Update my config info to remove use of ipset

git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@3168 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
2025-01-22 21:48:39 +01:00 · 2005-12-15 19:39:13 +00:00 · 2005-12-15 19:39:13 +00:00 · c572c2cb0f
commit c572c2cb0f
parent 47cd161735
5 changed files with 146 additions and 116 deletions
--- a/Shorewall-docs2/PortKnocking.xml
+++ b/Shorewall-docs2/PortKnocking.xml
@ -190,7 +190,8 @@ SSHLimit         net               loc:192.168.1.5 tcp         22            -
      </listitem>
    </orderedlist>
-    <para>The above can be generalized into a flexible 'Limit' target.</para>
+    <para id="Limit">The above can be generalized into a flexible 'Limit'
    target.</para>
    <orderedlist>
      <listitem>
--- a/Shorewall-docs2/Shorewall_and_Routing.xml
+++ b/Shorewall-docs2/Shorewall_and_Routing.xml
@ -15,7 +15,7 @@
      </author>
    </authorgroup>
-    <pubdate>2005-11-16</pubdate>
+    <pubdate>2005-12-12</pubdate>
    <copyright>
      <year>2005</year>
@ -168,9 +168,10 @@
  <section>
    <title>Alternate Routing Table Configuration</title>
-    <para>The <ulink url="Shorewall_Squid_Usage.html">Shorewall Squid
+    <para>The Shorewall 2.x <ulink
-    documentation</ulink> shows how alternate routing tables can be created
+    url="http://www.shorewall.net/2.0/Shorewall_Squid_Usage.html#Local">Shorewall
-    and used. That documentation shows how you can use logic in
+    Squid documentation</ulink> shows how alternate routing tables can be
    created and used. That documentation shows how you can use logic in
    <filename>/etc/shorewall/init</filename> to create and populate an
    alternate table and to add a routing rule for its use. It is fine to use
    that technique so long as you understand that you are basically just using
@ -215,6 +216,6 @@
    strongly that you upgrade to version 2.4.2 or later.</para>
    <para>Shorewall multi-ISP support is now covered in a <ulink
-    url="MultiISP.html">separate article</ulink>. </para>
+    url="MultiISP.html">separate article</ulink>.</para>
  </section>
 </article>
--- a/Shorewall-docs2/myfiles.xml
+++ b/Shorewall-docs2/myfiles.xml
@ -15,7 +15,7 @@
      </author>
    </authorgroup>
-    <pubdate>2005-11-27</pubdate>
+    <pubdate>2005-12-15</pubdate>
    <copyright>
      <year>2001-2005</year>
@ -48,7 +48,7 @@
    <caution>
      <para>The configuration shown here corresponds to Shorewall version
-      3.0.0. My configuration uses features not available in earlier Shorewall
+      3.0.3. My configuration uses features not available in earlier Shorewall
      releases.</para>
    </caution>
@ -213,7 +213,7 @@ DYNAMIC_ZONES=No
 PKTTYPE=No
 RFC1918_STRICT=Yes
 MACLIST_TTL=60
-SAVE_IPSETS=Yes
+SAVE_IPSETS=No
 MAPOLDACTIONS=No
 FASTACCEPT=No
 BLACKLIST_DISPOSITION=DROP
@ -234,7 +234,8 @@ WIFI_IF=eth0
 EXT_IF=eth2
 INT_IF=br0
 DMZ_IF=eth1
-OMAK=&lt;ip address of the gateway at our second home&gt;</programlisting></para>
+OMAK=&lt;ip address of the gateway at our second home&gt;
 MIRRORS=&lt;list IP addresses of Shorewall mirrors&gt;</programlisting></para>
      </blockquote>
    </section>
@ -295,16 +296,17 @@ Blarg   1       1       main            $EXT_IF         206.124.146.254 track,ba
    </section>
    <section>
-      <title>Blacklist File</title>
+      <title>Blacklist File (Edited)</title>
      <blockquote>
-        <para>I use <ulink url="ipsets.html">ipsets</ulink> to represent my
+        <para>I blacklist a number of ports globally to cut down on the amount
-        blacklist.</para>
+        of noise in my firewall log. Note that the syntax shown below was
        introduced in Shorewall 3.0.3 ("-" in the ADDRESS/SUBNET column);
        earlier versions must use "0.0.0.0/0".</para>
        <programlisting>#ADDRESS/SUBNET         PROTOCOL        PORT
-+Blacklistports[dst]
+-                       udp             1024:1033
-+Blacklistnets[src,dst]
+-                       tcp             57,1433,1434,2401,2745,3127,3306,3410,4899,5554,6101,8081,9898
 +Blacklist[src,dst]
 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
      </blockquote>
    </section>
@ -411,9 +413,12 @@ openvpnserver:1194      Wifi    192.168.3.0/24
      <title>Actions File</title>
      <blockquote>
        <para>The Limit action is described in a <ulink
        url="PortKnocking.html#Limit">separate article</ulink>.</para>
        <programlisting>#ACTION
 Mirrors             #Accept traffic from the Shorewall Mirror sites
-SSHKnock            #Port Knocking
+Limit               #Limit connection rate from individual Hosts
 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
      </blockquote>
    </section>
@ -422,15 +427,11 @@ SSHKnock            #Port Knocking
      <title>action.Mirrors File</title>
      <blockquote>
-        <para>The <emphasis>Mirrors</emphasis> and
+        <para>$MIRRORS is set in /etc/shorewall/params above.</para>
        <emphasis>Mirrornets</emphasis> <ulink
        url="ipsets.html">ipsets</ulink> define the set of Shorewall
        mirrors.</para>
        <programlisting>#TARGET  SOURCE         DEST            PROTO   DEST    SOURCE     ORIGINAL     RATE
 #                                               PORT    PORT(S)    DEST         LIMIT
-ACCEPT   +Mirrors
+ACCEPT   $MIRRORS                   
 ACCEPT   +Mirrornets                    
 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</programlisting>
      </blockquote>
    </section>
@ -514,7 +515,12 @@ ACCEPT          net                             dmz                     tcp
 ACCEPT          net                             dmz                     tcp     smtp                                    -               206.124.146.177,206.124.146.178
 ACCEPT          net                             dmz                     udp     33434:33454
 Mirrors         net                             dmz                     tcp     rsync
-ACCEPT          net                             dmz                     tcp     22
+#
 # Allow SSH access from anywhere but limit all but from our second home
 #
 ACCEPT          net:$OMAK                       dmz                     tcp     22
 Limit:info:SSHA,3,60 \
                net                             dmz                     tcp     22
 Ping/ACCEPT     net                             dmz
 ###############################################################################################################################################################################
 #
@ -524,7 +530,12 @@ Ping/ACCEPT     net                             dmz
 #
 DNAT            net                             loc:192.168.1.4         tcp     1729
 DNAT            net                             loc:192.168.1.4         gre
 #
 # Allow SSH access from anywhere but limit all but from our second home
 #
 ACCEPT          net:$OMAK                       loc:192.168.1.5         tcp     22
 Limit:info:SSHA,3,60 \
                net                             loc:192.168.1.5         tcp     22
 #
 # Auth for IRC
 #
@ -589,7 +600,12 @@ DROP            net                             fw                      icmp
 ACCEPT          net                             fw                      udp     33434:33454
 ACCEPT          net:$OMAK                       fw                      udp     ntp
 ACCEPT          net                             fw                      tcp     auth
-SSHKnock:info   net                             fw                      tcp     22,4320,4321,4322
+#
 # Allow SSH access from anywhere but limit all but from our second home
 #
 ACCEPT          net:$OMAK                       fw                      tcp     22
 Limit:info:SSHA,3,60 \
                net                             fw                      tcp     22
 ###############################################################################################################################################################################
 # Firewall to Internet
 #
--- a/Shorewall-docs2/standalone_ru.xml
+++ b/Shorewall-docs2/standalone_ru.xml
@ -67,11 +67,11 @@
      <para>Shorewall требует, чтобы у Вас был установлен пакет
      <command>iproute</command>/<command>iproute2</command> (на
-      <trademark>RedHat</trademark>, этот пакет называется<command>
+      <trademark>RedHat</trademark>, этот пакет называется
-      iproute</command>). Вы можете определить установлен ли этот пакет по
+      <command>iproute</command>). Вы можете определить установлен ли этот
-      наличию программы <command>ip</command> на Вашем файерволе. Как root, Вы
+      пакет по наличию программы <command>ip</command> на Вашем файерволе. Как
-      можете использовать команду <command>which</command> для проверки
+      root, Вы можете использовать команду <command>which</command> для
-      наличия этой программы:</para>
+      проверки наличия этой программы:</para>
      <programlisting>[root@gateway root]# <command>which ip</command>
 /sbin/ip
@ -148,10 +148,11 @@
    <orderedlist>
      <listitem>
        <para>Если Вы при установке использовали <acronym>RPM</acronym>,
-        примеры будут находится в поддиректории Samples/one-interface/
+        примеры будут находится в поддиректории <filename
-        директории с документацией Shorewall. Если Вы не знаете где
+        class="directory">Samples/one-interface</filename>/ директории с
-        расположена директория с документацией Shorewall, Вы можете найти
+        документацией Shorewall. Если Вы не знаете где расположена директория
-        примеры используя команду:</para>
+        с документацией Shorewall, Вы можете найти примеры используя
        команду:</para>
        <programlisting>~# rpm -ql shorewall | fgrep one-interface
 /usr/share/doc/packages/shorewall/Samples/one-interface
@ -164,12 +165,15 @@
      <listitem>
        <para>Если Вы установили Shorewall из tarball'а, примеры находятся в
-        директории Samples/one-interface внутри tarball'а.</para>
+        директории <filename
        class="directory">Samples/one-interface</filename> внутри
        tarball'а.</para>
      </listitem>
      <listitem>
        <para>Если же Вы пользовались пакетом .deb, примеры находятся в
-        /usr/share/doc/shorewall/examples/one-interface.</para>
+        директории <filename
        class="directory">/usr/share/doc/shorewall/examples/one-interface</filename>.</para>
      </listitem>
    </orderedlist>
@ -188,9 +192,10 @@
      <para>Заметьте, что Вы должны скопировать <filename
      class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
-      и /usr/share/doc/shorewall/default-config/modules в <filename
+      и <filename
-      class="directory">/etc/shorewall</filename> даже если Вы не будете
+      class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
-      изменять эти файлы.</para>
+      в <filename class="directory">/etc/shorewall</filename> даже если Вы не
      будете изменять эти файлы.</para>
    </warning>
    <para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
@ -211,10 +216,11 @@ net     ipv4</programlisting>
    url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
    <para>Заметьте, что Shorewall рассматривает систему файервола как свою
-    собственную зону. Имя зоны файервола (<emphasis role="bold">fw</emphasis>
+    собственную зону. При обработке файла
-    в примере выше) храниться в переменной shell <firstterm>$FW</firstterm>,
+    <filename>/etc/shorewall/zones</filename> имя зоны файервола
-    которая может использоваться во всей конфигурации Shorewall для ссылки на
+    (<quote>fw</quote> в примере выше) храниться в переменной shell
-    сам файервол.</para>
+    <firstterm>$FW</firstterm>, которая может использоваться во всей
    конфигурации Shorewall для ссылки на сам файервол.</para>
    <para>Правила о том какой трафик разрешен, а какой запрещен выражаются в
    терминах зон.</para>
@ -301,11 +307,11 @@ all            all                REJECT   info</programlisting>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
    <para>Пример конфигурации Shorewall для одного интерфейса подразумевает,
-    что <emphasis>Внешний интерфейс</emphasis><emphasis role="bold">
+    что внешний интерфейс - <emphasis role="bold">eth0</emphasis>. Если Ваша
-    </emphasis>- <emphasis role="bold">eth0</emphasis>. Если Ваша конфигурация
+    конфигурация отличается, Вам необходимо изменить файл примера
-    отличается, Вам необходимо изменить файл примера /etc/shorewall/interfaces
+    <filename>/etc/shorewall/interfaces</filename> соответственно. Пока Вы
-    соответственно. Пока Вы здесь, Вы возможно захотите просмотреть список
+    здесь, Вы возможно захотите просмотреть список опций, специфичных для
-    опций, специфичных для интерфейса. Вот несколько подсказок:</para>
+    интерфейса. Вот несколько подсказок:</para>
    <tip>
      <para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
@ -334,8 +340,8 @@ all            all                REJECT   info</programlisting>
    (Dynamic Host Configuration Protocol</emphasis> -
    <acronym>DHCP</acronym>), в процессе установки Вами коммутированного
    соединения (обычный модем), или при установке Вами другого типа
-    <acronym>PPP</acronym> соединения (<acronym>PPPoA</acronym>,
+    <acronym>PPP</acronym> (<acronym>PPPoA</acronym>, <acronym>PPPoE</acronym>
-    <acronym>PPPoE</acronym> и т.д.).</para>
+    и т.д.) соединения.</para>
    <para><acronym>RFC-1918</acronym> резервирует несколько диапазонов
    <emphasis>Частных (Private)</emphasis> <acronym>IP</acronym>-адресов для
@ -349,9 +355,9 @@ all            all                REJECT   info</programlisting>
    <emphasis>немаршрутизируемые</emphasis> потому, что магистральные
    маршрутизаторы Интернет не переправляют пакеты, адреса назначения которых
    зарезервированы <acronym>RFC-1918</acronym>. Хотя в некоторых случаях,
-    <acronym>ISP</acronym>s назначающие эти адреса, используют затем
+    <acronym>ISP</acronym>, назначающие эти адреса, используют затем
    <emphasis>Преобразование Сетевых Адресов (Network Address Translation -
-    <acronym>NAT</acronym>)</emphasis> для перезаписи заголовков пакетов при
+    </emphasis><acronym>NAT</acronym>) для перезаписи заголовков пакетов при
    перенаправлении в/из Интернет.</para>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -443,15 +449,15 @@ SSH/ACCEPT  net       $FW           </programlisting>
    <filename>/etc/shorewall/startup_disabled</filename>.</para>
    <important>
-      <para><emphasis role="bold">Пользователи пакета .deb должны
+      <para>Пользователи пакета .deb должны отредактировать файл
-      отредактировать <filename>/etc/default/shorewall</filename> и установить
+      <filename>/etc/default/shorewall</filename> и установить параметр
-      <quote>startup=1</quote>. </emphasis></para>
+      <varname>STARTUP=1.</varname></para>
    </important>
    <important>
-      <para><emphasis role="bold">Вы должны разрешить запуск путем
+      <para>Вы должны разрешить запуск путем редактирования файла
-      редактирования /etc/shorewall/shorewall.conf и установки
+      <filename>/etc/shorewall/shorewall.conf</filename> и установки параметра
-      STARTUP_ENABLED=Yes.</emphasis></para>
+      <varname>STARTUP_ENABLED=Yes.</varname></para>
    </important>
    <para>Файервол запускается при помощи команды <quote><command>shorewall
@ -486,7 +492,7 @@ SSH/ACCEPT  net       $FW           </programlisting>
    <title>Дополнительно рекоммендуемая литература</title>
    <para>Я особо рекоммендую просмотреть Вам <ulink
-    url="configuration_file_basics.htm">страницу Особенностей Общих Фалов
+    url="configuration_file_basics.htm">страницу Общих Особенностей Файлов
    Конфигурации</ulink> -- она содержит полезные советы об особенностях
    Shorewall, делающую администрирование Вашего файервола проще.</para>
  </section>
--- a/Shorewall-docs2/two-interface_ru.xml
+++ b/Shorewall-docs2/two-interface_ru.xml
@ -169,10 +169,11 @@
    <orderedlist>
      <listitem>
        <para>Если Вы при установке использовали <acronym>RPM</acronym>,
-        примеры будут находится в поддиректории Samples/two-interface/
+        примеры будут находится в поддиректории <filename
-        директории с документацией Shorewall. Если Вы не знаете где
+        class="directory">Samples/two-interface</filename> директории с
-        расположена директория с документацией Shorewall, Вы можете найти
+        документацией Shorewall. Если Вы не знаете где расположена директория
-        примеры используя команду:</para>
+        с документацией Shorewall, Вы можете найти примеры используя
        команду:</para>
        <programlisting>~# rpm -ql shorewall | fgrep two-interfaces
 /usr/share/doc/packages/shorewall/Samples/two-interfaces
@ -187,12 +188,15 @@
      <listitem>
        <para>Если Вы установили Shorewall из tarball'а, примеры находятся в
-        директории Samples/two-interface внутри tarball'а.</para>
+        директории <filename
        class="directory">Samples/two-interface</filename> внутри
        tarball'а.</para>
      </listitem>
      <listitem>
        <para>Если же Вы пользовались пакетом .deb, примеры находятся в
-        /usr/share/doc/shorewall/examples/two-interface.</para>
+        директории<filename
        class="directory">/usr/share/doc/shorewall/examples/two-interface</filename>.</para>
      </listitem>
    </orderedlist>
@ -211,9 +215,10 @@
      <para>Заметьте, что Вы должны скопировать <filename
      class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
-      и /usr/share/doc/shorewall/default-config/modules в <filename
+      и <filename
-      class="directory">/etc/shorewall</filename> даже если Вы не будете
+      class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
-      изменять эти файлы.</para>
+      в <filename class="directory">/etc/shorewall</filename> даже если Вы не
      будете изменять эти файлы.</para>
    </warning>
    <para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
@ -235,10 +240,11 @@ loc     ipv4</programlisting>
    url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
    <para>Заметьте, что Shorewall рассматривает систему файервола как свою
-    собственную зону. Имя зоны файервола (<emphasis role="bold">fw</emphasis>
+    собственную зону. При обработке файла
-    в примере выше) храниться в переменной shell <firstterm>$FW</firstterm>,
+    <filename>/etc/shorewall/zones</filename> имя зоны файервола
-    которая может использоваться во всей конфигурации Shorewall для ссылки на
+    (<quote>fw</quote> в примере выше) храниться в переменной shell
-    сам файервол.</para>
+    <firstterm>$FW</firstterm>, которая может использоваться во всей
    конфигурации Shorewall для ссылки на сам файервол.</para>
    <para>Правила о том какой трафик разрешен, а какой запрещен выражаются в
    терминах зон.</para>
@ -313,7 +319,7 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    политикой определенной в файле<filename class="directory">
    /etc/shorewall/policy</filename>, показанной выше, разрешены соединения из
    зоны <quote>loc</quote> в зону <quote>net</quote>, хотя на сам файервол
-    соединения из зоны <emphasis>loc</emphasis> не разрешены.</para>
+    соединения из зоны <quote>loc</quote> не разрешены.</para>
    <para>В данный момент Вы можете отредактировать ваш файл
    <filename>/etc/shorewall/policy</filename> и внести изменения, какие Вы
@ -359,10 +365,10 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    role="bold">eth0</emphasis>) и будет соединен с <emphasis
    role="bold">хабом</emphasis> или <emphasis
    role="bold">коммутатором</emphasis>. Другие Ваши компьютеры будут
-    соединены с тем же <emphasis role="bold">хабом</emphasis>/<emphasis
+    соединены с тем же <emphasis>хабом/коммутатором</emphasis> (заметьте: если
-    role="bold">коммутатором</emphasis> (заметьте: если Вы имеете только одну
+    Вы имеете только одну внутреннюю систему, Вы можете соединить файервол с
-    внутреннюю систему, Вы можете соединить файервол с этим компьютером
+    этим компьютером напрямую, используя кроссоверный (cross-over) кабель.
-    напрямую, используя кроссоверный (cross-over) кабель. <warning>
+    <warning>
        <para><emphasis role="bold">Не подсоединяйте внутренний и внешний
        интерфейсы к одному т тому же хабу или коммутатору исключая время
        тестирование</emphasis>.Вы можете провести тестирование используя
@ -411,25 +417,25 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    (Dynamic Host Configuration Protocol</emphasis> -
    <acronym>DHCP</acronym>), в процессе установки Вами коммутированного
    соединения (обычный модем), или при установке Вами другого типа
-    <acronym>PPP</acronym> соединения (<acronym>PPPoA</acronym>,
+    <acronym>PPP</acronym> (<acronym>PPPoA</acronym>, <acronym>PPPoE</acronym>
-    <acronym>PPPoE</acronym> и т.д.). В последнем случае Ваш
+    и т.д.) соединения. В последнем случае Ваш <acronym>ISP</acronym> может
-    <acronym>ISP</acronym> может назначит Вам статический
+    назначит Вам статический <acronym>IP</acronym>-адрес; что означает, что Вы
-    <acronym>IP</acronym>-адрес; что означает, что Вы настраиваете внешний
+    настраиваете внешний интерфейс Вашего файервола на использование этого
-    интерфейс Вашего файервола на использование этого адреса постоянно. Как бы
+    адреса постоянно. Как бы ни был назначен Вам внешний адрес, он будет
-    ни был назначен Вам внешний адрес, он будет разделяться между всеми Вашими
+    разделяться между всеми Вашими системами при доступе в Интернет. Вы должны
-    системами при доступе в Интернет. Вы должны будете назначить свои
+    будете назначить свои собственные адреса в Вашей внутренней сети
-    собственные адреса в Вашей внутренней сети (внутренний интерфейс на Вашем
+    (внутренний интерфейс на Вашем файерволе плюс другие Ваши компьютеры).
-    файерволе плюс другие Ваши компьютеры). <acronym>RFC-1918</acronym>
+    <acronym>RFC-1918</acronym> резервирует несколько <emphasis>Частных
-    резервирует несколько <emphasis>Частных (Private)</emphasis>
+    (Private)</emphasis> <acronym>IP</acronym>-адресов для этих целей:
-    <acronym>IP</acronym>-адресов для этих целей: <programlisting>10.0.0.0    - 10.255.255.255
+    <programlisting>10.0.0.0    - 10.255.255.255
 172.16.0.0  - 172.31.255.255
 192.168.0.0 - 192.168.255.255</programlisting> <inlinegraphic
    fileref="images/BD21298_.gif" format="GIF" /></para>
    <para>Перед запуском Shorewall, <emphasis role="bold">Вы должны взглянуть
    на IP-адрес Вашего внешнего интерфейса и если он входит в один указанных
-    выше пазонов, Вы должны удалить опцию 'norfc1918' из строки для внешнего
+    выше пазонов, Вы должны удалить опцию <quote>norfc1918</quote> из строки
-    интерфейса в файле <filename
+    для внешнего интерфейса в файле <filename
    class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</emphasis></para>
    <para>Вы можете захотеть назначить Ваши адреса из такой же подсети
@ -441,12 +447,12 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    Подсети (Subnet Address)</emphasis>, а <varname>x.y.z.255</varname> как
    <emphasis>Широковещательный Адрес Подсети (Subnet Broadcast
    Address</emphasis>). В Shorewall подсеть описывается с использованием
-    <ulink url="shorewall_setup_guide.htm#Subnets">нотации Бесклассовой
+    нотации <ulink url="shorewall_setup_guide.htm#Subnets"> Бесклассовой
-    Междоменной Маршрутизации (Classless InterDomain Routing - CIDR
+    Междоменной Маршрутизации (Classless InterDomain Routing</ulink> -
-    notation)</ulink> с адресом посети оканчивающимся <varname>/24</varname>.
+    <acronym>CIDR</acronym> notation) с адресом посети оканчивающимся
-    <quote>24</quote> указывает число непрерывных ведущих бит установленных в
+    <varname>/24</varname>. <quote>24</quote> указывает число непрерывных
-    <quote>1</quote> слева в маске подсети. <informaltable frame="all"
+    ведущих бит установленных в <quote>1</quote> слева в маске подсети.
-        label="Example sub-network" pgwide="0">
+    <informaltable frame="all" label="Example sub-network" pgwide="0">
        <!--
 				Orientation types for tables are not supported by fop yet so we'll fake it by using boldface on left side entries.
 				 -->
@ -496,7 +502,7 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    в подсети понимать с какими другими компьютерами можно взаимодействовать
    напрямую. При взаимодействии с системами находящимися вне подсети, системы
    посылают пакеты через <emphasis>шлюз (маршрутизатор) (gateway
-    (router</emphasis>).</para>
+    (router</emphasis>)).</para>
    <para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -552,10 +558,11 @@ $FW        net         ACCEPT</programlisting>Политики приведен
    и переправляет пакет на computer 1.</para>
    <para>На Linux системах, описанный выше процесс называют
-    <emphasis>IP-маскарадингом (IP Masquerading)</emphasis>, но Вы будете
+    <emphasis><acronym>IP</acronym>-маскарадингом (<acronym>IP</acronym>
-    также встречать термин <emphasis>Преобразование Сетевого Адреса Источника
+    Masquerading)</emphasis>, но Вы будете также встречать термин
-    (Source Network Address Translation</emphasis> - <acronym>SNAT</acronym>).
+    <emphasis>Преобразование Сетевого Адреса Источника (Source Network Address
-    Shorewall следует соглашению используемому Netfilter: <itemizedlist>
+    Translation</emphasis> - <acronym>SNAT</acronym>). Shorewall следует
    соглашению используемому Netfilter: <itemizedlist>
        <listitem>
          <para><emphasis>Masquerade</emphasis> описывает случай, когда Вы
          позволяете своему файерволу автоматически определять адрес внешнего
@ -836,7 +843,7 @@ ACCEPT     loc       $FW     tcp       80          #Allow Weblet to work</progra
        будут ассоциированы с внешним интерфейсом или зоной
        <quote>net</quote>. Любой трафик, создаваемый из локальной сети будет
        ассоциироваться с Вашим локальным интерфейсом и будет воспринят как
-        трафик loc-&gt;fw.</para>
+        трафик <quote>loc</quote>-&gt;<quote>fw</quote>.</para>
      </listitem>
      <listitem>
@ -852,15 +859,14 @@ ACCEPT     loc       $FW     tcp       80          #Allow Weblet to work</progra
      <listitem>
        <para><emphasis role="bold">Все IP-адреса, настроенные на интерфейсах
-        файервола, принадлежат зоне $FW (fw)</emphasis>. Если 192.168.1.254 -
+        файервола, принадлежат зоне $FW (<quote>fw</quote>)</emphasis>. Если
-        это <acronym>IP</acronym>-адрес Вашего внутреннего интерфейса, то Вы
+        192.168.1.254 - это <acronym>IP</acronym>-адрес Вашего внутреннего
-        можете написать <quote><emphasis
+        интерфейса, то Вы можете написать <quote><emphasis
        role="bold">$FW:192.168.1.254</emphasis></quote> в правиле, но Вы не
        можете написать <quote><emphasis
        role="bold">loc:192.168.1.254</emphasis></quote>. Также не играет роли
-        добавление адреса 192.168.1.254 в зону <emphasis
+        добавление адреса 192.168.1.254 в зону <quote>loc</quote> при помощи
-        role="bold">loc</emphasis> при помощи записи в файле
+        записи в файле <filename>/etc/shorewall/hosts</filename>.</para>
        <filename>/etc/shorewall/hosts</filename>.</para>
      </listitem>
      <listitem>
@ -896,13 +902,13 @@ ACCEPT     loc       $FW     tcp       80          #Allow Weblet to work</progra
    полностью завершите конфигурирование Вашего файервола, Вы можете включить
    запуск Shorewall путем удаления файла
    <filename>/etc/shorewall/startup_disabled</filename>.<important>
-        <para><emphasis role="bold">Пользователи пакета .deb должны
+        <para>Пользователи пакета .deb должны отредактировать файл
-        отредактировать <filename>/etc/default/shorewall</filename> и
+        <filename>/etc/default/shorewall</filename> и установить параметр
-        установить <quote>startup=1</quote>. </emphasis></para>
+        <varname>STARTUP=1.</varname></para>
      </important><important>
-        <para><emphasis role="bold">Вы должны разрешить запуск путем
+        <para>Вы должны разрешить запуск путем редактирования файла
-        редактирования /etc/shorewall/shorewall.conf и установки
+        <filename>/etc/shorewall/shorewall.conf</filename> и установки
-        STARTUP_ENABLED=Yes.</emphasis></para>
+        параметра <varname>STARTUP_ENABLED=Yes.</varname></para>
      </important>Файервол запускается при помощи команды
    <quote><command>shorewall start</command></quote> и останавливается при
    помощи <quote><command>shorewall stop</command></quote>. Когда файервол
@ -943,7 +949,7 @@ ACCEPT     loc       $FW     tcp       80          #Allow Weblet to work</progra
    <title>Дополнительно рекоммендуемая литература</title>
    <para>Я особо рекоммендую просмотреть Вам <ulink
-    url="configuration_file_basics.htm">страницу Особенностей Общих Фалов
+    url="configuration_file_basics.htm">страницу Общих Особенностей Файлов
    Конфигурации</ulink> -- она содержит полезные советы об особенностях
    Shorewall, делающую администрирование Вашего файервола проще.</para>
  </section>
@ -957,7 +963,7 @@ ACCEPT     loc       $FW     tcp       80          #Allow Weblet to work</progra
    Первый шаг включает добавление дополнительной сетевой карты в Ваш
    файервол, либо карты беспроводного интерфейса, либо Ethernet-карты,
    которая соединена с <emphasis>Точкой Беспроводного Доступа (Wireless
-    Access Point</emphasis> - <acronym>WAP</acronym>).<caution>
+    Access Point</emphasis>).<caution>
        <para>Когла Вы добавляете сетевую карту, она необязательно будет
        определена как следующая по порядку сетевой интерфейс. Например, если
        Вы имеете две карты Ethernet в Вашей системе (<emphasis