diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex
index 6c98e88..f05011a 100644
--- a/MA-Inhalt.tex
+++ b/MA-Inhalt.tex
@@ -492,22 +492,26 @@ Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, w
 Anschließend werden die IP-Dienstadressen auf B aktiviert.
 
 Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
-Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
+Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienst\-adresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
 In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
 
 \paragraph{Lokale Firewall}
-Die lokale Firewall wird auf Basis von \texttt{iptables} umgesetzt.
+In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
+Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
 
-Lokale Firewall setzt folgende Regeln um
-* Standardpolicy DROP
-* Datenverkehr über dev lo ist grundsätzlich erlaubt
-* ICMP und ICMPv6 sind grundsätzlich erlaubt
-* Zugriffe auf den Server über das DMZ-Netz nur über SSH (tcp/22) und OpenVPN (udp/1194) erlaubt.
-* Der Server selbst darf alles nach außen\footnote{Die Firewall der Abteilung Informatik reduziert die Menge der erlaubten Aktionen anhand der Vorgaben der DMZ}
-* NAT für IPv4-VPN-Clients auf 141.71.38.7 (IPv4-Dienstadresse)
-* Datenverkehr von VPN-Client zu VPN-Client wird nicht weitergeleitet
-* Datenverkehr aus dem VPN über (udp+tcp/2049) (NFS) wird verworfen.
-* Jeglicher weiterer Datenverkehr aus dem VPN heraus ist gestattet.
+Zuerst werden allgemeine Regeln definiert:
+Als Standardverhalten wird festgelegt, dass alle Pakete verworfen werden.
+Datenverkehr aus oder in die lokale Loopback-Schnittstelle wird zugelassen.
+Datenverkehr mit den Protokollen ICMP und ICMPv6 wird zugelassen.
+SSH-Zugriffe auf den Server über TCP-Port~22 werden zugelassen.
+UDP-Pakete an den OpenVPN-Dienst auf Port~1194 werden zugelassen.
+Vom Server ausgehender Datenverkehr wird grundsätzlich zugelassen, um die Grundfunktionen (beispielsweise: Installieren von Updates, DNS, NTP, \dots) des Betriebssystems zu ermöglichen.
+
+Im Anschluss werden Regeln für die Behandlung des VPN-Datenverkehrs definiert:
+Bei IPv4-Verkehr vom VPN-Netz zum Netz der Abteilung Informatik wird via NAT die Absenderadresse auf die IPv4-Dienstadresse übersetzt.
+Datenverkehr, der aus dem VPN-Netz wieder in das VPN-Netz geroutet wird, soll verworfen werden.
+Datenverkehr aus dem VPN-Netz über TCP oder UDP auf Port~2049 (NFS) wird verworfen.
+Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet.
 
 
 \section{Konfiguration von OpenVPN}