</acronym>
 	позволяет распределять пропускную способность соединений
 	по классам или очередям для выставления приоритетов трафика
 	на основе правил фильтрации.</para>
 
       <para><literal>options ALTQ_RED</literal> включает Random Early
 	Detection (<acronym>RED</acronym>).  <acronym>RED</acronym>
 	используется для предотвращения перегрузки сети.
 	<acronym>RED</acronym> вычисляет длину очереди и сравнивает ее
 	с минимальной и максимальной границей очереди.  Если
 	очередь превышает максимум, все новые пакеты отбрасываются.
 	В соответствии со своим названием, <acronym>RED</acronym>
 	отбрасывает пакеты из различные соединений в произвольном
 	порядке.</para>
 
       <para><literal>options ALTQ_RIO</literal> включает Random Early
 	Detection In and Out.</para>
 
       <para><literal>options ALTQ_HFSC</literal> включает
 	Hierarchical Fair Service Curve Packet Scheduler.  Дополнительная
 	информация о <acronym>HFSC</acronym> находится по адресу: <ulink
 	  url="http://www-2.cs.cmu.edu/~hzhang/HFSC/main.html"></ulink>.
 	</para>
 
       <para><literal>options ALTQ_PRIQ</literal> включает Priority
 	Queuing (<acronym>PRIQ</acronym>).  <acronym>PRIQ</acronym>
 	всегда пропускает трафик из более высокой очереди
 	первым.</para>
 
       <para><literal>options ALTQ_NOPCC</literal> включает
 	поддержку <acronym>SMP</acronym> для <acronym>ALTQ</acronym>.
 	Эта опция необходима для <acronym>SMP</acronym>
 	систем.</para>
     </sect2>
 
   </sect1>
 
   <sect1 id="firewalls-ipf">
     <title>* IPFILTER (IPF)</title>
 
     <indexterm>
       <primary>межсетевой экран</primary>
       <secondary>IPFILTER</secondary>
     </indexterm>
 
     <warning><para>Перевод раздела не завершен.</para></warning>
 
     <para>Автором IPFILTER является Darren Reed.  IPFILTER не
       зависит от операционной системы:  это приложение с открытыми
       исходными текстами, которое было портировано на операционные
       системы &os;, NetBSD, OpenBSD, SunOS, HP/UX, и Solaris.
       IPFILTER активно разрабатывается и поддерживается, регулярно
       выпускаются обновленные версии.</para>
 
     <para>IPFILTER основан на межсетевом экране уровня ядра, механизм
       <acronym>NAT</acronym> может управляться и контролироваться
       через пользовательский интерфейс.  Правила межсетевого экрана
       могут устанавливаться или удаляться утилитой &man.ipf.8;.
       Правила <acronym>NAT</acronym> могут устанавливаться или
       удаляться утилитой &man.ipnat.1;.  Утилита &man.ipfstat.8;
       выводит статистику IPFILTER для ядра.  Программа
       &man.ipmon.8; заносит действия IPFILTER в файлы системных
       протоколов.</para>
 
     <para>IPF был первоначально написан с использованием правила
       <quote>последнее совпадение применяется</quote> и только
       с правилами без сохранения состояния. Со временем IPF
       был расширен и включает параметры <quote>quick</quote> и
       <quote>keep state</quote> (сохранение состояния), которые
       кардинальным образом изменяют обработку пакетов.
       Официальная документация IPF включает традиционные параметры
       правил с традиционной последовательностью обработки пакетов.
       Измененные функции включены в виде дополнительных параметров,
       они необходимы для создания эффективного межсетевого экрана.</para>
 
     <para>Инструкции этого раздела подразумевают использование
       параметра <quote>quick</quote> и параметра сохранения
       состояния <quote>keep state</quote>.  Это основа для создания
       включающего межсетевого экрана.</para>
 
 <!-- практически полное дублирование вышеизложенного
       <para>An inclusive firewall only allows packets matching the
         rules to pass through. This way you can control what services
         can originate behind the firewall destined for the public
         Internet and also control the services which can originate from
         the public Internet accessing your private network. Everything
         else is blocked and logged by default design. Inclusive
         firewalls are much, much more secure than exclusive firewall
         rule sets and is the only rule set type covered herein.</para>
 -->
 
     <para>Детальное описание методов обработки правил:
       <ulink url="http://www.obfuscation.org/ipf/ipf-howto.html#TOC_1"></ulink>
       и
       <ulink url="http://coombs.anu.edu.au/~avalon/ip-filter.html"></ulink>.</para>
 
     <para>IPF FAQ
       <ulink url="http://www.phildev.net/ipf/index.html"></ulink>.</para>
 
     <sect2>
       <title>Включение IPF</title>
 
       <indexterm>
 	<primary>IPFILTER</primary>
 	<secondary>включение</secondary>
       </indexterm>
 
       <para>IPF включен в базовую систему &os; в качестве отдельного
 	загружаемого модуля.  Система динамически загрузит модуль IPF,
 	если в rc.conf указана переменная
 	<literal>ipfilter_enable="YES"</literal>.  Модуль создается
 	с включенным протоколированием и правилом по умолчанию
 	<literal>block all</literal> (пропускать все).  Для изменения
 	правила по умолчанию не обязательно собирать ядро с новыми
 	параметрами.  Просто добавьте в конец набора правило,
 	блокирующее все пакеты.</para>
     </sect2>
 
     <sect2>
       <title>Параметры ядра</title>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>IPFILTER</secondary>
       </indexterm>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>IPFILTER_LOG</secondary>
       </indexterm>
 
       <indexterm>
 	<primary>параметры ядра</primary>
 	<secondary>IPFILTER_DEFAULT_BLOCK</secondary>
       </indexterm>
 
       <indexterm>
 	<primary>IPFILTER</primary>
 	<secondary>параметры ядра</secondary>
       </indexterm>
 
       <para>Сборка ядра с &os; включением IPF не обязательна.
 	Эта процедура представлена здесь в качестве дополнительной
 	информации.  При включении IPF в ядро загружаемый модуль
 	не используется.</para>
 
       <para>Пример параметров настройки ядра для IPF находится в
 	<filename>/usr/src/sys/conf/NOTES</filename>
 	(<filename>/usr/src/sys/<replaceable>arch</replaceable>/conf/LINT</filename>
 	для &os;&nbsp;4.X) и воспроизведен здесь:</para>
 
       <programlisting>options IPFILTER
 options IPFILTER_LOG
 options IPFILTER_DEFAULT_BLOCK</programlisting>
 
       <para><literal>options IPFILTER</literal> включает поддержку
 	межсетевого экрана <quote>IPFILTER</quote>.</para>
 
       <para><literal>options IPFILTER_LOG</literal> включает
 	протоколирование трафика через IPF путем записи его в
 	псевдо-устройство протоколирования пакетов
 	<devicename>ipl</devicename> для каждого
 	правила, содержащего ключевое слово
 	<literal>log</literal>.</para>
 
       <para><literal>options IPFILTER_DEFAULT_BLOCK</literal>
         изменяет поведение по умолчанию так, что блокируется каждый
 	пакет, не соответствующий правилу
 	<literal>pass</literal>.</para>
 
       <para>Эти настройки будут работать только после сборки и установки
 	нового ядра.</para>
     </sect2>
 
     <sect2>
       <title>Доступные параметры rc.conf</title>
 
       <para>Для активации IPF во время загрузки в
 	<filename>/etc/rc.conf</filename> потребуется добавить
 	следующие переменные:</para>
 
       <programlisting>ipfilter_enable="YES"             # Запуск межсетевого экрана ipf
 ipfilter_rules="/etc/ipf.rules"   # Загрузка файла с правилами
 ipmon_enable="YES"                # Включение протоколирования IP monitor
 ipmon_flags="-Ds"                 # D = запуск в виде даемона
                                   # s = протоколирование в syslog
                                   # v = протоколирование tcp window, ack, seq
                                   # n = отображение имен IP и портов</programlisting>
 
       <para>Если за межсетевым экраном находится локальная сеть, использующая
 	приватные IP адреса, для включения <acronym>NAT</acronym>
 	потребуется добавить следующие переменные:</para>
 
       <programlisting>gateway_enable="YES"              # Включение шлюза для локальной сети
 ipnat_enable="YES"                # Запуск функции ipnat
 ipnat_rules="/etc/ipnat.rules"    # Определение файла правил для ipnat</programlisting>
 
     </sect2>
 
     <sect2>
       <title>IPF</title>
 
       <indexterm>
 	<primary><command>ipf</command></primary>
       </indexterm>
 
       <para>Команда ipf используется для загрузки файла с правилами.
 	Обычно создается файл, содержащий подготовленный набор
 	правил, который полностью замещает набор, используемый
 	на данный момент:</para>
 
       <screen>&prompt.root; <userinput>ipf -Fa -f /etc/ipf.rules</userinput></screen>
 
       <para><option>-Fa</option> означает сброс всех внутренних таблиц правил.</para>
 
       <para><option>-f</option> указывает файл с правилами, который необходимо загрузить.</para>
 
       <para>Таким образом, после внесения изменений в файл правил и
 	запуска вышеприведенной команды IPF, набор правил межсетевого экрана
 	обновляется без перезагрузки системы.  Для обновления правил
 	такой подход очень удобен, поскольку команду можно выполнять
 	столько раз, сколько нужно.</para>
 
       <para>На странице справочной системы &man.ipf.8; находится
 	подробная информация по флагам этой команды.</para>
 
       <para>Набор правил для команды &man.ipf.8; должен быть в виде
 	стандартного текстового файла.  Правила, написанные в виде
 	скрипта с символами подстановки, не принимаются.</para>
 
       <para>Есть способ составления правил IPF, использующих
 	символы подстановки.  Обратитесь к <xref
 	linkend="firewalls-ipf-rules-script">.</para>
 
     </sect2>
 
     <sect2>
       <title>IPFSTAT</title>
 
       <indexterm>
 	<primary><command>ipfstat</command></primary>
       </indexterm>
 
       <indexterm>
 	<primary>IPFILTER</primary>
 	<secondary>статистика</secondary>
       </indexterm>
 
       <para>По умолчанию &man.ipfstat.8; получает и отображает суммарную
 	статистику, полученную в результате применения действующих правил
 	к пакетам, проходящим через межсетевой экран с момента его последнего
 	запуска, или с того момента, когда статистика была последний раз
 	обнулена командой <command>ipf -Z</command>.</para>
 
       <para>Детальная информация приводится на странице справочника
 	&man.ipfstat.8;.</para>
 
       <para>Вывод команды &man.ipfstat.8; по умолчанию выглядит
 	примерно так:</para>
 
       <screen>input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
  output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
  input packets logged: blocked 99286 passed 0
  output packets logged: blocked 0 passed 0
  packets logged: input 0 output 0
  log failures: input 3898 output 0
  fragment state(in): kept 0 lost 0
  fragment state(out): kept 0 lost 0
  packet state(in): kept 169364 lost 0
  packet state(out): kept 431395 lost 0
  ICMP replies: 0 <acronym>TCP</acronym> RSTs sent: 0
  Result cache hits(in): 1215208 (out): 1098963
  IN Pullups succeeded: 2 failed: 0
  OUT Pullups succeeded: 0 failed: 0
  Fastroute successes: 0 failures: 0
  <acronym>TCP</acronym> cksum fails(in): 0 (out): 0
  Packet log flags set: (0)</screen>
 
       <para>При задании флага <option>-i</option> или <option>-o</option>
 	соответственно для входящих или
 	или исходящих пакетов, будет получен и отображен список правил,
 	используемых на данный момент.</para>
 
       <para><command>ipfstat -in</command> отображает правила, применяемые
 	к входящим пакетам, вместе с номерами этих правил.</para>
 
       <para><command>ipfstat -on</command> отображает правила, применяемые
 	к исходящим пакетам, вместе с номерами этих правил.</para>
 
       <para>Вывод команды будет выглядеть примерно так:</para>
 
       <screen>@1 pass out on xl0 from any to any
 @2 block out on dc0 from any to any
 @3 pass out quick on dc0 proto tcp/udp from any to any keep state</screen>
 
       <para><command>ipfstat -ih</command> отображает правила, применяемые
 	к входящим пакетам, со счетчиком количества совпадений для
 	каждого правила.</para>
 
       <para><command>ipfstat -oh</command> отображает правила, применяемые
 	к исходящим пакетам, со счетчиком количества совпадений для
 	каждого правила.</para>
 
       <para>Вывод команды будет выглядеть примерно так:</para>
 
       <screen>2451423 pass out on xl0 from any to any
 354727 block out on dc0 from any to any
 430918 pass out quick on dc0 proto tcp/udp from any to any keep state</screen>
 
       <para>Одна из наиболее важных функций команды
 	<command>ipfstat</command> активируется флагом <option>-t</option>,
 	правила отображаются подобно тому, как &man.top.1;
 	показывает таблицу запущенных процессов &os;.  Когда межсетевой экран
 	подвергается атаке, эта функция позволяет обнаружить соответствующие
 	пакеты.  Дополнительные флаги дают возможность выбирать IP
 	адрес назначения или источника, порт или протокол, которые
 	будут отслеживаться в реальном времени.  Подробная информация
 	приведена на странице &man.ipfstat.8;.</para>
     </sect2>
 
     <sect2>
       <title>IPMON</title>
 
       <indexterm>
 	<primary><command>ipmon</command></primary>
       </indexterm>
 
       <indexterm>
 	<primary>IPFILTER</primary>
 	<secondary>logging</secondary>
       </indexterm>
 
       <para>Для того, чтобы стало возможно использование команды
 	<command>ipmon</command>, необходимо включить параметр ядра
 	IPFILTER_LOG.  Эта команда может использоваться в двух различных
 	режимах.  В основном режиме, который используется по умолчанию,
 	она используется без флага <option>-D</option>.</para>
 
       <para>В режиме даемона создается непрерывный протокол, и возможен
 	просмотр предыдущих событий.  В этом режиме IPFILTER работает
 	в &os;.  Поскольку в &os; встроена функция ротации файлов
 	протокола, лучше использовать syslogd, чем используемый по
 	умолчанию вывод в обычный файл.  В <filename>rc.conf</filename>
 	по умолчанию ipmon_flags имеет значение <option>-Ds</option>:</para>
 
       <programlisting>ipmon_flags="-Ds" # D = start as daemon
                   # s = log to syslog
                   # v = log tcp window, ack, seq
                   # n = map IP & port to names</programlisting>
 
       <para>Описывать преимущества протоколирования излишне.  Например,
 	оно дает возможность просмотра информации о отброшенных
 	пакетах, откуда они пришли и куда направлялись.  Это дает
 	определенные возможности отслеживания атак.</para>
 
       <para>Даже с включенным протоколированием, IPF не ведет протокол
 	для каждого правила.  Администратор межсетевого экран должен решить,
 	по каким правилам набора нужно вести протокол и добавить ключевое
 	слово log к этим правилам.  Обычно протоколируются только правила,
 	отбрасывающие пакеты.</para>
 
       <para>Довольно часто правило по умолчанию, запрещающее прохождение
 	пакетов, включается в набор последним, и для него применяется
 	ключевое слово log.  Так вы можете увидеть все пакеты, не
 	попадающие ни под одно правило набора.</para>
     </sect2>
 
     <sect2>
       <title>Протоколирование IPMON</title>
 
       <para>Для сбора данных <application>Syslogd</application>
 	использует свой собственный
 	специальный метод.  Он использует группировку по категории
 	(<quote>facility</quote>) и уровню (<quote>level</quote>).
 	IPMON в режиме <option>-Ds</option> использует
 	<literal>local0</literal> в качестве имени
 	<quote>категории</quote>.  Все протоколируемые IPMON данные
 	отправляются на <literal>local0</literal>.  Для сбора
 	протоколируемых данных могут быть использованы следующие
 	уровни:</para>
 
        <screen>LOG_INFO - packets logged using the "log" keyword as the action rather than pass or block.
 LOG_NOTICE - packets logged which are also passed
 LOG_WARNING - packets logged which are also blocked
 LOG_ERR - packets which have been logged and which can be considered short</screen>
 	<!-- XXX: "can be considered short" == "with incomplete header" -->
 
       <para>Для указания IPFILTER протоколировать все данные в
 	<filename>/var/log/ipfilter.log</filename>, создайте этот
 	файл следующей командой:</para>
 
       <screen>&prompt.root; <userinput>touch /var/log/ipfilter.log</userinput></screen>
 
       <para>Функционирование syslog управляется настройками в файле
 	<filename>/etc/syslog.conf</filename>.  Файл
 	<filename>syslog.conf</filename> позволяет достаточно гибко
 	настроить обработку системных сообщений, выдаваемых программами,
 	такими как IPF.</para>
 
       <para>Добавьте в <filename>/etc/syslog.conf</filename>
 	следующий оператор:</para>
 
       <programlisting>local0.* /var/log/ipfilter.log</programlisting>
 
       <para><literal>local0.*</literal> означает запись всех
 	протоколируемых сообщений в указанный файл.</para>
 
       <para>Для применения внесенных в
 	<filename>/etc/syslog.conf</filename> изменений вы можете
 	перезагрузиться или заставить syslog перечитать
 	<filename>/etc/syslog.conf</filename>, выполнив команду
 	<command>/etc/rc.d/syslogd reload</command> (<command>
 	killall -HUP syslogd</command>
 	в &os;&nbsp;4.X).</para>
 
       <para>Не забудьте отредактировать
 	<filename>/etc/newsyslog.conf</filename> для ротации только
 	что созданного лог файла.</para>
     </sect2>
 
     <sect2>
       <title>Формат протоколируемых сообщений</title>
 
       <para>Сообщения, генерируемые <command>ipmon</command>, состоят
 	из полей данных, разделенных пробелами. Поля, общие для всех
 	сообщений:</para>
 
       <orderedlist>
 	<listitem>
 	  <para>Дата получения пакета.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Время получения пакета.  Формат времени
 	    HH:MM:SS.F для часов, минут, секунд и долей секунд
 	    (последнее поле может состоять из нескольких цифр).</para>
 	</listitem>
 
 	<listitem>
 	  <para>Имя интерфейса, через который прошел пакет,
 	    например <devicename>dc0</devicename>.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Группа и номер правила, например
 	    <literal>@0:17</literal>.</para>
 	</listitem>
       </orderedlist>
 
       <para>Эти сообщения могут быть просмотрены командой
 	<command>ipfstat -in</command>.</para>
 
       <orderedlist>
 	<listitem>
 	  <para>Действие: p для пропущенных, b для заблокированных, S
 	    для пакетов с неполным заголовком (short packet),
 	    n для пакетов, не соответствующих какому-либо правилу,
 	    L для соответствующих правилу протоколирования.
 	    Порядок следования по флагам: S, p, b, n, L.  Знаки
 	    P или B в верхнем регистре означают, что пакет был
 	    протоколирован в соответствии с общими настройками,
 	    а не каким-то конкретным правилом.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Адреса.  Всего три поля: адрес и порт источника
 	    (разделенные запятой), ->, адрес и порт
 	    назначения.
 	    209.53.17.22,80 -> 198.73.220.17,1722.</para>
 	</listitem>
 
 	<listitem>
 	  <para><literal>PR</literal>, с последующим именем или
 	    номером протокола, например PR tcp.</para>
 	</listitem>
 
 	<listitem>
 	  <para><literal>len</literal>, с последующей длиной заголовка
 	    и общей длиной пакета, например len 20 40.</para>
 	</listitem>
       </orderedlist>
 
       <para>Для <acronym>TCP</acronym> пакетов добавляется дополнительное
 	поле, начинающееся с дефиса, за которым следуют буквы,
 	соответствующие установленным флагам.  На странице справочника
 	находится список букв и флагов.</para>
 
       <para>Для пакетов ICMP, в конце находятся два поля,
 	одно всегда <quote>ICMP</quote>, а во втором тип
 	ICMP сообщения (message и sub-message),
 	например ICMP 3/3 для сообщения <quote>port
 	unreachable</quote>.</para>
     </sect2>
 
     <sect2 id="firewalls-ipf-rules-script">
       <title>Создание набора правил с использованием символьной подстановки</title>
 
       <para>Некоторые опытные пользователи IPF создают файл правил,
 	поддерживающий использование символьной подстановки.  Основное
 	преимущество использования такого скрипта заключается в
 	возможности изменения значения, присваиваемого символьному
 	имени, в результате чего во всех правилах, содержащих эту
 	символьную подстановку, будет использоваться новое значение.
 	В начале скрипта вы можете поместить часто используемые
 	переменные, а затем использовать их сразу в нескольких
 	правилах.  Ниже дан пример такого использования.</para>
 
       <para>Синтаксис скрипта совместим с sh, csh, и
 	tcsh.</para>
 
       <para>Символьная подстановка предваряется знаком доллара:
 	<literal>&dollar;</literal>.</para>
 
       <para>Для присвоения значения символьным переменным знак
 	&dollar; не используется.</para>
 
       <para>Присваиваемое символической переменной значение должно
 	быть заключено в двойные кавычки (<literal>"</literal>).</para>
 
       <para>Начните файл правил примерно так:</para>
 
 <programlisting>############# Start of IPF rules script ########################
 
 oif="dc0"            # name of the outbound interface
 odns="192.0.2.11"    # ISP's DNS server IP address
 myip="192.0.2.7"     # my static IP address from ISP
 ks="keep state"
 fks="flags S keep state"
 
 # You can choose between building /etc/ipf.rules file
 # from this script or running this script "as is".
 #
 # Uncomment only one line and comment out another.
 #
 # 1) This can be used for building /etc/ipf.rules:
 #cat &gt; /etc/ipf.rules &lt;&lt; EOF
 #
 # 2) This can be used to run script "as is":
 /sbin/ipf -Fa -f - &lt;&lt; EOF
 
 # Allow out access to my ISP's Domain name server.
 pass out quick on &dollar;oif proto tcp from any to &dollar;odns port = 53 &dollar;fks
 pass out quick on &dollar;oif proto udp from any to &dollar;odns port = 53 &dollar;ks
 
 # Allow out non-secure standard www function
 pass out quick on &dollar;oif proto tcp from &dollar;myip to any port = 80 &dollar;fks
 
 # Allow out secure www function https over TLS SSL
 pass out quick on &dollar;oif proto tcp from &dollar;myip to any port = 443 &dollar;fks
 EOF
 ################## End of IPF rules script ########################</programlisting>
 
       <para>Это все, что требовалось сделать.  В данном примере сами
 	правила не важны; важно то, как используется символьная подстановка.
 	Если вышеприведенный пример помещен в файл
 	<filename>/etc/ipf.rules.script</filename>, вы можете
 	перезагрузить набор правил, введя следующую команду:</para>
 
       <screen>&prompt.root; <userinput>sh /etc/ipf.rules.script</userinput></screen>
 
       <para>С использованием в правилах символьной подстановки связана одна
 	проблема: IPF не понимает символьную подстановку и не может обработать
 	такой скрипт непосредственно.</para>
 
       <para>Скрипт может использоваться одним из следующих двух
 	способов:</para>
 
       <itemizedlist>
         <listitem>
 	  <para>Уберите комментарий перед строкой, начинающейся с
 	    <literal>cat</literal>, и закомментируйте строку,
 	    начинающуюся с <literal>/sbin/ipf</literal>.  Поместите
 	    строку <literal>ipfilter_enable="YES"</literal> в файл
 	    <filename>/etc/rc.conf</filename> как обычно, и запускайте
 	    скрипт после каждого его обновления для создания или обновления
 	    файла <filename>/etc/ipf.rules</filename>.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Отключите IPFILTER в стартовых скриптах системы, поместив
 	    строку <literal>ipfilter_enable="NO"</literal> (это значение
 	    по умолчанию) в файл <filename>/etc/rc.conf</filename>.</para>
 
 	  <para>Поместите скрипт, подобный нижеприведенному в каталог
 	    <filename>/usr/local/etc/rc.d/</filename>.  У него должно
 	    быть однозначно говорящее о его назначении имя, например
 	    <filename>ipf.loadrules.sh</filename>.  Расширение
 	    <filename>.sh</filename> обязательно.</para>
 
 	  <programlisting>#!/bin/sh
 sh /etc/ipf.rules.script</programlisting>
 
 	  <para>Права на этот скрипт должны разрешать чтение, запись и
 	    выполнение владельцу <username>root</username>.</para>
 
 	  <screen>&prompt.root; <userinput>chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh</userinput></screen>
 	</listitem>
       </itemizedlist>
 
 	<para>Теперь, при загрузке системы, правила IPF будут
 	  загружены.</para>
     </sect2>
 
     <sect2>
       <title>IPF Rule Sets</title>
 
       <!-- очередное разжевывание ip basics -->
       <para>Набор правил ipf это группа правил, составленных для
 	пропускания или блокирования пакетов на основе их содержимого.
 	Двусторонний обмен пакетами между хостами составляет сессию.
 	Межсетевой экран обрабатывает пакеты в обеих направлениях,
 	<!--некорректно: The firewall rule set processes the
          packet two times, once on its arrival from the public Internet
          host and again as it leaves for its return trip back to the
          public Internet host. Each TCP/IP service (i.e. telnet, www,
          mail, etc.) is predefined by its protocol, source and
          destination IP address, or the source and destination port
          number.-->
 	Каждый IP пакет имеет такие характеристики как порт и адрес
 	источника и назначения.  Эти основные характеристики используются
 	для пропускания или блокирования пакетов.</para>
 
       <indexterm>
 	<primary>IPFILTER</primary>
 	<secondary>порядок обработки правил</secondary>
       </indexterm>
 
     <!-- XXX: something like this already in
 	 <xref linkend="firewalls-concepts">
 	 AND: the para below is repeated 3 times in this chapter-->
       <para>IPF был первоначально написан с использованием логики
 	<quote>последнее совпадающее правило побеждает</quote> и
 	только с правилами без сохранения состояния.  Со временем
 	в IPF был включен параметр <quote>quick</quote> и параметр
 	сохранения состояния <quote>keep state</quote>, что
 	существенно улучшило логику обработки правил.</para>
 
       <para>Инструкции, помещенные в эту главу, созданы с использованием
 	параметров <quote>quick</quote> и <quote>keep state</quote>.
 	Это основа для создания набора правил включающего межсетевого
 	экрана.</para>
 
 <!-- опять network basics, кроме того то же самое повторяется ниже по
      тексту практически один в один
       <para>An inclusive firewall only allows services matching the
          rules through. This way you can control what services can
          originate behind the firewall destined for the public Internet
          and also control the services which can originate from the
          public Internet accessing your private network. Everything
          else is blocked and logged by default design. Inclusive
          firewalls are much, much securer than exclusive firewall rule
          sets and is the only rule set type covered herein.</para>
 -->
 
       <warning>
 	<para>При работе с правилами межсетевого экрана, будьте
 	  <emphasis>очень осторожны</emphasis>.  Некоторые
 	  конфигурации <emphasis>могут заблокировать вам
 	  доступ</emphasis> к серверу.  В целях предосторожности,
 	  первоначальную настройку межсетевого экрана вы можете
 	  выполнить с локальной консоли, а не через удаленное
 	  подключение, такое как
 	  <application>ssh</application>.</para>
       </warning>
     </sect2>
 
     <!-- Перевод остальной части раздела IPF отложен до исправления
 	ошибок в следующем sect2 оригинальной версии -->
 
   </sect1>
 
   <sect1 id="firewalls-ipfw">
       <title>* IPFW</title>
 
       <para>Этот раздел не переведен.</para>
   </sect1>
 </chapter>
 
 <!--
      Local Variables:
      mode: sgml
      sgml-declaration: "../chapter.decl"
      sgml-indent-data: t
      sgml-omittag: nil
      sgml-always-quote-attributes: t
      sgml-parent-document: ("../book.sgml" "part" "chapter")
      End:
 -->