Revision | 7afd45c449464d6451bb6c5b79fe1e515182821f (tree) |
---|---|
Zeit | 2014-05-07 03:43:24 |
Autor | Akihiro MOTOKI <amotoki@gmai...> |
Commiter | Akihiro MOTOKI |
iptables: Release iptables 1.4.18 man pages
@@ -0,0 +1,95 @@ | ||
1 | +.\"******************************************************************* | |
2 | +.\" | |
3 | +.\" This file was generated with po4a. Translate the source file. | |
4 | +.\" | |
5 | +.\"******************************************************************* | |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
10 | +.\" | |
11 | +.TH IPTABLES\-XML 8 "Jul 16, 2007" "" "" | |
12 | +.\" | |
13 | +.\" Man page written by Sam Liddicott <azez@ufomechanic.net> | |
14 | +.\" It is based on the iptables-save man page. | |
15 | +.\" | |
16 | +.\" This program is free software; you can redistribute it and/or modify | |
17 | +.\" it under the terms of the GNU General Public License as published by | |
18 | +.\" the Free Software Foundation; either version 2 of the License, or | |
19 | +.\" (at your option) any later version. | |
20 | +.\" | |
21 | +.\" This program is distributed in the hope that it will be useful, | |
22 | +.\" but WITHOUT ANY WARRANTY; without even the implied warranty of | |
23 | +.\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the | |
24 | +.\" GNU General Public License for more details. | |
25 | +.\" | |
26 | +.\" You should have received a copy of the GNU General Public License | |
27 | +.\" along with this program; if not, write to the Free Software | |
28 | +.\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. | |
29 | +.\" | |
30 | +.\" | |
31 | +.SH 名前 | |
32 | +iptables\-xml \(em iptables\-xml 形式から XML 形式へ変換する | |
33 | +.SH 書式 | |
34 | +\fBiptables\-xml\fP [\fB\-c\fP] [\fB\-v\fP] | |
35 | +.SH 説明 | |
36 | +.PP | |
37 | +\fBiptables\-xml\fP を使うと、iptables\-save の出力をより扱いやすい XML 形式に変換し、標準出力に出力することができる。 | |
38 | +ファイルに書き出すには、シェルで提供されている I/O リダイレクションを使うこと。 | |
39 | +.TP | |
40 | +\fB\-c\fP, \fB\-\-combine\fP | |
41 | +combine consecutive rules with the same matches but different | |
42 | +targets. iptables does not currently support more than one target per match, | |
43 | +so this simulates that by collecting the targets from consecutive iptables | |
44 | +rules into one action tag, but only when the rule matches are | |
45 | +identical. Terminating actions like RETURN, DROP, ACCEPT and QUEUE are not | |
46 | +combined with subsequent targets. | |
47 | +.TP | |
48 | +\fB\-v\fP, \fB\-\-verbose\fP | |
49 | +XML の生成元となった iptables の行を XML コメントとして出力する。 | |
50 | + | |
51 | +.PP | |
52 | +iptables\-xml does a mechanistic conversion to a very expressive xml format; | |
53 | +the only semantic considerations are for \-g and \-j targets in order to | |
54 | +discriminate between <call> <goto> and | |
55 | +<nane\-of\-target> as it helps xml processing scripts if they can tell | |
56 | +the difference between a target like SNAT and another chain. | |
57 | + | |
58 | +出力例を以下に示す。 | |
59 | + | |
60 | +<iptables\-rules> | |
61 | + <table name="mangle"> | |
62 | + <chain name="PREROUTING" policy="ACCEPT" packet\-count="63436" | |
63 | +byte\-count="7137573"> | |
64 | + <rule> | |
65 | + <conditions> | |
66 | + <match> | |
67 | + <p>tcp</p> | |
68 | + </match> | |
69 | + <tcp> | |
70 | + <sport>8443</sport> | |
71 | + </tcp> | |
72 | + </conditions> | |
73 | + <actions> | |
74 | + <call> | |
75 | + <check_ip/> | |
76 | + </call> | |
77 | + <ACCEPT/> | |
78 | + </actions> | |
79 | + </rule> | |
80 | + </chain> | |
81 | + </table> | |
82 | +</iptables\-rules> | |
83 | + | |
84 | +.PP | |
85 | +XML から iptables\-save への変換は、以下のように iptables.xslt スクリプトと xsltproc | |
86 | +を使って行うことができる。 libxsltproc などを使ったカスタムプログラムで行うことができる。 | |
87 | + | |
88 | +xsltproc iptables.xslt my\-iptables.xml | iptables\-restore | |
89 | + | |
90 | +.SH バグ | |
91 | +iptables\-1.3.7 リリースの時点では知られていない。 | |
92 | +.SH 作者 | |
93 | +Sam Liddicott <azez@ufomechanic.net> | |
94 | +.SH 関連項目 | |
95 | +\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBiptables\fP(8) |
@@ -3,6 +3,12 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2003 Yuichi SATO | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2003-05-01, Yuichi SATO <ysato444@yahoo.co.jp> | |
10 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
11 | +.\" | |
6 | 12 | .TH IP6TABLES\-RESTORE 8 "Jan 30, 2002" "" "" |
7 | 13 | .\" |
8 | 14 | .\" Man page written by Harald Welte <laforge@gnumonks.org> |
@@ -24,10 +30,9 @@ | ||
24 | 30 | .\" |
25 | 31 | .\" |
26 | 32 | .SH 名前 |
27 | -ip6tables\-restore \- IPv6 テーブルを復元する | |
33 | +ip6tables\-restore \(em IPv6 テーブルを復元する | |
28 | 34 | .SH 書式 |
29 | -\fBip6tables\-restore \fP[\-c] [\-n] | |
30 | -.br | |
35 | +\fBip6tables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP] [\fB\-T\fP \fIname\fP] | |
31 | 36 | .SH 説明 |
32 | 37 | .PP |
33 | 38 | \fBip6tables\-restore\fP は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。 ファイルから読み込むためには、 |
@@ -36,9 +41,26 @@ ip6tables\-restore \- IPv6 テーブルを復元する | ||
36 | 41 | \fB\-c\fP, \fB\-\-counters\fP |
37 | 42 | 全てのパケットカウンタとバイトカウンタの値を復元する。 |
38 | 43 | .TP |
44 | +\fB\-h\fP, \fB\-\-help\fP | |
45 | +簡潔なオプション一覧を表示する。 | |
46 | +.TP | |
39 | 47 | \fB\-n\fP, \fB\-\-noflush\fP |
40 | -これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBip6tables\-restore\fP は、これまでの各 IPv6 | |
41 | -テーブルの内容を全てフラッシュ (削除) する。 | |
48 | +これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBip6tables\-restore\fP | |
49 | +は、これまでの各テーブルの内容を全てフラッシュ (削除) する。 | |
50 | +.TP | |
51 | +\fB\-t\fP, \fB\-\-test\fP | |
52 | +ルールセットの解釈と構築のみを行い、適用は行わない。 | |
53 | +.TP | |
54 | +\fB\-v\fP, \fB\-\-verbose\fP | |
55 | +ルールセットの処理中に追加のデバッグ情報を表示する。 | |
56 | +.TP | |
57 | +\fB\-M\fP, \fB\-\-modprobe\fP \fImodprobe_program\fP | |
58 | +modprobe プログラムのパスを指定する。デフォルトでは、 ip6tables\-restore は | |
59 | +/proc/sys/kernel/modprobe の内容を確認して実行ファイルのパスを決定する。 | |
60 | +.TP | |
61 | +\fB\-T\fP, \fB\-\-table\fP \fIname\fP | |
62 | +入力ストリームに他のテーブルの情報が含まれている場合でも、指定されたテーブルについてのみ復元を行う。\fBip6tables\-restore\fP は | |
63 | +(通常は) これまでの各テーブルの内容を全てフラッシュ (削除) する。 | |
42 | 64 | .SH バグ |
43 | 65 | iptables\-1.2.1 リリースでは知られていない。 |
44 | 66 | .SH 作者 |
@@ -3,6 +3,12 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2003 Yuichi SATO | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2003-05-01, Yuichi SATO <ysato444@yahoo.co.jp> | |
10 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
11 | +.\" | |
6 | 12 | .TH IP6TABLES\-SAVE 8 "Jan 30, 2002" "" "" |
7 | 13 | .\" |
8 | 14 | .\" Man page written by Harald Welte <laforge@gnumonks.org> |
@@ -24,19 +30,22 @@ | ||
24 | 30 | .\" |
25 | 31 | .\" |
26 | 32 | .SH 名前 |
27 | -ip6tables\-save \- IPv6 テーブルを保存する | |
33 | +ip6tables\-save \(em iptables ルールを標準出力にダンプする | |
28 | 34 | .SH 書式 |
29 | -\fBip6tables\-save \fP[\-c] [\-t table] | |
30 | -.br | |
35 | +\fBip6tables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP | |
31 | 36 | .SH 説明 |
32 | 37 | .PP |
33 | 38 | \fBip6tables\-save\fP は IPv6 テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。 |
34 | 39 | ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。 |
35 | 40 | .TP |
41 | +\fB\-M\fP \fImodprobe_program\fP | |
42 | +modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-save は /proc/sys/kernel/modprobe | |
43 | +の内容を確認して実行ファイルのパスを決定する。 | |
44 | +.TP | |
36 | 45 | \fB\-c\fP, \fB\-\-counters\fP |
37 | 46 | 全てのパケットカウンタとバイトカウンタの現在の値を出力する。 |
38 | 47 | .TP |
39 | -\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP | |
48 | +\fB\-t\fP, \fB\-\-table\fP \fItablename\fP | |
40 | 49 | 出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。 |
41 | 50 | .SH バグ |
42 | 51 | iptables\-1.2.1 リリースでは知られていない。 |
@@ -3,7 +3,14 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | -.TH IP6TABLES 8 "Mar 09, 2002" "" "" | |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2001-2004 Yuichi SATO | |
8 | +.\" all right reserved. | |
9 | +.\" Translated 2001-12-01, Yuichi SATO <ysato@h4.dion.ne.jp> | |
10 | +.\" Updated & Modified 2004-02-08, Yuichi SATO <ysato444@yahoo.co.jp> | |
11 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
12 | +.\" | |
13 | +.TH IP6TABLES 8 "" "iptables 1.4.18" "iptables 1.4.18" | |
7 | 14 | .\" |
8 | 15 | .\" Man page written by Andras Kis-Szabo <kisza@sch.bme.hu> |
9 | 16 | .\" It is based on iptables man page. |
@@ -30,602 +37,315 @@ | ||
30 | 37 | .\" |
31 | 38 | .\" |
32 | 39 | .SH 名前 |
33 | -ip6tables \- IPv6 パケットフィルタを管理する | |
40 | +ip6tables \(em IPv6 パケットフィルタの管理 | |
34 | 41 | .SH 書式 |
35 | -\fBip6tables [\-t テーブル] \-[AD] \fPチェイン ルールの詳細 [オプション] | |
36 | -.br | |
37 | -\fBip6tables [\-t テーブル] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション] | |
38 | -.br | |
39 | -\fBip6tables [\-t テーブル] \-R \fPチェイン ルール番号 ルールの詳細 [オプション] | |
40 | -.br | |
41 | -\fBip6tables [\-t テーブル] \-D \fPチェイン ルール番号 [オプション] | |
42 | -.br | |
43 | -\fBip6tables [\-t テーブル] \-[LFZ] \fP[チェイン] [オプション] | |
44 | -.br | |
45 | -\fBip6tables [\-t テーブル] \-N \fPチェイン | |
46 | -.br | |
47 | -\fBip6tables [\-t テーブル] \-X \fP[チェイン] | |
48 | -.br | |
49 | -\fBip6tables [\-t テーブル] \-P \fPチェイン ターゲット [オプション] | |
50 | -.br | |
51 | -\fBip6tables [\-t テーブル] \-E \fP旧チェイン名 新チェイン名 | |
42 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain | |
43 | +rule\-specification\fP [\fIoptions...\fP] | |
44 | +.PP | |
45 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP] | |
46 | +\fIrule\-specification\fP [\fIoptions...\fP] | |
47 | +.PP | |
48 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-R\fP \fIchain rulenum rule\-specification\fP | |
49 | +[\fIoptions...\fP] | |
50 | +.PP | |
51 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-D\fP \fIchain rulenum\fP [\fIoptions...\fP] | |
52 | +.PP | |
53 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-S\fP [\fIchain\fP [\fIrulenum\fP]] | |
54 | +.PP | |
55 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIchain\fP [\fIrulenum\fP]] | |
56 | +[\fIoptions...\fP] | |
57 | +.PP | |
58 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-N\fP \fIchain\fP | |
59 | +.PP | |
60 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-X\fP [\fIchain\fP] | |
61 | +.PP | |
62 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-P\fP \fIchain target\fP [\fIoptions...\fP] | |
63 | +.PP | |
64 | +\fBip6tables\fP [\fB\-t\fP \fItable\fP] \fB\-E\fP \fIold\-chain\-name new\-chain\-name\fP | |
52 | 65 | .SH 説明 |
53 | -\fBip6tables\fP は Linux カーネルの IPv6 パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。 | |
54 | -複数の異なるテーブルが定義される可能性がある。 各テーブルは組み込み済みチェインを含む。 さらにユーザー定義のチェインを含むこともできる。 | |
55 | - | |
56 | -各チェインは、パケット群にマッチするルールのリストである。 各ルールは | |
57 | -マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と | |
58 | -呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。 | |
59 | - | |
66 | +\fBip6tables\fP は Linux カーネルの IPv6 パケットフィルタルールのテーブルの設定・管理・検査に使用される。 | |
67 | +複数の異なるテーブルを定義できる。 各テーブルには組み込みチェインがいくつかあり、 さらにユーザー定義のチェインを加えることもできる。 | |
68 | +.PP | |
69 | +各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。 | |
70 | +パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。 | |
60 | 71 | .SH ターゲット |
61 | -ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。 | |
62 | -パケットがマッチしない場合、チェイン内の次のルールが評価される。 | |
63 | -パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 | |
64 | -ターゲットの値は、ユーザー定義チェインの名前、または特別な値 | |
65 | -\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。 | |
72 | +ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。 パケットがマッチしない場合、チェイン内の次のルールが評価される。 | |
73 | +パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、ユーザー定義チェインの名前、または特別な値 | |
74 | +\fBACCEPT\fP, \fBDROP\fP, \fBQUEUE\fP, \fBRETURN\fP のいずれか 1 つを指定する。 | |
66 | 75 | .PP |
67 | -\fIACCEPT\fP はパケットを通すという意味である。 | |
68 | -\fIDROP\fP はパケットを床に落す (捨てる) という意味である。 | |
69 | -\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である | |
70 | -(カーネルがサポートしていればであるが)。 | |
71 | -\fIRETURN\fP は、このチェインを辿るのを中止して、 | |
72 | -前の (呼び出し元) チェインの次のルールから再開するという意味である。 | |
73 | -組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで | |
74 | -ターゲット \fIRETURN\fP を持つルールにマッチした場合、 | |
75 | -チェインポリシーで指定されたターゲットが パケットの行方を決定する。 | |
76 | +\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBQUEUE\fP はパケットをユーザー空間に渡すという意味である。 | |
77 | +(ユーザー空間プロセスがパケットをどのように受信するかは、個々のキューハンドラにより異なる。バージョン 2.4.x および 2.6.13 までの | |
78 | +2.6.x のカーネルでは \fBip_queue\fP キューハンドラが読み込まれる。バージョン 2.6.14 以降のカーネルでは、これに加えて | |
79 | +\fBnfnetlink_queue\fP キューハンドラも利用できる。ターゲットが QUEUE のパケットは、キュー番号 '0' に送信される。この man | |
80 | +ページの後ろの方で説明されている \fBNFQUEUE\fP ターゲットについても参照のこと。) \fBRETURN\fP | |
81 | +は、このチェインを辿るのを中止して、前の (呼び出し元) チェインの次のルールから再開するという意味である。組み込みチェインの最後に到達した場合、 | |
82 | +または組み込みチェインでターゲット \fBRETURN\fP を持つルールにマッチした場合、/パケットをどのように処理するかは、 | |
83 | +そのチェインのポリシーで指定されたターゲットにより決まる。 | |
76 | 84 | .SH テーブル |
77 | -現在のところ 2 つの独立なテーブルが存在する (どのテーブルがどの時点で現れるかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。 | |
78 | -nat テーブルは、まだ実装されていない。 | |
79 | -.TP | |
80 | -\fB\-t, \-\-table \fP\fItable\fP | |
81 | -このオプションは、このコマンドが操作するパケットマッチングテーブルを | |
82 | -指定する。 カーネルに自動モジュールローディングが設定されている場合、 | |
83 | -そのテーブルに対する適切なモジュールがまだロードされていなければ、 | |
84 | -そのモジュールがロードされる。 | |
85 | +現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。 | |
86 | +.TP | |
87 | +\fB\-t\fP, \fB\-\-table\fP \fItable\fP | |
88 | +このオプションは、このコマンドが操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュールローディングが有効になっている場合、 | |
89 | +そのテーブルで必要となるモジュールがまだロードされていなければ、 ロードされる。 | |
85 | 90 | |
86 | -テーブルは以下の通りである。 | |
91 | +以下のテーブルがある。 | |
87 | 92 | .RS |
88 | 93 | .TP .4i |
89 | 94 | \fBfilter\fP: |
90 | -(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。 | |
91 | -これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・ | |
92 | -\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・ | |
93 | -\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という | |
94 | -組み込み済みチェインが含まれる。 | |
95 | +(\-t オプションが指定されていない場合は) これがデフォルトのテーブルとなる。 このテーブルには、 \fBINPUT\fP | |
96 | +(ローカルマシンのソケット宛のパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由して転送されるパケットに対するチェイン)、 | |
97 | +\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という組み込みチェインがある。 | |
98 | +.TP | |
99 | +\fBnat\fP: | |
100 | +このテーブルは新しい接続を開くパケットの場合に参照される。 \fBPREROUTING\fP | |
101 | +(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP | |
102 | +(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 \fBPOSTROUTING\fP | |
103 | +(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 カーネル 3.7 以降で利用可能である。 | |
95 | 104 | .TP |
96 | 105 | \fBmangle\fP: |
97 | -このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、 | |
98 | -\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する | |
99 | -ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン | |
100 | -グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま | |
101 | -れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に | |
102 | -入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ | |
103 | -トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する | |
104 | -ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。 | |
106 | +このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、 組み込みチェインは \fBPREROUTING\fP | |
107 | +(パケットが入ってきた場合、 すぐにそのパケットを変換するためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを | |
108 | +ルーティングの前に変換するためのチェイン) の 2 つであった。 カーネル 2.4.18 からは、これらに加えて \fBINPUT\fP | |
109 | +(マシン自体に入ってくるパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由するパケットに対するチェイン)、 \fBPOSTROUTING\fP | |
110 | +(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインもサポートされている。 | |
111 | +.TP | |
112 | +\fBraw\fP: | |
113 | +このテーブルは、NOTRACK ターゲットとの組み合わせで使用され、接続追跡 (connection tracking) | |
114 | +の対象外とする通信を設定するのに使われる。このテーブルは netfilter フックに優先度高で登録されているので、 ip_conntrack や他の | |
115 | +IP テーブルよりも前に呼ばれる。このテーブルでは、 \fBPREROUTING\fP | |
116 | +(任意のネットワークインタフェースから到着するパケットに対するチェイン)、 \fBOUTPUT\fP (ローカルプロセスが生成したパケットに対するチェイン) | |
117 | +の 2 つの組み込みチェインが提供されている。 | |
118 | +.TP | |
119 | +\fBsecurity\fP: | |
120 | +このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワークルール用に使用される。例えば、 | |
121 | +\fBSECMARK\fP や \fBCONNSECMARK\fP ターゲットにより有効にされるルールなどである。強制アクセス制御は、SELinux などの | |
122 | +Linux セキュリティモジュールにより実装されている。セキュリティテーブルはフィルタテーブルの後に呼ばれる。これにより、 | |
123 | +強制アクセス制御のルールよりも前に、フィルタテーブルの任意アクセス制御 (Discretionary Access Control; DAC) | |
124 | +のルールを適用することができる。 このテーブルでは、 \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)、 \fBOUTPUT\fP | |
125 | +(ローカルマシンで生成されたパケットに対してルーティング前に変更を行うためのチェイン)、 \fBFORWARD\fP | |
126 | +(マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。 | |
105 | 127 | .RE |
106 | 128 | .SH オプション |
107 | 129 | \fBip6tables\fP で使えるオプションは、いくつかのグループに分けられる。 |
108 | 130 | .SS コマンド |
109 | -これらのオプションは、実行する特定の動作を指定する。 以下の説明で許可されていない限り、 この中の 1 つしかコマンドラインで指定することができない。 | |
110 | -長いバージョンのコマンド名とオプション名は、 \fBip6tables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して) | |
131 | +これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。 | |
132 | +長いバージョンのコマンド名とオプション名は、 \fBip6tables\fP が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して) | |
111 | 133 | 指定することもできる。 |
112 | 134 | .TP |
113 | -\fB\-A, \-\-append \fP\fIchain rule\-specification\fP | |
114 | -選択されたチェインの最後に 1 つ以上のルールを追加する。 | |
115 | -送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された | |
116 | -場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。 | |
135 | +\fB\-A\fP, \fB\-\-append\fP \fIchain rule\-specification\fP | |
136 | +選択されたチェインの最後に 1 つ以上のルールを追加する。送信元や送信先の名前の解決を行って、 | |
137 | +複数のアドレスに展開された場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。 | |
138 | +.TP | |
139 | +\fB\-C\fP, \fB\-\-check\fP \fIchain rule\-specification\fP | |
140 | +指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマンドでマッチするエントリを探すのに使用されるロジックは \fB\-D\fP | |
141 | +と同じだが、 既存の iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。 | |
117 | 142 | .TP |
118 | -\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP | |
143 | +\fB\-D\fP, \fB\-\-delete\fP \fIchain rule\-specification\fP | |
119 | 144 | .ns |
120 | 145 | .TP |
121 | -\fB\-D, \-\-delete \fP\fIchain rulenum\fP | |
146 | +\fB\-D\fP, \fB\-\-delete\fP \fIchain rulenum\fP | |
122 | 147 | 選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする) |
123 | 148 | を指定する場合と、 マッチするルールを指定する場合である。 |
124 | 149 | .TP |
125 | -\fB\-I, \-\-insert\fP | |
150 | +\fB\-I\fP, \fB\-\-insert\fP \fIchain\fP [\fIrulenum\fP] \fIrule\-specification\fP | |
126 | 151 | 選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。 |
127 | -これはルール番号が指定されない場合のデフォルトでもある。 | |
128 | -.TP | |
129 | -\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP | |
130 | -選択されたチェインにあるルールを置き換える。 | |
131 | -送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 | |
132 | -このコマンドは失敗する。ルール番号は 1 からはじまる。 | |
133 | -.TP | |
134 | -\fB\-L, \-\-list \fP[\fIchain\fP] | |
135 | -選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables | |
136 | -コマンドと同様に、 指定されたテーブル (デフォルトは filter) に対して作用する。 よって mangle ルールを表示するには以下のようにする。 | |
137 | -.nf | |
138 | - ip6tables \-t mangle \-n \-L | |
139 | -.fi | |
140 | -DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。 | |
141 | -\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、 | |
142 | -チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト | |
143 | -カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に | |
144 | -影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、 | |
145 | -実際のルールそのものは表示されない。 | |
152 | +ルール番号が指定されなかった場合、 ルール番号のデフォルトは 1 となる。 | |
153 | +.TP | |
154 | +\fB\-R\fP, \fB\-\-replace\fP \fIchain rulenum rule\-specification\fP | |
155 | +選択されたチェインのルールを置き換える。送信元や送信先の名前が複数のアドレスに展開された場合は、このコマンドは失敗する。ルール番号は 1 からはじまる。 | |
156 | +.TP | |
157 | +\fB\-L\fP, \fB\-\-list\fP [\fIchain\fP] | |
158 | +選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインのリストが一覧表示される。 他のコマンドと同様に、 | |
159 | +指定されたテーブル (デフォルトは filter) に対して作用する。 | |
160 | +.IP "" | |
161 | +DNS の逆引きを避けるために、 \fB\-n\fP オプションと共に使用されることがよくある。 \fB\-Z\fP (ゼロクリア) | |
162 | +オプションを同時に指定することもできる。 この場合、 各チェインの表示とゼロクリアは同時に行われ、カウンタ値に抜けが発生することはない。 | |
163 | +細かな出力内容は同時に指定された他の引き数により変化する。 以下のように \fB\-v\fP | |
164 | +オプションを指定しない限り、ルールの表示は一部省略されたものとなる。 | |
146 | 165 | .nf |
147 | 166 | ip6tables \-L \-v |
148 | 167 | .fi |
149 | 168 | .TP |
150 | -\fB\-F, \-\-flush \fP[\fIchain\fP] | |
151 | -選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) | |
152 | -の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと | |
153 | -同じである。 | |
169 | +\fB\-S\fP, \fB\-\-list\-rules\fP [\fIchain\fP] | |
170 | +選択されたチェインにある全てのルールを表示する。 チェインが指定されない場合、 ip6tables\-save と同じく、 | |
171 | +全てのチェインの情報が表示される。 他のコマンドと同様に、 指定されたテーブル (デフォルトは filter) に対して作用する。 | |
172 | +.TP | |
173 | +\fB\-F\fP, \fB\-\-flush\fP [\fIchain\fP] | |
174 | +選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと同じである。 | |
154 | 175 | .TP |
155 | -\fB\-Z, \-\-zero \fP[\fIchain\fP] | |
156 | -すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示) | |
157 | -オプションと同時に指定することもできる (上記を参照)。 | |
176 | +\fB\-Z\fP, \fB\-\-zero\fP [\fIchain\fP [\fIrulenum\fP]] | |
177 | +すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。チェインやチェイン内のルールが指定された場合には、指定されたチェインやルールのカウンタだけをゼロにする。クリアされる直前のカウンタを見るために、 | |
178 | +\fB\-L\fP, \fB\-\-list\fP (一覧表示) オプションと同時に指定することもできる (上記を参照)。 | |
158 | 179 | .TP |
159 | -\fB\-N, \-\-new\-chain \fP\fIchain\fP | |
160 | -指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。 | |
180 | +\fB\-N\fP, \fB\-\-new\-chain\fP \fIchain\fP | |
181 | +指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していてはならない。 | |
161 | 182 | .TP |
162 | -\fB\-X, \-\-delete\-chain \fP[\fIchain\fP] | |
163 | -指定したユーザー定義チェインを削除する。 そのチェインが参照されていては | |
164 | -ならない。 チェインを削除する前に、そのチェインを参照しているルールを | |
165 | -削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー | |
166 | -ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。 | |
183 | +\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIchain\fP] | |
184 | +指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。 | |
185 | +チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェインを参照するようにしなければならない。 | |
186 | +チェインは空でなければならない、つまりチェインにルールが登録されていてはいけない。 | |
187 | +引き数が指定されなかった場合、テーブルにあるチェインのうち組み込みチェイン以外のものを全て削除する。 | |
167 | 188 | .TP |
168 | -\fB\-P, \-\-policy \fP\fIchain target\fP | |
169 | -チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット | |
170 | -は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み | |
171 | -済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも | |
172 | -ユーザー定義チェインも ポリシーのターゲットに設定することはできない。 | |
189 | +\fB\-P\fP, \fB\-\-policy\fP \fIchain target\fP | |
190 | +チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) | |
191 | +組み込みチェインにしかポリシーは設定できない。 また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェインを設定することはできない。 | |
173 | 192 | .TP |
174 | -\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP | |
193 | +\fB\-E\fP, \fB\-\-rename\-chain\fP \fIold\-chain new\-chain\fP | |
175 | 194 | ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。 |
176 | 195 | .TP |
196 | +\fB\-A\fP, \fB\-\-append\fP \fIchain rule\-specification\fP | |
197 | +選択されたチェインの最後に 1 つ以上のルールを追加する。送信元や送信先の名前の解決を行って、 | |
198 | +複数のアドレスに展開された場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。 | |
199 | +.TP | |
177 | 200 | \fB\-h\fP |
178 | 201 | ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。 |
179 | 202 | .SS パラメータ |
180 | 203 | 以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。 |
181 | 204 | .TP |
182 | -\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP | |
183 | -ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP, | |
184 | -\fIipv6\-icmp|icmpv6\fP, \fIall\fP のいずれか 1 つか、数値である。 数値は、これらのプロトコルの 1 | |
185 | -つ、もしくは別のプロトコルを表す。 /etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!" | |
186 | -を置くと、そのプロトコルを指定しないという意味になる。 数値 0 は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、 | |
187 | -このオプションが省略された際のデフォルトである。 | |
188 | -.TP | |
189 | -\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP] | |
190 | -送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは 非常に良くない)・ ネットワーク | |
191 | -IPv6 アドレス (/mask を指定する)・ 通常の IPv6 アドレス (今のところ、ネットワーク名はサポートされていない)、のいずれかである。 | |
192 | -\fImask\fP はネットワークマスクか、 ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI64\fP という mask は | |
193 | -\fIffff:ffff:ffff:ffff:0000:0000:0000:0000\fP に等しい。 アドレス指定の前に "!" | |
194 | -を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。 | |
195 | -.TP | |
196 | -\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP] | |
197 | -送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP | |
205 | +\fB\-4\fP, \fB\-\-ipv4\fP | |
206 | +\fB\-4\fP オプションを使ったルールを ip6tables\-restore で挿入された場合、(この場合に限り) | |
207 | +そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6 | |
208 | +の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore | |
209 | +の両方でそのファイルを使うことができる。 | |
210 | +.TP | |
211 | +\fB\-6\fP, \fB\-\-ipv6\fP | |
212 | +このオプションは ip6tables と ip6tables\-restore では効果を持たない。 | |
213 | +.TP | |
214 | +[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP | |
215 | +ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fBtcp\fP, \fBudp\fP, \fBudplite\fP, | |
216 | +\fBicmpv6\fP, \fBesp\fP, \fBmh\fP と特別なキーワード \fBall\fP のいずれか 1 つか、数値である。 | |
217 | +数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols | |
218 | +にあるプロトコル名も指定できる。 \fBesp\fP 以外の IPv6 拡張ヘッダは指定できない。 \fBesp\fP と \fBipv6\-nonext\fP | |
219 | +はバージョン 2.6.11 以降のカーネルで使用できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は | |
220 | +\fBall\fP と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査できないことを意味する。 HBH ヘッダとマッチさせるためには、 | |
221 | +HBH ヘッダが例え最後にある場合であっても、 \fB\-p 0\fP を使うことはできず、必ず \fB\-m hbh\fP を使う必要がある。 "\fBall\fP" | |
222 | +は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 | |
223 | +.TP | |
224 | +[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
225 | +送信元の指定。 \fIaddress\fP はホスト名、ネットワーク IP アドレス (\fB/\fP\fImask\fP を指定する)、素の IP | |
226 | +アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS | |
227 | +のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである (この場合にはネットワーク名の解決はサポートされていない)。 | |
228 | +\fImask\fP には、ネットワークマスクの左側にある 1 の数を表す数値を指定する。 アドレス指定の前に "!" | |
229 | +を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP | |
230 | +は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (\-A での追加であれば) \fB複数のルールに展開され\fP、 (\-D | |
231 | +での削除であれば) 複数のルールが削除されることになる。 | |
232 | +.TP | |
233 | +[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
234 | +宛先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP | |
198 | 235 | は、このオプションの別名である。 |
199 | 236 | .TP |
200 | -\fB\-j, \-\-jump \fP\fItarget\fP | |
201 | -ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定 | |
202 | -する。ターゲットはユーザー定義チェイン (そのルール自身が入っている | |
203 | -チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み | |
204 | -ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を | |
205 | -参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに | |
206 | -マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ | |
207 | -加算される。 | |
208 | -.TP | |
209 | -\fB\-i, \-\-in\-interface \fP[!] \fIname\fP | |
210 | -パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, | |
211 | -\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に | |
212 | -"!" を置くと、 そのインターフェースを除外するという意味になる。 | |
213 | -インターフェース名が "+" で終っている場合、 その名前で始まる任意の | |
214 | -インターフェース名にマッチする。このオプションが省略された場合、 | |
215 | -任意のインターフェース名にマッチする。 | |
237 | +\fB\-m\fP, \fB\-\-match\fP \fImatch\fP | |
238 | +使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合により、ターゲットが起動される条件が構築される。 | |
239 | +マッチは先頭から末尾に向けてコマンドラインで指定された順に評価され、 短絡式 (short\-circuit fashion) | |
240 | +の動作を行う、つまり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。 | |
241 | +.TP | |
242 | +\fB\-j\fP, \fB\-\-jump\fP \fItarget\fP | |
243 | +ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定する。ターゲットはユーザー定義チェイン (そのルール自身が入っているチェイン以外) | |
244 | +でも、パケットの行方を即時に決定する特別な組み込みターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を参照) でもよい。 | |
245 | +このオプションがルールの中で省略された場合 (かつ \fB\-g\fP が使用されなかった場合)、ルールにマッチしてもパケットの行方に何も影響しないが、 | |
246 | +ルールのカウンタは 1 つ加算される。 | |
247 | +.TP | |
248 | +\fB\-g\fP, \fB\-\-goto\fP \fIchain\fP | |
249 | +ユーザー定義チェインで処理を継続することを指定する。 \-\-jump オプションと異なり、 return が行われた際にこのチェインでの処理は継続されず、 | |
250 | +\-\-jump でこのチェインを呼び出したチェインで処理が継続される。 | |
216 | 251 | .TP |
217 | -\fB\-o, \-\-out\-interface \fP[!] \fIname\fP | |
218 | -(\fBFORWARD\fP, \fBOUTPUT\fP チェインに入る) パケットを送信するインターフェース名。 インターフェース名の前に "!" を置くと、 | |
219 | -そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 | |
220 | -その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。 | |
252 | +[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIname\fP | |
253 | +パケットを受信したインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP | |
254 | +チェインに入るパケットのみ)。インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が | |
255 | +"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。このオプションが省略された場合、任意のインターフェース名にマッチする。 | |
221 | 256 | .TP |
257 | +[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIname\fP | |
222 | 258 | .\" Currently not supported (header-based) |
223 | -.\" .B "[!] " "-f, --fragment" | |
259 | +.\" .TP | |
260 | +.\" [\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP | |
224 | 261 | .\" This means that the rule only refers to second and further fragments |
225 | 262 | .\" of fragmented packets. Since there is no way to tell the source or |
226 | 263 | .\" destination ports of such a packet (or ICMP type), such a packet will |
227 | 264 | .\" not match any rules which specify them. When the "!" argument |
228 | -.\" precedes the "-f" flag, the rule will only match head fragments, or | |
265 | +.\" precedes the "\-f" flag, the rule will only match head fragments, or | |
229 | 266 | .\" unfragmented packets. |
230 | -.\" .TP | |
231 | -\fB\-c, \-\-set\-counters PKTS BYTES\fP | |
267 | +パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP | |
268 | +チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が | |
269 | +"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 | |
270 | +任意のインターフェース名にマッチする。 | |
271 | +.TP | |
272 | +\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP | |
232 | 273 | このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを |
233 | 274 | 初期化することができる。 |
234 | 275 | .SS その他のオプション |
235 | 276 | その他に以下のオプションを指定することができる: |
236 | 277 | .TP |
237 | -\fB\-v, \-\-verbose\fP | |
278 | +\fB\-v\fP, \fB\-\-verbose\fP | |
238 | 279 | 詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。 |
239 | 280 | パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 |
240 | 281 | 倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace |
241 | -コマンドに適用すると、 ルールについての詳細な情報を表示する。 | |
282 | +コマンドに適用すると、 ルールについての詳細な情報を表示する。 \fB\-v\fP | |
283 | +は複数回指定することができ、多く指定するとより多くのデバッグ情報が出力されることだろう。 | |
242 | 284 | .TP |
243 | -\fB\-n, \-\-numeric\fP | |
244 | -数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット | |
245 | -で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を | |
246 | -ホスト名・ネットワーク名・サービス名で表示しようとする。 | |
285 | +\fB\-n\fP, \fB\-\-numeric\fP | |
286 | +数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、 iptables は (可能であれば) | |
287 | +これらの情報をホスト名、 ネットワーク名、 サービス名で表示しようとする。 | |
247 | 288 | .TP |
248 | -\fB\-x, \-\-exact\fP | |
289 | +\fB\-x\fP, \fB\-\-exact\fP | |
249 | 290 | 厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) |
250 | 291 | ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。 |
251 | 292 | .TP |
252 | 293 | \fB\-\-line\-numbers\fP |
253 | 294 | ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。 |
254 | 295 | .TP |
255 | -\fB\-\-modprobe=command\fP | |
256 | -チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP | |
296 | +\fB\-\-modprobe=\fP\fIcommand\fP | |
297 | +チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fIcommand\fP | |
257 | 298 | を指定する。 |
258 | 299 | .SH マッチングの拡張 |
259 | -ip6tables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、 | |
260 | -\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP | |
261 | -の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。 | |
262 | -複数の拡張マッチングモジュールを 1 行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で | |
263 | -\fB\-h\fP または \fB\-\-help\fP を指定すればよい。 | |
264 | - | |
265 | -以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を | |
266 | -前におくことによってマッチングの意味を逆にできる。 | |
267 | -.SS tcp | |
268 | -これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される: | |
269 | -.TP | |
270 | -\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP] | |
271 | -送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で | |
272 | -きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること | |
273 | -もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを | |
274 | -省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい | |
275 | -場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利 | |
276 | -な別名である。 | |
277 | -.TP | |
278 | -\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP] | |
279 | -送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。 | |
280 | -.TP | |
281 | -\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP | |
282 | -TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価 | |
283 | -対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定 | |
284 | -しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ | |
285 | -グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド | |
286 | -.nf | |
287 | -ip6tables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN | |
288 | -.fi | |
289 | -は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。 | |
290 | -.TP | |
291 | -\fB[!] \-\-syn\fP | |
292 | -SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに | |
293 | -のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え | |
294 | -ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、 | |
295 | -内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ | |
296 | -は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ | |
297 | -を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている | |
298 | -TCP パケットにのみマッチする。 | |
299 | -.TP | |
300 | -\fB\-\-tcp\-option \fP[!] \fInumber\fP | |
301 | -TCP オプションが設定されている場合にマッチする。 | |
302 | -.SS udp | |
303 | -これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される: | |
304 | -.TP | |
305 | -\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP] | |
306 | -送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。 | |
307 | -.TP | |
308 | -\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP] | |
309 | -送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。 | |
310 | -.SS ipv6\-icmp | |
311 | -これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合にロードされ、 | |
312 | -以下のオプションが提供される: | |
313 | -.TP | |
314 | -\fB\-\-icmpv6\-type \fP[!] \fItypename\fP | |
315 | -ICMP タイプを指定できる。タイプ指定には、 数値の IPv6\-ICMP タイプ、または以下のコマンド で表示される IPv6\-ICMP | |
316 | -タイプ名を使用できる。 | |
317 | -.nf | |
318 | - ip6tables \-p ipv6\-icmp \-h | |
319 | -.fi | |
320 | -.SS mac | |
321 | -.TP | |
322 | -\fB\-\-mac\-source \fP[!] \fIaddress\fP | |
323 | -送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と | |
324 | -いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ | |
325 | -トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか | |
326 | -意味がない。 | |
327 | -.SS limit | |
328 | -このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され | |
329 | -た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され | |
330 | -ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録 | |
331 | -を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。 | |
332 | -.TP | |
333 | -\fB\-\-limit \fP\fIrate\fP | |
334 | -単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day' | |
335 | -を付けることもできる。 デフォルトは 3/hour である。 | |
336 | -.TP | |
337 | -\fB\-\-limit\-burst \fP\fInumber\fP | |
338 | -パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に | |
339 | -達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。 | |
340 | -デフォルトは 5 である。 | |
341 | -.SS multiport | |
342 | -このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p | |
343 | -udp\fP と組み合わせて使うことしかできない。 | |
344 | -.TP | |
345 | -\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
346 | -送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。 | |
347 | -.TP | |
348 | -\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
349 | -宛先ポートが指定されたポートのうちのいずれかであればマッチする。 | |
350 | -フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。 | |
351 | -.TP | |
352 | -\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
353 | -送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの | |
354 | -うちのいずれかであればマッチする。 | |
355 | -.SS mark | |
356 | -このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP | |
357 | -ターゲットで設定される)。 | |
358 | -.TP | |
359 | -\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP] | |
360 | -指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。 | |
361 | -.SS owner | |
362 | -このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性とのマッチングをとる。 これは \fBOUTPUT\fP | |
363 | -チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。 | |
364 | -これは実験的なものという扱いである。 | |
365 | -.TP | |
366 | -\fB\-\-uid\-owner \fP\fIuserid\fP | |
367 | -指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。 | |
368 | -.TP | |
369 | -\fB\-\-gid\-owner \fP\fIgroupid\fP | |
370 | -指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。 | |
371 | -.TP | |
372 | -\fB\-\-pid\-owner \fP\fIprocessid\fP | |
373 | -指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。 | |
374 | -.TP | |
375 | -\fB\-\-sid\-owner \fP\fIsessionid\fP | |
376 | -.\" .SS state | |
377 | -.\" This module, when combined with connection tracking, allows access to | |
378 | -.\" the connection tracking state for this packet. | |
379 | -.\" .TP | |
380 | -.\" .BI "--state " "state" | |
381 | -.\" Where state is a comma separated list of the connection states to | |
382 | -.\" match. Possible states are | |
383 | -.\" .B INVALID | |
384 | -.\" meaning that the packet is associated with no known connection, | |
385 | -.\" .B ESTABLISHED | |
386 | -.\" meaning that the packet is associated with a connection which has seen | |
387 | -.\" packets in both directions, | |
388 | -.\" .B NEW | |
389 | -.\" meaning that the packet has started a new connection, or otherwise | |
390 | -.\" associated with a connection which has not seen packets in both | |
391 | -.\" directions, and | |
392 | -.\" .B RELATED | |
393 | -.\" meaning that the packet is starting a new connection, but is | |
394 | -.\" associated with an existing connection, such as an FTP data transfer, | |
395 | -.\" or an ICMP error. | |
396 | -.\" .SS unclean | |
397 | -.\" This module takes no options, but attempts to match packets which seem | |
398 | -.\" malformed or unusual. This is regarded as experimental. | |
399 | -.\" .SS tos | |
400 | -.\" This module matches the 8 bits of Type of Service field in the IP | |
401 | -.\" header (ie. including the precedence bits). | |
402 | -.\" .TP | |
403 | -.\" .BI "--tos " "tos" | |
404 | -.\" The argument is either a standard name, (use | |
405 | -.\" .br | |
406 | -.\" iptables -m tos -h | |
407 | -.\" .br | |
408 | -.\" to see the list), or a numeric value to match. | |
409 | -指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。 | |
410 | -.SH ターゲットの拡張 | |
411 | -iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。 | |
412 | -.SS LOG | |
413 | -マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての | |
414 | -(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または | |
415 | -\fIsyslogd\fP(8) で見ることができる)。 これは「非終了タ ーゲット」である。 すなわち、ルールの検討は、次のルールへと継続される。 | |
416 | -よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 | |
417 | -次のルールで DROP (または REJECT) ターゲットを指定する。 | |
418 | -.TP | |
419 | -\fB\-\-log\-level \fP\fIlevel\fP | |
420 | -ログ記録のレベル (数値て指定するか、(名前で指定する場合は) | |
421 | -\fIsyslog.conf\fP(5) を参照すること)。 | |
422 | -.TP | |
423 | -\fB\-\-log\-prefix \fP\fIprefix\fP | |
424 | -指定したプレフィックスをログメッセージの前に付ける。 | |
425 | -プレフィックスは 29 文字までの長さで、 | |
426 | -ログの中でメッセージを区別するのに役立つ。 | |
427 | -.TP | |
428 | -\fB\-\-log\-tcp\-sequence\fP | |
429 | -TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。 | |
430 | -.TP | |
431 | -\fB\-\-log\-tcp\-options\fP | |
432 | -TCP パケットヘッダのオプションをログに記録する。 | |
433 | -.TP | |
434 | -\fB\-\-log\-ip\-options\fP | |
435 | -IPv6 パケットヘッダのオプションをログに記録する。 | |
436 | -.SS MARK | |
437 | -パケットに関連づけられた netfilter の mark 値を指定する。 \fBmangle\fP テーブルのみで有効である。 | |
438 | -.TP | |
439 | -\fB\-\-set\-mark \fP\fImark\fP | |
440 | -.SS REJECT | |
441 | -マッチしたパケットの応答としてエラーパケットを送信するために使われる。 | |
442 | -エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、 | |
443 | -ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP, | |
444 | -\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン | |
445 | -だけで有効である。以下のオプションは、返されるエラーパケットの特性を | |
446 | -制御する。 | |
447 | -.TP | |
448 | -\fB\-\-reject\-with \fP\fItype\fP | |
449 | -type として指定可能なものは | |
450 | -.nf | |
451 | -\fBicmp6\-no\-route\fP | |
452 | -\fBno\-route\fP | |
453 | -\fBicmp6\-adm\-prohibited\fP | |
454 | -\fBadm\-prohibited\fP | |
455 | -\fBicmp6\-addr\-unreachable\fP | |
456 | -\fBaddr\-unreach\fP | |
457 | -\fBicmp6\-port\-unreachable\fP | |
458 | -\fBport\-unreach\fP | |
459 | -.fi | |
460 | -.\" .SS TOS | |
461 | -.\" This is used to set the 8-bit Type of Service field in the IP header. | |
462 | -.\" It is only valid in the | |
463 | -.\" .B mangle | |
464 | -.\" table. | |
465 | -.\" .TP | |
466 | -.\" .BI "--set-tos " "tos" | |
467 | -.\" You can use a numeric TOS values, or use | |
468 | -.\" .br | |
469 | -.\" iptables -j TOS -h | |
470 | -.\" .br | |
471 | -.\" to see the list of valid TOS names. | |
472 | -.\" .SS MIRROR | |
473 | -.\" This is an experimental demonstration target which inverts the source | |
474 | -.\" and destination fields in the IP header and retransmits the packet. | |
475 | -.\" It is only valid in the | |
476 | -.\" .BR INPUT , | |
477 | -.\" .B FORWARD | |
478 | -.\" and | |
479 | -.\" .B PREROUTING | |
480 | -.\" chains, and user-defined chains which are only called from those | |
481 | -.\" chains. Note that the outgoing packets are | |
482 | -.\" .B NOT | |
483 | -.\" seen by any packet filtering chains, connection tracking or NAT, to | |
484 | -.\" avoid loops and other problems. | |
485 | -.\" .SS SNAT | |
486 | -.\" This target is only valid in the | |
487 | -.\" .B nat | |
488 | -.\" table, in the | |
489 | -.\" .B POSTROUTING | |
490 | -.\" chain. It specifies that the source address of the packet should be | |
491 | -.\" modified (and all future packets in this connection will also be | |
492 | -.\" mangled), and rules should cease being examined. It takes one option: | |
493 | -.\" .TP | |
494 | -.\" .BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]" | |
495 | -.\" which can specify a single new source IP address, an inclusive range | |
496 | -.\" of IP addresses, and optionally, a port range (which is only valid if | |
497 | -.\" the rule also specifies | |
498 | -.\" .B "-p tcp" | |
499 | -.\" or | |
500 | -.\" .BR "-p udp" ). | |
501 | -.\" If no port range is specified, then source ports below 512 will be | |
502 | -.\" mapped to other ports below 512: those between 512 and 1023 inclusive | |
503 | -.\" will be mapped to ports below 1024, and other ports will be mapped to | |
504 | -.\" 1024 or above. Where possible, no port alteration will occur. | |
505 | -.\" .SS DNAT | |
506 | -.\" This target is only valid in the | |
507 | -.\" .B nat | |
508 | -.\" table, in the | |
509 | -.\" .B PREROUTING | |
510 | -.\" and | |
511 | -.\" .B OUTPUT | |
512 | -.\" chains, and user-defined chains which are only called from those | |
513 | -.\" chains. It specifies that the destination address of the packet | |
514 | -.\" should be modified (and all future packets in this connection will | |
515 | -.\" also be mangled), and rules should cease being examined. It takes one | |
516 | -.\" option: | |
517 | -.\" .TP | |
518 | -.\" .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]" | |
519 | -.\" which can specify a single new destination IP address, an inclusive | |
520 | -.\" range of IP addresses, and optionally, a port range (which is only | |
521 | -.\" valid if the rule also specifies | |
522 | -.\" .B "-p tcp" | |
523 | -.\" or | |
524 | -.\" .BR "-p udp" ). | |
525 | -.\" If no port range is specified, then the destination port will never be | |
526 | -.\" modified. | |
527 | -.\" .SS MASQUERADE | |
528 | -.\" This target is only valid in the | |
529 | -.\" .B nat | |
530 | -.\" table, in the | |
531 | -.\" .B POSTROUTING | |
532 | -.\" chain. It should only be used with dynamically assigned IP (dialup) | |
533 | -.\" connections: if you have a static IP address, you should use the SNAT | |
534 | -.\" target. Masquerading is equivalent to specifying a mapping to the IP | |
535 | -.\" address of the interface the packet is going out, but also has the | |
536 | -.\" effect that connections are | |
537 | -.\" .I forgotten | |
538 | -.\" when the interface goes down. This is the correct behavior when the | |
539 | -.\" next dialup is unlikely to have the same interface address (and hence | |
540 | -.\" any established connections are lost anyway). It takes one option: | |
541 | -.\" .TP | |
542 | -.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]" | |
543 | -.\" This specifies a range of source ports to use, overriding the default | |
544 | -.\" .B SNAT | |
545 | -.\" source port-selection heuristics (see above). This is only valid | |
546 | -.\" if the rule also specifies | |
547 | -.\" .B "-p tcp" | |
548 | -.\" or | |
549 | -.\" .BR "-p udp" . | |
550 | -.\" .SS REDIRECT | |
551 | -.\" This target is only valid in the | |
552 | -.\" .B nat | |
553 | -.\" table, in the | |
554 | -.\" .B PREROUTING | |
555 | -.\" and | |
556 | -.\" .B OUTPUT | |
557 | -.\" chains, and user-defined chains which are only called from those | |
558 | -.\" chains. It alters the destination IP address to send the packet to | |
559 | -.\" the machine itself (locally-generated packets are mapped to the | |
560 | -.\" 127.0.0.1 address). It takes one option: | |
561 | -.\" .TP | |
562 | -.\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]" | |
563 | -.\" This specifies a destination port or range of ports to use: without | |
564 | -.\" this, the destination port is never altered. This is only valid | |
565 | -.\" if the rule also specifies | |
566 | -.\" .B "-p tcp" | |
567 | -.\" or | |
568 | -.\" .BR "-p udp" . | |
569 | -であり、適切な IPv6\-ICMP エラーメッセージを返す (\fBport\-unreach\fP がデフォルトである)。 さらに、TCP | |
570 | -プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST | |
571 | -パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている | |
572 | -(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。 | |
300 | +.PP | |
301 | +iptables は、パケットマッチングとターゲットの拡張を使うことができる。 \fBiptables\-extensions\fP(8) man | |
302 | +ページに利用できる拡張のリストが載っている。 | |
573 | 303 | .SH 返り値 |
574 | 304 | いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。 |
575 | 305 | 不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。 |
576 | 306 | .SH バグ |
577 | -バグ? バグって何? ;\-) えーと…、sparc64 ではカウンター値が信頼できない。 | |
307 | +バグ? 何それ? ;\-) えーと…、sparc64 ではカウンター値が信頼できない。 | |
578 | 308 | .SH "IPCHAINS との互換性" |
579 | 309 | \fBip6tables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と |
580 | 310 | \fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 |
581 | -よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない (ループバックトラフィックは例外で、INPUT と OUTPUT | |
582 | -チェインの両方を通る)。 以前は (ipchains では)、 フォワードされるパケットが 3 つのチェイン全てを通っていた。 | |
311 | +よって、どのパケットは 3 つあるチェインのうち 1 つしか通らない (ただし、 ループバックトラフィックだけは例外で、INPUT と OUTPUT | |
312 | +の両方のチェインを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。 | |
583 | 313 | .PP |
584 | -.\" .PP The various forms of NAT have been separated out; | |
585 | -.\" .B iptables | |
586 | -.\" is a pure packet filter when using the default `filter' table, with | |
587 | -.\" optional extension modules. This should simplify much of the previous | |
588 | -.\" confusion over the combination of IP masquerading and packet filtering | |
589 | -.\" seen previously. So the following options are handled differently: | |
590 | -.\" .br | |
591 | -.\" -j MASQ | |
592 | -.\" .br | |
593 | -.\" -M -S | |
594 | -.\" .br | |
595 | -.\" -M -L | |
596 | -.\" .br | |
597 | -その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを指定し、 ともに \fBFORWARD\fP | |
598 | -チェインに入るパケットに対して指定可能な点である。 ip6tables では、その他にもいくつかの変更がある。 | |
314 | +その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを表わし、 \fBFORWARD\fP | |
315 | +チェインに入るパケットでは入出力両方のインターフェースを指定可能な点である。 ip6tables では、その他にもいくつかの変更がある。 | |
599 | 316 | .SH 関連項目 |
600 | -\fBip6tables\-save\fP(8), \fBip6tables\-restore(8),\fP \fBiptables\fP(8), | |
601 | -\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8). | |
602 | -.P | |
603 | -パケットフィルタリングについての詳細な iptables の使用法を | |
604 | -説明している packet\-filtering\-HOWTO。 | |
605 | -NAT について詳細に説明している NAT\-HOWTO。 | |
606 | -標準的な配布には含まれない拡張の詳細を 説明している | |
607 | -netfilter\-extensions\-HOWTO。 | |
608 | -内部構造について詳細に説明している netfilter\-hacking\-HOWTO。 | |
317 | +\fBip6tables\-save\fP(8), \fBip6tables\-restore\fP(8), \fBiptables\fP(8), | |
318 | +\fBiptables\-apply\fP(8), \fBiptables\-extensions\fP(8), \fBiptables\-save\fP(8), | |
319 | +\fBiptables\-restore\fP(8), \fBlibipq\fP(3). | |
320 | +.PP | |
321 | +packet\-filtering\-HOWTO では、 パケットフィルタリングについての詳細な iptables の使用法が説明されている。 | |
322 | +netfilter\-extensions\-HOWTO では、 標準的な配布には含まれない拡張の詳細が説明されている。 | |
323 | +netfilter\-hacking\-HOWTO には、内部構造についての詳細な説明がある。 | |
609 | 324 | .br |
610 | 325 | \fBhttp://www.netfilter.org/\fP を参照。 |
611 | 326 | .SH 作者 |
612 | 327 | Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。 |
613 | 328 | .PP |
614 | -Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。 | |
615 | -そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。 | |
329 | +Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きかけて、 ipnatctl | |
330 | +を使わないようにした。 そして、mangle テーブル、所有者マッチング、 mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。 | |
616 | 331 | .PP |
617 | -James Morris が TOS ターゲットと tos マッチングを書いた。 | |
332 | +James Morris は TOS ターゲットと tos マッチングを書いた。 | |
618 | 333 | .PP |
619 | -Jozsef Kadlecsik が REJECT ターゲットを書いた。 | |
334 | +Jozsef Kadlecsik は REJECT ターゲットを書いた。 | |
620 | 335 | .PP |
621 | -Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・ libipulog を書いた。 | |
336 | +Harald Welte は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc、 TTL マッチとターゲット、 | |
337 | +libipulog を書いた。 | |
622 | 338 | .PP |
623 | -Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James | |
624 | -Morris, Harald Welte, Rusty Russell である。 | |
339 | +Netfilter コアチームは、Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik, | |
340 | +Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty | |
341 | +Russell である。 | |
625 | 342 | .PP |
626 | -ip6tables の man ページは、Andras Kis\-Szabo によって作成された。 これは Herve Eychenne | |
627 | -<rv@wallfire.org> によって書かれた iptables の man ページを元にしている。 | |
628 | 343 | .\" .. and did I mention that we are incredibly cool people? |
629 | 344 | .\" .. sexy, too .. |
630 | 345 | .\" .. witty, charming, powerful .. |
631 | 346 | .\" .. and most of all, modest .. |
347 | +ip6tables の man ページは、Andras Kis\-Szabo によって作成された。 これは Herve Eychenne | |
348 | +<rv@wallfire.org> によって書かれた iptables の man ページを元にしている。 | |
349 | +.SH バージョン | |
350 | +.PP | |
351 | +この man ページは iptables 1.4.18 について説明している。 |
@@ -0,0 +1,49 @@ | ||
1 | +.\" Title: iptables-apply | |
2 | +.\" Author: Martin F. Krafft | |
3 | +.\" Date: Jun 04, 2006 | |
4 | +.\" | |
5 | +.\"******************************************************************* | |
6 | +.\" | |
7 | +.\" This file was generated with po4a. Translate the source file. | |
8 | +.\" | |
9 | +.\"******************************************************************* | |
10 | +.\" | |
11 | +.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI | |
12 | +.\" all rights reserved. | |
13 | +.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
14 | +.\" | |
15 | +.TH iptables\-apply 8 2006\-06\-04 | |
16 | +.\" disable hyphenation | |
17 | +.nh | |
18 | +.SH 名前 | |
19 | +iptables\-apply \- リモートからの iptables のより安全な更新方法 | |
20 | +.SH 書式 | |
21 | +\fBiptables\-apply\fP [\-\fBhV\fP] [\fB\-t\fP \fItimeout\fP] \fIruleset\-file\fP | |
22 | +.SH 説明 | |
23 | +.PP | |
24 | +iptables\-apply は、新しいルールセット (iptables\-save の出力や iptables\-restore | |
25 | +の入力と同じフォーマット) の iptables | |
26 | +への適用を試みてから、ユーザーにこの変更を適用してよいかを問い合わせる。新しいルールセットが既存の接続を切断する場合、ユーザーは許可の返事を行うことができない。この場合、このスクリプトはタイムアウト時間が経過した後で直前のルールにロールバックを行う。タイムアウトは | |
27 | +\fB\-t\fP で設定できる。 | |
28 | +.PP | |
29 | +\fBip6tables\-apply\fP として呼び出された場合には、ip6tables\-save/\-restore が代わりに利用される。 | |
30 | +.SH オプション | |
31 | +.TP | |
32 | +\fB\-t\fP \fIseconds\fP, \fB\-\-timeout\fP \fIseconds\fP | |
33 | +タイムアウト時間を設定する。この時間が経過した後、このスクリプトは以前のルールセットにロールバックを行う。 | |
34 | +.TP | |
35 | +\fB\-h\fP, \fB\-\-help\fP | |
36 | +使用方法を表示する。 | |
37 | +.TP | |
38 | +\fB\-V\fP, \fB\-\-version\fP | |
39 | +バージョン情報を表示する。 | |
40 | +.SH 関連項目 | |
41 | +.PP | |
42 | +\fBiptables\-restore\fP(8), \fBiptables\-save\fP(8), \fBiptables\fP(8). | |
43 | +.SH 著作権 | |
44 | +.PP | |
45 | +iptables\-apply の著作権は Martin F. Krafft が持っている。 | |
46 | +.PP | |
47 | +このマニュアルページは Martin F. Krafft <madduck@madduck.net> が書いた。 | |
48 | +.PP | |
49 | +この文書のコピー、配布、修正は Artistic License 2.0 の下で行うことができる。 |
@@ -0,0 +1,2283 @@ | ||
1 | +.\"******************************************************************* | |
2 | +.\" | |
3 | +.\" This file was generated with po4a. Translate the source file. | |
4 | +.\" | |
5 | +.\"******************************************************************* | |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2013 Akihiro MOTOKI | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
10 | +.\" | |
11 | +.TH iptables\-extensions 8 "" "iptables 1.4.18" "iptables 1.4.18" | |
12 | +.SH 名前 | |
13 | +iptables\-extensions \(em 標準の iptables に含まれる拡張モジュールのリスト | |
14 | +.SH 書式 | |
15 | +\fBip6tables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP | |
16 | +[\fItarget\-options\fP...] | |
17 | +.PP | |
18 | +\fBiptables\fP [\fB\-m\fP \fIname\fP [\fImodule\-options\fP...]] [\fB\-j\fP \fItarget\-name\fP | |
19 | +[\fItarget\-options\fP...] | |
20 | +.SH マッチングの拡張 | |
21 | +iptables は拡張されたパケットマッチングモジュールを使うことができる。 使用するモジュールは \fB\-m\fP か \fB\-\-match\fP | |
22 | +の後ろにモジュール名に続けて指定する。 モジュール名の後ろには、 モジュールに応じて他のいろいろなコマンドラインオプションを指定することができる。 | |
23 | +複数の拡張マッチングモジュールを一行で指定することができる。 モジュールの指定より後ろで \fB\-h\fP か \fB\-\-help\fP を指定すると、 | |
24 | +モジュール固有のヘルプが表示される。 拡張マッチングモジュールはルールで指定された順序で評価される。 | |
25 | +.PP | |
26 | +.\" @MATCH@ | |
27 | +\fB\-p\fP か \fB\-\-protocol\fP が指定され、 かつ未知のオプションだけが指定されていた場合にのみ、 iptables | |
28 | +はプロトコルと同じ名前のマッチモジュールをロードし、 そのオプションを使えるようにしようとする。 | |
29 | +.SS addrtype | |
30 | +このモジュールは、 アドレス種別 (\fBaddress type\fP) に基づいてパケットマッチングを行う。 | |
31 | +アドレス種別はカーネルのネットワークスタック内で使われており、 アドレスはいくつかグループに分類される。 厳密なグループの定義は個々のレイヤ 3 | |
32 | +プロトコルに依存する。 | |
33 | +.PP | |
34 | +以下のアドレスタイプが利用できる。 | |
35 | +.TP | |
36 | +\fBUNSPEC\fP | |
37 | +アドレスを指定しない (つまりアドレス 0.0.0.0) | |
38 | +.TP | |
39 | +\fBUNICAST\fP | |
40 | +ユニキャストアドレス | |
41 | +.TP | |
42 | +\fBLOCAL\fP | |
43 | +ローカルアドレス | |
44 | +.TP | |
45 | +\fBBROADCAST\fP | |
46 | +ブロードキャストアドレス | |
47 | +.TP | |
48 | +\fBANYCAST\fP | |
49 | +エニーキャストアドレス | |
50 | +.TP | |
51 | +\fBMULTICAST\fP | |
52 | +マルチキャストアドレス | |
53 | +.TP | |
54 | +\fBBLACKHOLE\fP | |
55 | +ブラックホールアドレス | |
56 | +.TP | |
57 | +\fBUNREACHABLE\fP | |
58 | +到達できないアドレス | |
59 | +.TP | |
60 | +\fBPROHIBIT\fP | |
61 | +禁止されたアドレス | |
62 | +.TP | |
63 | +\fBTHROW\fP | |
64 | +要修正 | |
65 | +.TP | |
66 | +\fBNAT\fP | |
67 | +要修正 | |
68 | +.TP | |
69 | +\fBXRESOLVE\fP | |
70 | +.TP | |
71 | +[\fB!\fP] \fB\-\-src\-type\fP \fItype\fP | |
72 | +送信元アドレスが指定された種類の場合にマッチする。 | |
73 | +.TP | |
74 | +[\fB!\fP] \fB\-\-dst\-type\fP \fItype\fP | |
75 | +宛先アドレスが指定された種類の場合にマッチする。 | |
76 | +.TP | |
77 | +\fB\-\-limit\-iface\-in\fP | |
78 | +アドレス種別のチェックをそのパケットが受信されたインターフェースに限定する。 このオプションは \fBPREROUTING\fP, \fBINPUT\fP, | |
79 | +\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-out\fP オプションと同時に指定することはできない。 | |
80 | +.TP | |
81 | +\fB\-\-limit\-iface\-out\fP | |
82 | +アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP, | |
83 | +\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。 | |
84 | +.SS "ah (IPv6 の場合)" | |
85 | +このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。 | |
86 | +.TP | |
87 | +[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP] | |
88 | +SPI にマッチする。 | |
89 | +.TP | |
90 | +[\fB!\fP] \fB\-\-ahlen\fP \fIlength\fP | |
91 | +このヘッダーの全体の長さ (8進数)。 | |
92 | +.TP | |
93 | +\fB\-\-ahres\fP | |
94 | +予約フィールドが 0 で埋められている場合にマッチする。 | |
95 | +.SS "ah (IPv4 の場合)" | |
96 | +このモジュールは IPsec パケットの認証ヘッダー (AH) の SPI 値にマッチする。 | |
97 | +.TP | |
98 | +[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP] | |
99 | +.SS cluster | |
100 | +このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。 | |
101 | +.PP | |
102 | +This match requires that all the nodes see the same packets. Thus, the | |
103 | +cluster match decides if this node has to handle a packet given the | |
104 | +following options: | |
105 | +.TP | |
106 | +\fB\-\-cluster\-total\-nodes\fP \fInum\fP | |
107 | +クラスターの合計ノード数を設定する。 | |
108 | +.TP | |
109 | +[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP | |
110 | +ローカルノードの数字の ID を設定する。 | |
111 | +.TP | |
112 | +[\fB!\fP] \fB\-\-cluster\-local\-nodemask\fP \fImask\fP | |
113 | +ローカルノードの ID マスクを設定する。 このオプションは \fB\-\-cluster\-local\-node\fP の代わりに使うことができる。 | |
114 | +.TP | |
115 | +\fB\-\-cluster\-hash\-seed\fP \fIvalue\fP | |
116 | +Jenkins ハッシュのシード値を設定する。 | |
117 | +.PP | |
118 | +例: | |
119 | +.IP | |
120 | +iptables \-A PREROUTING \-t mangle \-i eth1 \-m cluster \-\-cluster\-total\-nodes 2 | |
121 | +\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark | |
122 | +0xffff | |
123 | +.IP | |
124 | +iptables \-A PREROUTING \-t mangle \-i eth2 \-m cluster \-\-cluster\-total\-nodes 2 | |
125 | +\-\-cluster\-local\-node 1 \-\-cluster\-hash\-seed 0xdeadbeef \-j MARK \-\-set\-mark | |
126 | +0xffff | |
127 | +.IP | |
128 | +iptables \-A PREROUTING \-t mangle \-i eth1 \-m mark ! \-\-mark 0xffff \-j DROP | |
129 | +.IP | |
130 | +iptables \-A PREROUTING \-t mangle \-i eth2 \-m mark ! \-\-mark 0xffff \-j DROP | |
131 | +.PP | |
132 | +以下のコマンドで、 すべてのノードに同じパケットを届けることができる。 | |
133 | +.IP | |
134 | +ip maddr add 01:00:5e:00:01:01 dev eth1 | |
135 | +.IP | |
136 | +ip maddr add 01:00:5e:00:01:02 dev eth2 | |
137 | +.IP | |
138 | +arptables \-A OUTPUT \-o eth1 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s | |
139 | +01:00:5e:00:01:01 | |
140 | +.IP | |
141 | +arptables \-A INPUT \-i eth1 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:01 | |
142 | +\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27 | |
143 | +.IP | |
144 | +arptables \-A OUTPUT \-o eth2 \-\-h\-length 6 \-j mangle \-\-mangle\-mac\-s | |
145 | +01:00:5e:00:01:02 | |
146 | +.IP | |
147 | +arptables \-A INPUT \-i eth2 \-\-h\-length 6 \-\-destination\-mac 01:00:5e:00:01:02 | |
148 | +\-j mangle \-\-mangle\-mac\-d 00:zz:yy:xx:5a:27 | |
149 | +.PP | |
150 | +TCP 接続の場合には、応答方向で受信した TCP ACK パケットが有効とマークされないようにするため、ピックアップ (pickup) | |
151 | +機能を無効する必要がある。 | |
152 | +.IP | |
153 | +echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose | |
154 | +.SS comment | |
155 | +ルールにコメント (最大 256 文字) を付けることができる。 | |
156 | +.TP | |
157 | +\fB\-\-comment\fP \fIcomment\fP | |
158 | +.TP | |
159 | +例: | |
160 | +iptables \-A INPUT \-i eth1 \-m comment \-\-comment "my local LAN" | |
161 | +.SS connbytes | |
162 | +一つのコネクション (もしくはそのコネクションを構成する 2 つのフローの一方) でそれまでに転送されたバイト数やパケット数、 | |
163 | +もしくはパケットあたりの平均バイト数にマッチする。 | |
164 | +.PP | |
165 | +カウンターは 64 ビットであり、したがってオーバーフローすることは考えられていない ;) | |
166 | +.PP | |
167 | +主な利用方法は、長時間存在するダウンロードを検出し、 これらに印を付けることで、 | |
168 | +トラフィック制御において艇優先帯域を使うようにスケジューリングできるようにすることである。 | |
169 | +.PP | |
170 | +コネクションあたりの転送バイト数は、 `conntrack \-L` 経由で見ることができ、 ctnetlink 経由でもアクセスすることもできる。 | |
171 | +.PP | |
172 | +アカウント情報を持っていないコネクションでは、 このマッチングは常に false を返す点に注意すること。 | |
173 | +"net.netfilter.nf_conntrack_acct" sysctl フラグで、 | |
174 | +\fB新規\fPコネクションでバイト数/パケット数の計測が行われるかが制御できる。 sysctl フラグが変更されても、 | |
175 | +既存のコネクションのアカウント情報は影響を受けない。 | |
176 | +.TP | |
177 | +[\fB!\fP] \fB\-\-connbytes\fP \fIfrom\fP[\fB:\fP\fIto\fP] | |
178 | +パケット数/バイト数/平均パケットサイズが FROM バイト/パケットより大きく TO バイト/パケットよりも小さいコネクションのパケットにマッチする。 | |
179 | +TO が省略した場合は FROM のみがチェックされる。 "!" を使うと、 この範囲にないパケットにマッチする。 | |
180 | +.TP | |
181 | +\fB\-\-connbytes\-dir\fP {\fBoriginal\fP|\fBreply\fP|\fBboth\fP} | |
182 | +どのパケットを計測するかを指定する | |
183 | +.TP | |
184 | +\fB\-\-connbytes\-mode\fP {\fBpackets\fP|\fBbytes\fP|\fBavgpkt\fP} | |
185 | +パケット総数、転送バイト数、これまでに受信した全パケットの平均サイズ (バイト単位) のどれをチェックするかを指定する。 "both" と | |
186 | +"avgpkt" を組み合わせて使った場合で、 (HTTP のように) データが (主に) 片方向でのみ転送される場合、 | |
187 | +平均パケットサイズは実際のデータパケットの約半分になる点に注意すること。 | |
188 | +.TP | |
189 | +例: | |
190 | +iptables .. \-m connbytes \-\-connbytes 10000:100000 \-\-connbytes\-dir both | |
191 | +\-\-connbytes\-mode bytes ... | |
192 | +.SS connlimit | |
193 | +一つのサーバーに対する、 一つのクライアント IP アドレス (またはクライアントアドレスブロック) からの同時接続数を制限することができる。 | |
194 | +.TP | |
195 | +\fB\-\-connlimit\-upto\fP \fIn\fP | |
196 | +既存の接続数が \fIn\fP 以下の場合にマッチする。 | |
197 | +.TP | |
198 | +\fB\-\-connlimit\-above\fP \fIn\fP | |
199 | +既存の接続数が \fIn\fP より多い場合にマッチする。 | |
200 | +.TP | |
201 | +\fB\-\-connlimit\-mask\fP \fIprefix_length\fP | |
202 | +プレフィックス長を使ってホストのグルーピングを行う。 IPv4 の場合には、プレフィックス長は 0 以上 32 以下の値でなければならない。 IPv6 | |
203 | +の場合には 0 以上 128 以下でなければならない。 指定しなかった場合、そのプロトコルで使われる最も長いプレフィックス長が使用される。 | |
204 | +.TP | |
205 | +\fB\-\-connlimit\-saddr\fP | |
206 | +送信元グループに対して制限を適用する。 これが \-\-connlimit\-daddr が指定されなかった場合のデフォルトである。 | |
207 | +.TP | |
208 | +\fB\-\-connlimit\-daddr\fP | |
209 | +宛先グループに対して制限を適用する。 | |
210 | +.PP | |
211 | +例: | |
212 | +.TP | |
213 | +# クライアントホストあたり 2 つの telnet 接続を許可する | |
214 | +iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-above 2 | |
215 | +\-j REJECT | |
216 | +.TP | |
217 | +# 同じことのに行う別のマッチ方法 | |
218 | +iptables \-A INPUT \-p tcp \-\-syn \-\-dport 23 \-m connlimit \-\-connlimit\-upto 2 \-j | |
219 | +ACCEPT | |
220 | +.TP | |
221 | +# クラス C の送信元ネットワーク (ネットマスクが 24 ビット) あたりの同時 HTTP リクエスト数を 16 までに制限する | |
222 | +iptables \-p tcp \-\-syn \-\-dport 80 \-m connlimit \-\-connlimit\-above 16 | |
223 | +\-\-connlimit\-mask 24 \-j REJECT | |
224 | +.TP | |
225 | +# リンクローカルネットワークからの同時 HTTP リクエスト数を 16 までに制限する | |
226 | +(ipv6) ip6tables \-p tcp \-\-syn \-\-dport 80 \-s fe80::/64 \-m connlimit | |
227 | +\-\-connlimit\-above 16 \-\-connlimit\-mask 64 \-j REJECT | |
228 | +.TP | |
229 | +# 特定のホスト宛のコネクション数を制限する | |
230 | +ip6tables \-p tcp \-\-syn \-\-dport 49152:65535 \-d 2001:db8::1 \-m connlimit | |
231 | +\-\-connlimit\-above 100 \-j REJECT | |
232 | +.SS connmark | |
233 | +このモジュールはコネクションに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の | |
234 | +\fBCONNMARK\fP ターゲットで設定される)。 | |
235 | +.TP | |
236 | +[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
237 | +指定された mark 値を持つコネクションのパケットにマッチする (mask が指定されると、 比較の前に mask との論理積 (AND) | |
238 | +がとられる)。 | |
239 | +.SS conntrack | |
240 | +コネクション追跡 (connection tracking) と組み合わせて使用した場合に、 このモジュールを使うと、 | |
241 | +パケットやコネクションの追跡状態を知ることができる。 | |
242 | +.TP | |
243 | +[\fB!\fP] \fB\-\-ctstate\fP \fIstatelist\fP | |
244 | +\fIstatelist\fP はマッチするコネクション状態 (connection state) のリストで、 コンマ区切りで指定する。 | |
245 | +指定できる状態のリストは後述。 | |
246 | +.TP | |
247 | +[\fB!\fP] \fB\-\-ctproto\fP \fIl4proto\fP | |
248 | +指定されたレイヤ 4 のプロトコルにマッチする。 プロトコルは名前または数値で指定する。 | |
249 | +.TP | |
250 | +[\fB!\fP] \fB\-\-ctorigsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
251 | +.TP | |
252 | +[\fB!\fP] \fB\-\-ctorigdst\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
253 | +.TP | |
254 | +[\fB!\fP] \fB\-\-ctreplsrc\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
255 | +.TP | |
256 | +[\fB!\fP] \fB\-\-ctrepldst\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
257 | +順方向/反対方向のコネクションの送信元/宛先アドレスにマッチする。 | |
258 | +.TP | |
259 | +[\fB!\fP] \fB\-\-ctorigsrcport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
260 | +.TP | |
261 | +[\fB!\fP] \fB\-\-ctorigdstport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
262 | +.TP | |
263 | +[\fB!\fP] \fB\-\-ctreplsrcport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
264 | +.TP | |
265 | +[\fB!\fP] \fB\-\-ctrepldstport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
266 | +順方向/反対方向のコネクションの (TCP/UDPなどの) 送信元/宛先ポートアドレス、 もしくは GRE キーにマッチする。 | |
267 | +ポートの範囲指定はカーネル 2.6.38 以降でのみサポートされている。 | |
268 | +.TP | |
269 | +[\fB!\fP] \fB\-\-ctstatus\fP \fIstatelist\fP | |
270 | +\fIstatuslist\fP はマッチするコネクション状況 (connection status) のリストで、 コンマ区切りで指定する。 | |
271 | +指定できる状況のリストは後述。 | |
272 | +.TP | |
273 | +[\fB!\fP] \fB\-\-ctexpire\fP \fItime\fP[\fB:\fP\fItime\fP] | |
274 | +有効期間の残り秒数、 またはその範囲(両端を含む)にマッチする。 | |
275 | +.TP | |
276 | +\fB\-\-ctdir\fP {\fBORIGINAL\fP|\fBREPLY\fP} | |
277 | +指定した方向に流れるパケットにマッチする。 このフラグが全く指定されなかった場合、 両方向のパケットがマッチする。 | |
278 | +.PP | |
279 | +\fB\-\-ctstate\fP に指定できる状態は以下の通り。 | |
280 | +.TP | |
281 | +\fBINVALID\fP | |
282 | +そのパケットはどの既知のコネクションとも関連付けられていない。 | |
283 | +.TP | |
284 | +\fBNEW\fP | |
285 | +そのパケットが新しいコネクションを開始しようとしている。 もしくは、 両方の方向でパケットが観測されていないコネクションに関連付けられる。 | |
286 | +.TP | |
287 | +\fBESTABLISHED\fP | |
288 | +そのパケットが、 両方向のパケットが観測されたコネクションに関連付けられる。 | |
289 | +.TP | |
290 | +\fBRELATED\fP | |
291 | +そのパケットは、新しいコネクションを開始しようとしているが、 既存のコネクションと関連付けられる。 FTP データ転送や ICMP | |
292 | +エラーなどが該当する。 | |
293 | +.TP | |
294 | +\fBUNTRACKED\fP | |
295 | +そのパケットは全く追跡されていない。 この状態は、 raw テーブルで \-j CT \-\-notrack | |
296 | +を使って明示的にそのパケットを追跡しないようにしている場合に起こる。 | |
297 | +.TP | |
298 | +\fBSNAT\fP | |
299 | +元の送信元アドレスが応答の宛先アドレスと異なる場合にマッチする仮想的な状態。 | |
300 | +.TP | |
301 | +\fBDNAT\fP | |
302 | +元の宛先アドレスが応答の送信元アドレスと異なる場合にマッチする仮想的な状態。 | |
303 | +.PP | |
304 | +\fB\-\-ctstatus\fP に指定できる値は以下の通り。 | |
305 | +.TP | |
306 | +\fBNONE\fP | |
307 | +以下のいずれでもない。 | |
308 | +.TP | |
309 | +\fBEXPECTED\fP | |
310 | +期待通りのコネクションである (つまり conntrack のヘルパーがコネクションをセットアップした)。 | |
311 | +.TP | |
312 | +\fBSEEN_REPLY\fP | |
313 | +conntrack が両方の方向でパケットを観測済である。 | |
314 | +.TP | |
315 | +\fBASSURED\fP | |
316 | +conntrack エントリが early\-expired されることはない。 | |
317 | +.TP | |
318 | +\fBCONFIRMED\fP | |
319 | +Connection is confirmed: originating packet has left box. | |
320 | +.SS cpu | |
321 | +.TP | |
322 | +[\fB!\fP] \fB\-\-cpu\fP \fInumber\fP | |
323 | +このパケットを処理する CPU にマッチする。 CPU には 0 から NR_CPUS\-1 の番号が振られる。 | |
324 | +ネットワークトラフィックを複数のキューに分散させるために RPS (Remote Packet Steering) やマルチキュー NIC | |
325 | +と組み合わせて使用できる。 | |
326 | +.PP | |
327 | +例: | |
328 | +.PP | |
329 | +iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 0 \-j REDIRECT | |
330 | +\-\-to\-port 8080 | |
331 | +.PP | |
332 | +iptables \-t nat \-A PREROUTING \-p tcp \-\-dport 80 \-m cpu \-\-cpu 1 \-j REDIRECT | |
333 | +\-\-to\-port 8081 | |
334 | +.PP | |
335 | +Linux 2.6.36 以降で利用可能。 | |
336 | +.SS dccp | |
337 | +.TP | |
338 | +[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
339 | +.TP | |
340 | +[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
341 | +.TP | |
342 | +[\fB!\fP] \fB\-\-dccp\-types\fP \fImask\fP | |
343 | +DCCP パケットタイプが \fImask\fP のいずれかであればマッチする。 \fImask\fP はカンマ区切りのパケットタイプのリストである。 | |
344 | +指定できるパケットタイプは \fBREQUEST RESPONSE DATA ACK DATAACK CLOSEREQ CLOSE RESET SYNC | |
345 | +SYNCACK INVALID\fP である。 | |
346 | +.TP | |
347 | +[\fB!\fP] \fB\-\-dccp\-option\fP \fInumber\fP | |
348 | +DCCP オプションが設定されている場合にマッチする。 | |
349 | +.SS devgroup | |
350 | +パケットの受信/送信インターフェースのデバイスグループにマッチする。 | |
351 | +.TP | |
352 | +[\fB!\fP] \fB\-\-src\-group\fP \fIname\fP | |
353 | +受信デバイスのデバイスグループにマッチする | |
354 | +.TP | |
355 | +[\fB!\fP] \fB\-\-dst\-group\fP \fIname\fP | |
356 | +送信デバイスのデバイスグループにマッチする | |
357 | +.SS dscp | |
358 | +このモジュールは、 IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が | |
359 | +TOS に取って代わった。 | |
360 | +.TP | |
361 | +[\fB!\fP] \fB\-\-dscp\fP \fIvalue\fP | |
362 | +(10 進または 16 進の) 数値 [0\-63] にマッチする。 | |
363 | +.TP | |
364 | +[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP | |
365 | +DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。 | |
366 | +.SS "dst (IPv6 の場合)" | |
367 | +このモジュールは宛先オプションヘッダーのパラメータにマッチする。 | |
368 | +.TP | |
369 | +[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP | |
370 | +このヘッダーの全体の長さ (8進数)。 | |
371 | +.TP | |
372 | +\fB\-\-dst\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...] | |
373 | +数値のオプションタイプとオプションデータのオクテット単位の長さ。 | |
374 | +.SS ecn | |
375 | +IPv4/IPv6 と TCP ヘッダーの ECN ビットにマッチングを行う。 ECN とは RFC3168 で規定された Explicit | |
376 | +Congestion Notification (明示的な輻輳通知) 機構のことである。 | |
377 | +.TP | |
378 | +[\fB!\fP] \fB\-\-ecn\-tcp\-cwr\fP | |
379 | +TCP ECN CWR (Congestion Window Received) ビットがセットされている場合にマッチする。 | |
380 | +.TP | |
381 | +[\fB!\fP] \fB\-\-ecn\-tcp\-ece\fP | |
382 | +TCP ECN ECE (ECN Echo) ビットがセットされている場合にマッチする。 | |
383 | +.TP | |
384 | +[\fB!\fP] \fB\-\-ecn\-ip\-ect\fP \fInum\fP | |
385 | +特定の IPv4/IPv6 ECT (ECN\-Capable Transport) にマッチする。 `0' 以上 `3' | |
386 | +以下の値を指定しなければならない。 | |
387 | +.SS esp | |
388 | +このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。 | |
389 | +.TP | |
390 | +[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP] | |
391 | +.SS "eui64 (IPv6 の場合)" | |
392 | +このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC | |
393 | +アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local" | |
394 | +ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP, | |
395 | +\fBFORWARD\fP チェインでのみ有効である。 | |
396 | +.SS "frag (IPv6 の場合)" | |
397 | +このモジュールはフラグメントヘッダーのパラメータにマッチする。 | |
398 | +.TP | |
399 | +[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP] | |
400 | +指定された値もしくは範囲の ID にマッチする。 | |
401 | +.TP | |
402 | +[\fB!\fP] \fB\-\-fraglen\fP \fIlength\fP | |
403 | +このオプションはバージョン 2.6.10 以降のカーネルでは使用できない。 フラグメントヘッダー長は変化しないので、このオプションは意味を持たない。 | |
404 | +.TP | |
405 | +\fB\-\-fragres\fP | |
406 | +予約フィールドに 0 が入っている場合にマッチする。 | |
407 | +.TP | |
408 | +\fB\-\-fragfirst\fP | |
409 | +最初のフラグメントにマッチする。 | |
410 | +.TP | |
411 | +\fB\-\-fragmore\fP | |
412 | +さらにフラグメントが続く場合にマッチする。 | |
413 | +.TP | |
414 | +\fB\-\-fraglast\fP | |
415 | +最後のフラグメントの場合にマッチする。 | |
416 | +.SS hashlimit | |
417 | +\fBhashlimit\fP uses hash buckets to express a rate limiting match (like the | |
418 | +\fBlimit\fP match) for a group of connections using a \fBsingle\fP iptables | |
419 | +rule. Grouping can be done per\-hostgroup (source and/or destination address) | |
420 | +and/or per\-port. It gives you the ability to express "\fIN\fP packets per time | |
421 | +quantum per group" or "\fIN\fP bytes per seconds" (see below for some | |
422 | +examples). | |
423 | +.PP | |
424 | +hash limit オプション (\fB\-\-hashlimit\-upto\fP, \fB\-\-hashlimit\-above\fP) と | |
425 | +\fB\-\-hashlimit\-name\fP は必須である。 | |
426 | +.TP | |
427 | +\fB\-\-hashlimit\-upto\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP] | |
428 | +単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day' | |
429 | +を付けることもできる。 デフォルトは 3/hour である。 | |
430 | +.TP | |
431 | +\fB\-\-hashlimit\-above\fP \fIamount\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP] | |
432 | +レートが指定された区間での \fIamount\fP より大きい場合にマッチする。 | |
433 | +.TP | |
434 | +\fB\-\-hashlimit\-burst\fP \fIamount\fP | |
435 | +パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。 | |
436 | +デフォルトは 5 である。 バイトでのレート照合が要求された場合、 このオプションは指定レートを超過できるバイト数を規定する。 | |
437 | +このオプションを使用する際には注意が必要である \-\- エントリがタイムアウトで削除される際に、バースト値もリセットされる。 | |
438 | +.TP | |
439 | +\fB\-\-hashlimit\-mode\fP {\fBsrcip\fP|\fBsrcport\fP|\fBdstip\fP|\fBdstport\fP}\fB,\fP... | |
440 | +対象とする要素のカンマ区切りのリスト。 \-\-hashlimit\-mode オプションが指定されなかった場合、 hashlimit は limit | |
441 | +と同じ動作をするが、 ハッシュの管理を行うコストがかかる。 | |
442 | +.TP | |
443 | +\fB\-\-hashlimit\-srcmask\fP \fIprefix\fP | |
444 | +When \-\-hashlimit\-mode srcip is used, all source addresses encountered will | |
445 | +be grouped according to the given prefix length and the so\-created subnet | |
446 | +will be subject to hashlimit. \fIprefix\fP must be between (inclusive) 0 and | |
447 | +32. Note that \-\-hashlimit\-srcmask 0 is basically doing the same thing as not | |
448 | +specifying srcip for \-\-hashlimit\-mode, but is technically more expensive. | |
449 | +.TP | |
450 | +\fB\-\-hashlimit\-dstmask\fP \fIprefix\fP | |
451 | +Like \-\-hashlimit\-srcmask, but for destination addresses. | |
452 | +.TP | |
453 | +\fB\-\-hashlimit\-name\fP \fIfoo\fP | |
454 | +/proc/net/ipt_hashlimit/foo エントリの名前。 | |
455 | +.TP | |
456 | +\fB\-\-hashlimit\-htable\-size\fP \fIbuckets\fP | |
457 | +ハッシュテーブルのバケット数。 | |
458 | +.TP | |
459 | +\fB\-\-hashlimit\-htable\-max\fP \fIentries\fP | |
460 | +ハッシュの最大エントリ数。 | |
461 | +.TP | |
462 | +\fB\-\-hashlimit\-htable\-expire\fP \fImsec\fP | |
463 | +ハッシュエントリが何ミリ秒後に削除されるか。 | |
464 | +.TP | |
465 | +\fB\-\-hashlimit\-htable\-gcinterval\fP \fImsec\fP | |
466 | +ガベージコレクションの間隔 (ミリ秒)。 | |
467 | +.PP | |
468 | +例: | |
469 | +.TP | |
470 | +送信元ホストに対するマッチ | |
471 | +"192.168.0.0/16 の各ホストに対して 1000 パケット/秒" => \-s 192.168.0.0/16 | |
472 | +\-\-hashlimit\-mode srcip \-\-hashlimit\-upto 1000/sec | |
473 | +.TP | |
474 | +送信元ポートに対するマッチ | |
475 | +"192.168.1.1 の各サービスに対して 100 パケット/秒" => \-s 192.168.1.1 \-\-hashlimit\-mode | |
476 | +srcport \-\-hashlimit\-upto 100/sec | |
477 | +.TP | |
478 | +サブネットに対するマッチ | |
479 | +"10.0.0.0/8 内の /28 サブネット (アドレス 8 個のグループ) それぞれに対して 10000 パケット/秒" => \-s | |
480 | +10.0.0.8 \-\-hashlimit\-mask 28 \-\-hashlimit\-upto 10000/min | |
481 | +.TP | |
482 | +バイト/秒によるマッチ | |
483 | +"512kbyte/s を超過したフロー" => \-\-hashlimit\-mode srcip,dstip,srcport,dstport | |
484 | +\-\-hashlimit\-above 512kb/s | |
485 | +.TP | |
486 | +バイト/秒によるマッチ | |
487 | +"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip | |
488 | +\-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb | |
489 | +.SS "hbh (IPv6 の場合)" | |
490 | +このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。 | |
491 | +.TP | |
492 | +[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP | |
493 | +このヘッダーの全体の長さ (8進数)。 | |
494 | +.TP | |
495 | +\fB\-\-hbh\-opts\fP \fItype\fP[\fB:\fP\fIlength\fP][\fB,\fP\fItype\fP[\fB:\fP\fIlength\fP]...] | |
496 | +数値のオプションタイプとオプションデータのオクテット単位の長さ。 | |
497 | +.SS helper | |
498 | +このモジュールは、 指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。 | |
499 | +.TP | |
500 | +[\fB!\fP] \fB\-\-helper\fP \fIstring\fP | |
501 | +指定されたコネクション追跡ヘルパーモジュールに 関連するパケットにマッチする。 | |
502 | +.RS | |
503 | +.PP | |
504 | +デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号" | |
505 | +を値に付け加える。 すなわち "ftp\-2121" となる。 | |
506 | +.PP | |
507 | +他のコネクション追跡ヘルパーでも同じルールが適用される。 | |
508 | +.RE | |
509 | +.SS "hl (IPv6 の場合)" | |
510 | +このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。 | |
511 | +.TP | |
512 | +[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP | |
513 | +Hop Limit が \fIvalue\fP と同じ場合にマッチする。 | |
514 | +.TP | |
515 | +\fB\-\-hl\-lt\fP \fIvalue\fP | |
516 | +Hop Limit が \fIvalue\fP より小さい場合にマッチする。 | |
517 | +.TP | |
518 | +\fB\-\-hl\-gt\fP \fIvalue\fP | |
519 | +Hop Limit が \fIvalue\fP より大きい場合にマッチする。 | |
520 | +.SS "icmp (IPv4 の場合)" | |
521 | +この拡張は `\-\-protocol icmp' が指定された場合に使用でき、 以下のオプションが提供される: | |
522 | +.TP | |
523 | +[\fB!\fP] \fB\-\-icmp\-type\fP {\fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP} | |
524 | +ICMP タイプを指定できる。 タイプ指定には、 数値の ICMP タイプ、 タイプ/コードの組、 または以下のコマンド で表示される ICMP | |
525 | +タイプ名を指定できる。 | |
526 | +.nf | |
527 | + iptables \-p icmp \-h | |
528 | +.fi | |
529 | +.SS "icmp6 (IPv6 の場合)" | |
530 | +これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、 | |
531 | +以下のオプションが提供される: | |
532 | +.TP | |
533 | +[\fB!\fP] \fB\-\-icmpv6\-type\fP \fItype\fP[\fB/\fP\fIcode\fP]|\fItypename\fP | |
534 | +ICMPv6 タイプを指定できる。 タイプ指定には、 数値の ICMP \fItype\fP、 \fItype\fP と \fIcode\fP、 または以下のコマンド | |
535 | +で表示される ICMPv6 タイプ名を指定できる。 | |
536 | +.nf | |
537 | + ip6tables \-p ipv6\-icmp \-h | |
538 | +.fi | |
539 | +.SS iprange | |
540 | +このモジュールは指定された任意の範囲の IP アドレスにマッチする。 | |
541 | +.TP | |
542 | +[\fB!\fP] \fB\-\-src\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP] | |
543 | +指定された範囲の送信元 IP にマッチする。 | |
544 | +.TP | |
545 | +[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP] | |
546 | +指定された範囲の宛先 IP にマッチする。 | |
547 | +.SS "ipv6header (IPv6 の場合)" | |
548 | +このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。 | |
549 | +.TP | |
550 | +\fB\-\-soft\fP | |
551 | +パケットが \fB\-\-header\fP で指定されたヘッダーの\fBいずれか\fPを含む場合にマッチする。 | |
552 | +.TP | |
553 | +[\fB!\fP] \fB\-\-header\fP \fIheader\fP[\fB,\fP\fIheader\fP...] | |
554 | +Matches the packet which EXACTLY includes all specified headers. The headers | |
555 | +encapsulated with ESP header are out of scope. Possible \fIheader\fP types can | |
556 | +be: | |
557 | +.TP | |
558 | +\fBhop\fP|\fBhop\-by\-hop\fP | |
559 | +Hop\-by\-Hop オプションヘッダー | |
560 | +.TP | |
561 | +\fBdst\fP | |
562 | +宛先オプションヘッダー | |
563 | +.TP | |
564 | +\fBroute\fP | |
565 | +ルーティングヘッダー | |
566 | +.TP | |
567 | +\fBfrag\fP | |
568 | +フラグメントヘッダー | |
569 | +.TP | |
570 | +\fBauth\fP | |
571 | +認証ヘッダー (AH) | |
572 | +.TP | |
573 | +\fBesp\fP | |
574 | +ESP (Encapsulating Security Payload) ヘッダー | |
575 | +.TP | |
576 | +\fBnone\fP | |
577 | +No Next header which matches 59 in the 'Next Header field' of IPv6 header or | |
578 | +any IPv6 extension headers | |
579 | +.TP | |
580 | +\fBproto\fP | |
581 | +which matches any upper layer protocol header. A protocol name from | |
582 | +/etc/protocols and numeric value also allowed. The number 255 is equivalent | |
583 | +to \fBproto\fP. | |
584 | +.SS ipvs | |
585 | +IPVS コネクション属性にマッチする。 | |
586 | +.TP | |
587 | +[\fB!\fP] \fB\-\-ipvs\fP | |
588 | +IPVS コネクションに属すパケット | |
589 | +.TP | |
590 | +以下のオプションでは \-\-ipvs も暗黙のうちに指定される (否定の場合も含む) | |
591 | +.TP | |
592 | +[\fB!\fP] \fB\-\-vproto\fP \fIprotocol\fP | |
593 | +マッチする VIP プロトコル (数値か名前 (例えば "tcp") で指定する) | |
594 | +.TP | |
595 | +[\fB!\fP] \fB\-\-vaddr\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
596 | +マッチする VIP アドレス | |
597 | +.TP | |
598 | +[\fB!\fP] \fB\-\-vport\fP \fIport\fP | |
599 | +マッチする VIP プロトコル (数値か名前 (例えば \"http\") で指定する) | |
600 | +.TP | |
601 | +\fB\-\-vdir\fP {\fBORIGINAL\fP|\fBREPLY\fP} | |
602 | +パケットフローの方向 | |
603 | +.TP | |
604 | +[\fB!\fP] \fB\-\-vmethod\fP {\fBGATE\fP|\fBIPIP\fP|\fBMASQ\fP} | |
605 | +使用する IPVS の転送方法 | |
606 | +.TP | |
607 | +[\fB!\fP] \fB\-\-vportctl\fP \fIport\fP | |
608 | +マッチする制御用コネクションの VIP ポート (例えば FTP であれば 21) | |
609 | +.SS length | |
610 | +このモジュールは、 パケットのレイヤ 3 ペイロード (例えばレイヤ 4 パケット) の長さが、 指定された値、 または値の範囲にあればマッチする。 | |
611 | +.TP | |
612 | +[\fB!\fP] \fB\-\-length\fP \fIlength\fP[\fB:\fP\fIlength\fP] | |
613 | +.SS limit | |
614 | +このモジュールは、 トークンバケットフィルタを使って制限レートのマッチを行う。 この拡張を使ったルールは、指定された制限に達するまでマッチする。 | |
615 | +例えば、 このモジュールはログ記録を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。 | |
616 | +.PP | |
617 | +xt_limit has no negation support \- you will have to use \-m hashlimit ! | |
618 | +\-\-hashlimit \fIrate\fP in this case whilst omitting \-\-hashlimit\-mode. | |
619 | +.TP | |
620 | +\fB\-\-limit\fP \fIrate\fP[\fB/second\fP|\fB/minute\fP|\fB/hour\fP|\fB/day\fP] | |
621 | +単位時間あたりの平均マッチ回数の最大値。 数値で指定され、 添字 `/second', `/minute', `/hour', `/day' | |
622 | +を付けることもできる。 デフォルトは 3/hour である。 | |
623 | +.TP | |
624 | +\fB\-\-limit\-burst\fP \fInumber\fP | |
625 | +パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に達しなければ、 マッチするごとに、 この数値になるまで 1 個ずつ増やされる。 | |
626 | +デフォルトは 5 である。 | |
627 | +.SS mac | |
628 | +.TP | |
629 | +[\fB!\fP] \fB\-\-mac\-source\fP \fIaddress\fP | |
630 | +送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と | |
631 | +いう形式でなければならない。 イーサーネットデバイスから入ってくるパケッ | |
632 | +トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか | |
633 | +意味がない。 | |
634 | +.SS mark | |
635 | +このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、 以下の \fBMARK\fP | |
636 | +ターゲットで設定される)。 | |
637 | +.TP | |
638 | +[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
639 | +指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND) | |
640 | +がとられる)。 | |
641 | +.SS "mh (IPv6 の場合)" | |
642 | +この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。 | |
643 | +以下のオプションが提供される。 | |
644 | +.TP | |
645 | +[\fB!\fP] \fB\-\-mh\-type\fP \fItype\fP[\fB:\fP\fItype\fP] | |
646 | +Mobility Header (MH) タイプを指定できる。 タイプ指定には、 数値の MH タイプか、 以下のコマンドで表示される MH | |
647 | +タイプ名を指定できる。 | |
648 | +.nf | |
649 | + ip6tables \-p ipv6\-mh \-h | |
650 | +.fi | |
651 | +.SS multiport | |
652 | +このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2 | |
653 | +ポートとカウントされる。 このモジュールが使用できるのは \fB\-p tcp\fP か \fB\-p udp\fP と組み合わせた場合だけである。 | |
654 | +.TP | |
655 | +[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]... | |
656 | +送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。 | |
657 | +複数のポートやポート範囲がカンマ区切りで指定できる。 ポート範囲はコロン区切りで指定する。 したがって \fB53,1024:65535\fP はポート 53 | |
658 | +および 1024 から 65535 までの全ポートにマッチする。 | |
659 | +.TP | |
660 | +[\fB!\fP] \fB\-\-destination\-ports\fP,\fB\-\-dports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]... | |
661 | +宛先ポートが指定されたポートのうちのいずれかであればマッチする。 | |
662 | +フラグ \fB\-\-dports\fP は、 このオプションの便利な別名である。 | |
663 | +.TP | |
664 | +[\fB!\fP] \fB\-\-ports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]... | |
665 | +送信元ポートと宛先ポートの一方が指定されたポートのいずれか一つと等しければ、 マッチする。 | |
666 | +.SS nfacct | |
667 | +nfacct マッチングは iptable に拡張アカウンティング機構を提供する。 このマッチングモジュールはユーザー空間スタンドアロンユーティリティ | |
668 | +\fBnfacct\fP(8) と一緒に使う必要がある。 | |
669 | +.PP | |
670 | +以下のオプションだけがこのマッチングで使用できる。 | |
671 | +.TP | |
672 | +\fB\-\-nfacct\-name\fP \fIname\fP | |
673 | +このルールセットがマッチするトラフィック量を記録するのに使用する既存のオブジェクト名を指定する。 | |
674 | +.PP | |
675 | +この拡張を使用するには、アカウンティングオブジェクトを作成する必要があります。 | |
676 | +.IP | |
677 | +nfacct add http\-traffic | |
678 | +.PP | |
679 | +それから、iptables を使ってアカウンティングオブジェクトにトラフィックを関連付けます。 | |
680 | +.IP | |
681 | +iptables \-I INPUT \-p tcp \-\-sport 80 \-m nfacct \-\-nfacct\-name http\-traffic | |
682 | +.IP | |
683 | +iptables \-I OUTPUT \-p tcp \-\-dport 80 \-m nfacct \-\-nfacct\-name http\-traffic | |
684 | +.PP | |
685 | +そうすると、ルールにマッチしたトラフィック量をチェックできる。 | |
686 | +.IP | |
687 | +nfacct get http\-traffic | |
688 | +.IP | |
689 | +{ pkts = 00000000000000000156, bytes = 00000000000000151786 } = | |
690 | +http\-traffic; | |
691 | +.PP | |
692 | +\fBnfacct\fP(8) は http://www.netfilter.org もしくは git.netfilter.org リポジトリから入手できる。 | |
693 | +.SS osf | |
694 | +osf モジュールは受動的な OS (オペレーティングシステム) フィンガープリンティングを行う。 このモジュールは SYN | |
695 | +ビットがセットされたパケットのいくつかのデータ (Window Size, MSS, オプションとその順序, TTL, DF など) を比較する。 | |
696 | +.TP | |
697 | +[\fB!\fP] \fB\-\-genre\fP \fIstring\fP | |
698 | +受動的フィンガープリンティングでマッチさせるオペレーティングシステムのジャンル。 | |
699 | +.TP | |
700 | +\fB\-\-ttl\fP \fIlevel\fP | |
701 | +パケットに対して、オペレーティングシステムを判定するための追加の TTL チェックを行う。 \fIlevel\fP には以下の値のいずれを指定できる。 | |
702 | +.IP \(bu 4 | |
703 | +0 \- 本当の IP アドレスとフィンガープリント TTL の比較を行う。 一般に LAN で有効である。 | |
704 | +.IP \(bu 4 | |
705 | +1 \- IP ヘッダーの TTL がフィンガープリント TTL より小さいかチェックする。 グローバルにルーティング可能なアドレスで有効である。 | |
706 | +.IP \(bu 4 | |
707 | +2 \- TTL の比較を全く行わない。 | |
708 | +.TP | |
709 | +\fB\-\-log\fP \fIlevel\fP | |
710 | +判別したジャンルが期待するものと違う場合でもロギングするかどうか。 \fIlevel\fP には以下のいずれかを指定できる。 | |
711 | +.IP \(bu 4 | |
712 | +マッチしたシグネチャーと不明なシグネチャーをすべて記録する | |
713 | +.IP \(bu 4 | |
714 | +1 \- 最初にマッチしたもののみを記録する | |
715 | +.IP \(bu 4 | |
716 | +2 \- マッチした既知のシグネチャーをすべて記録する | |
717 | +.PP | |
718 | +syslog に以下のようなメッセージが記録される。 | |
719 | +.PP | |
720 | +Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 \-> | |
721 | +11.22.33.44:139 hops=3 Linux [2.5\-2.6:] : 1.2.3.4:42624 \-> 1.2.3.5:22 | |
722 | +hops=4 | |
723 | +.PP | |
724 | +OS フィンガープリントは \fBnfnl_osf\fP プログラムを使ってロードできる。 ファイルからフィンガープリントをロードするには以下のようにする。 | |
725 | +.PP | |
726 | +\fBnfnl_osf \-f /usr/share/xtables/pf.os\fP | |
727 | +.PP | |
728 | +再度削除するには以下のようにする。 | |
729 | +.PP | |
730 | +\fBnfnl_osf \-f /usr/share/xtables/pf.os \-d\fP | |
731 | +.PP | |
732 | +フィンガープリントデータベースは http://www.openbsd.org/cgi\-bin/cvsweb/src/etc/pf.os | |
733 | +からダウンロードできる。 | |
734 | +.SS owner | |
735 | +このモジュールは、 ローカルで生成されたパケットに対して、 パケット生成者の様々な特性に対するマッチを行う。 このマッチは OUTPUT チェインか | |
736 | +POSTROUTING チェインでのみ有効である。 転送パケットはどのソケットとも関連付けられていない。 | |
737 | +カーネルスレッドからのパケットには対応するソケットがあるが、 通常ソケットの所有者はいない。 | |
738 | +.TP | |
739 | +[\fB!\fP] \fB\-\-uid\-owner\fP \fIusername\fP | |
740 | +.TP | |
741 | +[\fB!\fP] \fB\-\-uid\-owner\fP \fIuserid\fP[\fB\-\fP\fIuserid\fP] | |
742 | +そのパケットのソケットのファイル構造体が存在し、ソケットの所有者が指定されたユーザーの場合にマッチする。 数値の UID や UID | |
743 | +の範囲を指定することもできる。 | |
744 | +.TP | |
745 | +[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupname\fP | |
746 | +.TP | |
747 | +[\fB!\fP] \fB\-\-gid\-owner\fP \fIgroupid\fP[\fB\-\fP\fIgroupid\fP] | |
748 | +そのパケットのソケットのファイル構造体の所有者が指定されたグループの場合にマッチする。 数値の GID や GID の範囲を指定することもできる。 | |
749 | +.TP | |
750 | +[\fB!\fP] \fB\-\-socket\-exists\fP | |
751 | +パケットがソケットに関連付けられている場合にマッチする。 | |
752 | +.SS physdev | |
753 | +このモジュールは、 ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、 ブリッジによる透過的な IP | |
754 | +ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。 | |
755 | +.TP | |
756 | +[\fB!\fP] \fB\-\-physdev\-in\fP \fIname\fP | |
757 | +パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。 | |
758 | +インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 | |
759 | +ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、 このオプションにマッチしない。 | |
760 | +.TP | |
761 | +[\fB!\fP] \fB\-\-physdev\-out\fP \fIname\fP | |
762 | +パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP | |
763 | +チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP | |
764 | +と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの | |
765 | +\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 | |
766 | +\&'!' が指定されていない限り、 パケットはこのオプションにマッチしない。 | |
767 | +.TP | |
768 | +[\fB!\fP] \fB\-\-physdev\-is\-in\fP | |
769 | +パケットがブリッジインターフェースに入った場合にマッチする。 | |
770 | +.TP | |
771 | +[\fB!\fP] \fB\-\-physdev\-is\-out\fP | |
772 | +パケットがブリッジインターフェースから出ようとした場合にマッチする。 | |
773 | +.TP | |
774 | +[\fB!\fP] \fB\-\-physdev\-is\-bridged\fP | |
775 | +パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING | |
776 | +チェインにおいてのみ役立つ。 | |
777 | +.SS pkttype | |
778 | +このモジュールは、 リンク層のパケットタイプにマッチする。 | |
779 | +.TP | |
780 | +[\fB!\fP] \fB\-\-pkt\-type\fP {\fBunicast\fP|\fBbroadcast\fP|\fBmulticast\fP} | |
781 | +.SS policy | |
782 | +このモジュールはパケットを処理する IPsec が使用するポリシーにマッチする。 | |
783 | +.TP | |
784 | +\fB\-\-dir\fP {\fBin\fP|\fBout\fP} | |
785 | +復号 (decapsulation) に使用するポリシーにマッチするか、カプセル化 (encapsulation) | |
786 | +に使用するポリシーにマッチするかを指定する。 \fBin\fP はチェイン \fBPREROUTING, INPUT, FORWARD\fP で有効で、 | |
787 | +\fBout\fP はチェイン \fBPOSTROUTING, OUTPUT, FORWARD\fP で有効である。 | |
788 | +.TP | |
789 | +\fB\-\-pol\fP {\fBnone\fP|\fBipsec\fP} | |
790 | +パケットが IPsec 処理対象であればマッチする。 \fB\-\-pol none\fP は \fB\-\-strict\fP と一緒に使用できない。 | |
791 | +.TP | |
792 | +\fB\-\-strict\fP | |
793 | +ポリシーが正確にマッチするか、指定したポリシーがポリシーのいずれかのルールにマッチするかを指定する。 | |
794 | +.PP | |
795 | +それぞれのポリシー要素を定義するのに、以下のオプション (複数可) を使用することができる。 \fB\-\-strict\fP | |
796 | +が有効になっている場合、各要素につき少なくともオプションを一つ指定しなければならない。 | |
797 | +.TP | |
798 | +[\fB!\fP] \fB\-\-reqid\fP \fIid\fP | |
799 | +ポリシールールの reqid にマッチする。 reqid は \fBsetkey\fP(8) でレベルとして \fBunique:id\fP を使って指定できる。 | |
800 | +.TP | |
801 | +[\fB!\fP] \fB\-\-spi\fP \fIspi\fP | |
802 | +SA の SPI にマッチする。 | |
803 | +.TP | |
804 | +[\fB!\fP] \fB\-\-proto\fP {\fBah\fP|\fBesp\fP|\fBipcomp\fP} | |
805 | +カプセル化プロトコルにマッチする。 | |
806 | +.TP | |
807 | +[\fB!\fP] \fB\-\-mode\fP {\fBtunnel\fP|\fBtransport\fP} | |
808 | +カプセル化モードにマッチする。 | |
809 | +.TP | |
810 | +[\fB!\fP] \fB\-\-tunnel\-src\fP \fIaddr\fP[\fB/\fP\fImask\fP] | |
811 | +トンネルモード SA の送信元エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。 | |
812 | +.TP | |
813 | +[\fB!\fP] \fB\-\-tunnel\-dst\fP \fIaddr\fP[\fB/\fP\fImask\fP] | |
814 | +トンネルモード SA の宛先エンドポイントアドレスにマッチする。 \fB\-\-mode tunnel\fP との組み合わせでのみ有効。 | |
815 | +.TP | |
816 | +\fB\-\-next\fP | |
817 | +ポリシー定義の次の要素から開始する。 \fB\-\-strict\fP との組み合わせでのみ使用できる。 | |
818 | +.SS quota | |
819 | +Implements network quotas by decrementing a byte counter with each | |
820 | +packet. The condition matches until the byte counter reaches zero. Behavior | |
821 | +is reversed with negation (i.e. the condition does not match until the byte | |
822 | +counter reaches zero). | |
823 | +.TP | |
824 | +[\fB!\fP] \fB\-\-quota\fP \fIbytes\fP | |
825 | +バイト単位のクォータ。 | |
826 | +.SS rateest | |
827 | +レート推測器 (rate estimator) は RATEEST ターゲットで収集された推定レートにマッチする。 bps/pps | |
828 | +の絶対値に対するマッチング、 2 つのレート推測器の比較、 2 つのレート推測器の差分に対するマッチングをサポートしている。 | |
829 | +.PP | |
830 | +.\" * Absolute: | |
831 | +利用可能なオプションが分かりやすいように、すべての可能な組み合わせを以下に示す。 | |
832 | +.IP \(bu 4 | |
833 | +\fBrateest\fP \fIoperator\fP \fBrateest\-bps\fP | |
834 | +.IP \(bu 4 | |
835 | +.\" * Absolute + Delta: | |
836 | +\fBrateest\fP \fIoperator\fP \fBrateest\-pps\fP | |
837 | +.IP \(bu 4 | |
838 | +(\fBrateest\fP minus \fBrateest\-bps1\fP) \fIoperator\fP \fBrateest\-bps2\fP | |
839 | +.IP \(bu 4 | |
840 | +.\" * Relative: | |
841 | +(\fBrateest\fP minus \fBrateest\-pps1\fP) \fIoperator\fP \fBrateest\-pps2\fP | |
842 | +.IP \(bu 4 | |
843 | +\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-bps\fP(without rate!) | |
844 | +.IP \(bu 4 | |
845 | +.\" * Relative + Delta: | |
846 | +\fBrateest1\fP \fIoperator\fP \fBrateest2\fP \fBrateest\-pps\fP(without rate!) | |
847 | +.IP \(bu 4 | |
848 | +(\fBrateest1\fP minus \fBrateest\-bps1\fP) \fIoperator\fP (\fBrateest2\fP minus | |
849 | +\fBrateest\-bps2\fP) | |
850 | +.IP \(bu 4 | |
851 | +(\fBrateest1\fP minus \fBrateest\-pps1\fP) \fIoperator\fP (\fBrateest2\fP minus | |
852 | +\fBrateest\-pps2\fP) | |
853 | +.TP | |
854 | +\fB\-\-rateest\-delta\fP | |
855 | +(絶対モードでも相対モードでも) 各レート推測器について、 レート推測器が推測したフローレートと BPS/PPS | |
856 | +オプションで指定された固定値の差分を計算する。 フローレートが指定された BPS/PPS よりも大きい場合、 負の値ではなく 0 が代わりに使用される。 | |
857 | +つまり "max(0, rateest#_rate \- rateest#_bps)" が使用される。 | |
858 | +.TP | |
859 | +[\fB!\fP] \fB\-\-rateest\-lt\fP | |
860 | +レートが指定されたレートかレート推測器のレートよりも低い場合にマッチする。 | |
861 | +.TP | |
862 | +[\fB!\fP] \fB\-\-rateest\-gt\fP | |
863 | +レートが指定されたレートかレート推測器のレートよりも高い場合にマッチする。 | |
864 | +.TP | |
865 | +[\fB!\fP] \fB\-\-rateest\-eq\fP | |
866 | +レートが指定されたレートかレート推測器のレートと等しい場合にマッチする。 | |
867 | +.PP | |
868 | +いわゆる「絶対モード」では、使用できるレート推測器は一つだけであり、固定値に対する比較だけができる。一方、「相対モード」では、2 | |
869 | +つのレート推測器が使用でき、レート推測器どうしの比較ができる。 | |
870 | +.TP | |
871 | +\fB\-\-rateest\fP \fIname\fP | |
872 | +絶対モードで使用するレート推測器の名前 | |
873 | +.TP | |
874 | +\fB\-\-rateest1\fP \fIname\fP | |
875 | +.TP | |
876 | +\fB\-\-rateest2\fP \fIname\fP | |
877 | +相対モードで使用する 2 つレート推測器の名前 | |
878 | +.TP | |
879 | +\fB\-\-rateest\-bps\fP [\fIvalue\fP] | |
880 | +.TP | |
881 | +\fB\-\-rateest\-pps\fP [\fIvalue\fP] | |
882 | +.TP | |
883 | +\fB\-\-rateest\-bps1\fP [\fIvalue\fP] | |
884 | +.TP | |
885 | +\fB\-\-rateest\-bps2\fP [\fIvalue\fP] | |
886 | +.TP | |
887 | +\fB\-\-rateest\-pps1\fP [\fIvalue\fP] | |
888 | +.TP | |
889 | +\fB\-\-rateest\-pps2\fP [\fIvalue\fP] | |
890 | +レート推測器と指定した値を、秒間のバイト数またはパケット数で比較する。 どのオプションがどの場合に使用できるかは上の箇条書きのリストを見てほしい。 | |
891 | +単位を示す接尾辞を付けることができる。 bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps, [KMGT]iBps | |
892 | +が使用できる。 | |
893 | +.PP | |
894 | +例: この機能を、データコネクションの開始時に利用可能帯域に基づいて、 FTP サーバーからの出力データコネクションを 2 | |
895 | +つの回線に振り分けるのに使用する場合。 | |
896 | +.PP | |
897 | +# 出力レートを推定する | |
898 | +.PP | |
899 | +iptables \-t mangle \-A POSTROUTING \-o eth0 \-j RATEEST \-\-rateest\-name eth0 | |
900 | +\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s | |
901 | +.PP | |
902 | +iptables \-t mangle \-A POSTROUTING \-o ppp0 \-j RATEEST \-\-rateest\-name ppp0 | |
903 | +\-\-rateest\-interval 250ms \-\-rateest\-ewma 0.5s | |
904 | +.PP | |
905 | +# 利用可能帯域に基づいてマーキングを行う | |
906 | +.PP | |
907 | +iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper | |
908 | +ftp \-m rateest \-\-rateest\-delta \-\-rateest1 eth0 \-\-rateest\-bps1 2.5mbit | |
909 | +\-\-rateest\-gt \-\-rateest2 ppp0 \-\-rateest\-bps2 2mbit \-j CONNMARK \-\-set\-mark 1 | |
910 | +.PP | |
911 | +iptables \-t mangle \-A balance \-m conntrack \-\-ctstate NEW \-m helper \-\-helper | |
912 | +ftp \-m rateest \-\-rateest\-delta \-\-rateest1 ppp0 \-\-rateest\-bps1 2mbit | |
913 | +\-\-rateest\-gt \-\-rateest2 eth0 \-\-rateest\-bps2 2.5mbit \-j CONNMARK \-\-set\-mark 2 | |
914 | +.PP | |
915 | +iptables \-t mangle \-A balance \-j CONNMARK \-\-restore\-mark | |
916 | +.SS "realm (IPv4 の場合)" | |
917 | +This matches the routing realm. Routing realms are used in complex routing | |
918 | +setups involving dynamic routing protocols like BGP. | |
919 | +.TP | |
920 | +[\fB!\fP] \fB\-\-realm\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
921 | +Matches a given realm number (and optionally mask). If not a number, value | |
922 | +can be a named realm from /etc/iproute2/rt_realms (mask can not be used in | |
923 | +that case). | |
924 | +.SS recent | |
925 | +IP アドレスのリストを動的に作成し、このリストに対するマッチングをいくつかの方法で行う。 | |
926 | +.PP | |
927 | +例えば、 あなたのファイアウォールの 139 番ポートに接続しようとした「悪ガキ」リストを作成し、 | |
928 | +そのアドレスからのこれ以降のすべてのパケットを「廃棄」する。 | |
929 | +.PP | |
930 | +\fB\-\-set\fP, \fB\-\-rcheck\fP, \fB\-\-update\fP, \fB\-\-remove\fP は同時に使用できない。 | |
931 | +.TP | |
932 | +\fB\-\-name\fP \fIname\fP | |
933 | +コマンドで使用するリストを指定する。名前が指定されなかった場合 \fBDEFAULT\fP が使用される。 | |
934 | +.TP | |
935 | +[\fB!\fP] \fB\-\-set\fP | |
936 | +リストにパケットの送信元アドレスを追加する。 その送信元アドレスがすでにリストにある場合は、既存のエントリーを更新する。 常に成功を返す (\fB!\fP | |
937 | +が指定されている場合は常に失敗を返す)。 | |
938 | +.TP | |
939 | +\fB\-\-rsource\fP | |
940 | +recent リストのテーブルの照合/保存で、各パケットの送信元アドレスを使う。 これがデフォルトである。 | |
941 | +.TP | |
942 | +\fB\-\-rdest\fP | |
943 | +recent リストのテーブルの照合/保存で、各パケットの宛先アドレスを使う。 | |
944 | +.TP | |
945 | +\fB\-\-mask\fPnetmask | |
946 | +この recent リストに適用するネットマスク。 | |
947 | +.TP | |
948 | +[\fB!\fP] \fB\-\-rcheck\fP | |
949 | +このパケットの送信元アドレスが現在リストに含まれるかをチェックする。 | |
950 | +.TP | |
951 | +[\fB!\fP] \fB\-\-update\fP | |
952 | +\fB\-\-rcheck\fP と同じだが、 このオプションではマッチした場合に "last seen" タイムスタンプを更新する。 | |
953 | +.TP | |
954 | +[\fB!\fP] \fB\-\-remove\fP | |
955 | +パケットの送信元アドレスが現在リストに含まれているかをチェックし、 含まれている場合、そのアドレスをリストから削除し、ルールは true を返す。 | |
956 | +アドレスが含まれない場合、false を返す。 | |
957 | +.TP | |
958 | +\fB\-\-seconds\fP \fIseconds\fP | |
959 | +このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、 | |
960 | +アドレスがリストに含まれ、かつそのアドレスが直近の指定された秒数以内に観測された場合にのみ、 マッチするようになる。 | |
961 | +.TP | |
962 | +\fB\-\-reap\fP | |
963 | +このオプションは \fB\-\-seconds\fP との組み合わせでのみ使用できる。 使用された場合、 最後に指定された秒数より古いエントリーを破棄する。 | |
964 | +.TP | |
965 | +\fB\-\-hitcount\fP \fIhits\fP | |
966 | +このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせて使用しなければならない。 使用された場合、 | |
967 | +アドレスがリストに含まれ、受信されたパケット数が指定した値以上の場合にのみマッチするようになる。 このオプションは \fB\-\-seconds\fP | |
968 | +と共に使用することもでき、 その場合は指定された時間内のヒット数に対して照合を行う。 hitcount パラメータの最大値は xt_recent | |
969 | +カーネルモードの "ip_pkt_list_tot" パラメータで規定される。 | |
970 | +このコマンドリストでこの値よりも大きな値を指定すると、そのルールは拒否される。 | |
971 | +.TP | |
972 | +\fB\-\-rttl\fP | |
973 | +このオプションは \fB\-\-rcheck\fP か \fB\-\-update\fP との組み合わせでのみ使用できる。 使用された場合、 | |
974 | +アドレスがリストに含まれ、かつ現在のパケットの TTL が \fB\-\-set\fP ルールにヒットしたパケットの TTL | |
975 | +にマッチする場合にのみマッチするようになる。 このオプションは、 | |
976 | +送信元アドレスを偽装する人が偽りのパケットを送信して、このモジュールを使ってあなたのサイトへの他のアクセスができないようにする DoS | |
977 | +攻撃がある場合などに役に立つかもしれない。 | |
978 | +.PP | |
979 | +例: | |
980 | +.IP | |
981 | +iptables \-A FORWARD \-m recent \-\-name badguy \-\-rcheck \-\-seconds 60 \-j DROP | |
982 | +.IP | |
983 | +iptables \-A FORWARD \-p tcp \-i eth0 \-\-dport 139 \-m recent \-\-name badguy \-\-set | |
984 | +\-j DROP | |
985 | +.PP | |
986 | +Steve の ipt_recent ウェブサイト (http://snowman.net/projects/ipt_recent/) | |
987 | +にも使用例がいくつかある。 | |
988 | +.PP | |
989 | +\fB/proc/net/xt_recent/*\fP は現在のアドレスのリストと各リストの各エントリーの情報である。 | |
990 | +.PP | |
991 | +\fB/proc/net/xt_recent/\fP の各ファイルは、読み出して現在のリストを確認することができる。 また、以下のコマンドを使って、 | |
992 | +これらのファイルに書き込んでリストを変更することができる。 | |
993 | +.TP | |
994 | +\fBecho +\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP | |
995 | +DEFAULT リストに \fIaddr\fP を追加する | |
996 | +.TP | |
997 | +\fBecho \-\fP\fIaddr\fP\fB >/proc/net/xt_recent/DEFAULT\fP | |
998 | +DEFAULT リストから \fIaddr\fP を削除する | |
999 | +.TP | |
1000 | +\fBecho / >/proc/net/xt_recent/DEFAULT\fP | |
1001 | +DEFAULT リストをフラッシュ (全エントリーを削除) する | |
1002 | +.PP | |
1003 | +モジュール自体もパラメーターを取り、デフォルトは以下の通りである。 | |
1004 | +.TP | |
1005 | +\fBip_list_tot\fP=\fI100\fP | |
1006 | +テーブル単位の記録アドレス数。 | |
1007 | +.TP | |
1008 | +\fBip_pkt_list_tot\fP=\fI20\fP | |
1009 | +アドレス単位の記録パケット数。 | |
1010 | +.TP | |
1011 | +\fBip_list_hash_size\fP=\fI0\fP | |
1012 | +ハッシュテーブルサイズ。 0 は ip_list_tot に基づいて計算することを意味する。 デフォルトは 512。 | |
1013 | +.TP | |
1014 | +\fBip_list_perms\fP=\fI0644\fP | |
1015 | +/proc/net/xt_recent/* ファイルのアクセス許可モード。 | |
1016 | +.TP | |
1017 | +\fBip_list_uid\fP=\fI0\fP | |
1018 | +/proc/net/xt_recent/* ファイルの数値 ID での所有者。 | |
1019 | +.TP | |
1020 | +\fBip_list_gid\fP=\fI0\fP | |
1021 | +/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。 | |
1022 | +.SS rpfilter | |
1023 | +Performs a reverse path filter test on a packet. If a reply to the packet | |
1024 | +would be sent via the same interface that the packet arrived on, the packet | |
1025 | +will match. Note that, unlike the in\-kernel rp_filter, packets protected by | |
1026 | +IPSec are not treated specially. Combine this match with the policy match | |
1027 | +if you want this. Also, packets arriving via the loopback interface are | |
1028 | +always permitted. This match can only be used in the PREROUTING chain of | |
1029 | +the raw or mangle table. | |
1030 | +.TP | |
1031 | +\fB\-\-loose\fP | |
1032 | +Used to specifiy that the reverse path filter test should match even if the | |
1033 | +selected output device is not the expected one. | |
1034 | +.TP | |
1035 | +\fB\-\-validmark\fP | |
1036 | +Also use the packets' nfmark value when performing the reverse path route | |
1037 | +lookup. | |
1038 | +.TP | |
1039 | +\fB\-\-accept\-local\fP | |
1040 | +This will permit packets arriving from the network with a source address | |
1041 | +that is also assigned to the local machine. | |
1042 | +.TP | |
1043 | +\fB\-\-invert\fP | |
1044 | +This will invert the sense of the match. Instead of matching packets that | |
1045 | +passed the reverse path filter test, match those that have failed it. | |
1046 | +.PP | |
1047 | +Example to log and drop packets failing the reverse path filter test: | |
1048 | + | |
1049 | +iptables \-t raw \-N RPFILTER | |
1050 | + | |
1051 | +iptables \-t raw \-A RPFILTER \-m rpfilter \-j RETURN | |
1052 | + | |
1053 | +iptables \-t raw \-A RPFILTER \-m limit \-\-limit 10/minute \-j NFLOG | |
1054 | +\-\-nflog\-prefix "rpfilter drop" | |
1055 | + | |
1056 | +iptables \-t raw \-A RPFILTER \-j DROP | |
1057 | + | |
1058 | +iptables \-t raw \-A PREROUTING \-j RPFILTER | |
1059 | + | |
1060 | +失敗したパケットをドロップするが、ロギングを行わない例 | |
1061 | + | |
1062 | +iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP | |
1063 | +.SS "rt (IPv6 の場合)" | |
1064 | +IPv6 ルーティングヘッダーに対してマッチする。 | |
1065 | +.TP | |
1066 | +[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP | |
1067 | +指定したタイプ (数値) にマッチする。 | |
1068 | +.TP | |
1069 | +[\fB!\fP] \fB\-\-rt\-segsleft\fP \fInum\fP[\fB:\fP\fInum\fP] | |
1070 | +`segments left' フィールド (範囲) にマッチする。 | |
1071 | +.TP | |
1072 | +[\fB!\fP] \fB\-\-rt\-len\fP \fIlength\fP | |
1073 | +このヘッダーの長さにマッチする。 | |
1074 | +.TP | |
1075 | +\fB\-\-rt\-0\-res\fP | |
1076 | +予約フィールド (type=0) にもマッチする。 | |
1077 | +.TP | |
1078 | +\fB\-\-rt\-0\-addrs\fP \fIaddr\fP[\fB,\fP\fIaddr\fP...] | |
1079 | +type=0 のアドレス (リスト) にマッチする。 | |
1080 | +.TP | |
1081 | +\fB\-\-rt\-0\-not\-strict\fP | |
1082 | +type=0 のアドレスのリストは厳密なリストではない。 | |
1083 | +.SS sctp | |
1084 | +.TP | |
1085 | +[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1086 | +.TP | |
1087 | +[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1088 | +.TP | |
1089 | +[\fB!\fP] \fB\-\-chunk\-types\fP {\fBall\fP|\fBany\fP|\fBonly\fP} \fIchunktype\fP[\fB:\fP\fIflags\fP] [...] | |
1090 | +大文字のフラグ文字はそのフラグがセットされている場合にマッチし、 小文字のフラグ文字はセットされていない場合にマッチすることを指示する。 | |
1091 | + | |
1092 | +チャンク種別: DATA INIT INIT_ACK SACK HEARTBEAT HEARTBEAT_ACK ABORT SHUTDOWN | |
1093 | +SHUTDOWN_ACK ERROR COOKIE_ECHO COOKIE_ACK ECN_ECNE ECN_CWR SHUTDOWN_COMPLETE | |
1094 | +ASCONF ASCONF_ACK FORWARD_TSN | |
1095 | + | |
1096 | +チャンク種別で利用可能なフラグ | |
1097 | +.br | |
1098 | +DATA I U B E i u b e | |
1099 | +.br | |
1100 | +ABORT T t | |
1101 | +.br | |
1102 | +SHUTDOWN_COMPLETE T t | |
1103 | + | |
1104 | +(小文字はフラグを「オフ」にすることを、大文字は「オン」にすることを意味する) | |
1105 | +.P | |
1106 | +例: | |
1107 | + | |
1108 | +iptables \-A INPUT \-p sctp \-\-dport 80 \-j DROP | |
1109 | + | |
1110 | +iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA,INIT \-j DROP | |
1111 | + | |
1112 | +iptables \-A INPUT \-p sctp \-\-chunk\-types any DATA:Be \-j ACCEPT | |
1113 | +.SS set | |
1114 | +このモジュールは \fBipsec\fP(8) で定義できる IP 集合にマッチする。 | |
1115 | +.TP | |
1116 | +[\fB!\fP] \fB\-\-match\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP]... | |
1117 | +where flags are the comma separated list of \fBsrc\fP and/or \fBdst\fP | |
1118 | +specifications and there can be no more than six of them. Hence the command | |
1119 | +.IP | |
1120 | + iptables \-A FORWARD \-m set \-\-match\-set test src,dst | |
1121 | +.IP | |
1122 | +will match packets, for which (if the set type is ipportmap) the source | |
1123 | +address and destination port pair can be found in the specified set. If the | |
1124 | +set type of the specified set is single dimension (for example ipmap), then | |
1125 | +the command will match packets for which the source address can be found in | |
1126 | +the specified set. | |
1127 | +.TP | |
1128 | +\fB\-\-return\-\-nomatch\fP | |
1129 | +If the \fB\-\-return\-\-nomatch\fP option is specified and the set type supports | |
1130 | +the \fBnomatch\fP flag, then the matching is reversed: a match with an element | |
1131 | +flagged with \fBnomatch\fP returns \fBtrue\fP, while a match with a plain element | |
1132 | +returns \fBfalse\fP. | |
1133 | +.PP | |
1134 | +The option \fB\-\-match\-set\fP can be replaced by \fB\-\-set\fP if that does not clash | |
1135 | +with an option of other extensions. | |
1136 | +.PP | |
1137 | +Use of \-m set requires that ipset kernel support is provided, which, for | |
1138 | +standard kernels, is the case since Linux 2.6.39. | |
1139 | +.SS socket | |
1140 | +This matches if an open socket can be found by doing a socket lookup on the | |
1141 | +packet. | |
1142 | +.TP | |
1143 | +\fB\-\-transparent\fP | |
1144 | +非透過 (non\-transparent) ソケットを無視する。 | |
1145 | +.SS state | |
1146 | +"state" 拡張は "conntrack" モジュールのサブセットである。 "state" を使うと、 | |
1147 | +パケットについてのコネクション追跡状態を参照できる。 | |
1148 | +.TP | |
1149 | +[\fB!\fP] \fB\-\-state\fP \fIstate\fP | |
1150 | +Where state is a comma separated list of the connection states to | |
1151 | +match. Only a subset of the states unterstood by "conntrack" are recognized: | |
1152 | +\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP or \fBUNTRACKED\fP. For their | |
1153 | +description, see the "conntrack" heading in this manpage. | |
1154 | +.SS statistic | |
1155 | +このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。 | |
1156 | +.PP | |
1157 | +サポートされているオプション: | |
1158 | +.TP | |
1159 | +\fB\-\-mode\fP \fImode\fP | |
1160 | +マッチングルールのマッチングモードを設定する。 サポートされているモードは \fBrandom\fP と \fBnth\fP である。 | |
1161 | +.TP | |
1162 | +[\fB!\fP] \fB\-\-probability\fP \fIp\fP | |
1163 | +ランダムにパケットがマッチする確率を設定する。 \fBrandom\fP モードでのみ機能する。 \fIp\fP は 0.0 と 1.0 の範囲でなければならない。 | |
1164 | +サポートされている粒度は 1/2147483648 である。 | |
1165 | +.TP | |
1166 | +[\fB!\fP] \fB\-\-every\fP \fIn\fP | |
1167 | +n パケットに 1 つマッチする。 \fBnth\fP モードでのみ機能する (\fB\-\-packet\fP オプションも参照)。 | |
1168 | +.TP | |
1169 | +\fB\-\-packet\fP \fIp\fP | |
1170 | +\fBnth\fP モードでカウンターの初期値を設定する (0 <= p <= n\-1, デフォルトは 0)。 | |
1171 | +.SS string | |
1172 | +このモジュールは、いくつかのパターンマッチ手法を用いて指定された文字列とのマッチを行う。 Linux カーネル 2.6.14 以上が必要である。 | |
1173 | +.TP | |
1174 | +\fB\-\-algo\fP {\fBbm\fP|\fBkmp\fP} | |
1175 | +パターンマッチング手法を選択する (bm = Boyer\-Moore, kmp = Knuth\-Pratt\-Morris) | |
1176 | +.TP | |
1177 | +\fB\-\-from\fP \fIoffset\fP | |
1178 | +マッチングの検索を開始するオフセットを設定する。 指定されなかった場合のデフォルトは 0 である。 | |
1179 | +.TP | |
1180 | +\fB\-\-to\fP \fIoffset\fP | |
1181 | +検索を終了するオフセットを設定する。 バイト \fIoffset\fP\-1 (バイト番号は 0 から開始) が検索範囲の最終バイトとなる。 | |
1182 | +指定されなかった場合、デフォルトはパケットサイズである。 | |
1183 | +.TP | |
1184 | +[\fB!\fP] \fB\-\-string\fP \fIpattern\fP | |
1185 | +指定されたパターンにマッチする。 | |
1186 | +.TP | |
1187 | +[\fB!\fP] \fB\-\-hex\-string\fP \fIpattern\fP | |
1188 | +指定された 16 進表記のパターンにマッチする。 | |
1189 | +.SS tcp | |
1190 | +これらの拡張は `\-\-protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される: | |
1191 | +.TP | |
1192 | +[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1193 | +送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 \fIfirst\fP\fB:\fP\fIlast\fP という形式で、 2 | |
1194 | +つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 "0" を仮定する。 最後のポートを省略した場合、 "65535" | |
1195 | +を仮定する。 最初のポートが最後のポートより大きい場合、 2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、 | |
1196 | +このオプションの便利な別名である。 | |
1197 | +.TP | |
1198 | +[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1199 | +宛先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、 このオプションの便利な別名である。 | |
1200 | +.TP | |
1201 | +[\fB!\fP] \fB\-\-tcp\-flags\fP \fImask\fP \fIcomp\fP | |
1202 | +TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数 \fImask\fP は評価対象とするフラグで、 コンマ区切りのリストである。 第 | |
1203 | +2 引き数 \fIcomp\fP は必ず設定しなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは \fBSYN ACK FIN RST | |
1204 | +URG PSH ALL NONE\fP である。 よって、 コマンド | |
1205 | +.nf | |
1206 | + iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN | |
1207 | +.fi | |
1208 | +は、 SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。 | |
1209 | +.TP | |
1210 | +[\fB!\fP] \fB\-\-syn\fP | |
1211 | +SYN ビットが設定され ACK, RST, FIN ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP | |
1212 | +コネクションの開始要求に使われる。 例えば、 あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP | |
1213 | +コネクションは禁止されるが、 外側への TCP コネクションには影響しない。 これは \fB\-\-tcp\-flags SYN,RST,ACK,FIN | |
1214 | +SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ | |
1215 | +を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている | |
1216 | +TCP パケットにのみマッチする。 | |
1217 | +.TP | |
1218 | +[\fB!\fP] \fB\-\-tcp\-option\fP \fInumber\fP | |
1219 | +TCP オプションが設定されている場合にマッチする。 | |
1220 | +.SS tcpmss | |
1221 | +TCP ヘッダーの TCP MSS (maximum segment size) フィールドにマッチする。 TCP の SYN パケットか | |
1222 | +SYN/ACK パケットに対してのみ利用できる。 MSS のネゴシエーションはコネクション開始時の TCP ハンドシェイク中だけだからである。 | |
1223 | +.TP | |
1224 | +[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP] | |
1225 | +指定された TCP MSS 値か範囲にマッチする。 | |
1226 | +.SS time | |
1227 | +This matches if the packet arrival time/date is within a given range. All | |
1228 | +options are optional, but are ANDed when specified. All times are | |
1229 | +interpreted as UTC by default. | |
1230 | +.TP | |
1231 | +\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]] | |
1232 | +.TP | |
1233 | +\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]] | |
1234 | +Only match during the given time, which must be in ISO 8601 "T" notation. | |
1235 | +The possible time range is 1970\-01\-01T00:00:00 to 2038\-01\-19T04:17:07. | |
1236 | +.IP | |
1237 | +If \-\-datestart or \-\-datestop are not specified, it will default to | |
1238 | +1970\-01\-01 and 2038\-01\-19, respectively. | |
1239 | +.TP | |
1240 | +\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP] | |
1241 | +.TP | |
1242 | +\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP] | |
1243 | +Only match during the given daytime. The possible time range is 00:00:00 to | |
1244 | +23:59:59. Leading zeroes are allowed (e.g. "06:03") and correctly | |
1245 | +interpreted as base\-10. | |
1246 | +.TP | |
1247 | +[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...] | |
1248 | +Only match on the given days of the month. Possible values are \fB1\fP to | |
1249 | +\fB31\fP. Note that specifying \fB31\fP will of course not match on months which | |
1250 | +do not have a 31st day; the same goes for 28\- or 29\-day February. | |
1251 | +.TP | |
1252 | +[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...] | |
1253 | +Only match on the given weekdays. Possible values are \fBMon\fP, \fBTue\fP, | |
1254 | +\fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP, or values from \fB1\fP to \fB7\fP, | |
1255 | +respectively. You may also use two\-character variants (\fBMo\fP, \fBTu\fP, etc.). | |
1256 | +.TP | |
1257 | +\fB\-\-contiguous\fP | |
1258 | +When \fB\-\-timestop\fP is smaller than \fB\-\-timestart\fP value, match this as a | |
1259 | +single time period instead distinct intervals. See EXAMPLES. | |
1260 | +.TP | |
1261 | +\fB\-\-kerneltz\fP | |
1262 | +Use the kernel timezone instead of UTC to determine whether a packet meets | |
1263 | +the time regulations. | |
1264 | +.PP | |
1265 | +About kernel timezones: Linux keeps the system time in UTC, and always does | |
1266 | +so. On boot, system time is initialized from a referential time | |
1267 | +source. Where this time source has no timezone information, such as the x86 | |
1268 | +CMOS RTC, UTC will be assumed. If the time source is however not in UTC, | |
1269 | +userspace should provide the correct system time and timezone to the kernel | |
1270 | +once it has the information. | |
1271 | +.PP | |
1272 | +Local time is a feature on top of the (timezone independent) system | |
1273 | +time. Each process has its own idea of local time, specified via the TZ | |
1274 | +environment variable. The kernel also has its own timezone offset | |
1275 | +variable. The TZ userspace environment variable specifies how the UTC\-based | |
1276 | +system time is displayed, e.g. when you run date(1), or what you see on your | |
1277 | +desktop clock. The TZ string may resolve to different offsets at different | |
1278 | +dates, which is what enables the automatic time\-jumping in userspace. when | |
1279 | +DST changes. The kernel's timezone offset variable is used when it has to | |
1280 | +convert between non\-UTC sources, such as FAT filesystems, to UTC (since the | |
1281 | +latter is what the rest of the system uses). | |
1282 | +.PP | |
1283 | +The caveat with the kernel timezone is that Linux distributions may ignore | |
1284 | +to set the kernel timezone, and instead only set the system time. Even if a | |
1285 | +particular distribution does set the timezone at boot, it is usually does | |
1286 | +not keep the kernel timezone offset \- which is what changes on DST \- up to | |
1287 | +date. ntpd will not touch the kernel timezone, so running it will not | |
1288 | +resolve the issue. As such, one may encounter a timezone that is always | |
1289 | ++0000, or one that is wrong half of the time of the year. As such, \fBusing | |
1290 | +\-\-kerneltz is highly discouraged.\fP | |
1291 | +.PP | |
1292 | +EXAMPLES. To match on weekends, use: | |
1293 | +.IP | |
1294 | +\-m time \-\-weekdays Sa,Su | |
1295 | +.PP | |
1296 | +Or, to match (once) on a national holiday block: | |
1297 | +.IP | |
1298 | +\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27 | |
1299 | +.PP | |
1300 | +Since the stop time is actually inclusive, you would need the following stop | |
1301 | +time to not match the first second of the new day: | |
1302 | +.IP | |
1303 | +\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59 | |
1304 | +.PP | |
1305 | +During lunch hour: | |
1306 | +.IP | |
1307 | +\-m time \-\-timestart 12:30 \-\-timestop 13:30 | |
1308 | +.PP | |
1309 | +The fourth Friday in the month: | |
1310 | +.IP | |
1311 | +\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28 | |
1312 | +.PP | |
1313 | +(Note that this exploits a certain mathematical property. It is not possible | |
1314 | +to say "fourth Thursday OR fourth Friday" in one rule. It is possible with | |
1315 | +multiple rules, though.) | |
1316 | +.PP | |
1317 | +Matching across days might not do what is expected. For instance, | |
1318 | +.IP | |
1319 | +\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 Will match Monday, | |
1320 | +for one hour from midnight to 1 a.m., and then again for another hour from | |
1321 | +23:00 onwards. If this is unwanted, e.g. if you would like 'match for two | |
1322 | +hours from Montay 23:00 onwards' you need to also specify the \-\-contiguous | |
1323 | +option in the example above. | |
1324 | +.SS tos | |
1325 | +このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6 | |
1326 | +ヘッダーの (8 ビットの) Priority フィールドにマッチする。 | |
1327 | +.TP | |
1328 | +[\fB!\fP] \fB\-\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
1329 | +指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。 | |
1330 | +.TP | |
1331 | +[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP | |
1332 | +You can specify a symbolic name when using the tos match for IPv4. The list | |
1333 | +of recognized TOS names can be obtained by calling iptables with \fB\-m tos | |
1334 | +\-h\fP. Note that this implies a mask of 0x3F, i.e. all but the ECN bits. | |
1335 | +.SS "ttl (IPv4 の場合)" | |
1336 | +このモジュールは IP ヘッダーの time to live フィールドにマッチする。 | |
1337 | +.TP | |
1338 | +[\fB!\fP] \fB\-\-ttl\-eq\fP \fIttl\fP | |
1339 | +指定された TTL 値にマッチする。 | |
1340 | +.TP | |
1341 | +\fB\-\-ttl\-gt\fP \fIttl\fP | |
1342 | +TTL が指定された TTL 値より大きければマッチする。 | |
1343 | +.TP | |
1344 | +\fB\-\-ttl\-lt\fP \fIttl\fP | |
1345 | +TTL が指定された TTL 値より小さければマッチする。 | |
1346 | +.SS u32 | |
1347 | +U32 tests whether quantities of up to 4 bytes extracted from a packet have | |
1348 | +specified values. The specification of what to extract is general enough to | |
1349 | +find data at given offsets from tcp headers or payloads. | |
1350 | +.TP | |
1351 | +[\fB!\fP] \fB\-\-u32\fP \fItests\fP | |
1352 | +The argument amounts to a program in a small language described below. | |
1353 | +.IP | |
1354 | +tests := location "=" value | tests "&&" location "=" value | |
1355 | +.IP | |
1356 | +value := range | value "," range | |
1357 | +.IP | |
1358 | +range := number | number ":" number | |
1359 | +.PP | |
1360 | +a single number, \fIn\fP, is interpreted the same as \fIn:n\fP. \fIn:m\fP is | |
1361 | +interpreted as the range of numbers \fB>=n\fP and \fB<=m\fP. | |
1362 | +.IP "" 4 | |
1363 | +location := number | location operator number | |
1364 | +.IP "" 4 | |
1365 | +operator := "&" | "<<" | ">>" | "@" | |
1366 | +.PP | |
1367 | +The operators \fB&\fP, \fB<<\fP, \fB>>\fP and \fB&&\fP mean the same as | |
1368 | +in C. The \fB=\fP is really a set membership operator and the value syntax | |
1369 | +describes a set. The \fB@\fP operator is what allows moving to the next header | |
1370 | +and is described further below. | |
1371 | +.PP | |
1372 | +There are currently some artificial implementation limits on the size of the | |
1373 | +tests: | |
1374 | +.IP " *" | |
1375 | +no more than 10 of "\fB=\fP" (and 9 "\fB&&\fP"s) in the u32 argument | |
1376 | +.IP " *" | |
1377 | +no more than 10 ranges (and 9 commas) per value | |
1378 | +.IP " *" | |
1379 | +no more than 10 numbers (and 9 operators) per location | |
1380 | +.PP | |
1381 | +To describe the meaning of location, imagine the following machine that | |
1382 | +interprets it. There are three registers: | |
1383 | +.IP | |
1384 | +A is of type \fBchar *\fP, initially the address of the IP header | |
1385 | +.IP | |
1386 | +B and C are unsigned 32 bit integers, initially zero | |
1387 | +.PP | |
1388 | +The instructions are: | |
1389 | +.IP | |
1390 | +number B = number; | |
1391 | +.IP | |
1392 | +C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) + | |
1393 | +*(A+B+3) | |
1394 | +.IP | |
1395 | +&number C = C & number | |
1396 | +.IP | |
1397 | +<< number C = C << number | |
1398 | +.IP | |
1399 | +>> number C = C >> number | |
1400 | +.IP | |
1401 | +@number A = A + C; then do the instruction number | |
1402 | +.PP | |
1403 | +Any access of memory outside [skb\->data,skb\->end] causes the match | |
1404 | +to fail. Otherwise the result of the computation is the final value of C. | |
1405 | +.PP | |
1406 | +Whitespace is allowed but not required in the tests. However, the characters | |
1407 | +that do occur there are likely to require shell quoting, so it is a good | |
1408 | +idea to enclose the arguments in quotes. | |
1409 | +.PP | |
1410 | +例: | |
1411 | +.IP | |
1412 | +match IP packets with total length >= 256 | |
1413 | +.IP | |
1414 | +The IP header contains a total length field in bytes 2\-3. | |
1415 | +.IP | |
1416 | +\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP" | |
1417 | +.IP | |
1418 | +read bytes 0\-3 | |
1419 | +.IP | |
1420 | +AND that with 0xFFFF (giving bytes 2\-3), and test whether that is in the | |
1421 | +range [0x100:0xFFFF] | |
1422 | +.PP | |
1423 | +Example: (more realistic, hence more complicated) | |
1424 | +.IP | |
1425 | +match ICMP packets with icmp type 0 | |
1426 | +.IP | |
1427 | +First test that it is an ICMP packet, true iff byte 9 (protocol) = 1 | |
1428 | +.IP | |
1429 | +\-\-u32 "\fB6 & 0xFF = 1 &&\fP ... | |
1430 | +.IP | |
1431 | +read bytes 6\-9, use \fB&\fP to throw away bytes 6\-8 and compare the result to | |
1432 | +1. Next test that it is not a fragment. (If so, it might be part of such a | |
1433 | +packet but we cannot always tell.) N.B.: This test is generally needed if | |
1434 | +you want to match anything beyond the IP header. The last 6 bits of byte 6 | |
1435 | +and all of byte 7 are 0 iff this is a complete packet (not a | |
1436 | +fragment). Alternatively, you can allow first fragments by only testing the | |
1437 | +last 5 bits of byte 6. | |
1438 | +.IP | |
1439 | +\&... \fB4 & 0x3FFF = 0 &&\fP ... | |
1440 | +.IP | |
1441 | +Last test: the first byte past the IP header (the type) is 0. This is where | |
1442 | +we have to use the @syntax. The length of the IP header (IHL) in 32 bit | |
1443 | +words is stored in the right half of byte 0 of the IP header itself. | |
1444 | +.IP | |
1445 | +\&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP" | |
1446 | +.IP | |
1447 | +The first 0 means read bytes 0\-3, \fB>>22\fP means shift that 22 bits | |
1448 | +to the right. Shifting 24 bits would give the first byte, so only 22 bits is | |
1449 | +four times that plus a few more bits. \fB&3C\fP then eliminates the two extra | |
1450 | +bits on the right and the first four bits of the first byte. For instance, | |
1451 | +if IHL=5, then the IP header is 20 (4 x 5) bytes long. In this case, bytes | |
1452 | +0\-1 are (in binary) xxxx0101 yyzzzzzz, \fB>>22\fP gives the 10 bit | |
1453 | +value xxxx0101yy and \fB&3C\fP gives 010100. \fB@\fP means to use this number as a | |
1454 | +new offset into the packet, and read four bytes starting from there. This is | |
1455 | +the first 4 bytes of the ICMP payload, of which byte 0 is the ICMP | |
1456 | +type. Therefore, we simply shift the value 24 to the right to throw out all | |
1457 | +but the first byte and compare the result with 0. | |
1458 | +.PP | |
1459 | +例: | |
1460 | +.IP | |
1461 | +TCP payload bytes 8\-12 is any of 1, 2, 5 or 8 | |
1462 | +.IP | |
1463 | +First we test that the packet is a tcp packet (similar to ICMP). | |
1464 | +.IP | |
1465 | +\-\-u32 "\fB6 & 0xFF = 6 &&\fP ... | |
1466 | +.IP | |
1467 | +Next, test that it is not a fragment (same as above). | |
1468 | +.IP | |
1469 | +\&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP" | |
1470 | +.IP | |
1471 | +\fB0>>22&3C\fP as above computes the number of bytes in the IP | |
1472 | +header. \fB@\fP makes this the new offset into the packet, which is the start | |
1473 | +of the TCP header. The length of the TCP header (again in 32 bit words) is | |
1474 | +the left half of byte 12 of the TCP header. The \fB12>>26&3C\fP | |
1475 | +computes this length in bytes (similar to the IP header before). "@" makes | |
1476 | +this the new offset, which is the start of the TCP payload. Finally, 8 reads | |
1477 | +bytes 8\-12 of the payload and \fB=\fP checks whether the result is any of 1, 2, | |
1478 | +5 or 8. | |
1479 | +.SS udp | |
1480 | +これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。 | |
1481 | +.TP | |
1482 | +[\fB!\fP] \fB\-\-source\-port\fP,\fB\-\-sport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1483 | +送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。 | |
1484 | +.TP | |
1485 | +[\fB!\fP] \fB\-\-destination\-port\fP,\fB\-\-dport\fP \fIport\fP[\fB:\fP\fIport\fP] | |
1486 | +宛先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。 | |
1487 | +.SS "unclean (IPv4 の場合)" | |
1488 | +このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。 | |
1489 | +.SH ターゲットの拡張 | |
1490 | +.\" @TARGET@ | |
1491 | +iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。 | |
1492 | +.SS AUDIT | |
1493 | +This target allows to create audit records for packets hitting the target. | |
1494 | +It can be used to record accepted, dropped, and rejected packets. See | |
1495 | +auditd(8) for additional details. | |
1496 | +.TP | |
1497 | +\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP} | |
1498 | +Set type of audit record. | |
1499 | +.PP | |
1500 | +例: | |
1501 | +.IP | |
1502 | +iptables \-N AUDIT_DROP | |
1503 | +.IP | |
1504 | +iptables \-A AUDIT_DROP \-j AUDIT \-\-type drop | |
1505 | +.IP | |
1506 | +iptables \-A AUDIT_DROP \-j DROP | |
1507 | +.SS CHECKSUM | |
1508 | +このターゲットは、 おかしいアプリケーションや古いアプリケーションに対する選択的な対処を可能にする。 mangle テーブルでのみ使用できる。 | |
1509 | +.TP | |
1510 | +\fB\-\-checksum\-fill\fP | |
1511 | +Compute and fill in the checksum in a packet that lacks a checksum. This is | |
1512 | +particularly useful, if you need to work around old applications such as | |
1513 | +dhcp clients, that do not work well with checksum offloads, but don't want | |
1514 | +to disable checksum offload in your device. | |
1515 | +.SS CLASSIFY | |
1516 | +This module allows you to set the skb\->priority value (and thus classify | |
1517 | +the packet into a specific CBQ class). | |
1518 | +.TP | |
1519 | +\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP | |
1520 | +Set the major and minor class value. The values are always interpreted as | |
1521 | +hexadecimal even if no 0x prefix is given. | |
1522 | +.SS "CLUSTERIP (IPv4 の場合)" | |
1523 | +This module allows you to configure a simple cluster of nodes that share a | |
1524 | +certain IP and MAC address without an explicit load balancer in front of | |
1525 | +them. Connections are statically distributed between the nodes in this | |
1526 | +cluster. | |
1527 | +.TP | |
1528 | +\fB\-\-new\fP | |
1529 | +Create a new ClusterIP. You always have to set this on the first rule for a | |
1530 | +given ClusterIP. | |
1531 | +.TP | |
1532 | +\fB\-\-hashmode\fP \fImode\fP | |
1533 | +Specify the hashing mode. Has to be one of \fBsourceip\fP, | |
1534 | +\fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP. | |
1535 | +.TP | |
1536 | +\fB\-\-clustermac\fP \fImac\fP | |
1537 | +Specify the ClusterIP MAC address. Has to be a link\-layer multicast address | |
1538 | +.TP | |
1539 | +\fB\-\-total\-nodes\fP \fInum\fP | |
1540 | +Number of total nodes within this cluster. | |
1541 | +.TP | |
1542 | +\fB\-\-local\-node\fP \fInum\fP | |
1543 | +Local node number within this cluster. | |
1544 | +.TP | |
1545 | +\fB\-\-hash\-init\fP \fIrnd\fP | |
1546 | +Specify the random seed used for hash initialization. | |
1547 | +.SS CONNMARK | |
1548 | +このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。 | |
1549 | +.TP | |
1550 | +\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
1551 | +Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark. | |
1552 | +.TP | |
1553 | +\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP] | |
1554 | +Copy the packet mark (nfmark) to the connection mark (ctmark) using the | |
1555 | +given masks. The new nfmark value is determined as follows: | |
1556 | +.IP | |
1557 | +ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask) | |
1558 | +.IP | |
1559 | +i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the | |
1560 | +nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to | |
1561 | +0xFFFFFFFF. | |
1562 | +.TP | |
1563 | +\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP] | |
1564 | +Copy the connection mark (ctmark) to the packet mark (nfmark) using the | |
1565 | +given masks. The new ctmark value is determined as follows: | |
1566 | +.IP | |
1567 | +nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP); | |
1568 | +.IP | |
1569 | +i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the | |
1570 | +ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to | |
1571 | +0xFFFFFFFF. | |
1572 | +.IP | |
1573 | +\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table. | |
1574 | +.PP | |
1575 | +The following mnemonics are available for \fB\-\-set\-xmark\fP: | |
1576 | +.TP | |
1577 | +\fB\-\-and\-mark\fP \fIbits\fP | |
1578 | +Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark | |
1579 | +0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.) | |
1580 | +.TP | |
1581 | +\fB\-\-or\-mark\fP \fIbits\fP | |
1582 | +Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP | |
1583 | +\fIbits\fP\fB/\fP\fIbits\fP.) | |
1584 | +.TP | |
1585 | +\fB\-\-xor\-mark\fP \fIbits\fP | |
1586 | +Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP | |
1587 | +\fIbits\fP\fB/0\fP.) | |
1588 | +.TP | |
1589 | +\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
1590 | +Set the connection mark. If a mask is specified then only those bits set in | |
1591 | +the mask are modified. | |
1592 | +.TP | |
1593 | +\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP] | |
1594 | +Copy the nfmark to the ctmark. If a mask is specified, only those bits are | |
1595 | +copied. | |
1596 | +.TP | |
1597 | +\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP] | |
1598 | +ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP | |
1599 | +テーブルのみで有効である。 | |
1600 | +.SS CONNSECMARK | |
1601 | +This module copies security markings from packets to connections (if | |
1602 | +unlabeled), and from connections back to packets (also only if unlabeled). | |
1603 | +Typically used in conjunction with SECMARK, it is valid in the \fBsecurity\fP | |
1604 | +table (for backwards compatibility with older kernels, it is also valid in | |
1605 | +the \fBmangle\fP table). | |
1606 | +.TP | |
1607 | +\fB\-\-save\fP | |
1608 | +If the packet has a security marking, copy it to the connection if the | |
1609 | +connection is not marked. | |
1610 | +.TP | |
1611 | +\fB\-\-restore\fP | |
1612 | +If the packet does not have a security marking, and the connection does, | |
1613 | +copy the security marking from the connection to the packet. | |
1614 | + | |
1615 | +.SS CT | |
1616 | +The CT target allows to set parameters for a packet or its associated | |
1617 | +connection. The target attaches a "template" connection tracking entry to | |
1618 | +the packet, which is then used by the conntrack core when initializing a new | |
1619 | +ct entry. This target is thus only valid in the "raw" table. | |
1620 | +.TP | |
1621 | +\fB\-\-notrack\fP | |
1622 | +Disables connection tracking for this packet. | |
1623 | +.TP | |
1624 | +\fB\-\-helper\fP \fIname\fP | |
1625 | +Use the helper identified by \fIname\fP for the connection. This is more | |
1626 | +flexible than loading the conntrack helper modules with preset ports. | |
1627 | +.TP | |
1628 | +\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...] | |
1629 | +Only generate the specified conntrack events for this connection. Possible | |
1630 | +event types are: \fBnew\fP, \fBrelated\fP, \fBdestroy\fP, \fBreply\fP, \fBassured\fP, | |
1631 | +\fBprotoinfo\fP, \fBhelper\fP, \fBmark\fP (this refers to the ctmark, not nfmark), | |
1632 | +\fBnatseqinfo\fP, \fBsecmark\fP (ctsecmark). | |
1633 | +.TP | |
1634 | +\fB\-\-expevents\fP \fIevent\fP[\fB,\fP...] | |
1635 | +Only generate the specified expectation events for this connection. | |
1636 | +Possible event types are: \fBnew\fP. | |
1637 | +.TP | |
1638 | +\fB\-\-zone\fP \fIid\fP | |
1639 | +Assign this packet to zone \fIid\fP and only have lookups done in that zone. | |
1640 | +By default, packets have zone 0. | |
1641 | +.TP | |
1642 | +\fB\-\-timeout\fP \fIname\fP | |
1643 | +Use the timeout policy identified by \fIname\fP for the connection. This is | |
1644 | +provides more flexible timeout policy definition than global timeout values | |
1645 | +available at /proc/sys/net/netfilter/nf_conntrack_*_timeout_*. | |
1646 | +.SS "DNAT (IPv4 の場合)" | |
1647 | +このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、 これらのチェインから呼び出される | |
1648 | +ユーザー定義チェインのみで有効である。 このターゲットはパケットの宛先アドレスを修正する (このコネクションの以降のパケットも修正して分からなく | |
1649 | +(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある: | |
1650 | +.TP | |
1651 | +\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]] | |
1652 | +1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで \fB\-p | |
1653 | +tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 宛先ポートは変更されない。 IP | |
1654 | +アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 | |
1655 | + | |
1656 | +2.6.10 以前のカーネルでは、 複数の \-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 | |
1657 | +アドレスの範囲指定や \-\-to\-destination オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 | |
1658 | +それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を | |
1659 | +NAT する機能は存在しない。 | |
1660 | +.TP | |
1661 | +\fB\-\-random\fP | |
1662 | +If option \fB\-\-random\fP is used then port mapping will be randomized (kernel | |
1663 | +>= 2.6.22). | |
1664 | +.TP | |
1665 | +\fB\-\-persistent\fP | |
1666 | +Gives a client the same source\-/destination\-address for each connection. | |
1667 | +This supersedes the SAME target. Support for persistent mappings is | |
1668 | +available from 2.6.29\-rc2. | |
1669 | +.SS DSCP | |
1670 | +このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、 | |
1671 | +mangle テーブルでのみ使用できる。 | |
1672 | +.TP | |
1673 | +\fB\-\-set\-dscp\fP \fIvalue\fP | |
1674 | +DSCP フィールドの数値を設定する (10 進または 16 進)。 | |
1675 | +.TP | |
1676 | +\fB\-\-set\-dscp\-class\fP \fIclass\fP | |
1677 | +DSCP フィールドの DiffServ クラスを設定する。 | |
1678 | +.SS "ECN (IPv4 の場合)" | |
1679 | +このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。 | |
1680 | +.TP | |
1681 | +\fB\-\-ecn\-tcp\-remove\fP | |
1682 | +TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP | |
1683 | +オプションとの組合わせでのみ使用できる。 | |
1684 | +.SS "HL (IPv6 の場合)" | |
1685 | +This is used to modify the Hop Limit field in IPv6 header. The Hop Limit | |
1686 | +field is similar to what is known as TTL value in IPv4. Setting or | |
1687 | +incrementing the Hop Limit field can potentially be very dangerous, so it | |
1688 | +should be avoided at any cost. This target is only valid in \fBmangle\fP table. | |
1689 | +.PP | |
1690 | +\fBDon't ever set or increment the value on packets that leave your local | |
1691 | +network!\fP | |
1692 | +.TP | |
1693 | +\fB\-\-hl\-set\fP \fIvalue\fP | |
1694 | +Set the Hop Limit to `value'. | |
1695 | +.TP | |
1696 | +\fB\-\-hl\-dec\fP \fIvalue\fP | |
1697 | +Decrement the Hop Limit `value' times. | |
1698 | +.TP | |
1699 | +\fB\-\-hl\-inc\fP \fIvalue\fP | |
1700 | +Increment the Hop Limit `value' times. | |
1701 | +.SS HMARK | |
1702 | +Like MARK, i.e. set the fwmark, but the mark is calculated from hashing | |
1703 | +packet selector at choice. You have also to specify the mark range and, | |
1704 | +optionally, the offset to start from. ICMP error messages are inspected and | |
1705 | +used to calculate the hashing. | |
1706 | +.PP | |
1707 | +Existing options are: | |
1708 | +.TP | |
1709 | +\fB\-\-hmark\-tuple\fP tuple | |
1710 | +Possible tuple members are: \fBsrc\fP meaning source address (IPv4, IPv6 | |
1711 | +address), \fBdst\fP meaning destination address (IPv4, IPv6 address), \fBsport\fP | |
1712 | +meaning source port (TCP, UDP, UDPlite, SCTP, DCCP), \fBdport\fP meaning | |
1713 | +destination port (TCP, UDP, UDPlite, SCTP, DCCP), \fBspi\fP meaning Security | |
1714 | +Parameter Index (AH, ESP), and \fBct\fP meaning the usage of the conntrack | |
1715 | +tuple instead of the packet selectors. | |
1716 | +.TP | |
1717 | +\fB\-\-hmark\-mod\fP \fIvalue (must be > 0)\fP | |
1718 | +Modulus for hash calculation (to limit the range of possible marks) | |
1719 | +.TP | |
1720 | +\fB\-\-hmark\-offset\fP \fIvalue\fP | |
1721 | +Offset to start marks from. | |
1722 | +.TP | |
1723 | +For advanced usage, instead of using \-\-hmark\-tuple, you can specify custom | |
1724 | +prefixes and masks: | |
1725 | +.TP | |
1726 | +\fB\-\-hmark\-src\-prefix\fP \fIcidr\fP | |
1727 | +The source address mask in CIDR notation. | |
1728 | +.TP | |
1729 | +\fB\-\-hmark\-dst\-prefix\fP \fIcidr\fP | |
1730 | +The destination address mask in CIDR notation. | |
1731 | +.TP | |
1732 | +\fB\-\-hmark\-sport\-mask\fP \fIvalue\fP | |
1733 | +A 16 bit source port mask in hexadecimal. | |
1734 | +.TP | |
1735 | +\fB\-\-hmark\-dport\-mask\fP \fIvalue\fP | |
1736 | +A 16 bit destination port mask in hexadecimal. | |
1737 | +.TP | |
1738 | +\fB\-\-hmark\-spi\-mask\fP \fIvalue\fP | |
1739 | +A 32 bit field with spi mask. | |
1740 | +.TP | |
1741 | +\fB\-\-hmark\-proto\-mask\fP \fIvalue\fP | |
1742 | +An 8 bit field with layer 4 protocol number. | |
1743 | +.TP | |
1744 | +\fB\-\-hmark\-rnd\fP \fIvalue\fP | |
1745 | +A 32 bit random custom value to feed hash calculation. | |
1746 | +.PP | |
1747 | +\fIExamples:\fP | |
1748 | +.PP | |
1749 | +iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW | |
1750 | + \-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000 | |
1751 | +\-\-hmark\-mod 10 \-\-hmark\-rnd 0xfeedcafe | |
1752 | +.PP | |
1753 | +iptables \-t mangle \-A PREROUTING \-j HMARK \-\-hmark\-offset 10000 \-\-hmark\-tuple | |
1754 | +src,dst,proto \-\-hmark\-mod 10 \-\-hmark\-rnd 0xdeafbeef | |
1755 | +.SS IDLETIMER | |
1756 | +This target can be used to identify when interfaces have been idle for a | |
1757 | +certain period of time. Timers are identified by labels and are created | |
1758 | +when a rule is set with a new label. The rules also take a timeout value | |
1759 | +(in seconds) as an option. If more than one rule uses the same timer label, | |
1760 | +the timer will be restarted whenever any of the rules get a hit. One entry | |
1761 | +for each timer is created in sysfs. This attribute contains the timer | |
1762 | +remaining for the timer to expire. The attributes are located under the | |
1763 | +xt_idletimer class: | |
1764 | +.PP | |
1765 | +/sys/class/xt_idletimer/timers/<label> | |
1766 | +.PP | |
1767 | +When the timer expires, the target module sends a sysfs notification to the | |
1768 | +userspace, which can then decide what to do (eg. disconnect to save power). | |
1769 | +.TP | |
1770 | +\fB\-\-timeout\fP \fIamount\fP | |
1771 | +This is the time in seconds that will trigger the notification. | |
1772 | +.TP | |
1773 | +\fB\-\-label\fP \fIstring\fP | |
1774 | +This is a unique identifier for the timer. The maximum length for the label | |
1775 | +string is 27 characters. | |
1776 | +.SS LED | |
1777 | +This creates an LED\-trigger that can then be attached to system indicator | |
1778 | +lights, to blink or illuminate them when certain packets pass through the | |
1779 | +system. One example might be to light up an LED for a few minutes every time | |
1780 | +an SSH connection is made to the local machine. The following options | |
1781 | +control the trigger behavior: | |
1782 | +.TP | |
1783 | +\fB\-\-led\-trigger\-id\fP \fIname\fP | |
1784 | +This is the name given to the LED trigger. The actual name of the trigger | |
1785 | +will be prefixed with "netfilter\-". | |
1786 | +.TP | |
1787 | +\fB\-\-led\-delay\fP \fIms\fP | |
1788 | +This indicates how long (in milliseconds) the LED should be left illuminated | |
1789 | +when a packet arrives before being switched off again. The default is 0 | |
1790 | +(blink as fast as possible.) The special value \fIinf\fP can be given to leave | |
1791 | +the LED on permanently once activated. (In this case the trigger will need | |
1792 | +to be manually detached and reattached to the LED device to switch it off | |
1793 | +again.) | |
1794 | +.TP | |
1795 | +\fB\-\-led\-always\-blink\fP | |
1796 | +Always make the LED blink on packet arrival, even if the LED is already on. | |
1797 | +This allows notification of new packets even with long delay values (which | |
1798 | +otherwise would result in a silent prolonging of the delay time.) | |
1799 | +.TP | |
1800 | +例: | |
1801 | +.TP | |
1802 | +Create an LED trigger for incoming SSH traffic: | |
1803 | +iptables \-A INPUT \-p tcp \-\-dport 22 \-j LED \-\-led\-trigger\-id ssh | |
1804 | +.TP | |
1805 | +Then attach the new trigger to an LED: | |
1806 | +echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger | |
1807 | +.SS "LOG (IPv6 の場合)" | |
1808 | +マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての | |
1809 | +(IPv6 における大部分の IPv6 ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または | |
1810 | +\fIsyslogd\fP(8) で見ることができる)。 これは「非終了タ ーゲット」である。 すなわち、 ルールの探索は、 次のルールへと継続される。 | |
1811 | +よって、 拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 | |
1812 | +次のルールで DROP (または REJECT) ターゲットを指定する。 | |
1813 | +.TP | |
1814 | +\fB\-\-log\-level\fP \fIlevel\fP | |
1815 | +Level of logging, which can be (system\-specific) numeric or a mnemonic. | |
1816 | +Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP, | |
1817 | +\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP. | |
1818 | +.TP | |
1819 | +\fB\-\-log\-prefix\fP \fIprefix\fP | |
1820 | +指定したプレフィックスをログメッセージの前に付ける。 | |
1821 | +プレフィックスは 29 文字までの長さで、 | |
1822 | +ログの中でメッセージを区別するのに役立つ。 | |
1823 | +.TP | |
1824 | +\fB\-\-log\-tcp\-sequence\fP | |
1825 | +TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、 セキュリティ上の危険がある。 | |
1826 | +.TP | |
1827 | +\fB\-\-log\-tcp\-options\fP | |
1828 | +TCP パケットヘッダーのオプションをログに記録する。 | |
1829 | +.TP | |
1830 | +\fB\-\-log\-ip\-options\fP | |
1831 | +IPv6 パケットヘッダーのオプションをログに記録する。 | |
1832 | +.TP | |
1833 | +\fB\-\-log\-uid\fP | |
1834 | +Log the userid of the process which generated the packet. | |
1835 | +.SS "LOG (IPv4 の場合)" | |
1836 | +マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての | |
1837 | +(大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または | |
1838 | +\fIsyslogd\fP(8) で見ることができる)。 これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 | |
1839 | +よって、 拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 | |
1840 | +次のルールで DROP (または REJECT) ターゲットを指定する。 | |
1841 | +.TP | |
1842 | +\fB\-\-log\-level\fP \fIlevel\fP | |
1843 | +Level of logging, which can be (system\-specific) numeric or a mnemonic. | |
1844 | +Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP, | |
1845 | +\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP. | |
1846 | +.TP | |
1847 | +\fB\-\-log\-prefix\fP \fIprefix\fP | |
1848 | +指定したプレフィックスをログメッセージの前に付ける。 | |
1849 | +プレフィックスは 29 文字までの長さで、 | |
1850 | +ログの中でメッセージを区別するのに役立つ。 | |
1851 | +.TP | |
1852 | +\fB\-\-log\-tcp\-sequence\fP | |
1853 | +TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、 セキュリティ上の危険がある。 | |
1854 | +.TP | |
1855 | +\fB\-\-log\-tcp\-options\fP | |
1856 | +TCP パケットヘッダーのオプションをログに記録する。 | |
1857 | +.TP | |
1858 | +\fB\-\-log\-ip\-options\fP | |
1859 | +IP パケットヘッダーのオプションをログに記録する。 | |
1860 | +.TP | |
1861 | +\fB\-\-log\-uid\fP | |
1862 | +Log the userid of the process which generated the packet. | |
1863 | +.SS MARK | |
1864 | +This target is used to set the Netfilter mark value associated with the | |
1865 | +packet. It can, for example, be used in conjunction with routing based on | |
1866 | +fwmark (needs iproute2). If you plan on doing so, note that the mark needs | |
1867 | +to be set in the PREROUTING chain of the mangle table to affect routing. | |
1868 | +The mark field is 32 bits wide. | |
1869 | +.TP | |
1870 | +\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
1871 | +Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet mark | |
1872 | +("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed. | |
1873 | +.TP | |
1874 | +\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
1875 | +Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet | |
1876 | +mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed. | |
1877 | +.PP | |
1878 | +The following mnemonics are available: | |
1879 | +.TP | |
1880 | +\fB\-\-and\-mark\fP \fIbits\fP | |
1881 | +Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark | |
1882 | +0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.) | |
1883 | +.TP | |
1884 | +\fB\-\-or\-mark\fP \fIbits\fP | |
1885 | +Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP | |
1886 | +\fIbits\fP\fB/\fP\fIbits\fP.) | |
1887 | +.TP | |
1888 | +\fB\-\-xor\-mark\fP \fIbits\fP | |
1889 | +Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP | |
1890 | +\fIbits\fP\fB/0\fP.) | |
1891 | +.SS "MASQUERADE (IPv6 の場合)" | |
1892 | +このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IPv6 (ダイヤルアップ) | |
1893 | +コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、 | |
1894 | +パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 | |
1895 | +インターフェースが停止した場合にコネクションを\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い | |
1896 | +(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。 | |
1897 | +.TP | |
1898 | +\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP] | |
1899 | +このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。 ルールが | |
1900 | +\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
1901 | +.TP | |
1902 | +\fB\-\-random\fP | |
1903 | +Randomize source port mapping If option \fB\-\-random\fP is used then port | |
1904 | +mapping will be randomized. | |
1905 | +.RS | |
1906 | +.PP | |
1907 | +.SS "MASQUERADE (IPv4 の場合)" | |
1908 | +このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ) | |
1909 | +コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、 | |
1910 | +パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 | |
1911 | +インターフェースが停止した場合にコネクションを\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い | |
1912 | +(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。 | |
1913 | +.TP | |
1914 | +\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP] | |
1915 | +このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。 ルールが | |
1916 | +\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
1917 | +.TP | |
1918 | +\fB\-\-random\fP | |
1919 | +Randomize source port mapping If option \fB\-\-random\fP is used then port | |
1920 | +mapping will be randomized (kernel >= 2.6.21). | |
1921 | +.RS | |
1922 | +.PP | |
1923 | +.SS "MIRROR (IPv4 の場合)" | |
1924 | +実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは | |
1925 | +\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される | |
1926 | +ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは | |
1927 | +いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。 | |
1928 | +.SS "NETMAP (IPv4 の場合)" | |
1929 | +This target allows you to statically map a whole network of addresses onto | |
1930 | +another network of addresses. It can only be used from rules in the \fBnat\fP | |
1931 | +table. | |
1932 | +.TP | |
1933 | +\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP] | |
1934 | +Network address to map to. The resulting address will be constructed in the | |
1935 | +following way: All 'one' bits in the mask are filled in from the new | |
1936 | +`address'. All bits that are zero in the mask are filled in from the | |
1937 | +original address. | |
1938 | +.SS NFLOG | |
1939 | +このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux | |
1940 | +カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log | |
1941 | +をロギングバックエンドとして使う組み合わせで使用される。 nfnetlink_log はそのパケットを \fInetlink\fP | |
1942 | +ソケット経由で指定されたマルチキャストグループにマルチキャストする。 1 | |
1943 | +つ以上のユーザー空間プロセスがマルチキャストグループを購読しパケットを受信することができる。 LOG と同様に、 | |
1944 | +このターゲットは非終了ターゲットであり、 ルールの探索は次のルールへと継続される。 | |
1945 | +.TP | |
1946 | +\fB\-\-nflog\-group\fP \fInlgroup\fP | |
1947 | +パケットを送信する netlink グループ (0 \- 2^16\-1) を指定する (nfnetlink_log の場合のみ利用できる)。 | |
1948 | +デフォルトの値は 0 である。 | |
1949 | +.TP | |
1950 | +\fB\-\-nflog\-prefix\fP \fIprefix\fP | |
1951 | +ログメッセージの前に付けるプレフィックス文字列。 最大 64 文字までの指定できる。 ログの中でメッセージを区別するのに役に立つ。 | |
1952 | +.TP | |
1953 | +\fB\-\-nflog\-range\fP \fIsize\fP | |
1954 | +ユーザー空間にコピーするバイト数 (nfnetlink_log の場合のみ利用できる)。 nfnetlink_log | |
1955 | +のインスタンスは自身でコピーする範囲を指定できるが、 このオプションはそれを上書きする。 | |
1956 | +.TP | |
1957 | +\fB\-\-nflog\-threshold\fP \fIsize\fP | |
1958 | +ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。 | |
1959 | +大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。 | |
1960 | +.SS NFQUEUE | |
1961 | +This target is an extension of the QUEUE target. As opposed to QUEUE, it | |
1962 | +allows you to put a packet into any specific queue, identified by its 16\-bit | |
1963 | +queue number. It can only be used with Kernel versions 2.6.14 or later, | |
1964 | +since it requires the \fBnfnetlink_queue\fP kernel support. The | |
1965 | +\fBqueue\-balance\fP option was added in Linux 2.6.31, \fBqueue\-bypass\fP in | |
1966 | +2.6.39. | |
1967 | +.TP | |
1968 | +\fB\-\-queue\-num\fP \fIvalue\fP | |
1969 | +This specifies the QUEUE number to use. Valid queue numbers are 0 to | |
1970 | +65535. The default value is 0. | |
1971 | +.PP | |
1972 | +.TP | |
1973 | +\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP | |
1974 | +This specifies a range of queues to use. Packets are then balanced across | |
1975 | +the given queues. This is useful for multicore systems: start multiple | |
1976 | +instances of the userspace program on queues x, x+1, .. x+n and use | |
1977 | +"\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP". Packets belonging to the same connection | |
1978 | +are put into the same nfqueue. | |
1979 | +.PP | |
1980 | +.TP | |
1981 | +\fB\-\-queue\-bypass\fP | |
1982 | +By default, if no userspace program is listening on an NFQUEUE, then all | |
1983 | +packets that are to be queued are dropped. When this option is used, the | |
1984 | +NFQUEUE rule is silently bypassed instead. The packet will move on to the | |
1985 | +next rule. | |
1986 | +.SS NOTRACK | |
1987 | +This target disables connection tracking for all packets matching that | |
1988 | +rule. It is obsoleted by \-j CT \-\-notrack. Like CT, NOTRACK can only be used | |
1989 | +in the \fBraw\fP table. | |
1990 | +.SS RATEEST | |
1991 | +The RATEEST target collects statistics, performs rate estimation calculation | |
1992 | +and saves the results for later evaluation using the \fBrateest\fP match. | |
1993 | +.TP | |
1994 | +\fB\-\-rateest\-name\fP \fIname\fP | |
1995 | +Count matched packets into the pool referred to by \fIname\fP, which is freely | |
1996 | +choosable. | |
1997 | +.TP | |
1998 | +\fB\-\-rateest\-interval\fP \fIamount\fP{\fBs\fP|\fBms\fP|\fBus\fP} | |
1999 | +Rate measurement interval, in seconds, milliseconds or microseconds. | |
2000 | +.TP | |
2001 | +\fB\-\-rateest\-ewmalog\fP \fIvalue\fP | |
2002 | +Rate measurement averaging time constant. | |
2003 | +.SS "REDIRECT (IPv4 の場合)" | |
2004 | +このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、 | |
2005 | +およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP | |
2006 | +をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする (ローカルで生成されたパケットは、 | |
2007 | +アドレス 127.0.0.1 にマップされる)。 | |
2008 | +.TP | |
2009 | +\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP] | |
2010 | +このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。 ルールが | |
2011 | +\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
2012 | +.TP | |
2013 | +\fB\-\-random\fP | |
2014 | +If option \fB\-\-random\fP is used then port mapping will be randomized (kernel | |
2015 | +>= 2.6.22). | |
2016 | +.RS | |
2017 | +.PP | |
2018 | +.SS "REJECT (IPv6 の場合)" | |
2019 | +マッチしたパケットの応答としてエラーパケットを送信するために使われる。 | |
2020 | +エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、 | |
2021 | +ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP, | |
2022 | +\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン | |
2023 | +だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を | |
2024 | +制御する。 | |
2025 | +.TP | |
2026 | +\fB\-\-reject\-with\fP \fItype\fP | |
2027 | +指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP, | |
2028 | +\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP, | |
2029 | +\fBicmp6\-port\-unreachable\fP, \fBport\-unreach\fP である。 指定したタイプの適切な IPv6 | |
2030 | +エラーメッセージが返される (\fBport\-unreach\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 | |
2031 | +オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として | |
2032 | +\fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) | |
2033 | +メールホストに メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。 | |
2034 | +.SS "REJECT (IPv4 の場合)" | |
2035 | +マッチしたパケットの応答としてエラーパケットを送信するために使われる。 | |
2036 | +エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、 | |
2037 | +ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP, | |
2038 | +\fBOUTPUT\fP チェインと、 これらのチェインから呼ばれる ユーザー定義チェイン | |
2039 | +だけで有効である。 以下のオプションは、 返されるエラーパケットの特性を | |
2040 | +制御する。 | |
2041 | +.TP | |
2042 | +\fB\-\-reject\-with\fP \fItype\fP | |
2043 | +指定できるタイプは \fBicmp\-net\-unreachable\fP, \fBicmp\-host\-unreachable\fP, | |
2044 | +\fBicmp\-port\-unreachable\fP, \fBicmp\-proto\-unreachable\fP, \fBicmp\-net\-prohibited\fP, | |
2045 | +\fBicmp\-host\-prohibited\fP, \fBicmp\-admin\-prohibited\fP (*) である。指定したタイプの適切な ICMP | |
2046 | +エラーメッセージを返す (\fBport\-unreachable\fP がデフォルトである)。 TCP プロトコルにのみマッチするルールに対して、 オプション | |
2047 | +\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP | |
2048 | +(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに | |
2049 | +メールが送られる場合に頻繁に起こる。 | |
2050 | +.PP | |
2051 | +(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、 | |
2052 | +REJECT ではなく単なる DROP になる。 | |
2053 | +.SS "SAME (IPv4 の場合)" | |
2054 | +Similar to SNAT/DNAT depending on chain: it takes a range of addresses | |
2055 | +(`\-\-to 1.2.3.4\-1.2.3.7') and gives a client the same | |
2056 | +source\-/destination\-address for each connection. | |
2057 | +.PP | |
2058 | +N.B.: The DNAT target's \fB\-\-persistent\fP option replaced the SAME target. | |
2059 | +.TP | |
2060 | +\fB\-\-to\fP \fIipaddr\fP[\fB\-\fP\fIipaddr\fP] | |
2061 | +Addresses to map source to. May be specified more than once for multiple | |
2062 | +ranges. | |
2063 | +.TP | |
2064 | +\fB\-\-nodst\fP | |
2065 | +Don't use the destination\-ip in the calculations when selecting the new | |
2066 | +source\-ip | |
2067 | +.TP | |
2068 | +\fB\-\-random\fP | |
2069 | +Port mapping will be forcibly randomized to avoid attacks based on port | |
2070 | +prediction (kernel >= 2.6.21). | |
2071 | +.SS SECMARK | |
2072 | +This is used to set the security mark value associated with the packet for | |
2073 | +use by security subsystems such as SELinux. It is valid in the \fBsecurity\fP | |
2074 | +table (for backwards compatibility with older kernels, it is also valid in | |
2075 | +the \fBmangle\fP table). The mark is 32 bits wide. | |
2076 | +.TP | |
2077 | +\fB\-\-selctx\fP \fIsecurity_context\fP | |
2078 | +.SS SET | |
2079 | +このモジュールは \fBipsec\fP(8) で定義できる IP 集合のエントリの追加、削除、その両方を行う。 | |
2080 | +.TP | |
2081 | +\fB\-\-add\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...] | |
2082 | +集合に指定されたアドレス/ポート (複数可) を追加する | |
2083 | +.TP | |
2084 | +\fB\-\-del\-set\fP \fIsetname\fP \fIflag\fP[\fB,\fP\fIflag\fP...] | |
2085 | +集合から指定されたアドレス/ポート (複数可) を削除する | |
2086 | +.IP | |
2087 | +\fIflag\fP は \fBsrc\fP や \fBdst\fP の指定であり、 指定できるのは 6 個までである。 | |
2088 | +.TP | |
2089 | +\fB\-\-timeout\fP \fIvalue\fP | |
2090 | +エントリを追加する際に、 集合定義のデフォルト値ではなく指定したタイムアウト値を使用する | |
2091 | +.TP | |
2092 | +\fB\-\-exist\fP | |
2093 | +エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か集合定義のデフォルト値にリセットする | |
2094 | +.PP | |
2095 | +\-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。 | |
2096 | +.SS "SNAT (IPv4 の場合)" | |
2097 | +このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 | |
2098 | +このターゲットはパケットの送信元アドレスを修正させる (このコネクションの以降のパケットも修正して分からなく (mangle) する)。 さらに、 | |
2099 | +ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある: | |
2100 | +.TP | |
2101 | +\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]] | |
2102 | +1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが \fB\-p tcp\fP | |
2103 | +または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、 他の 512 | |
2104 | +未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024 未満のポートにマッピングされる。 それ以外のポートは、 1024 | |
2105 | +以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。 | |
2106 | + | |
2107 | +2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や | |
2108 | +\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、 | |
2109 | +それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT | |
2110 | +する機能は存在しない。 | |
2111 | +.TP | |
2112 | +\fB\-\-random\fP | |
2113 | +If option \fB\-\-random\fP is used then port mapping will be randomized (kernel | |
2114 | +>= 2.6.21). | |
2115 | +.TP | |
2116 | +\fB\-\-persistent\fP | |
2117 | +Gives a client the same source\-/destination\-address for each connection. | |
2118 | +This supersedes the SAME target. Support for persistent mappings is | |
2119 | +available from 2.6.29\-rc2. | |
2120 | +.SS TCPMSS | |
2121 | +このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、 | |
2122 | +送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP | |
2123 | +との組み合わせでしか使えない。 | |
2124 | +.PP | |
2125 | +このターゲットは、 "ICMP Fragmentation Needed" や "ICMPv6 Packet Too Big" | |
2126 | +パケットをブロックしている犯罪的に頭のいかれた ISP やサーバーを乗り越えるために使用される。 Linux | |
2127 | +ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットをやりとりできないというのが、 | |
2128 | +この問題の兆候である。 | |
2129 | +.IP 1. 4 | |
2130 | +ウェブ・ブラウザで接続しようとすると、 何のデータも受け取らずにハングする | |
2131 | +.IP 2. 4 | |
2132 | +短いメールは問題ないが、 長いメールがハングする | |
2133 | +.IP 3. 4 | |
2134 | +ssh は問題ないが、 scp は最初のハンドシェーク後にハングする | |
2135 | +.PP | |
2136 | +回避方法: このオプションを有効にし、 以下のようなルールを ファイアウォールの設定に追加する。 | |
2137 | +.IP | |
2138 | + iptables \-t mangle \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN | |
2139 | + \-j TCPMSS \-\-clamp\-mss\-to\-pmtu | |
2140 | +.TP | |
2141 | +\fB\-\-set\-mss\fP \fIvalue\fP | |
2142 | +Explicitly sets MSS option to specified value. If the MSS of the packet is | |
2143 | +already lower than \fIvalue\fP, it will \fBnot\fP be increased (from Linux 2.6.25 | |
2144 | +onwards) to avoid more problems with hosts relying on a proper MSS. | |
2145 | +.TP | |
2146 | +\fB\-\-clamp\-mss\-to\-pmtu\fP | |
2147 | +Automatically clamp MSS value to (path_MTU \- 40 for IPv4; \-60 for IPv6). | |
2148 | +This may not function as desired where asymmetric routes with differing path | |
2149 | +MTU exist \(em the kernel uses the path MTU which it would use to send | |
2150 | +packets from itself to the source and destination IP addresses. Prior to | |
2151 | +Linux 2.6.25, only the path MTU to the destination IP address was considered | |
2152 | +by this option; subsequent kernels also consider the path MTU to the source | |
2153 | +IP address. | |
2154 | +.PP | |
2155 | +これらのオプションはどちらか 1 つしか指定できない。 | |
2156 | +.SS TCPOPTSTRIP | |
2157 | +This target will strip TCP options off a TCP packet. (It will actually | |
2158 | +replace them by NO\-OPs.) As such, you will need to add the \fB\-p tcp\fP | |
2159 | +parameters. | |
2160 | +.TP | |
2161 | +\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...] | |
2162 | +Strip the given option(s). The options may be specified by TCP option number | |
2163 | +or by symbolic name. The list of recognized options can be obtained by | |
2164 | +calling iptables with \fB\-j TCPOPTSTRIP \-h\fP. | |
2165 | +.SS TEE | |
2166 | +The \fBTEE\fP target will clone a packet and redirect this clone to another | |
2167 | +machine on the \fBlocal\fP network segment. In other words, the nexthop must be | |
2168 | +the target, or you will have to configure the nexthop to forward it further | |
2169 | +if so desired. | |
2170 | +.TP | |
2171 | +\fB\-\-gateway\fP \fIipaddr\fP | |
2172 | +Send the cloned packet to the host reachable at the given IP address. Use | |
2173 | +of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid. | |
2174 | +.PP | |
2175 | +To forward all incoming traffic on eth0 to an Network Layer logging box: | |
2176 | +.PP | |
2177 | +\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1 | |
2178 | +.SS TOS | |
2179 | +This module sets the Type of Service field in the IPv4 header (including the | |
2180 | +"precedence" bits) or the Priority field in the IPv6 header. Note that TOS | |
2181 | +shares the same bits as DSCP and ECN. The TOS target is only valid in the | |
2182 | +\fBmangle\fP table. | |
2183 | +.TP | |
2184 | +\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
2185 | +Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP into | |
2186 | +the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed. | |
2187 | +.TP | |
2188 | +\fB\-\-set\-tos\fP \fIsymbol\fP | |
2189 | +You can specify a symbolic name when using the TOS target for IPv4. It | |
2190 | +implies a mask of 0xFF (see NOTE below). The list of recognized TOS names | |
2191 | +can be obtained by calling iptables with \fB\-j TOS \-h\fP. | |
2192 | +.PP | |
2193 | +The following mnemonics are available: | |
2194 | +.TP | |
2195 | +\fB\-\-and\-tos\fP \fIbits\fP | |
2196 | +Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos | |
2197 | +0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP. See NOTE | |
2198 | +below.) | |
2199 | +.TP | |
2200 | +\fB\-\-or\-tos\fP \fIbits\fP | |
2201 | +Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP | |
2202 | +\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.) | |
2203 | +.TP | |
2204 | +\fB\-\-xor\-tos\fP \fIbits\fP | |
2205 | +Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP | |
2206 | +\fIbits\fP\fB/0\fP. See NOTE below.) | |
2207 | +.PP | |
2208 | +NOTE: In Linux kernels up to and including 2.6.38, with the exception of | |
2209 | +longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35 | |
2210 | +(>=.14), there is a bug whereby IPv6 TOS mangling does not behave as | |
2211 | +documented and differs from the IPv4 version. The TOS mask indicates the | |
2212 | +bits one wants to zero out, so it needs to be inverted before applying it to | |
2213 | +the original TOS field. However, the aformentioned kernels forgo the | |
2214 | +inversion which breaks \-\-set\-tos and its mnemonics. | |
2215 | +.SS TPROXY | |
2216 | +このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される | |
2217 | +ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。 | |
2218 | +また、 mark 値を変更することもでき、 この mark 値は後で高度なルーティングルールで使用することができる。 このターゲットにはオプションが 3 | |
2219 | +つある: | |
2220 | +.TP | |
2221 | +\fB\-\-on\-port\fP \fIport\fP | |
2222 | +このオプションは使用する宛先ポートを指定する。 このオプションは必須で、 0 は宛先ポートが元々の宛先ポートと同じであることを意味する。 ルールが | |
2223 | +\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
2224 | +.TP | |
2225 | +\fB\-\-on\-ip\fP \fIaddress\fP | |
2226 | +このオプションは使用する宛先アドレスを指定する。 デフォルトでは、 パケットが到着したインタフェースの IP アドレスが使用される。 ルールが \fB\-p | |
2227 | +tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
2228 | +.TP | |
2229 | +\fB\-\-tproxy\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP] | |
2230 | +Marks packets with the given value/mask. The fwmark value set here can be | |
2231 | +used by advanced routing. (Required for transparent proxying to work: | |
2232 | +otherwise these packets will get forwarded, which is probably not what you | |
2233 | +want.) | |
2234 | +.SS TRACE | |
2235 | +This target marks packets so that the kernel will log every rule which match | |
2236 | +the packets as those traverse the tables, chains, rules. | |
2237 | +.PP | |
2238 | +A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for | |
2239 | +this to be visible. The packets are logged with the string prefix: "TRACE: | |
2240 | +tablename:chainname:type:rulenum " where type can be "rule" for plain rule, | |
2241 | +"return" for implicit rule at the end of a user defined chain and "policy" | |
2242 | +for the policy of the built in chains. | |
2243 | +.br | |
2244 | +It can only be used in the \fBraw\fP table. | |
2245 | +.SS "TTL (IPv4 の場合)" | |
2246 | +This is used to modify the IPv4 TTL header field. The TTL field determines | |
2247 | +how many hops (routers) a packet can traverse until it's time to live is | |
2248 | +exceeded. | |
2249 | +.PP | |
2250 | +Setting or incrementing the TTL field can potentially be very dangerous, so | |
2251 | +it should be avoided at any cost. This target is only valid in \fBmangle\fP | |
2252 | +table. | |
2253 | +.PP | |
2254 | +\fBDon't ever set or increment the value on packets that leave your local | |
2255 | +network!\fP | |
2256 | +.TP | |
2257 | +\fB\-\-ttl\-set\fP \fIvalue\fP | |
2258 | +Set the TTL value to `value'. | |
2259 | +.TP | |
2260 | +\fB\-\-ttl\-dec\fP \fIvalue\fP | |
2261 | +Decrement the TTL value `value' times. | |
2262 | +.TP | |
2263 | +\fB\-\-ttl\-inc\fP \fIvalue\fP | |
2264 | +Increment the TTL value `value' times. | |
2265 | +.SS "ULOG (IPv4 の場合)" | |
2266 | +このターゲットは、 マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 | |
2267 | +そのパケットを \fInetlink\fP ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが | |
2268 | +いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 | |
2269 | +ルールの探索は次のルールへと継続される。 | |
2270 | +.TP | |
2271 | +\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP | |
2272 | +パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。 | |
2273 | +.TP | |
2274 | +\fB\-\-ulog\-prefix\fP \fIprefix\fP | |
2275 | +指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。 | |
2276 | +.TP | |
2277 | +\fB\-\-ulog\-cprange\fP \fIsize\fP | |
2278 | +ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、 サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。 | |
2279 | +.TP | |
2280 | +\fB\-\-ulog\-qthreshold\fP \fIsize\fP | |
2281 | +カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの | |
2282 | +netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。 | |
2283 | +.br |
@@ -3,6 +3,12 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2001 Yuichi SATO | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp> | |
10 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
11 | +.\" | |
6 | 12 | .TH IPTABLES\-RESTORE 8 "Jan 04, 2001" "" "" |
7 | 13 | .\" |
8 | 14 | .\" Man page written by Harald Welte <laforge@gnumonks.org> |
@@ -24,10 +30,9 @@ | ||
24 | 30 | .\" |
25 | 31 | .\" |
26 | 32 | .SH 名前 |
27 | -iptables\-restore \- IP テーブルを復元する | |
33 | +iptables\-restore \(em IP テーブルを復元する | |
28 | 34 | .SH 書式 |
29 | -\fBiptables\-restore \fP[\-c] [\-n] | |
30 | -.br | |
35 | +\fBiptables\-restore\fP [\fB\-chntv\fP] [\fB\-M\fP \fImodprobe\fP] [\fB\-T\fP \fIname\fP] | |
31 | 36 | .SH 説明 |
32 | 37 | .PP |
33 | 38 | \fBiptables\-restore\fP は標準入力で指定されたデータから IP テーブルを復元するために使われる。 ファイルから読み込むためには、 |
@@ -36,9 +41,25 @@ iptables\-restore \- IP テーブルを復元する | ||
36 | 41 | \fB\-c\fP, \fB\-\-counters\fP |
37 | 42 | 全てのパケットカウンタとバイトカウンタの値を復元する。 |
38 | 43 | .TP |
44 | +\fB\-h\fP, \fB\-\-help\fP | |
45 | +簡潔なオプション一覧を表示する。 | |
46 | +.TP | |
39 | 47 | \fB\-n\fP, \fB\-\-noflush\fP |
40 | -これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBiptables\-restore\fP は、これまでの各 IP | |
41 | -テーブルの内容を全てフラッシュ (削除) する。 | |
48 | +これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBiptables\-restore\fP は、これまでの各テーブルの内容を全てフラッシュ | |
49 | +(削除) する。 | |
50 | +.TP | |
51 | +\fB\-t\fP, \fB\-\-test\fP | |
52 | +ルールセットの解釈と構築のみを行い、適用は行わない。 | |
53 | +.TP | |
54 | +\fB\-v\fP, \fB\-\-verbose\fP | |
55 | +ルールセットの処理中に追加のデバッグ情報を表示する。 | |
56 | +.TP | |
57 | +\fB\-M\fP, \fB\-\-modprobe\fP \fImodprobe_program\fP | |
58 | +modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-restore は /proc/sys/kernel/modprobe | |
59 | +の内容を確認して実行ファイルのパスを決定する。 | |
60 | +.TP | |
61 | +\fB\-T\fP, \fB\-\-table\fP \fIname\fP | |
62 | +入力ストリームに他のテーブルの情報が含まれている場合でも、指定されたテーブルについてのみ復元を行う。 | |
42 | 63 | .SH バグ |
43 | 64 | iptables\-1.2.1 リリースでは知られていない。 |
44 | 65 | .SH 作者 |
@@ -3,6 +3,12 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2001 Yuichi SATO | |
8 | +.\" all rights reserved. | |
9 | +.\" Translated 2001-05-15, Yuichi SATO <ysato@h4.dion.ne.jp> | |
10 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
11 | +.\" | |
6 | 12 | .TH IPTABLES\-SAVE 8 "Jan 04, 2001" "" "" |
7 | 13 | .\" |
8 | 14 | .\" Man page written by Harald Welte <laforge@gnumonks.org> |
@@ -24,19 +30,22 @@ | ||
24 | 30 | .\" |
25 | 31 | .\" |
26 | 32 | .SH 名前 |
27 | -iptables\-save \- IP テーブルを保存する | |
33 | +iptables\-save \(em iptables ルールを標準出力にダンプする | |
28 | 34 | .SH 書式 |
29 | -\fBiptables\-save \fP[\-c] [\-t table] | |
30 | -.br | |
35 | +\fBiptables\-save\fP [\fB\-M\fP \fImodprobe\fP] [\fB\-c\fP] [\fB\-t\fP \fItable\fP] | |
31 | 36 | .SH 説明 |
32 | 37 | .PP |
33 | 38 | \fBiptables\-save\fP は IP テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。 ファイルに書き出すためには、 |
34 | 39 | シェルで提供されている I/O リダイレクションを使うこと。 |
35 | 40 | .TP |
41 | +\fB\-M\fP \fImodprobe_program\fP | |
42 | +modprobe プログラムのパスを指定する。デフォルトでは、 iptables\-save は /proc/sys/kernel/modprobe | |
43 | +の内容を確認して実行ファイルのパスを決定する。 | |
44 | +.TP | |
36 | 45 | \fB\-c\fP, \fB\-\-counters\fP |
37 | 46 | 全てのパケットカウンタとバイトカウンタの現在の値を出力する。 |
38 | 47 | .TP |
39 | -\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP | |
48 | +\fB\-t\fP, \fB\-\-table\fP \fItablename\fP | |
40 | 49 | 出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。 |
41 | 50 | .SH バグ |
42 | 51 | iptables\-1.2.1 リリースでは知られていない。 |
@@ -3,7 +3,16 @@ | ||
3 | 3 | .\" This file was generated with po4a. Translate the source file. |
4 | 4 | .\" |
5 | 5 | .\"******************************************************************* |
6 | -.TH IPTABLES 8 "Mar 09, 2002" "" "" | |
6 | +.\" | |
7 | +.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO | |
8 | +.\" all right reserved. | |
9 | +.\" Translated 2001-07-29, Yuichi SATO <ysato@h4.dion.ne.jp> | |
10 | +.\" Updated & Modified 2001-09-12, Yuichi SATO | |
11 | +.\" Updated 2003-05-28, System Design and Research Institute Co., Ltd. | |
12 | +.\" Updated & Modified 2004-02-21, Yuichi SATO <ysato444@yahoo.co.jp> | |
13 | +.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com> | |
14 | +.\" | |
15 | +.TH IPTABLES 8 "" "iptables 1.4.18" "iptables 1.4.18" | |
7 | 16 | .\" |
8 | 17 | .\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999) |
9 | 18 | .\" It is based on ipchains page. |
@@ -28,153 +37,169 @@ | ||
28 | 37 | .\" |
29 | 38 | .\" |
30 | 39 | .SH 名前 |
31 | -iptables \- IPv4 のパケットフィルタと NAT を管理するツール | |
40 | +iptables \(em IPv4 のパケットフィルタと NAT の管理ツール | |
32 | 41 | .SH 書式 |
33 | -\fBiptables [\-t table] \-[AD] \fPチェイン ルールの詳細 [オプション] | |
34 | -.br | |
35 | -\fBiptables [\-t table] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション] | |
36 | -.br | |
37 | -\fBiptables [\-t table] \-R \fPチェイン ルール番号 ルールの詳細 [オプション] | |
38 | -.br | |
39 | -\fBiptables [\-t table] \-D \fPチェイン ルール番号 [オプション] | |
40 | -.br | |
41 | -\fBiptables [\-t table] \-[LFZ] \fP[チェイン] [オプション] | |
42 | -.br | |
43 | -\fBiptables [\-t table] \-N \fPチェイン | |
44 | -.br | |
45 | -\fBiptables [\-t table] \-X \fP[チェイン] | |
46 | -.br | |
47 | -\fBiptables [\-t table] \-P \fPチェイン ターゲット [オプション] | |
48 | -.br | |
49 | -\fBiptables [\-t table] \-E \fP旧チェイン名 新チェイン名 | |
42 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain\fP | |
43 | +\fIrule\-specification\fP | |
44 | +.PP | |
45 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP] | |
46 | +\fIrule\-specification\fP | |
47 | +.PP | |
48 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-R\fP \fIchain rulenum rule\-specification\fP | |
49 | +.PP | |
50 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-D\fP \fIchain rulenum\fP | |
51 | +.PP | |
52 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-S\fP [\fIchain\fP [\fIrulenum\fP]] | |
53 | +.PP | |
54 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-F\fP|\fB\-L\fP|\fB\-Z\fP} [\fIchain\fP [\fIrulenum\fP]] | |
55 | +[\fIoptions...\fP] | |
56 | +.PP | |
57 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-N\fP \fIchain\fP | |
58 | +.PP | |
59 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-X\fP [\fIchain\fP] | |
60 | +.PP | |
61 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-P\fP \fIchain target\fP | |
62 | +.PP | |
63 | +\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-E\fP \fIold\-chain\-name new\-chain\-name\fP | |
64 | +.PP | |
65 | +rule\-specification = [\fImatches...\fP] [\fItarget\fP] | |
66 | +.PP | |
67 | +match = \fB\-m\fP \fImatchname\fP [\fIper\-match\-options\fP] | |
68 | +.PP | |
69 | +target = \fB\-j\fP \fItargetname\fP [\fIper\-target\-options\fP] | |
50 | 70 | .SH 説明 |
51 | -\fBiptables\fP は Linux カーネルの IP パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。 | |
52 | -複数の異なるテーブルを定義できる。 各テーブルにはたくさんの組み込み済みチェインが含まれており、 さらにユーザー定義のチェインを加えることもできる。 | |
53 | - | |
54 | -各チェインは、パケット群にマッチするルールのリストである。 各ルールは | |
55 | -マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と | |
56 | -呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。 | |
57 | - | |
71 | +\fBiptables\fP は Linux カーネルの IPv4 パケットフィルタルールのテーブルの設定・管理・検査に使用される。 | |
72 | +複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、 さらにユーザー定義のチェインを加えることもできる。 | |
73 | +.PP | |
74 | +各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。 | |
75 | +パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。 | |
58 | 76 | .SH ターゲット |
59 | -ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。 | |
60 | -パケットがマッチしない場合、チェイン内の次のルールが評価される。 | |
61 | -パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 | |
62 | -ターゲットの値は、ユーザー定義チェインの名前、または特別な値 | |
63 | -\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。 | |
77 | +ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッチしない場合、 チェイン内の次のルールが評価される。 | |
78 | +パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、 もしくは特別な値 | |
79 | +\fBACCEPT\fP, \fBDROP\fP, \fBQUEUE\fP, \fBRETURN\fP のいずれか 1 つを指定する。 | |
64 | 80 | .PP |
65 | -\fIACCEPT\fP はパケットを通すという意味である。 | |
66 | -\fIDROP\fP はパケットを床に落す (捨てる) という意味である。 | |
67 | -\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である | |
68 | -(カーネルがサポートしていればであるが)。 | |
69 | -\fIRETURN\fP は、このチェインを辿るのを中止して、 | |
70 | -前の (呼び出し元) チェインの次のルールから再開するという意味である。 | |
71 | -組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで | |
72 | -ターゲット \fIRETURN\fP を持つルールにマッチした場合、 | |
73 | -チェインポリシーで指定されたターゲットが パケットの行方を決定する。 | |
81 | +\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBQUEUE\fP | |
82 | +はそのパケットをユーザー空間に渡すという意味である。 | |
83 | +(ユーザー空間プロセスがパケットをどのように受信するかは、個々のキューハンドラにより異なる。バージョン 2.4.x および 2.6.13 までの | |
84 | +2.6.x のカーネルでは \fBip_queue\fP キューハンドラが読み込まれる。バージョン 2.6.14 以降のカーネルでは、これに加えて | |
85 | +\fBnfnetlink_queue\fP キューハンドラも利用できる。ターゲットが QUEUE のパケットは、キュー番号 '0' に送信される。この man | |
86 | +ページの後ろの方で説明されている \fBNFQUEUE\fP ターゲットについても参照のこと。) \fBRETURN\fP は、このチェインを辿るのを中止して、 | |
87 | +前の (呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット | |
88 | +\fBRETURN\fP を持つルールにマッチした場合、 パケットをどのように処理するかは、そのチェインのポリシーで指定されたターゲットにより決まる。 | |
74 | 89 | .SH テーブル |
75 | -現在のところ 3 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。 | |
90 | +現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。 | |
76 | 91 | .TP |
77 | -\fB\-t, \-\-table \fP\fItable\fP | |
78 | -このオプションは、このコマンドが操作するパケットマッチングテーブルを | |
79 | -指定する。 カーネルに自動モジュールローディングが設定されている場合、 | |
80 | -そのテーブルに対する適切なモジュールがまだロードされていなければ、 | |
81 | -そのモジュールがロードされる。 | |
92 | +\fB\-t\fP, \fB\-\-table\fP \fItable\fP | |
93 | +このコマンドで操作するパケットマッチングテーブルを指定する。 カーネルで自動モジュールローディングが有効になっている場合、 | |
94 | +そのテーブルで必要となるモジュールがまだロードされていなければ、 ロードされる。 | |
82 | 95 | |
83 | -テーブルは以下の通りである。 | |
96 | +以下のテーブルがある。 | |
84 | 97 | .RS |
85 | 98 | .TP .4i |
86 | 99 | \fBfilter\fP: |
87 | -(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。 | |
88 | -これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・ | |
89 | -\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・ | |
90 | -\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という | |
91 | -組み込み済みチェインが含まれる。 | |
100 | +(\-t オプションが指定されていない場合は) このテーブルがデフォルトとなる。 このテーブルには、 \fBINPUT\fP | |
101 | +(ローカルマシンのソケット宛のパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由して転送されるパケットに対するチェイン)、 | |
102 | +\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という組み込みチェインがある。 | |
92 | 103 | .TP |
93 | 104 | \fBnat\fP: |
94 | -このテーブルは新しい接続を開くようなパケットに対して参照される。 これには \fBPREROUTING\fP | |
95 | -(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・ \fBOUTPUT\fP | |
96 | -(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・ \fBPOSTROUTING\fP | |
97 | -(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込み済みチェインが含まれる。 | |
105 | +このテーブルは新しい接続を開くパケットの場合に参照される。 \fBPREROUTING\fP | |
106 | +(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP | |
107 | +(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 \fBPOSTROUTING\fP | |
108 | +(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 | |
98 | 109 | .TP |
99 | 110 | \fBmangle\fP: |
100 | -このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、 | |
101 | -\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する | |
102 | -ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン | |
103 | -グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま | |
104 | -れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に | |
105 | -入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ | |
106 | -トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する | |
107 | -ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。 | |
111 | +このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、組み込みチェインは \fBPREROUTING\fP | |
112 | +(パケットが入ってきた場合、 すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP (ローカルで生成されたパケットを | |
113 | +ルーティングの前に変換するためのチェイン) の 2 つであった。 カーネル 2.4.18 からは、これらに加えて \fBINPUT\fP | |
114 | +(マシン自体に入ってくるパケットに対するチェイン)、 \fBFORWARD\fP (マシンを経由するパケットに対するチェイン)、 \fBPOSTROUTING\fP | |
115 | +(パケットが出て行くときに変換するためのチェイン) の 3 つの組み込みチェインもサポートされている。 | |
116 | +.TP | |
117 | +\fBraw\fP: | |
118 | +このテーブルは、NOTRACK ターゲットとの組み合わせで使用され、接続追跡 (connection tracking) | |
119 | +の対象外とする通信を設定するのに使われる。このテーブルは netfilter フックに優先度高で登録されているので、 ip_conntrack や他の | |
120 | +IP テーブルよりも前に呼ばれる。 このテーブルでは、 \fBPREROUTING\fP | |
121 | +(任意のネットワークインタフェースから到着するパケットに対するチェイン)、 \fBOUTPUT\fP (ローカルプロセスが生成したパケットに対するチェイン) | |
122 | +の 2 つの組み込みチェインが提供されている。 | |
123 | +.TP | |
124 | +\fBsecurity\fP: | |
125 | +このテーブルは、強制アクセス制御 (Mandatory Access Control; MAC) のネットワークルール用に使用される。 例えば、 | |
126 | +\fBSECMARK\fP や \fBCONNSECMARK\fP ターゲットにより有効にされるルールなどである。 強制アクセス制御は、 SELinux などの | |
127 | +Linux セキュリティモジュールにより実装されている。 セキュリティテーブルは filter テーブルの後に呼ばれる。 これにより、 | |
128 | +強制アクセス制御のルールよりも前に、 filter テーブルの任意アクセス制御 (Discretionary Access Control; DAC) | |
129 | +のルールを適用することができる。 このテーブルでは、 \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)、 \fBOUTPUT\fP | |
130 | +(ローカルマシンで生成されたパケットに対してルーティング前に変更を行うためのチェイン)、 \fBFORWARD\fP | |
131 | +(マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。 | |
108 | 132 | .RE |
109 | 133 | .SH オプション |
110 | 134 | \fBiptables\fP で使えるオプションは、いくつかのグループに分けられる。 |
111 | 135 | .SS コマンド |
112 | -これらのオプションは、実行する特定の動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の 1 つだけである。 | |
113 | -長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して) | |
136 | +これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。 | |
137 | +長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して) | |
114 | 138 | 指定することもできる。 |
115 | 139 | .TP |
116 | -\fB\-A, \-\-append \fP\fIchain rule\-specification\fP | |
117 | -選択されたチェインの最後に 1 つ以上のルールを追加する。 | |
118 | -送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された | |
119 | -場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。 | |
140 | +\fB\-A\fP, \fB\-\-append\fP \fIchain rule\-specification\fP | |
141 | +選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前の解決を行って、複数のアドレスに展開された場合は、 | |
142 | +可能なアドレスの組合せそれぞれに対してルールが追加される。 | |
143 | +.TP | |
144 | +\fB\-C\fP, \fB\-\-check\fP \fIchain rule\-specification\fP | |
145 | +指定したルールにマッチするルールが指定されたチェインにあるかを確認する。 このコマンドでマッチするエントリを探すのに使用されるロジックは \fB\-D\fP | |
146 | +と同じだが、 既存の iptables 設定は変更されず、終了コードは成功、失敗を示すのに使用される。 | |
120 | 147 | .TP |
121 | -\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP | |
148 | +\fB\-D\fP, \fB\-\-delete\fP \fIchain rule\-specification\fP | |
122 | 149 | .ns |
123 | 150 | .TP |
124 | -\fB\-D, \-\-delete \fP\fIchain rulenum\fP | |
151 | +\fB\-D\fP, \fB\-\-delete\fP \fIchain rulenum\fP | |
125 | 152 | 選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする) |
126 | 153 | を指定する場合と、 マッチするルールを指定する場合である。 |
127 | 154 | .TP |
128 | -\fB\-I, \-\-insert \fP\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細\fP | |
155 | +\fB\-I\fP, \fB\-\-insert\fP \fIchain\fP [\fIrulenum\fP] \fIrule\-specification\fP | |
129 | 156 | 選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。 |
130 | -これはルール番号が指定されない場合のデフォルトでもある。 | |
157 | +ルール番号が指定されなかった場合、ルール番号のデフォルトは 1 となる。 | |
131 | 158 | .TP |
132 | -\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP | |
133 | -選択されたチェインにあるルールを置き換える。 | |
134 | -送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 | |
135 | -このコマンドは失敗する。ルール番号は 1 からはじまる。 | |
159 | +\fB\-R\fP, \fB\-\-replace\fP \fIchain rulenum rule\-specification\fP | |
160 | +選択されたチェインのルールを置き換える。 送信元や送信先の名前が複数のアドレスに展開された場合は、このコマンドは失敗する。 ルール番号は 1 | |
161 | +からはじまる。 | |
136 | 162 | .TP |
137 | -\fB\-L, \-\-list \fP[\fIchain\fP] | |
138 | -選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables | |
139 | -コマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 よって NAT ルールを表示するには以下のようにする。 | |
163 | +\fB\-L\fP, \fB\-\-list\fP [\fIchain\fP] | |
164 | +選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインのリストが一覧表示される。 | |
165 | +他のコマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 NAT ルールを表示するには以下のようにする。 | |
140 | 166 | .nf |
141 | 167 | iptables \-t nat \-n \-L |
142 | 168 | .fi |
143 | -DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。 | |
144 | -\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、 | |
145 | -チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト | |
146 | -カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に | |
147 | -影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、 | |
148 | -実際のルールそのものは表示されない。 | |
169 | +DNS の逆引きを避けるために、 \fB\-n\fP オプションと共に使用されることがよくある。 \fB\-Z\fP (ゼロクリア) | |
170 | +オプションを同時に指定することもできる。 この場合、各チェインの表示とゼロクリアは同時に行われ、カウンタ値に抜けが発生することはない。 | |
171 | +細かな出力内容は同時に指定された他の引き数により変化する。 以下のように \fB\-v\fP オプションを指定しない限り、 | |
172 | +ルールの表示は一部省略されたものとなる。 | |
149 | 173 | .nf |
150 | 174 | iptables \-L \-v |
151 | 175 | .fi |
152 | 176 | .TP |
153 | -\fB\-F, \-\-flush \fP[\fIchain\fP] | |
154 | -選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) | |
155 | -の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと | |
156 | -同じである。 | |
177 | +\fB\-S\fP, \fB\-\-list\-rules\fP [\fIchain\fP] | |
178 | +選択されたチェインにある全てのルールを表示する。チェインが指定されない場合、 iptables\-save と同じく、 全てのチェインの情報が表示される。 | |
179 | +他のコマンド同様、 指定されたテーブル (デフォルトは filter) に対して作用する。 | |
157 | 180 | .TP |
158 | -\fB\-Z, \-\-zero \fP[\fIchain\fP] | |
159 | -すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示) | |
181 | +\fB\-F\fP, \fB\-\-flush\fP [\fIchain\fP] | |
182 | +選択されたチェイン (何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと同じである。 | |
183 | +.TP | |
184 | +\fB\-Z\fP, \fB\-\-zero\fP [\fIchain\fP [\fIrulenum\fP]] | |
185 | +全てのチェインのパケットカウンタとバイトカウンタをゼロにする。 チェインやチェイン内のルールが指定された場合には、 | |
186 | +指定されたチェインやルールのカウンタだけをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L\fP, \fB\-\-list\fP (一覧表示) | |
160 | 187 | オプションと同時に指定することもできる (上記を参照)。 |
161 | 188 | .TP |
162 | -\fB\-N, \-\-new\-chain \fP\fIchain\fP | |
163 | -指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。 | |
189 | +\fB\-N\fP, \fB\-\-new\-chain\fP \fIchain\fP | |
190 | +指定した名前のユーザー定義チェインを作成する。 同じ名前のターゲットが存在していてはならない。 | |
164 | 191 | .TP |
165 | -\fB\-X, \-\-delete\-chain \fP[\fIchain\fP] | |
166 | -指定したユーザー定義チェインを削除する。 そのチェインが参照されていては | |
167 | -ならない。 チェインを削除する前に、そのチェインを参照しているルールを | |
168 | -削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー | |
169 | -ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。 | |
192 | +\fB\-X\fP, \fB\-\-delete\-chain\fP [\fIchain\fP] | |
193 | +指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。 | |
194 | +チェインを削除する前に、そのチェインを参照しているルールを削除するか、別のチェインを参照するようにしなければならない。 | |
195 | +チェインは空でなければならない、つまりチェインにルールが登録されていてはいけない。 | |
196 | +引き数が指定されなかった場合、テーブルにあるチェインのうち組み込みチェイン以外のものを全て削除する。 | |
170 | 197 | .TP |
171 | -\fB\-P, \-\-policy \fP\fIchain target\fP | |
172 | -チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット | |
173 | -は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み | |
174 | -済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも | |
175 | -ユーザー定義チェインも ポリシーのターゲットに設定することはできない。 | |
198 | +\fB\-P\fP, \fB\-\-policy\fP \fIchain target\fP | |
199 | +チェインのポリシーを指定したターゲットに設定する。指定可能なターゲットは「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) | |
200 | +組み込みチェインにしかポリシーは設定できない。 また、ポリシーのターゲットに、 組み込みチェインやユーザー定義チェインを設定することはできない。 | |
176 | 201 | .TP |
177 | -\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP | |
202 | +\fB\-E\fP, \fB\-\-rename\-chain\fP \fIold\-chain new\-chain\fP | |
178 | 203 | ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。 |
179 | 204 | .TP |
180 | 205 | \fB\-h\fP |
@@ -182,560 +207,154 @@ DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共 | ||
182 | 207 | .SS パラメータ |
183 | 208 | 以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。 |
184 | 209 | .TP |
185 | -\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP | |
186 | -ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP, \fIicmp\fP, | |
187 | -\fIall\fP のいずれか 1 つか、数値である。 数値には、これらのプロトコルのどれかないし別のプロトコルを表す 数値を指定することができる。 | |
188 | -/etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 | |
189 | -は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、 このオプションが省略された際のデフォルトである。 | |
210 | +\fB\-4\fP, \fB\-\-ipv4\fP | |
211 | +このオプションは iptables と iptables\-restore では効果を持たない。 | |
212 | +.TP | |
213 | +\fB\-6\fP, \fB\-\-ipv6\fP | |
214 | +\fB\-6\fP オプションを使ったルールを iptables\-restore で挿入された場合、(この場合に限り) | |
215 | +そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6 | |
216 | +の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore | |
217 | +の両方でそのファイルを使うことができる。 | |
218 | +.TP | |
219 | +[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP | |
220 | +ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fBtcp\fP, \fBudp\fP, \fBudplite\fP, | |
221 | +\fBicmp\fP, \fBesp\fP, \fBah\fP, \fBsctp\fP と特別なキーワード \fBall\fP のいずれか 1 つか、または数値である。 | |
222 | +数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols | |
223 | +にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は \fBall\fP と等しい。 | |
224 | +"\fBall\fP" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 | |
225 | +.TP | |
226 | +[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP] | |
227 | +送信元の指定。 \fIaddress\fP はホスト名、ネットワーク IP アドレス (\fB/\fP\fImask\fP を指定する)、通常の IP | |
228 | +アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS | |
229 | +のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 \fImask\fP | |
230 | +には、ネットワークマスクか、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 \fI24\fP という mask は | |
231 | +\fI255.255.255.0\fP と同じである。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ | |
232 | +\fB\-\-src\fP は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (\-A での追加であれば) | |
233 | +\fB複数のルールに展開され\fP、 (\-D での削除であれば) 複数のルールが削除されることになる。 | |
234 | +.TP | |
235 | +[\fB!\fP] \fB\-d\fP, \fB\-\-destination\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP] | |
236 | +宛先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP | |
237 | +は、このオプションの別名である。 | |
190 | 238 | .TP |
191 | -\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP] | |
192 | -送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない) ・ネットワーク | |
193 | -IP アドレス (/mask を指定する)・ 通常の IP アドレス、のいずれかである。 \fImask\fP はネットワークマスクか、 | |
194 | -ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI24\fP という mask は \fI255.255.255.0\fP に等しい。 | |
195 | -アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。 | |
239 | +\fB\-m\fP, \fB\-\-match\fP \fImatch\fP | |
240 | +使用するマッチ、つまり、特定の通信を検査する拡張モジュールを指定する。 マッチの集合により、ターゲットが起動される条件が構築される。 | |
241 | +マッチは先頭から末尾に向けてコマンドラインで指定された順に評価され、 短絡式 (short\-circuit fashion) | |
242 | +の動作を行う、つまり、いずれの拡張モジュールが偽 (false) を返した場合、そこで評価は終了する。 | |
196 | 243 | .TP |
197 | -\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP] | |
198 | -送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP | |
199 | -は、このオプションの別名である。 | |
244 | +\fB\-j\fP, \fB\-\-jump\fP \fItarget\fP | |
245 | +ルールのターゲット、 つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン | |
246 | +(そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込みターゲットでも、 拡張ターゲット (以下の | |
247 | +「\fBターゲットの拡張\fP」 を参照) でもよい。 このオプションがルールの中で省略された場合 (かつ \fB\-g\fP が使用されなかった場合)、 | |
248 | +ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。 | |
200 | 249 | .TP |
201 | -\fB\-j, \-\-jump \fP\fItarget\fP | |
202 | -ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定 | |
203 | -する。ターゲットはユーザー定義チェイン (そのルール自身が入っている | |
204 | -チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み | |
205 | -ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を | |
206 | -参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに | |
207 | -マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ | |
208 | -加算される。 | |
209 | -.TP | |
210 | -\fB\-i, \-\-in\-interface \fP[!] \fIname\fP | |
211 | -パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, | |
212 | -\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に | |
213 | -"!" を置くと、 そのインターフェースを除外するという意味になる。 | |
214 | -インターフェース名が "+" で終っている場合、 その名前で始まる任意の | |
215 | -インターフェース名にマッチする。このオプションが省略された場合、 | |
216 | -任意のインターフェース名にマッチする。 | |
250 | +\fB\-g\fP, \fB\-\-goto\fP \fIchain\fP | |
251 | +ユーザー定義チェインで処理を継続することを指定する。 \-\-jump オプションと異なり、 return が行われた際にこのチェインでの処理は継続されず、 | |
252 | +\-\-jump でこのチェインを呼び出したチェインで処理が継続される。 | |
217 | 253 | .TP |
218 | -\fB\-o, \-\-out\-interface \fP[!] \fIname\fP | |
254 | +[\fB!\fP] \fB\-i\fP, \fB\-\-in\-interface\fP \fIname\fP | |
255 | +パケットが受信されたインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。 | |
256 | +インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 | |
257 | +その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。 | |
258 | +.TP | |
259 | +[\fB!\fP] \fB\-o\fP, \fB\-\-out\-interface\fP \fIname\fP | |
219 | 260 | パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP |
220 | 261 | チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が |
221 | 262 | "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 |
222 | 263 | 任意のインターフェース名にマッチする。 |
223 | 264 | .TP |
224 | -\fB[!] \-f, \-\-fragment\fP | |
225 | -このオプションは、分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 | |
226 | -このようなパケット (または ICMP タイプのパケット) は 送信元・送信先ポートを知る方法がないので、 | |
227 | -送信元や送信先を指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、 分割されたパケットのうち最初のものか、 | |
228 | -分割されていないパケットだけにマッチする。 | |
265 | +[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP | |
266 | +分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 このようなパケット | |
267 | +(または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、 | |
268 | +送信元ポートや宛先ポートを指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、 | |
269 | +分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。 | |
229 | 270 | .TP |
230 | -\fB\-c, \-\-set\-counters \fP\fIPKTS BYTES\fP | |
271 | +\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP | |
231 | 272 | このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを |
232 | 273 | 初期化することができる。 |
233 | 274 | .SS その他のオプション |
234 | 275 | その他に以下のオプションを指定することができる: |
235 | 276 | .TP |
236 | -\fB\-v, \-\-verbose\fP | |
237 | -詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。 | |
277 | +\fB\-v\fP, \fB\-\-verbose\fP | |
278 | +詳細な出力を行う。 list コマンドの際に、 インターフェース名、 ルールのオプション (ある場合のみ)、 TOS マスクを表示させる。 | |
238 | 279 | パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 |
239 | 280 | 倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace |
240 | -コマンドに適用すると、 ルールについての詳細な情報を表示する。 | |
281 | +コマンドに適用すると、 ルールについての詳細な情報を表示する。 \fB\-v\fP は複数回指定することができ、 | |
282 | +数が多くなるとより多くのデバッグ情報が出力される。 | |
241 | 283 | .TP |
242 | -\fB\-n, \-\-numeric\fP | |
243 | -数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット | |
244 | -で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を | |
245 | -ホスト名・ネットワーク名・サービス名で表示しようとする。 | |
284 | +\fB\-n\fP, \fB\-\-numeric\fP | |
285 | +数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) IP | |
286 | +アドレスやポート番号をホスト名、ネットワーク名、サービス名で表示しようとする。 | |
246 | 287 | .TP |
247 | -\fB\-x, \-\-exact\fP | |
288 | +\fB\-x\fP, \fB\-\-exact\fP | |
248 | 289 | 厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) |
249 | -ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。 | |
290 | +ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドの場合のみ意味がある。 | |
250 | 291 | .TP |
251 | 292 | \fB\-\-line\-numbers\fP |
252 | -ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。 | |
293 | +ルールを一覧表示する際、 そのルールがチェインのどの位置にあるかを表す行番号を各行の始めに付加する。 | |
253 | 294 | .TP |
254 | -\fB\-\-modprobe=command\fP | |
255 | -チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP | |
295 | +\fB\-\-modprobe=\fP\fIcommand\fP | |
296 | +チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fIcommand\fP | |
256 | 297 | を指定する。 |
257 | -.SH マッチングの拡張 | |
258 | -iptables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、 | |
259 | -\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP | |
260 | -の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。 | |
261 | -複数の拡張マッチングモジュールを一行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で \fB\-h\fP | |
262 | -または \fB\-\-help\fP を指定すればよい。 | |
263 | - | |
264 | -以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を | |
265 | -前におくことによってマッチングの意味を逆にできる。 | |
266 | -.SS ah | |
267 | -このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。 | |
268 | -.TP | |
269 | -\fB\-\-ahspi \fP[!] \fIspi\fP[:\fIspi\fP] | |
270 | -.SS conntrack | |
271 | -このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 "state" マッチよりもさらに多くの、 | |
272 | -パケットについての接続追跡状態を知ることができる (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合 | |
273 | -にのみ、このモジュールは存在する)。 | |
274 | -.TP | |
275 | -\fB\-\-ctstate \fP\fIstate\fP | |
276 | -state は、マッチング対象となる、コンマ区切りの接続状態リストである。 指定可能な state は以下の通り。 \fBINVALID\fP: | |
277 | -メモリを使い果たした為や、 既知の接続とは対応しない ICMP エラーなど、 何らかの理由によりパケットが識別できない。 \fBESTABLISHED\fP: | |
278 | -このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、 | |
279 | -双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP | |
280 | -データ転送や ICMP エラーのように、既存の接続に関係している。 \fBSNAT\fP: | |
281 | -仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと 異なる場合にマッチする。 \fBDNAT\fP: | |
282 | -仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと 異なる場合にマッチする。 | |
283 | -.TP | |
284 | -\fB\-\-ctproto \fP\fIproto\fP | |
285 | -(名前または数値で) 指定されたプロトコルにマッチする。 | |
286 | -.TP | |
287 | -\fB\-\-ctorigsrc \fP\fI[!] address[/mask]\fP | |
288 | -書き換え前の送信元アドレスにマッチする。 | |
289 | -.TP | |
290 | -\fB\-\-ctorigdst \fP\fI[!] address[/mask]\fP | |
291 | -書き換え前の宛先アドレスにマッチする。 | |
292 | -.TP | |
293 | -\fB\-\-ctreplsrc \fP\fI[!] address[/mask]\fP | |
294 | -応答の送信元アドレスにマッチする。 | |
295 | -.TP | |
296 | -\fB\-\-ctrepldst \fP\fI[!] address\fP\fB[/\fP\fImask\fP\fB]\fP | |
297 | -応答の宛先アドレスにマッチする。 | |
298 | -.TP | |
299 | -\fB\-\-ctstatus \fP\fI[NONE|EXPECTED|SEEN_REPLY|ASSURED][,...]\fP | |
300 | -接続追跡の内部的な状態にマッチする。 | |
301 | -.TP | |
302 | -\fB\-\-ctexpire \fP\fItime[:time]\fP | |
303 | -有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。 | |
304 | -.SS dscp | |
305 | -このモジュールは、IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が | |
306 | -TOS に取って代わった。 | |
307 | -.TP | |
308 | -\fB\-\-dscp \fP\fIvalue\fP | |
309 | -(10 進または 16 進の) 数値 [0\-63] にマッチする。 | |
310 | -.TP | |
311 | -\fB\-\-dscp\-class \fP\fIDiffServ Class\fP | |
312 | -DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 | |
313 | -これらは、対応する数値で指定するのと同じである。 | |
314 | -.SS esp | |
315 | -このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。 | |
316 | -.TP | |
317 | -\fB\-\-espspi \fP[!] \fIspi\fP[:\fIspi\fP] | |
318 | -.SS helper | |
319 | -このモジュールは、指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。 | |
320 | -.TP | |
321 | -\fB\-\-helper \fP\fIstring\fP | |
322 | -指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。 | |
323 | -.RS | |
324 | -.PP | |
325 | -デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号" | |
326 | -を値に付け加える。 すなわち "ftp\-2121" となる。 | |
298 | +.SH マッチングとターゲットの拡張 | |
327 | 299 | .PP |
328 | -他の接続追跡ヘルパーでも同じルールが適用される。 | |
329 | -.RE | |
330 | -.SS icmp | |
331 | -この拡張は `\-\-protocol icmp' が指定された場合にロードされ、 以下のオプションが提供される: | |
332 | -.TP | |
333 | -\fB\-\-icmp\-type \fP[!] \fItypename\fP | |
334 | -ICMP タイプを指定できる。タイプ指定には、 数値の ICMP タイプ、または以下のコマンド で表示される ICMP タイプ名を指定できる。 | |
335 | -.nf | |
336 | - iptables \-p icmp \-h | |
337 | -.fi | |
338 | -.SS length | |
339 | -このモジュールは、指定されたパケット長、またはその範囲にマッチする。 | |
340 | -.TP | |
341 | -\fB\-\-length \fP\fIlength\fP[:\fIlength\fP] | |
342 | -.SS limit | |
343 | -このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され | |
344 | -た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され | |
345 | -ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録 | |
346 | -を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。 | |
347 | -.TP | |
348 | -\fB\-\-limit \fP\fIrate\fP | |
349 | -単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day' | |
350 | -を付けることもできる。 デフォルトは 3/hour である。 | |
351 | -.TP | |
352 | -\fB\-\-limit\-burst \fP\fInumber\fP | |
353 | -パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に | |
354 | -達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。 | |
355 | -デフォルトは 5 である。 | |
356 | -.SS mac | |
357 | -.TP | |
358 | -\fB\-\-mac\-source \fP[!] \fIaddress\fP | |
359 | -送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と | |
360 | -いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ | |
361 | -トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか | |
362 | -意味がない。 | |
363 | -.SS mark | |
364 | -このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP | |
365 | -ターゲットで設定される)。 | |
366 | -.TP | |
367 | -\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP] | |
368 | -指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。 | |
369 | -.SS multiport | |
370 | -このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p | |
371 | -udp\fP と組み合わせて使うことしかできない。 | |
372 | -.TP | |
373 | -\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
374 | -送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。 | |
375 | -.TP | |
376 | -\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
377 | -宛先ポートが指定されたポートのうちのいずれかであればマッチする。 | |
378 | -フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。 | |
379 | -.TP | |
380 | -\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]] | |
381 | -送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの | |
382 | -うちのいずれかであればマッチする。 | |
383 | -.SS owner | |
384 | -このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性に対してマッチを行う。 これは \fBOUTPUT\fP | |
385 | -チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。 | |
386 | -.TP | |
387 | -\fB\-\-uid\-owner \fP\fIuserid\fP | |
388 | -指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。 | |
389 | -.TP | |
390 | -\fB\-\-gid\-owner \fP\fIgroupid\fP | |
391 | -指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。 | |
392 | -.TP | |
393 | -\fB\-\-pid\-owner \fP\fIprocessid\fP | |
394 | -指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。 | |
395 | -.TP | |
396 | -\fB\-\-sid\-owner \fP\fIsessionid\fP | |
397 | -指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。 | |
398 | -.TP | |
399 | -\fB\-\-cmd\-owner \fP\fIname\fP | |
400 | -指定されたコマンド名を持つプロセスにより パケットが生成されている場合にマッチする (この機能をサポートしたカーネルのもとで iptables | |
401 | -がコンパイルされた場合 にのみ、このモジュールは存在する)。 | |
402 | -.SS physdev | |
403 | -このモジュールは、ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、ブリッジによる透過的な IP | |
404 | -ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。 | |
405 | -.TP | |
406 | -\fB\-\-physdev\-in name\fP | |
407 | -パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。 | |
408 | -インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 | |
409 | -ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、このオプションにマッチしない。 | |
410 | -.TP | |
411 | -\fB\-\-physdev\-out name\fP | |
412 | -パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP | |
413 | -チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP | |
414 | -と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの | |
415 | -\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 | |
416 | -\&'!' が指定されていない限り、パケットはこのオプションにマッチしない。 | |
417 | -.TP | |
418 | -\fB\-\-physdev\-is\-in\fP | |
419 | -パケットがブリッジインターフェースに入った場合にマッチする。 | |
420 | -.TP | |
421 | -\fB\-\-physdev\-is\-out\fP | |
422 | -パケットがブリッジインターフェースから出ようとした場合にマッチする。 | |
423 | -.TP | |
424 | -\fB\-\-physdev\-is\-bridged\fP | |
425 | -パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING | |
426 | -チェインにおいてのみ役立つ。 | |
427 | -.SS pkttype | |
428 | -このモジュールは、リンク層のパケットタイプにマッチする。 | |
429 | -.TP | |
430 | -\fB\-\-pkt\-type \fP\fI[unicast|broadcast|multicast]\fP | |
431 | -.SS state | |
432 | -このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 パケットについての接続追跡状態を知ることができる。 | |
433 | -.TP | |
434 | -\fB\-\-state \fP\fIstate\fP | |
435 | -state は、マッチングを行うための、コンマで区切られた接続状態のリストである。 指定可能な state は以下の通り。 \fBINVALID\fP: | |
436 | -このパケットは既知の接続と関係していない。 \fBESTABLISHED\fP: | |
437 | -このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、 | |
438 | -双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP | |
439 | -データ転送や ICMP エラーのように、既存の接続に関係している。 | |
440 | -.SS tcp | |
441 | -これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される: | |
442 | -.TP | |
443 | -\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP] | |
444 | -送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で | |
445 | -きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること | |
446 | -もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを | |
447 | -省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい | |
448 | -場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利 | |
449 | -な別名である。 | |
450 | -.TP | |
451 | -\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP] | |
452 | -送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。 | |
453 | -.TP | |
454 | -\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP | |
455 | -TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価 | |
456 | -対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定 | |
457 | -しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ | |
458 | -グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド | |
459 | -.nf | |
460 | - iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN | |
461 | -.fi | |
462 | -は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。 | |
463 | -.TP | |
464 | -\fB[!] \-\-syn\fP | |
465 | -SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに | |
466 | -のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え | |
467 | -ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、 | |
468 | -内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ | |
469 | -は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ | |
470 | -を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている | |
471 | -TCP パケットにのみマッチする。 | |
472 | -.TP | |
473 | -\fB\-\-tcp\-option \fP[!] \fInumber\fP | |
474 | -TCP オプションが設定されている場合にマッチする。 | |
475 | -.TP | |
476 | -\fB\-\-mss \fP\fIvalue\fP[:\fIvalue\fP] | |
477 | -指定された MSS 値 (の範囲) を持つ TCP の SYN または SYN/ACK パケットにマッチする。 MSS | |
478 | -は接続に対するパケットの最大サイズを制御する。 | |
479 | -.SS tos | |
480 | -このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む) Type of Service フィールドにマッチする。 | |
481 | -.TP | |
482 | -\fB\-\-tos \fP\fItos\fP | |
483 | -引き数は、マッチを行う標準的な名前でも数値でもよい (名前のリストを見るには | |
484 | -.br | |
485 | - iptables \-m tos \-h | |
486 | -.br | |
487 | -を使うこと)。 | |
488 | -.SS ttl | |
489 | -このモジュールは IP ヘッダーの time to live フィールドにマッチする。 | |
490 | -.TP | |
491 | -\fB\-\-ttl \fP\fIttl\fP | |
492 | -指定された TTL 値にマッチする。 | |
493 | -.SS udp | |
494 | -これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される: | |
495 | -.TP | |
496 | -\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP] | |
497 | -送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。 | |
498 | -.TP | |
499 | -\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP] | |
500 | -送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。 | |
501 | -.SS unclean | |
502 | -このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。 | |
503 | -.SH ターゲットの拡張 | |
504 | -iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。 | |
505 | -.SS DNAT | |
506 | -このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、これらのチェインから呼び出される | |
507 | -ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信先アドレスを修正する (この接続の以降のパケットも修正して分からなく | |
508 | -(mangle) する)。 さらに、ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある: | |
509 | -.TP | |
510 | -\fB\-\-to\-destination \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP] | |
511 | -1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで \fB\-p | |
512 | -tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、送信先ポートは変更されない。 | |
513 | -.RS | |
514 | -.PP | |
515 | -複数の \-\-to\-destination オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-destination | |
516 | -オプションによって 2 つ以上の送信先アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。 | |
517 | -.SS DSCP | |
518 | -このターゲットは、IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、mangle | |
519 | -テーブルでのみ使用できる。 | |
520 | -.TP | |
521 | -\fB\-\-set\-dscp \fP\fIvalue\fP | |
522 | -DSCP フィールドの数値を設定する (10 進または 16 進)。 | |
523 | -.TP | |
524 | -\fB\-\-set\-dscp\-class \fP\fIclass\fP | |
525 | -DSCP フィールドの DiffServ クラスを設定する。 | |
526 | -.SS ECN | |
527 | -このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。 | |
528 | -.TP | |
529 | -\fB\-\-ecn\-tcp\-remove\fP | |
530 | -TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP | |
531 | -オプションとの組合わせでのみ使用できる。 | |
532 | -.SS LOG | |
533 | -マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての | |
534 | -(大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または | |
535 | -\fIsyslogd\fP(8) で見ることができる)。 これは "非終了ターゲット" である。 すなわち、ルールの検討は、次のルールへと継続される。 | |
536 | -よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 | |
537 | -次のルールで DROP (または REJECT) ターゲットを指定する。 | |
538 | -.TP | |
539 | -\fB\-\-log\-level \fP\fIlevel\fP | |
540 | -ログ記録のレベル (数値て指定するか、(名前で指定する場合は) | |
541 | -\fIsyslog.conf\fP(5) を参照すること)。 | |
542 | -.TP | |
543 | -\fB\-\-log\-prefix \fP\fIprefix\fP | |
544 | -指定したプレフィックスをログメッセージの前に付ける。 | |
545 | -プレフィックスは 29 文字までの長さで、 | |
546 | -ログの中でメッセージを区別するのに役立つ。 | |
547 | -.TP | |
548 | -\fB\-\-log\-tcp\-sequence\fP | |
549 | -TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。 | |
550 | -.TP | |
551 | -\fB\-\-log\-tcp\-options\fP | |
552 | -TCP パケットヘッダのオプションをログに記録する。 | |
553 | -.TP | |
554 | -\fB\-\-log\-ip\-options\fP | |
555 | -IP パケットヘッダーのオプションをログに記録する。 | |
556 | -.SS MARK | |
557 | -パケットに関連づけられた netfilter の mark 値を設定する。 \fBmangle\fP テーブルのみで有効である。 例えば、iproute2 | |
558 | -と組み合わせて使うことができる。 | |
559 | -.TP | |
560 | -\fB\-\-set\-mark \fP\fImark\fP | |
561 | -.SS MASQUERADE | |
562 | -このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ) | |
563 | -接続の場合にのみ使うべきである。 固定 IP アドレスならば、SNAT ターゲットを使うべきである。 | |
564 | -マスカレーディングは、パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 | |
565 | -インターフェースが停止した場合に接続を\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い | |
566 | -(そのため、前回確立された接続は失われる) 場合、 この動作は正しい。 このターゲットにはオプションが 1 つある。 | |
567 | -.TP | |
568 | -\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP] | |
569 | -このオプションは、使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。 ルールが | |
570 | -\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
571 | -.SS MIRROR | |
572 | -実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と送信先フィールドを入れ換え、 パケットを再送信するものである。 これは | |
573 | -\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、これらのチェインから呼び出される | |
574 | -ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、外部に送られるパケットは いかなるパケットフィルタリングチェイン・接続追跡・NAT | |
575 | -からも 監視\fBされない\fP。 | |
576 | -.SS REDIRECT | |
577 | -このターゲットは、 \fBnat\fP テーブル内の \fBPREROUTING\fP チェイン及び \fBOUTPUT\fP | |
578 | -チェイン、そしてこれらチェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットはパケットの送信先 IP アドレスを マシン自身の | |
579 | -IP アドレスに変換する。 (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。 このターゲットにはオプションが 1 | |
580 | -つある: | |
581 | -.TP | |
582 | -\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP] | |
583 | -このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、送信先ポートは変更されない。 ルールが | |
584 | -\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。 | |
585 | -.SS REJECT | |
586 | -マッチしたパケットの応答としてエラーパケットを送信するために使われる。 | |
587 | -エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、 | |
588 | -ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP, | |
589 | -\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン | |
590 | -だけで有効である。以下のオプションは、返されるエラーパケットの特性を | |
591 | -制御する。 | |
592 | -.TP | |
593 | -\fB\-\-reject\-with \fP\fItype\fP | |
594 | -type として指定可能なものは | |
595 | -.nf | |
596 | -\fBicmp\-net\-unreachable\fP | |
597 | -\fBicmp\-host\-unreachable\fP | |
598 | -\fBicmp\-port\-unreachable\fP | |
599 | -\fBicmp\-proto\-unreachable\fP | |
600 | -\fBicmp\-net\-prohibited\fP | |
601 | -\fBicmp\-host\-prohibited or\fP | |
602 | -\fBicmp\-admin\-prohibited (*)\fP | |
603 | -.fi | |
604 | -であり、適切な ICMP エラーメッセージを返す (\fBport\-unreachable\fP がデフォルトである)。 TCP | |
605 | -プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST | |
606 | -パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている | |
607 | -(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。 | |
608 | -.RS | |
609 | -.PP | |
610 | -(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、 | |
611 | -REJECT ではなく単なる DROP になる。 | |
612 | -.SS SNAT | |
613 | -このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 | |
614 | -このターゲットはパケットの送信元アドレスを修正させる (この接続の以降のパケットも修正して分からなく (mangle) する)。 | |
615 | -さらに、ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある: | |
616 | -.TP | |
617 | -\fB\-\-to\-source \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP] | |
618 | -1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが \fB\-p tcp\fP | |
619 | -または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、他の 512 | |
620 | -未満のポートにマッピングされる。 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。 それ以外のポートは、1024 | |
621 | -以上のポートにマッピングされる。 可能であれば、ポートの変換は起こらない。 | |
622 | -.RS | |
623 | -.PP | |
624 | -複数の \-\-to\-source オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-source オプションによって | |
625 | -2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。 | |
626 | -.SS TCPMSS | |
627 | -このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、 そのコネクションの最大サイズ (通常は、送信インターフェースの MTU | |
628 | -から 40 引いた値) を制御できる。 もちろん \fB\-p tcp\fP と組み合わせてしか使えない。 | |
629 | -.br | |
630 | -このターゲットは犯罪的に頭のいかれた ISP や ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを | |
631 | -乗り越えるために使用する。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットを | |
632 | -やりとりできないというのが、この問題の兆候である。 | |
633 | -.PD 0 | |
634 | -.RS 0.1i | |
635 | -.TP 0.3i | |
636 | -1) | |
637 | -ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする | |
638 | -.TP | |
639 | -2) | |
640 | -短いメールは問題ないが、長いメールがハングする | |
641 | -.TP | |
642 | -3) | |
643 | -ssh は問題ないが、scp は最初のハンドシェーク後にハングする | |
644 | -.RE | |
645 | -.PD | |
646 | -回避方法: このオプションを有効にし、以下のようなルールを ファイアウォールの設定に追加する。 | |
647 | -.nf | |
648 | - iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN \e | |
649 | - \-j TCPMSS \-\-clamp\-mss\-to\-pmtu | |
650 | -.fi | |
651 | -.TP | |
652 | -\fB\-\-set\-mss \fP\fIvalue\fP | |
653 | -MSS オプションの値に指定した値を明示的に設定する。 | |
654 | -.TP | |
655 | -\fB\-\-clamp\-mss\-to\-pmtu\fP | |
656 | -自動的に、MSS 値を (path_MTU \- 40) に強制する。 | |
657 | -.TP | |
658 | -これらのオプションはどちらか 1 つしか指定できない。 | |
659 | -.SS TOS | |
660 | -IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。 \fBmangle\fP テーブルのみで有効である。 | |
661 | -.TP | |
662 | -\fB\-\-set\-tos \fP\fItos\fP | |
663 | -TOS を番号で指定することができる。 また、 | |
664 | -.nf | |
665 | - iptables \-j TOS \-h | |
666 | -.fi | |
667 | -を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。 | |
668 | -.SS ULOG | |
669 | -このターゲットは、マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux | |
670 | -カーネルは、そのパケットを \fInetlink\fP ソケットを用いてマルチキャストする。 そして、1 つ以上のユーザー空間プロセスが | |
671 | -いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、これは "非終了ターゲット" であり、 | |
672 | -ルールの検討は次のルールへと継続される。 | |
673 | -.TP | |
674 | -\fB\-\-ulog\-nlgroup \fP\fInlgroup\fP | |
675 | -パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。 | |
676 | -.TP | |
677 | -\fB\-\-ulog\-prefix \fP\fIprefix\fP | |
678 | -指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。 | |
679 | -.TP | |
680 | -\fB\-\-ulog\-cprange \fP\fIsize\fP | |
681 | -ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。 | |
682 | -.TP | |
683 | -\fB\-\-ulog\-qthreshold \fP\fIsize\fP | |
684 | -カーネル内部のキューに入れられるパケットの数。 例えば、この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの | |
685 | -netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。 | |
686 | -.br | |
300 | +iptables は、パケットマッチングとターゲットの拡張を使うことができる。 \fBiptables\-extensions\fP(8) man | |
301 | +ページに利用できる拡張のリストが載っている。 | |
687 | 302 | .SH 返り値 |
688 | -いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。 | |
689 | -不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。 | |
303 | +いろいろなエラーメッセージが標準エラーに表示される。 正常に動作した場合、 終了コードは 0 である。 | |
304 | +不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、 終了コード 1 が返される。 | |
690 | 305 | .SH バグ |
691 | -バグ? バグって何? ;\-) えーと…、sparc64 ではカウンター値が信頼できない。 | |
306 | +バグ? 何それ?? ;\-) http://bugzilla.netfilter.org/ を覗いてみるといいだろう。 | |
692 | 307 | .SH "IPCHAINS との互換性" |
693 | 308 | \fBiptables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と |
694 | -\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 | |
695 | -よって、(INPUT と OUTPUT の両方のチェインを起動する ループバックトラフィックを除く) 全てのパケットは 3 つあるチェインのうち 1 | |
696 | -しか通らない。 以前は (ipchains では)、 フォワードされるパケットは 3 つのチェイン全てを通っていた。 | |
309 | +\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 よって、 | |
310 | +どのパケットも 3 つあるチェインのうち 1 つしか通らない (ただし、 ループバックトラフィックだけは例外で、 INPUT と OUTPUT | |
311 | +の両方のチェインを通る)。 ipchains では、 フォワードされるパケットは 3 つのチェイン全てを通っていた。 | |
697 | 312 | .PP |
698 | -その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを参照すること、 そしてともに \fBFORWARD\fP | |
699 | -チェインに入るパケットに対して指定可能な点である。 | |
313 | +その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを表わし、 \fBFORWARD\fP | |
314 | +チェインに入るパケットでは入出力両方のインターフェースが指定可能な点である。 | |
700 | 315 | .PP |
701 | -NAT のいろいろな形式が分割された。 オプションの拡張モジュールとともに デフォルトの「フィルタ」テーブルを用いた場合、 \fBiptables\fP | |
702 | -は純粋なパケットフィルタとなる。 これは、以前みられた IP マスカレーディングとパケットフィルタリングの 組合せによる混乱を簡略化する。 | |
703 | -よって、オプション | |
316 | +NAT のいろいろな形式が分割された。 オプションの拡張モジュールと組み合わせて、デフォルトの「フィルタ」テーブルを用いた場合でも、 | |
317 | +\fBiptables\fP は純粋なパケットフィルタとなる。 これにより、 ipchains で見られた IP | |
318 | +マスカレーディングとパケットフィルタリングの組み合せた場合に分かりにくかった点が分かりやすくなっている。 | |
319 | +そのため、以下のオプションを指定した場合の動作は違ったものになっている。 | |
704 | 320 | .nf |
705 | 321 | \-j MASQ |
706 | 322 | \-M \-S |
707 | 323 | \-M \-L |
708 | 324 | .fi |
709 | -は別のものとして扱われる。 iptables では、その他にもいくつかの変更がある。 | |
325 | +iptables では、その他にもいくつかの変更がある。 | |
710 | 326 | .SH 関連項目 |
711 | -\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBip6tables\fP(8), | |
712 | -\fBip6tables\-save\fP(8), \fBip6tables\-restore\fP(8). | |
713 | -.P | |
714 | -パケットフィルタリングについての詳細な iptables の使用法を | |
715 | -説明している packet\-filtering\-HOWTO。 | |
716 | -NAT について詳細に説明している NAT\-HOWTO。 | |
717 | -標準的な配布には含まれない拡張の詳細を 説明している | |
718 | -netfilter\-extensions\-HOWTO。 | |
719 | -内部構造について詳細に説明している netfilter\-hacking\-HOWTO。 | |
327 | +\fBiptables\-apply\fP(8), \fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), | |
328 | +\fBiptables\-extensions\fP(8), \fBip6tables\fP(8), \fBip6tables\-save\fP(8), | |
329 | +\fBip6tables\-restore\fP(8), \fBlibipq\fP(3). | |
330 | +.PP | |
331 | +packet\-filtering\-HOWTO では、パケットフィルタリングについての詳細な iptables の使用法が説明されている。 | |
332 | +NAT\-HOWTO には NAT について詳しい説明がある。 netfilter\-extensions\-HOWTO では、 | |
333 | +標準的な配布には含まれない拡張の詳細が説明されている。 netfilter\-hacking\-HOWTO には、内部構造についての詳細な説明がある。 | |
720 | 334 | .br |
721 | 335 | \fBhttp://www.netfilter.org/\fP を参照。 |
722 | 336 | .SH 作者 |
723 | -Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。 | |
337 | +Rusty Russell が最初に iptables を書いた。初期の段階での Michael Neuling との議論の上で書かれた。 | |
724 | 338 | .PP |
725 | -Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。 | |
726 | -そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。 | |
339 | +Marc Boucher は Rusty に iptables の汎用的なパケット選択のフレームワークを使うように働きかけて、 ipnatctl | |
340 | +を使わないようにした。そして、mangle テーブル、所有者マッチング、 mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。 | |
727 | 341 | .PP |
728 | -James Morris が TOS ターゲットと tos マッチングを書いた。 | |
342 | +James Morris は TOS ターゲットと tos マッチングを書いた。 | |
729 | 343 | .PP |
730 | -Jozsef Kadlecsik が REJECT ターゲットを書いた。 | |
344 | +Jozsef Kadlecsik は REJECT ターゲットを書いた。 | |
731 | 345 | .PP |
732 | -Harald Welte が ULOG ターゲットと、 TTL, DSCP, ECN のマッチ・ターゲットを書いた。 | |
346 | +Harald Welte は ULOG ターゲット、NFQUEUE ターゲット、新しい libiptc や TTL, DSCP, ECN | |
347 | +のマッチ・ターゲットを書いた。 | |
733 | 348 | .PP |
734 | -Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James | |
735 | -Morris, Harald Welte, Rusty Russell である。 | |
349 | +Netfilter コアチームは、Martin Josefsson, Yasuyuki Kozakai, Jozsef Kadlecsik, | |
350 | +Patrick McHardy, James Morris, Pablo Neira Ayuso, Harald Welte, Rusty | |
351 | +Russell である。 | |
736 | 352 | .PP |
737 | -man ページは Herve Eychenne <rv@wallfire.org> が書いた。 | |
738 | 353 | .\" .. and did I mention that we are incredibly cool people? |
739 | 354 | .\" .. sexy, too .. |
740 | 355 | .\" .. witty, charming, powerful .. |
741 | 356 | .\" .. and most of all, modest .. |
357 | +man ページは元々 Herve Eychenne <rv@wallfire.org> が書いた。 | |
358 | +.SH バージョン | |
359 | +.PP | |
360 | +この man ページは iptables 1.4.18 について説明している。 |
@@ -1,4 +1,4 @@ | ||
1 | -×:iptables:1.4.18:2012/03/27:iptables-xml:1::::: | |
1 | +○:iptables:1.4.18:2012/03/27:iptables-xml:1:2014/05/07::amotoki@gmail.com:Akihiro Motoki: | |
2 | 2 | ×:iptables:1.4.18:2012/03/27:ipq_create_handle:3::::: |
3 | 3 | ※:iptables:1.4.18:2012/03/27:ipq_destroy_handle:3:ipq_create_handle:3: |
4 | 4 | ×:iptables:1.4.18:2012/03/27:ipq_errstr:3::::: |
@@ -10,11 +10,11 @@ | ||
10 | 10 | ×:iptables:1.4.18:2012/03/27:ipq_set_mode:3::::: |
11 | 11 | ×:iptables:1.4.18:2012/03/27:ipq_set_verdict:3::::: |
12 | 12 | ×:iptables:1.4.18:2012/03/27:libipq:3::::: |
13 | -☆:iptables:1.2.9=>1.4.18:2013/03/03:ip6tables:8:2004/03/12::ysato444@yahoo.co.jp:Yuichi SATO: | |
14 | -☆:iptables:1.2.9=>1.4.18:2013/03/03:ip6tables-restore:8:2003/05/13::ysato444@yahoo.co.jp:Yuichi SATO: | |
15 | -☆:iptables:1.2.9=>1.4.18:2012/03/27:ip6tables-save:8:2003/05/13::ysato444@yahoo.co.jp:Yuichi SATO: | |
16 | -☆:iptables:1.2.9=>1.4.18:2013/03/03:iptables:8:2004/03/12::ysato444@yahoo.co.jp:Yuichi SATO: | |
17 | -×:iptables:1.4.18:2013/03/03:iptables-apply:8::::: | |
18 | -×:iptables:1.4.18:2013/03/03:iptables-extensions:8::::: | |
19 | -☆:iptables:1.2.9=>1.4.18:2013/03/03:iptables-restore:8:2001/05/15::ysato@h4.dion.ne.jp:Yuichi SATO: | |
20 | -☆:iptables:1.2.9=>1.4.18:2012/03/27:iptables-save:8:2001/05/15::ysato@h4.dion.ne.jp:Yuichi SATO: | |
13 | +○:iptables:1.4.18:2013/03/03:ip6tables:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
14 | +○:iptables:1.4.18:2013/03/03:ip6tables-restore:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
15 | +○:iptables:1.4.18:2012/03/27:ip6tables-save:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
16 | +○:iptables:1.4.18:2013/03/03:iptables:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
17 | +○:iptables:1.4.18:2013/03/03:iptables-apply:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
18 | +○:iptables:1.4.18:2013/03/03:iptables-extensions:8:2014/05/07::amotoki@gmail.com:Akihiro Motoki: | |
19 | +○:iptables:1.4.18:2013/03/03:iptables-restore:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: | |
20 | +○:iptables:1.4.18:2012/03/27:iptables-save:8:2014/05/06::amotoki@gmail.com:Akihiro Motoki: |