.\" .\" Man page written by Herve Eychenne (May 1999) .\" It is based on ipchains page. .\" TODO: add a word for protocol helpers (FTP, IRC, SNMP-ALG) .\" .\" ipchains page by Paul ``Rusty'' Russell March 1997 .\" Based on the original ipfwadm man page by Jos Vos .\" .\" This program is free software; you can redistribute it and/or modify .\" it under the terms of the GNU General Public License as published by .\" the Free Software Foundation; either version 2 of the License, or .\" (at your option) any later version. .\" .\" This program is distributed in the hope that it will be useful, .\" but WITHOUT ANY WARRANTY; without even the implied warranty of .\" MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the .\" GNU General Public License for more details. .\" .\" You should have received a copy of the GNU General Public License .\" along with this program; if not, write to the Free Software .\" Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA. .\" .\" .\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO .\" all right reserved. .\" Translated Sun Jul 29 01:03:37 JST 2001 .\" by Yuichi SATO .\" Updated & Modified Wed Sep 12 06:22:55 JST 2001 by Yuichi SATO .\" Updated on Wed May 28 01:51:45 JST 2003 by .\" System Design and Research Institute Co., Ltd. .\" Updated & Modified Sat Feb 21 23:28:25 JST 2004 .\" by Yuichi SATO .\" .\"WORD: chain チェイン .\"WORD: built-in chain 組み込み済みチェイン .\"WORD: connection tracking 接続追跡 .\"WORD: enslave スレーブにする .\"WORD: infrastructure 基盤 .\"WORD: round-robin ラウンド・ロビン .\"WORD: rule traverse ルールの検討 .\"WORD: non-terminating target 非終了ターゲット .\"WORD: criteria 判断(する)基準 .\" .TH IPTABLES 8 "Mar 09, 2002" "" "" .\"O .SH NAME .SH 名前 .\"O iptables \- administration tool for IPv4 packet filtering and NAT iptables \- IPv4 のパケットフィルタと NAT を管理するツール .\"O .SH SYNOPSIS .SH 書式 .\"O .BR "iptables [-t table] -[AD] " "chain rule-specification [options]" .BR "iptables [-t table] -[AD] " "チェイン ルールの詳細 [オプション]" .br .\"O .BR "iptables [-t table] -I " "chain [rulenum] rule-specification [options]" .BR "iptables [-t table] -I " "チェイン [ルール番号] ルールの詳細 [オプション]" .br .\"O .BR "iptables [-t table] -R " "chain rulenum rule-specification [options]" .BR "iptables [-t table] -R " "チェイン ルール番号 ルールの詳細 [オプション]" .br .\"O .BR "iptables [-t table] -D " "chain rulenum [options]" .BR "iptables [-t table] -D " "チェイン ルール番号 [オプション]" .br .\"O .BR "iptables [-t table] -[LFZ] " "[chain] [options]" .BR "iptables [-t table] -[LFZ] " "[チェイン] [オプション]" .br .\"O .BR "iptables [-t table] -N " "chain" .BR "iptables [-t table] -N " "チェイン" .br .\"O .BR "iptables [-t table] -X " "[chain]" .BR "iptables [-t table] -X " "[チェイン]" .br .\"O .BR "iptables [-t table] -P " "chain target [options]" .BR "iptables [-t table] -P " "チェイン ターゲット [オプション]" .br .\"O .BR "iptables [-t table] -E " "old-chain-name new-chain-name" .BR "iptables [-t table] -E " "旧チェイン名 新チェイン名" .\"O .SH DESCRIPTION .SH 説明 .\"O .B Iptables .\"O is used to set up, maintain, and inspect the tables of IP packet .\"O filter rules in the Linux kernel. Several different tables .\"O may be defined. Each table contains a number of built-in .\"O chains and may also contain user-defined chains. .B iptables は Linux カーネルの IP パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。 複数の異なるテーブルを定義できる。 各テーブルにはたくさんの組み込み済みチェインが含まれており、 さらにユーザー定義のチェインを加えることもできる。 .\"O Each chain is a list of rules which can match a set of packets. Each .\"O rule specifies what to do with a packet that matches. This is called .\"O a `target', which may be a jump to a user-defined chain in the same .\"O table. 各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。 .\"O .SH TARGETS .SH ターゲット .\"O A firewall rule specifies criteria for a packet, and a target. If the .\"O packet does not match, the next rule in the chain is the examined; if .\"O it does match, then the next rule is specified by the value of the .\"O target, which can be the name of a user-defined chain or one of the .\"O special values .\"O .IR ACCEPT , .\"O .IR DROP , .\"O .IR QUEUE , .\"O or .\"O .IR RETURN . ひとつのファイアウォールルールでは、 パケットを判断する基準とターゲットとが指定される。 パケットがマッチしない場合、チェイン内の次のルールが評価される。 パケットがマッチした場合、 ターゲットの値が次のルールを指定する。 ターゲットの値は、ユーザー定義チェインの名前、または特別な値 .IR ACCEPT , .IR DROP , .IR QUEUE , .I RETURN のうちの 1 つである。 .PP .\"O .I ACCEPT .\"O means to let the packet through. .I ACCEPT はパケットを通すという意味である。 .\"O .I DROP .\"O means to drop the packet on the floor. .I DROP はパケットを床に落す (捨てる) という意味である。 .\"O .I QUEUE .\"O means to pass the packet to userspace (if supported by the kernel). .I QUEUE はパケットをユーザー空間に渡すという意味である (カーネルがサポートしていればであるが)。 .\"O .I RETURN .\"O means stop traversing this chain and resume at the next rule in the .\"O previous (calling) chain. If the end of a built-in chain is reached .\"O or a rule in a built-in chain with target .\"O .I RETURN .\"O is matched, the target specified by the chain policy determines the .\"O fate of the packet. .I RETURN は、このチェインの検討を中止して、 以前の (呼び出し元) チェイン内の 次のルールから検討を再開するという意味である。 組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインでターゲット .I RETURN を持つルールにマッチした場合、 チェインポリシーで指定されたターゲットが パケットの行方を決定する。 .\"O .SH TABLES .SH テーブル .\"O There are currently three independent tables (which tables are present .\"O at any time depends on the kernel configuration options and which .\"O modules are present). 現在のところ 3 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。 .TP .BI "-t, --table " "table" .\"O This option specifies the packet matching table which the command .\"O should operate on. If the kernel is configured with automatic module .\"O loading, an attempt will be made to load the appropriate module for .\"O that table if it is not already there. このオプションは、このコマンドを適用する パケットマッチングテーブルを指定する。 カーネルに自動モジュールローディングが設定されている場合、 そのテーブルに対する適切なモジュールがまだロードされていなければ、 そのモジュールがロードされる。 .\"O The tables are as follows: テーブルは以下の通りである。 .RS .TP .4i .BR "filter" : .\"O This is the default table (if no -t option is passed). It contains .\"O the built-in chains .\"O .B INPUT .\"O (for packets coming into the box itself), .\"O .B FORWARD .\"O (for packets being routed through the box), and .\"O .B OUTPUT .\"O (for locally-generated packets). (\-t オプションが渡されなければ) これがデフォルトのテーブルである。 これには .B INPUT (マシン自体に入ってくるパケットに対するチェイン)・ .B FORWARD (マシンを経由するパケットに対するチェイン)・ .B OUTPUT (ローカルマシンで生成されたパケットに対するチェイン) という組み込み済みチェインが含まれる。 .TP .BR "nat" : .\"O This table is consulted when a packet that creates a new .\"O connection is encountered. It consists of three built-ins: .\"O .B PREROUTING .\"O (for altering packets as soon as they come in), .\"O .B OUTPUT .\"O (for altering locally-generated packets before routing), and .\"O .B POSTROUTING .\"O (for altering packets as they are about to go out). このテーブルは新しい接続を開くようなパケットに対して参照される。 これには .B PREROUTING (パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・ .B OUTPUT (ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・ .B POSTROUTING (パケットが出て行くときに変換するためのチェイン) という 3 つの組み込み済みチェインが含まれる。 .TP .BR "mangle" : .\"O This table is used for specialized packet alteration. Until kernel .\"O 2.4.17 it had two built-in chains: .\"O .B PREROUTING .\"O (for altering incoming packets before routing) and .\"O .B OUTPUT .\"O (for altering locally-generated packets before routing). .\"O Since kernel 2.4.18, three other built-in chains are also supported: .\"O .B INPUT .\"O (for packets coming into the box itself), .\"O .B FORWARD .\"O (for altering packets being routed through the box), and .\"O .B POSTROUTING .\"O (for altering packets as they are about to go out). このテーブルは特別なパケット変換に使われる。 これには、カーネル 2.4.17 までは .B PREROUTING (パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・ .B OUTPUT (ローカルで生成されたパケットをルーティングの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含まれる。 カーネル 2.4.18 からは、これらの他に .B INPUT (マシン自体に入ってくるパケットに対するチェイン)・ .B FORWARD (マシンを経由するパケットに対するチェイン)・ .B POSTROUTING (パケットが出て行くときに変換するためのチェイン) という 3 つの組み込み済みチェインも含まれる。 .RE .\"O .SH OPTIONS .SH オプション .\"O The options that are recognized by .\"O .B iptables .\"O can be divided into several different groups. .B iptables で使えるオプションは、いくつかのグループに分けられる。 .\"O .SS COMMANDS .SS コマンド .\"O These options specify the specific action to perform. Only one of them .\"O can be specified on the command line unless otherwise specified .\"O below. For all the long versions of the command and option names, you .\"O need to use only enough letters to ensure that .\"O .B iptables .\"O can differentiate it from all other options. これらのオプションは、実行する特定の動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の 1 つだけである。 長いバージョンのコマンド名とオプション名は、 .B iptables が他のコマンド名やオプション名と区別できる範囲で (文字を省略して) 指定することもできる。 .TP .\"O .BI "-A, --append " "chain rule-specification" .BI "-A, --append " "チェイン ルールの詳細" .\"O Append one or more rules to the end of the selected chain. .\"O When the source and/or destination names resolve to more than one .\"O address, a rule will be added for each possible address combination. 選択されたチェインの最後に 1 つ以上のルールを追加する。 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 可能なアドレスの組合せそれぞれに対してルールが追加される。 .TP .\"O .BI "-D, --delete " "chain rule-specification" .BI "-D, --delete " "チェイン ルールの詳細" .ns .TP .\"O .BI "-D, --delete " "chain rulenum" .BI "-D, --delete " "チェイン ルール番号" .\"O Delete one or more rules from the selected chain. There are two .\"O versions of this command: the rule can be specified as a number in the .\"O chain (starting at 1 for the first rule) or a rule to match. 選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、 マッチするルールを指定する場合である。 .TP .\"O .BR "-I, --insert " "\fIchain\fP [\fIrulenum\fP] \fIrule-specification\fP" .BR "-I, --insert " "\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細" .\"O Insert one or more rules in the selected chain as the given rule .\"O number. So, if the rule number is 1, the rule or rules are inserted .\"O at the head of the chain. This is also the default if no rule number .\"O is specified. 選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。 これはルール番号が指定されない場合のデフォルトでもある。 .TP .\"O .BI "-R, --replace " "chain rulenum rule-specification" .BI "-R, --replace " "チェイン ルール番号 ルールの詳細" .\"O Replace a rule in the selected chain. If the source and/or .\"O destination names resolve to multiple addresses, the command will .\"O fail. Rules are numbered starting at 1. 選択されたチェインでルールを置換する。 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、 このコマンドは失敗する。ルール番号は 1 からはじまる。 .TP .\"O .BR "-L, --list " "[\fIchain\fP]" .BR "-L, --list " "[\fIチェイン\fP]" .\"O List all rules in the selected chain. If no chain is selected, all .\"O chains are listed. As every other iptables command, it applies to the .\"O specified table (filter is the default), so NAT rules get listed by 選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables コマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 よって NAT ルールを表示するには以下のようにする。 .nf iptables -t nat -n -L .fi .\"O Please note that it is often used with the .\"O .B -n .\"O option, in order to avoid long reverse DNS lookups. DNSの逆引きを避けるために、よく .B -n オプションと共に使用される。 .\"O It is legal to specify the .\"O .B -Z .\"O (zero) option as well, in which case the chain(s) will be atomically .\"O listed and zeroed. The exact output is affected by the other .\"O arguments given. The exact rules are suppressed until you use .\"O .br .\"O iptables -L -v .\"O .br .B -Z (ゼロ化) オプションを同時に指定することもできる。 この場合、チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイトカウンタが) ゼロにされる。 出力表示は同時に与えられた他の引き数に影響される。 .nf iptables -L -v .fi を使わない限り (訳注: -v オプションを指定しない限り)、 実際のルールそのものは表示されない。 .TP .\"O .BR "-F, --flush " "[\fIchain\fP]" .BR "-F, --flush " "[\fIチェイン\fP]" .\"O Flush the selected chain (all the chains in the table if none is given). .\"O This is equivalent to deleting all the rules one by one. 選択されたチェイン(何も指定しなければテーブル内の全てのチェイン) の内容を全消去する。 これは全てのルールを 1 個ずつ削除するのと同じである。 .TP .\"O .BR "-Z, --zero " "[\fIchain\fP]" .BR "-Z, --zero " "[\fIチェイン\fP]" .\"O Zero the packet and byte counters in all chains. It is legal to .\"O specify the .\"O .B "-L, --list" .\"O (list) option as well, to see the counters immediately before they are .\"O cleared. (See above.) すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 .B "-L, --list" (一覧表示) オプションと同時に指定することもできる (上記を参照)。 .TP .\"O .BI "-N, --new-chain " "chain" .BI "-N, --new-chain " "チェイン" .\"O Create a new user-defined chain by the given name. There must be no .\"O target of that name already. 指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。 .TP .\"O .BR "-X, --delete-chain " "[\fIchain\fP]" .BR "-X, --delete-chain " "[\fIチェイン\fP]" .\"O Delete the optional user-defined chain specified. There must be no references .\"O to the chain. If there are, you must delete or replace the referring .\"O rules before the chain can be deleted. If no argument is given, it .\"O will attempt to delete every non-builtin chain in the table. 指定したユーザー定義チェインを削除する。 そのチェインが参照されていてはならない。 チェインを削除する前に、そのチェインを参照しているルールを 削除するか置き換えるかしなければならない。 引き数が与えられない場合、テーブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。 .TP .\"O .BI "-P, --policy " "chain target" .BI "-P, --policy " "チェイン ターゲット" .\"O Set the policy for the chain to the given target. See the section .\"O .B TARGETS .\"O for the legal targets. Only built-in (non-user-defined) chains can have .\"O policies, and neither built-in nor user-defined chains can be policy .\"O targets. チェインのポリシーを、指定したターゲットに設定する。 指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。 (ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインもユーザー定義チェインも ポリシーのターゲットに設定することはできない。 .TP .\"O .BI "-E, --rename-chain " "old-chain new-chain" .BI "-E, --rename-chain " "旧チェイン名 新チェイン名" .\"O Rename the user specified chain to the user supplied name. This is .\"O cosmetic, and has no effect on the structure of the table. ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。 .TP .B -h .\"O Help. .\"O Give a (currently very brief) description of the command syntax. ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。 .\"O .SS PARAMETERS .SS パラメータ .\"O The following parameters make up a rule specification (as used in the .\"O add, delete, insert, replace and append commands). 以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。 .TP .BR "-p, --protocol " "[!] \fIprotocol\fP" .\"O The protocol of the rule or of the packet to check. .\"O The specified protocol can be one of .\"O .IR tcp , .\"O .IR udp , .\"O .IR icmp , .\"O or .\"O .IR all , .\"O or it can be a numeric value, representing one of these protocols or a .\"O different one. A protocol name from /etc/protocols is also allowed. ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 .IR tcp , .IR udp , .IR icmp , .I all のいずれか 1 つか、数値である。 数値には、これらのプロトコルのどれかないし別のプロトコルを表す 数値を指定することができる。 /etc/protocols にあるプロトコル名も指定できる。 .\"O A "!" argument before the protocol inverts the .\"O test. The number zero is equivalent to .\"O .IR all . .\"O Protocol .\"O .I all .\"O will match with all protocols and is taken as default when this .\"O option is omitted. プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は .I all と等しい。 プロトコル .I all は全てのプロトコルとマッチし、 このオプションが省略された際のデフォルトである。 .TP .BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]" .\"O Source specification. .\"O .I Address .\"O can be either a network name, a hostname (please note that specifying .\"O any name to be resolved with a remote query such as DNS is a really bad idea), .\"O a network IP address (with /mask), or a plain IP address. 送信元の指定。 .I address はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない) ・ネットワーク IP アドレス (/mask を指定する)・ 通常の IP アドレス、のいずれかである。 .\"O The .\"O .I mask .\"O can be either a network mask or a plain number, .\"O specifying the number of 1's at the left side of the network mask. .I mask はネットワークマスクか、 ネットワークマスクの左側にある 1 の数を指定する数値である。 .\"O Thus, a mask of .\"O .I 24 .\"O is equivalent to .\"O .IR 255.255.255.0 . つまり、 .I 24 という mask は .I 255.255.255.0 に等しい。 .\"O A "!" argument before the address specification inverts the sense of .\"O the address. The flag .\"O .B --src .\"O is an alias for this option. アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ .B --src は、このオプションの別名である。 .TP .BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]" .\"O Destination specification. .\"O See the description of the .\"O .B -s .\"O (source) flag for a detailed description of the syntax. The flag .\"O .B --dst .\"O is an alias for this option. 送信先の指定。 書式の詳しい説明については、 .B -s (送信元) フラグの説明を参照すること。 フラグ .B --dst は、このオプションの別名である。 .TP .BI "-j, --jump " "target" .\"O This specifies the target of the rule; i.e., what to do if the packet .\"O matches it. The target can be a user-defined chain (other than the .\"O one this rule is in), one of the special builtin targets which decide .\"O the fate of the packet immediately, or an extension (see .\"O .B EXTENSIONS .\"O below). If this .\"O option is omitted in a rule, then matching the rule will have no .\"O effect on the packet's fate, but the counters on the rule will be .\"O incremented. ルールのターゲット、つまり、 パケットがマッチした場合にどうするかを指定する。 ターゲットはユーザー定義チェイン (そのルール自身が入っているチェイン以外) でも、 パケットの行方を即時に決定する特別な組み込み済みターゲットでも、 拡張されたターゲット (以下の .RB 「 ターゲットの拡張 」 を参照) でもよい。 このオプションがルールに指定されなかった場合は、 ルールにマッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ加算される。 .TP .BR "-i, --in-interface " "[!] \fIname\fP" .\"O Name of an interface via which a packet is going to be received (only for .\"O packets entering the .\"O .BR INPUT , .\"O .B FORWARD .\"O and .\"O .B PREROUTING .\"O chains). パケットを受信することになるインターフェース名 .RB ( INPUT , .BR FORWARD , .B PREROUTING チェインに入るパケットのみ)。 .\"O When the "!" argument is used before the interface name, the .\"O sense is inverted. If the interface name ends in a "+", then any .\"O interface which begins with this name will match. If this option is .\"O omitted, any interface name will match. インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。 .TP .BR "-o, --out-interface " "[!] \fIname\fP" .\"O Name of an interface via which a packet is going to be sent (for packets .\"O entering the .\"O .BR FORWARD , .\"O .B OUTPUT .\"O and .\"O .B POSTROUTING .\"O chains). パケットを送信することになるインターフェース名 .RB ( FORWARD , .BR OUTPUT , .B POSTROUTING チェインに入るパケットのみ)。 .\"O When the "!" argument is used before the interface name, the .\"O sense is inverted. If the interface name ends in a "+", then any .\"O interface which begins with this name will match. If this option is .\"O omitted, any interface name will match. インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。 .TP .B "[!] " "-f, --fragment" .\"O This means that the rule only refers to second and further fragments .\"O of fragmented packets. Since there is no way to tell the source or .\"O destination ports of such a packet (or ICMP type), such a packet will .\"O not match any rules which specify them. When the "!" argument .\"O precedes the "-f" flag, the rule will only match head fragments, or .\"O unfragmented packets. このオプションは、分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 このようなパケット (または ICMP タイプのパケット) は 送信元・送信先ポートを知る方法がないので、 送信元や送信先を指定するようなルールにはマッチしない。 "-f" フラグの前に "!" を置くと、 分割されたパケットのうち最初のものか、 分割されていないパケットだけにマッチする。 .TP .BI "-c, --set-counters " "PKTS BYTES" .\"O This enables the administrator to initialize the packet and byte .\"O counters of a rule (during .\"O .B INSERT, .\"O .B APPEND, .\"O .B REPLACE .\"O operations). このオプションを使うと、 .RB ( insert , .BR append , .B replace 操作において) 管理者はパケットカウンタとバイトカウンタを 初期化することができる。 .\"O .SS "OTHER OPTIONS" .SS その他のオプション .\"O The following additional options can be specified: その他に以下のオプションを指定することができる: .TP .B "-v, --verbose" .\"O Verbose output. This option makes the list command show the interface .\"O name, the rule options (if any), and the TOS masks. The packet and .\"O byte counters are also listed, with the suffix 'K', 'M' or 'G' for .\"O 1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see .\"O the .\"O .B -x .\"O flag to change this). .\"O For appending, insertion, deletion and replacement, this causes .\"O detailed information on the rule or rules to be printed. 詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。 パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す (これを変更する .B -x フラグも見よ)。 このオプションを append, insert, delete, replace コマンドに適用すると、 ルールについての詳細な情報を表示する。 .TP .B "-n, --numeric" .\"O Numeric output. .\"O IP addresses and port numbers will be printed in numeric format. .\"O By default, the program will try to display them as host names, .\"O network names, or services (whenever applicable). 数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を ホスト名・ネットワーク名・サービス名で表示しようとする。 .TP .B "-x, --exact" .\"O Expand numbers. .\"O Display the exact value of the packet and byte counters, .\"O instead of only the rounded number in K's (multiples of 1000) .\"O M's (multiples of 1000K) or G's (multiples of 1000M). This option is .\"O only relevant for the .\"O .B -L .\"O command. 厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、 厳密な値で表示する。 このオプションは、 .B -L コマンドとしか関係しない。 .TP .B "--line-numbers" .\"O When listing rules, add line numbers to the beginning of each rule, .\"O corresponding to that rule's position in the chain. ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。 .TP .B "--modprobe=command" .\"O When adding or inserting rules into a chain, use .\"O .B command .\"O to load any necessary modules (targets, match extensions, etc). チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う .B command を指定する。 .\"O .SH MATCH EXTENSIONS .SH マッチングの拡張 .\"O iptables can use extended packet matching modules. These are loaded .\"O in two ways: implicitly, when .\"O .B -p .\"O or .\"O .B --protocol .\"O is specified, or with the .\"O .B -m .\"O or .\"O .B --match .\"O options, followed by the matching module name; iptables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、 .B -p または .B --protocol で暗黙のうちに指定されるか、 .B -m または .B --match の後にモジュール名を続けて指定される。 .\"O after these, various .\"O extra command line options become available, depending on the specific .\"O module. You can specify multiple extended match modules in one line, .\"O and you can use the .\"O .B -h .\"O or .\"O .B --help .\"O options after the module has been specified to receive help specific .\"O to that module. これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。 複数の拡張マッチングモジュールを一行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で .B -h または .B --help を指定すればよい。 .\"O The following are included in the base package, and most of these can .\"O be preceded by a .\"O .B ! .\"O to invert the sense of the match. 以下の拡張がベースパッケージに含まれている。 大部分のものは、 .B ! を前におくことによって マッチングの意味を逆にできる。 .SS ah .\"O This module matches the SPIs in AH header of IPSec packets. このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。 .TP .BR "--ahspi " "[!] \fIspi\fP[:\fIspi\fP]" .SS conntrack .\"O This module, when combined with connection tracking, allows access to .\"O more connection tracking information than the "state" match. .\"O (this module is present only if iptables was compiled under a kernel .\"O supporting this feature) このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 "state" マッチよりもさらに多くの、 パケットについての接続追跡状態を知ることができる (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合 にのみ、このモジュールは存在する)。 .TP .BI "--ctstate " "state" .\"O Where state is a comma separated list of the connection states to .\"O match. Possible states are .\"O .B INVALID .\"O meaning that the packet could not be identified for some reason which .\"O includes running out of memory and ICMP errors which don't correspond to any .\"O known connection, .\"O .B ESTABLISHED .\"O meaning that the packet is associated with a connection which has seen .\"O packets in both directions, state は、マッチング対象となる、コンマ区切りの接続状態リストである。 指定可能な state は以下の通り。 .BR INVALID : メモリを使い果たした為や、 既知の接続とは対応しない ICMP エラーなど、 何らかの理由によりパケットが識別できない。 .BR ESTABLISHED : このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 .\"O .B NEW .\"O meaning that the packet has started a new connection, or otherwise .\"O associated with a connection which has not seen packets in both .\"O directions, and .BR NEW : このパケットが新しい接続を開始したか、 双方向にはパケットがやり取りされていない接続に属するパケットである。 .\"O .B RELATED .\"O meaning that the packet is starting a new connection, but is .\"O associated with an existing connection, such as an FTP data transfer, .\"O or an ICMP error. .BR RELATED : このパケットが新しい接続を開始しているが、 FTP データ転送や ICMP エラーのように、既存の接続に関係している。 .\"O .B SNAT .\"O A virtual state, matching if the original source address differs from .\"O the reply destination. .BR SNAT : 仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと 異なる場合にマッチする。 .\"O .B DNAT .\"O A virtual state, matching if the original destination differs from the .\"O reply source. .BR DNAT : 仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと 異なる場合にマッチする。 .TP .BI "--ctproto " "proto" .\"O Protocol to match (by number or name) (名前または数値で) 指定されたプロトコルにマッチする。 .TP .BI "--ctorigsrc " "[!] \fIaddress\fP[/\fImask\fP]" .\"O Match against original source address 書き換え前の送信元アドレスにマッチする。 .TP .BI "--ctorigdst " "[!] \fIaddress\fP[/\fImask\fP]" .\"O Match against original destination address 書き換え前の宛先アドレスにマッチする。 .TP .BI "--ctreplsrc " "[!] \fIaddress\fP[/\fImask\fP]" .\"O Match against reply source address 応答の送信元アドレスにマッチする。 .TP .BI "--ctrepldst " "[!] \fIaddress\fB[/\fImask\fP]" .\"O Match against reply destination address 応答の宛先アドレスにマッチする。 .TP .BI "--ctstatus " "[\fINONE|EXPECTED|SEEN_REPLY|ASSURED\fP][,...]" .\"O Match against internal conntrack states 接続追跡の内部的な状態にマッチする。 .TP .BI "--ctexpire " "\fItime\fP[\fI:time\fP]" .\"O Match remaining lifetime in seconds against given value .\"O or range of values (inclusive) 有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。 .SS dscp .\"O This module matches the 6 bit DSCP field within the TOS field in the .\"O IP header. DSCP has superseded TOS within the IETF. このモジュールは、IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が TOS に取って代わった。 .TP .BI "--dscp " "value" .\"O Match against a numeric (decimal or hex) value [0-32]. .\"O motoki: patch [JM:12854] (10 進または 16 進の) 数値 [0\-63] にマッチする。 .TP .BI "--dscp-class " "\fIDiffServ Class\fP" .\"O Match the DiffServ class. This value may be any of the .\"O BE, EF, AFxx or CSx classes. It will then be converted .\"O into it's according numeric value. DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 これらは、対応する数値で指定するのと同じである。 .SS esp .\"O This module matches the SPIs in ESP header of IPSec packets. このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。 .TP .BR "--espspi " "[!] \fIspi\fP[:\fIspi\fP]" .SS helper .\"O This module matches packets related to a specific conntrack-helper. このモジュールは、指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。 .TP .BI "--helper " "string" .\"O Matches packets related to the specified conntrack-helper. 指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。 .RS .PP .\"O string can be "ftp" for packets related to a ftp-session on default port. .\"O For other ports append -portnr to the value, ie. "ftp-2121". デフォルトのポートを使った ftp-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号" を値に付け加える。 すなわち "ftp-2121" となる。 .PP .\"O Same rules apply for other conntrack-helpers. 他の接続追跡ヘルパーでも同じルールが適用される。 .RE .SS icmp .\"O This extension is loaded if `--protocol icmp' is specified. It .\"O provides the following option: この拡張は `--protocol icmp' が指定された場合にロードされ、 以下のオプションが提供される: .TP .BR "--icmp-type " "[!] \fItypename\fP" .\"O This allows specification of the ICMP type, which can be a numeric .\"O ICMP type, or one of the ICMP type names shown by the command 数値の ICMP タイプ、またはコマンド .nf iptables -p icmp -h .fi で表示される ICMP タイプ名を指定できる。 .SS length .\"O This module matches the length of a packet against a specific value .\"O or range of values. このモジュールは、指定されたパケット長、またはその範囲にマッチする。 .TP .BR "--length " "\fIlength\fP[:\fIlength\fP]" .SS limit .\"O This module matches at a limited rate using a token bucket filter. このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限された回数だけマッチする。 .\"O A rule using this extension will match until this limit is reached .\"O (unless the `!' flag is used). It can be used in combination with the .\"O .B LOG .\"O target to give limited logging, for example. この拡張を使ったルールは、(`!' フラグが指定されない限り) 制限に達するまでマッチする。 このモジュールは例えば、ログ記録を制限するために .B LOG ターゲットと組み合わせて使うことができる。 .TP .BI "--limit " "rate" .\"O Maximum average matching rate: specified as a number, with an optional .\"O `/second', `/minute', `/hour', or `/day' suffix; the default is .\"O 3/hour. 単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day' を付けることもできる。 デフォルトは 3/hour である。 .TP .BI "--limit-burst " "number" .\"O Maximum initial number of packets to match: this number gets .\"O recharged by one every time the limit specified above is not reached, .\"O up to this number; the default is 5. パケットがマッチする回数の最大初期値: マッチ回数の最大値は、 上のオプションで指定した制限に達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。 デフォルトは 5 である。 .SS mac .TP .BR "--mac-source " "[!] \fIaddress\fP" .\"O Match source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. .\"O Note that this only makes sense for packets coming from an Ethernet device .\"O and entering the .\"O .BR PREROUTING , .\"O .B FORWARD .\"O or .\"O .B INPUT .\"O chains. 送信元 MAC アドレスにマッチする。 .I address は XX:XX:XX:XX:XX:XX という形式でなければならない。 イーサーネットデバイスから入ってくるパケットで、 .BR PREROUTING , .BR FORWARD , .B INPUT チェインに入るパケットにしか意味がない。 .SS mark .\"O This module matches the netfilter mark field associated with a packet .\"O (which can be set using the .\"O .B MARK .\"O target below). このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の .B MARK ターゲットで設定される)。 .TP .BR "--mark " "\fIvalue\fP[/\fImask\fP]" .\"O Matches packets with the given unsigned mark value (if a mask is .\"O specified, this is logically ANDed with the mask before the .\"O comparison). 指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。 .SS multiport .\"O This module matches a set of source or destination ports. Up to 15 .\"O ports can be specified. It can only be used in conjunction with .\"O .B "-p tcp" .\"O or .\"O .BR "-p udp" . このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは .B "-p tcp" または .B "-p udp" と組み合わせて使うことしかできない。 .TP .BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]" .\"O Match if the source port is one of the given ports. The flag .\"O .B --sports .\"O is a convenient alias for this option. 送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ .B --sports は、このオプションの便利な別名である。 .TP .BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]" .\"O Match if the destination port is one of the given ports. The flag .\"O .B --dports .\"O is a convenient alias for this option. 宛先ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ .B --dports は、このオプションの便利な別名である。 .TP .BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]" .\"O Match if the both the source and destination ports are equal to each .\"O other and to one of the given ports. 送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートのうちのいずれかであればマッチする。 .SS owner .\"O This module attempts to match various characteristics of the packet .\"O creator, for locally-generated packets. It is only valid in the .\"O .B OUTPUT .\"O chain, and even this some packets (such as ICMP ping responses) may .\"O have no owner, and hence never match. このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性に対してマッチを行う。 これは .B OUTPUT チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。 .TP .BI "--uid-owner " "userid" .\"O Matches if the packet was created by a process with the given .\"O effective user id. 指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。 .TP .BI "--gid-owner " "groupid" .\"O Matches if the packet was created by a process with the given .\"O effective group id. 指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。 .TP .BI "--pid-owner " "processid" .\"O Matches if the packet was created by a process with the given .\"O process id. 指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。 .TP .BI "--sid-owner " "sessionid" .\"O Matches if the packet was created by a process in the given session .\"O group. 指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。 .TP .BI "--cmd-owner " "name" .\"O Matches if the packet was created by a process with the given command name. .\"O (this option is present only if iptables was compiled under a kernel .\"O supporting this feature) 指定されたコマンド名を持つプロセスにより パケットが生成されている場合にマッチする (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合 にのみ、このモジュールは存在する)。 .SS physdev .\"O This module matches on the bridge port input and output devices enslaved .\"O to a bridge device. This module is a part of the infrastructure that enables .\"O a transparent bridging IP firewall and is only useful for kernel versions .\"O above version 2.5.44. このモジュールは、ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、ブリッジによる透過的な IP ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。 .TP .B --physdev-in name .\"O Name of a bridge port via which a packet is received (only for .\"O packets entering the .\"O .BR INPUT , .\"O .B FORWARD .\"O and .\"O .B PREROUTING .\"O chains). If the interface name ends in a "+", then any .\"O interface which begins with this name will match. If the packet didn't arrive .\"O through a bridge device, this packet won't match this option, unless '!' is used. パケットが受信されるブリッジのポート名 .RB ( INPUT , .BR FORWARD , .B PREROUTING チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、このオプションにマッチしない。 .\"O sato: 最後の一文は意訳ぎみかも .TP .B --physdev-out name .\"O Name of a bridge port via which a packet is going to be sent (for packets .\"O entering the .\"O .BR FORWARD , .\"O .B OUTPUT .\"O and .\"O .B POSTROUTING .\"O chains). If the interface name ends in a "+", then any .\"O interface which begins with this name will match. Note that in the .\"O .BR nat " and " mangle .\"O .B OUTPUT .\"O chains one cannot match on the bridge output port, however one can in the .\"O .B "filter OUTPUT" .\"O chain. If the packet won't leave by a bridge device or it is yet unknown what .\"O the output device will be, then the packet won't match this option, unless .\"O '!' is used. パケットを送信することになるブリッジのポート名 .RB ( FORWARD , .BR OUTPUT , .B POSTROUTING チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 .B nat と .B mangle テーブルの .B OUTPUT チェインではブリッジの出力ポートにマッチさせることができないが、 .B filter テーブルの .B OUPUT チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 \&'!' が指定されていない限り、パケットはこのオプションにマッチしない。 .TP .B --physdev-is-in .\"O Matches if the packet has entered through a bridge interface. パケットがブリッジインターフェースに入った場合にマッチする。 .TP .B --physdev-is-out .\"O Matches if the packet will leave through a bridge interface. パケットがブリッジインターフェースから出ようとした場合にマッチする。 .TP .B --physdev-is-bridged .\"O Matches if the packet is being bridged and therefore is not being routed. .\"O This is only useful in the FORWARD and POSTROUTING chains. パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。 .SS pkttype .\"O This module matches the link-layer packet type. このモジュールは、リンク層のパケットタイプにマッチする。 .TP .BI "--pkt-type " "[\fIunicast\fP|\fIbroadcast\fP|\fImulticast\fP]" .SS state .\"O This module, when combined with connection tracking, allows access to .\"O the connection tracking state for this packet. このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 パケットについての接続追跡状態を知ることができる。 .TP .BI "--state " "state" .\"O Where state is a comma separated list of the connection states to .\"O match. Possible states are .\"O .B INVALID .\"O meaning that the packet is associated with no known connection, .\"O .B ESTABLISHED .\"O meaning that the packet is associated with a connection which has seen .\"O packets in both directions, state は、マッチングを行うための、コンマで区切られた接続状態のリストである。 指定可能な state は以下の通り。 .BR INVALID : このパケットは既知の接続と関係していない。 .BR ESTABLISHED : このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 .\"O .B NEW .\"O meaning that the packet has started a new connection, or otherwise .\"O associated with a connection which has not seen packets in both .\"O directions, and .BR NEW : このパケットが新しい接続を開始したか、 双方向にはパケットがやり取りされていない接続に属するパケットである。 .\"O .B RELATED .\"O meaning that the packet is starting a new connection, but is .\"O associated with an existing connection, such as an FTP data transfer, .\"O or an ICMP error. .BR RELATED : このパケットが新しい接続を開始しているが、 FTP データ転送や ICMP エラーのように、既存の接続に関係している。 .SS tcp .\"O These extensions are loaded if `--protocol tcp' is specified. It .\"O provides the following options: これらの拡張は `--protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される: .TP .BR "--source-port " "[!] \fIport\fP[:\fIport\fP]" .\"O Source port or port range specification. This can either be a service .\"O name or a port number. An inclusive range can also be specified, .\"O using the format .\"O .IR port : port . 送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 .IR port : port という形式で、2 つの番号を含む範囲を指定することもできる。 .\"O If the first port is omitted, "0" is assumed; if the last is omitted, .\"O "65535" is assumed. .\"O If the second port greater then the first they will be swapped. .\"O The flag .\"O .B --sport .\"O is a convenient alias for this option. 最初のポートを省略した場合、"0" を仮定する。 最後のポートを省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。 .\"tsekine 原文が間違ってそう フラグ .B --sport は、このオプションの便利な別名である。 .TP .BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]" .\"O Destination port or port range specification. The flag .\"O .B --dport .\"O is a convenient alias for this option. 送信先ポートまたはポート範囲の指定。 フラグ .B --dport は、このオプションの便利な別名である。 .TP .BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP" .\"O Match when the TCP flags are as specified. The first argument is the .\"O flags which we should examine, written as a comma-separated list, and .\"O the second argument is a comma-separated list of flags which must be .\"O set. Flags are: .\"O .BR "SYN ACK FIN RST URG PSH ALL NONE" . TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。 第 2 引き数はこのうち設定されていなければならないフラグで、 コンマ区切りのリストである。 指定できるフラグは .B "SYN ACK FIN RST URG PSH ALL NONE" である。 .\"O Hence the command .\"O .nf .\"O iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN .\"O .fi .\"O will only match packets with the SYN flag set, and the ACK, FIN and .\"O RST flags unset. よって、コマンド .nf iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN .fi は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。 .TP .B "[!] --syn" .\"O Only match TCP packets with the SYN bit set and the ACK and RST bits .\"O cleared. Such packets are used to request TCP connection initiation; .\"O for example, blocking such packets coming in an interface will prevent .\"O incoming TCP connections, but outgoing TCP connections will be .\"O unaffected. .\"O It is equivalent to \fB--tcp-flags SYN,RST,ACK SYN\fP. .\"O If the "!" flag precedes the "--syn", the sense of the .\"O option is inverted. SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットにのみマッチする。 このようなパケットは TCP 接続の開始要求に使われる。 例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、 内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。 "--syn" の前に "!" フラグを置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている TCP パケットにのみマッチする。 .TP .BR "--tcp-option " "[!] \fInumber\fP" .\"O Match if TCP option set. TCP オプションが設定されている場合にマッチする。 .TP .BR "--mss " "\fIvalue\fP[:\fIvalue\fP]" .\"O Match TCP SYN or SYN/ACK packets with the specified MSS value (or range), .\"O which control the maximum packet size for that connection. 指定された MSS 値 (の範囲) を持つ TCP の SYN または SYN/ACK パケットにマッチする。 MSS は接続に対するパケットの最大サイズを制御する。 .SS tos .\"O This module matches the 8 bits of Type of Service field in the IP .\"O header (ie. including the precedence bits). このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む) Type of Service フィールドにマッチする。 .TP .BI "--tos " "tos" .\"O The argument is either a standard name, (use .\"O .br .\"O iptables -m tos -h .\"O .br .\"O to see the list), or a numeric value to match. 引き数は、マッチを行う標準的な名前でも数値でもよい (名前のリストを見るには .nf iptables -m tos -h .fi を使うこと)。 .SS ttl .\"O This module matches the time to live field in the IP header. このモジュールは IP ヘッダーの time to live フィールドにマッチする。 .TP .BI "--ttl " "ttl" .\"O Matches the given TTL value. 指定された TTL 値にマッチする。 .SS udp .\"O These extensions are loaded if `--protocol udp' is specified. It .\"O provides the following options: これらの拡張は `--protocol udp' が指定された場合にロードされ、 以下のオプションが提供される: .TP .BR "--source-port " "[!] \fIport\fP[:\fIport\fP]" .\"O Source port or port range specification. .\"O See the description of the .\"O .B --source-port .\"O option of the TCP extension for details. 送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の .B --source-port オプションの説明を参照すること。 .TP .BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]" .\"O Destination port or port range specification. .\"O See the description of the .\"O .B --destination-port .\"O option of the TCP extension for details. 送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の .B --destination-port オプションの説明を参照すること。 .SS unclean .\"O This module takes no options, but attempts to match packets which seem .\"O malformed or unusual. This is regarded as experimental. このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。 .\"O .SH TARGET EXTENSIONS .SH ターゲットの拡張 .\"O iptables can use extended target modules: the following are included .\"O in the standard distribution. iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。 .SS DNAT .\"O This target is only valid in the .\"O .B nat .\"O table, in the .\"O .B PREROUTING .\"O and .\"O .B OUTPUT .\"O chains, and user-defined chains which are only called from those .\"O chains. It specifies that the destination address of the packet .\"O should be modified (and all future packets in this connection will .\"O also be mangled), and rules should cease being examined. It takes one .\"O type of option: このターゲットは .B nat テーブルの .BR PREROUTING , .B OUTPUT チェイン、これらのチェインから呼び出される ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信先アドレスを修正する (この接続の以降のパケットも修正して分からなく (mangle) する)。 さらに、ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある: .TP .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]" .\"O which can specify a single new destination IP address, an inclusive .\"O range of IP addresses, and optionally, a port range (which is only .\"O valid if the rule also specifies .\"O .B "-p tcp" .\"O or .\"O .BR "-p udp" ). .\"O If no port range is specified, then the destination port will never be .\"O modified. 1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで .B "-p tcp" または .B "-p udp" を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、送信先ポートは変更されない。 .RS .PP .\"O You can add several --to-destination options. If you specify more .\"O than one destination address, either via an address range or multiple .\"O --to-destination options, a simple round-robin (one after another in .\"O cycle) load balancing takes place between these adresses. 複数の --to-destination オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の --to-destination オプションによって 2 つ以上の送信先アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。 .RE .SS DSCP .\"O This target allows to alter the value of the DSCP bits within the TOS .\"O header of the IPv4 packet. As this manipulates a packet, it can only .\"O be used in the mangle table. このターゲットは、IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、mangle テーブルでのみ使用できる。 .TP .BI "--set-dscp " "value" .\"O Set the DSCP field to a numerical value (can be decimal or hex) DSCP フィールドの数値を設定する (10 進または 16 進)。 .TP .BI "--set-dscp-class " "class" .\"O Set the DSCP field to a DiffServ class. DSCP フィールドの DiffServ クラスを設定する。 .SS ECN .\"O This target allows to selectively work around known ECN blackholes. .\"O It can only be used in the mangle table. このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。 .TP .BI "--ecn-tcp-remove" .\"O Remove all ECN bits from the TCP header. Of course, it can only be used .\"O in conjunction with .\"O .BR "-p tcp" . TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 .B "-p tcp" オプションとの組合わせでのみ使用できる。 .SS LOG .\"O Turn on kernel logging of matching packets. When this option is set .\"O for a rule, the Linux kernel will print some information on all .\"O matching packets (like most IP header fields) via the kernel log .\"O (where it can be read with .\"O .I dmesg .\"O or .\"O .IR syslogd (8)). マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての (大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは .I dmesg または .IR syslogd (8) で見ることができる)。 .\"O This is a "non-terminating target", i.e. rule traversal continues at .\"O the next rule. So if you want to LOG the packets you refuse, use two .\"O separate rules with the same matching criteria, first using target LOG .\"O then DROP (or REJECT). これは "非終了ターゲット" である。 すなわち、ルールの検討は、次のルールへと継続される。 よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT) ターゲットを指定する。 .TP .BI "--log-level " "level" .\"O Level of logging (numeric or see \fIsyslog.conf\fP(5)). ログ記録のレベル (数値て指定するか、 (訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。 .TP .BI "--log-prefix " "prefix" .\"O Prefix log messages with the specified prefix; up to 29 letters long, .\"O and useful for distinguishing messages in the logs. 指定したプレフィックスをログメッセージの前に付ける。 プレフィックスは 29 文字までの長さで、 ログの中でメッセージを区別するのに役立つ。 .TP .B --log-tcp-sequence .\"O Log TCP sequence numbers. This is a security risk if the log is .\"O readable by users. TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。 .TP .B --log-tcp-options .\"O Log options from the TCP packet header. TCP パケットヘッダーのオプションをログに記録する。 .TP .B --log-ip-options .\"O Log options from the IP packet header. IP パケットヘッダーのオプションをログに記録する。 .SS MARK .\"O This is used to set the netfilter mark value associated with the .\"O packet. It is only valid in the .\"O .B mangle .\"O table. It can for example be used in conjunction with iproute2. パケットに関連づけられた netfilter の mark 値を設定する。 .B mangle テーブルのみで有効である。 例えば、iproute2 と組み合わせて使うことができる。 .TP .BI "--set-mark " "mark" .SS MASQUERADE .\"O This target is only valid in the .\"O .B nat .\"O table, in the .\"O .B POSTROUTING .\"O chain. このターゲットは .B nat テーブルの .B POSTROUTING チェインのみで有効である。 .\"O It should only be used with dynamically assigned IP (dialup) .\"O connections: if you have a static IP address, you should use the SNAT .\"O target. 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。 固定 IP アドレスならば、SNAT ターゲットを使うべきである。 .\"O Masquerading is equivalent to specifying a mapping to the IP .\"O address of the interface the packet is going out, but also has the .\"O effect that connections are .\"O .I forgotten .\"O when the interface goes down. マスカレーディングは、パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、 インターフェースが停止した場合に接続を\fI忘れる\fRという効果がある。 .\"O This is the correct behavior when the .\"O next dialup is unlikely to have the same interface address (and hence .\"O any established connections are lost anyway). It takes one option: 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い (そのため、前回確立された接続は失われる) 場合、 この動作は正しい。 このターゲットにはオプションが 1 つある。 .TP .BR "--to-ports " "\fIport\fP[-\fIport\fP]" .\"O This specifies a range of source ports to use, overriding the default .\"O .B SNAT .\"O source port-selection heuristics (see above). This is only valid .\"O if the rule also specifies .\"O .B "-p tcp" .\"O or .\"O .BR "-p udp" . このオプションは、使用する送信元ポートの範囲を指定し、 デフォルトの .B SNAT 送信元ポートの選択方法 (上記) よりも優先される。 ルールが .B "-p tcp" または .B "-p udp" を指定している場合にのみ有効である。 .SS MIRROR .\"O This is an experimental demonstration target which inverts the source .\"O and destination fields in the IP header and retransmits the packet. 実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と送信先フィールドを入れ換え、 パケットを再送信するものである。 .\"O It is only valid in the .\"O .BR INPUT , .\"O .B FORWARD .\"O and .\"O .B PREROUTING .\"O chains, and user-defined chains which are only called from those .\"O chains. これは .BR INPUT , .BR FORWARD , .B PREROUTING チェインと、これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 .\"O Note that the outgoing packets are .\"O .B NOT .\"O seen by any packet filtering chains, connection tracking or NAT, to .\"O avoid loops and other problems. ループ等の問題を回避するため、外部に送られるパケットは いかなるパケットフィルタリングチェイン・接続追跡・NAT からも 監視\fBされない\fR。 .SS REDIRECT .\"O This target is only valid in the .\"O .B nat .\"O table, in the .\"O .B PREROUTING .\"O and .\"O .B OUTPUT .\"O chains, and user-defined chains which are only called from those .\"O chains. It alters the destination IP address to send the packet to .\"O the machine itself (locally-generated packets are mapped to the .\"O 127.0.0.1 address). It takes one option: このターゲットは、 .B nat テーブル内の .B PREROUTING チェイン及び .B OUTPUT チェイン、そしてこれらチェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットはパケットの送信先 IP アドレスを マシン自身の IP アドレスに変換する。 (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。 このターゲットにはオプションが 1 つある: .TP .BR "--to-ports " "\fIport\fP[-\fIport\fP]" .\"O This specifies a destination port or range of ports to use: without .\"O this, the destination port is never altered. This is only valid .\"O if the rule also specifies .\"O .B "-p tcp" .\"O or .\"O .BR "-p udp" . このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、送信先ポートは変更されない。 ルールが .B "-p tcp" または .B "-p udp" を指定している場合にのみ有効である。 .SS REJECT .\"O This is used to send back an error packet in response to the matched .\"O packet: otherwise it is equivalent to .\"O .B DROP .\"O so it is a terminating TARGET, ending rule traversal. マッチしたパケットの応答としてエラーパケットを送信するために使われる。 エラーパケットを送らなければ、 .B DROP と同じであり、TARGET を終了し、ルールの検討を終了する。 .\"O This target is only valid in the .\"O .BR INPUT , .\"O .B FORWARD .\"O and .\"O .B OUTPUT .\"O chains, and user-defined chains which are only called from those .\"O chains. The following option controls the nature of the error packet .\"O returned: このターゲットは、 .BR INPUT , .BR FORWARD , .B OUTPUT チェインと、これらのチェインから呼ばれる ユーザー定義チェインだけで有効である。 以下のオプションは、返されるエラーパケットの特性を制御する。 .TP .BI "--reject-with " "type" .\"O The type given can be .\"O .nf .\"O .B " icmp-net-unreachable" .\"O .B " icmp-host-unreachable" .\"O .B " icmp-port-unreachable" .\"O .B " icmp-proto-unreachable" .\"O .B " icmp-net-prohibited" .\"O .B " icmp-host-prohibited or" .\"O .B " icmp-admin-prohibited (*)" .\"O .fi .\"O which return the appropriate ICMP error message (\fBport-unreachable\fP is .\"O the default). type として指定可能なものは .nf .B " icmp-net-unreachable" .B " icmp-host-unreachable" .B " icmp-port-unreachable" .B " icmp-proto-unreachable" .B " icmp-net-prohibited" .B " icmp-host-prohibited or" .B " icmp-admin-prohibited (*)" .fi であり、適切な ICMP エラーメッセージを返す .RB ( port-unreachable がデフォルトである)。 .\"O The option .\"O .B tcp-reset .\"O can be used on rules which only match the TCP protocol: this causes a .\"O TCP RST packet to be sent back. This is mainly useful for blocking .\"O .I ident .\"O (113/tcp) probes which frequently occur when sending mail to broken mail .\"O hosts (which won't accept your mail otherwise). TCP プロトコルにのみマッチするルールに対して、オプション .B tcp-reset を使うことができる。 このオプションを使うと、TCP RST パケットが送り返される。 主として .I ident (113/tcp) による探査を阻止するのに役立つ。 .I ident による探査は、壊れている (メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。 .\"O .TP .\"O (*) Using icmp-admin-prohibited with kernels that do not support it will result in a plain DROP instead of REJECT .RS .PP (*) icmp-admin-prohibited をサポートしないカーネルで、 icmp-admin-prohibited を使用すると、 REJECT ではなく単なる DROP になる。 .SS SNAT .\"O This target is only valid in the .\"O .B nat .\"O table, in the .\"O .B POSTROUTING .\"O chain. It specifies that the source address of the packet should be .\"O modified (and all future packets in this connection will also be .\"O mangled), and rules should cease being examined. It takes one type .\"O of option: このターゲットは .B nat テーブルの .B POSTROUTING チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正させる (この接続の以降のパケットも修正して分からなく (mangle) する)。 さらに、ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある: .TP .BR "--to-source " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]" .\"O which can specify a single new source IP address, an inclusive range .\"O of IP addresses, and optionally, a port range (which is only valid if .\"O the rule also specifies .\"O .B "-p tcp" .\"O or .\"O .BR "-p udp" ). 1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが .B "-p tcp" または .B "-p udp" を指定している場合にのみ有効)。 .\"O If no port range is specified, then source ports below 512 will be .\"O mapped to other ports below 512: those between 512 and 1023 inclusive .\"O will be mapped to ports below 1024, and other ports will be mapped to .\"O 1024 or above. Where possible, no port alteration will occur. ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。 それ以外のポートは、1024 以上のポートにマッピングされる。 可能であれば、ポートの変換は起こらない。 .RS .PP .\"O You can add several --to-source options. If you specify more .\"O than one source address, either via an address range or multiple .\"O --to-source options, a simple round-robin (one after another in .\"O cycle) takes place between these adresses. 複数の --to-source オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の --to-source オプションによって 2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。 .SS TCPMSS .\"O This target allows to alter the MSS value of TCP SYN packets, to control .\"O the maximum size for that connection (usually limiting it to your .\"O outgoing interface's MTU minus 40). Of course, it can only be used .\"O in conjunction with .\"O .BR "-p tcp" . このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、 そのコネクションの最大サイズ (通常は、送信インターフェースの MTU から 40 引いた値) を制御できる。 もちろん .B "-p tcp" と組み合わせてしか使えない。 .\"O .br .PP .\"O This target is used to overcome criminally braindead ISPs or servers .\"O which block ICMP Fragmentation Needed packets. The symptoms of this .\"O problem are that everything works fine from your Linux .\"O firewall/router, but machines behind it can never exchange large .\"O packets: このターゲットは犯罪的に頭のいかれた ISP や ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを 乗り越えるために使用する。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットを やりとりできないというのが、この問題の兆候である。 .PD 0 .RS 0.1i .TP 0.3i 1) .\"O Web browsers connect, then hang with no data received. ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする .TP 2) .\"O Small mail works fine, but large emails hang. 短いメールは問題ないが、長いメールがハングする .TP 3) .\"O ssh works fine, but scp hangs after initial handshaking. ssh は問題ないが、scp は最初のハンドシェーク後にハングする .RE .PD .\"O Workaround: activate this option and add a rule to your firewall .\"O configuration like: 回避方法: このオプションを有効にし、以下のようなルールを ファイアウォールの設定に追加する。 .nf iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\ -j TCPMSS --clamp-mss-to-pmtu .fi .TP .BI "--set-mss " "value" .\"O Explicitly set MSS option to specified value. MSS オプションの値を指定した値に設定する。 .TP .B "--clamp-mss-to-pmtu" .\"O Automatically clamp MSS value to (path_MTU - 40). 自動的に、MSS 値を (path_MTU - 40) に強制する。 .\"O .TP .RS .PP .\"O These options are mutually exclusive. これらのオプションはどちらか 1 つしか指定できない。 .RE .SS TOS .\"O This is used to set the 8-bit Type of Service field in the IP header. .\"O It is only valid in the .\"O .B mangle .\"O table. IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。 .B mangle テーブルのみで有効である。 .TP .BI "--set-tos " "tos" .\"O You can use a numeric TOS values, or use .\"O .nf .\"O iptables -j TOS -h .\"O .fi .\"O to see the list of valid TOS names. TOS を番号で指定することができる。 また、 .nf iptables -j TOS -h .fi を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。 .SS ULOG .\"O This target provides userspace logging of matching packets. When this .\"O target is set for a rule, the Linux kernel will multicast this packet .\"O through a .\"O .IR netlink .\"O socket. One or more userspace processes may then subscribe to various .\"O multicast groups and receive the packets. このターゲットは、マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、そのパケットを .I netlink ソケットを用いてマルチキャストする。 そして、1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 .\"O Like LOG, this is a "non-terminating target", i.e. rule traversal .\"O continues at the next rule. LOG と同様、これは "非終了ターゲット" であり、 ルールの検討は次のルールへと継続される。 .TP .BI "--ulog-nlgroup " "nlgroup" .\"O This specifies the netlink group (1-32) to which the packet is sent. .\"O Default value is 1. パケットを送信する netlink グループ (1-32) を指定する。 デフォルトの値は 1 である。 .TP .BI "--ulog-prefix " "prefix" .\"O Prefix log messages with the specified prefix; up to 32 characters .\"O long, and useful for distinguishing messages in the logs. 指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。 .TP .BI "--ulog-cprange " "size" .\"O Number of bytes to be copied to userspace. A value of 0 always copies .\"O the entire packet, regardless of its size. Default is 0. ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。 .TP .BI "--ulog-qthreshold " "size" .\"O Number of packet to queue inside kernel. Setting this value to, e.g. 10 .\"O accumulates ten packets inside the kernel and transmits them as one .\"O netlink multipart message to userspace. Default is 1 (for backwards .\"O compatibility). .\"O .br カーネル内部のキューに入れられるパケットの数。 例えば、この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。 .\"O .SH DIAGNOSTICS .SH 返り値 .\"O Various error messages are printed to standard error. The exit code .\"O is 0 for correct functioning. Errors which appear to be caused by .\"O invalid or abused command line parameters cause an exit code of 2, and .\"O other errors cause an exit code of 1. いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。 不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。 .\"O .SH BUGS .SH バグ .\"O Bugs? What's this? ;-) .\"O Well... the counters are not reliable on sparc64. バグ? バグって何? ;-) えーと…、sparc64 ではカウンター値が信頼できない。 .\"O .SH COMPATIBILITY WITH IPCHAINS .SH IPCHAINS との互換性 .\"O This .\"O .B iptables .\"O is very similar to ipchains by Rusty Russell. The main difference is .\"O that the chains .\"O .B INPUT .\"O and .\"O .B OUTPUT .\"O are only traversed for packets coming into the local host and .\"O originating from the local host respectively. Hence every packet only .\"O passes through one of the three chains (except loopback traffic, which .\"O involves both INPUT and OUTPUT chains); previously a forwarded packet .\"O would pass through all three. .B iptables は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン .B INPUT と .B OUTPUT が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。 よって、(INPUT と OUTPUT の両方のチェインを起動する ループバックトラフィックを除く) 全てのパケットは 3 つあるチェインのうち 1 しか通らない。 以前は (ipchains では)、 フォワードされるパケットは 3 つのチェイン全てを通っていた。 .PP .\"O The other main difference is that .\"O .B -i .\"O refers to the input interface; .\"O .B -o .\"O refers to the output interface, and both are available for packets .\"O entering the .\"O .B FORWARD .\"O chain. その他の大きな違いは、 .B -i で入力インターフェース、 .B -o で出力インターフェースを参照すること、 そしてともに .B FORWARD チェインに入るパケットに対して指定可能な点である。 .\"O .PP The various forms of NAT have been separated out; .\"O .B iptables .\"O is a pure packet filter when using the default `filter' table, with .\"O optional extension modules. This should simplify much of the previous .\"O confusion over the combination of IP masquerading and packet filtering .\"O seen previously. So the following options are handled differently: .\"O .nf .\"O -j MASQ .\"O -M -S .\"O -M -L .\"O .fi .PP NAT のいろいろな形式が分割された。 オプションの拡張モジュールとともに デフォルトの「フィルタ」テーブルを用いた場合、 .B iptables は純粋なパケットフィルタとなる。 これは、以前みられた IP マスカレーディングとパケットフィルタリングの 組合せによる混乱を簡略化する。 よって、オプション .nf -j MASQ -M -S -M -L .fi は別のものとして扱われる。 .\"O There are several other changes in iptables. iptables では、その他にもいくつかの変更がある。 .\"O .SH SEE ALSO .SH 関連項目 .BR iptables-save (8), .BR iptables-restore (8), .BR ip6tables (8), .BR ip6tables-save (8), .BR ip6tables-restore (8). .P .\"O The packet-filtering-HOWTO details iptables usage for .\"O packet filtering, the NAT-HOWTO details NAT, .\"O the netfilter-extensions-HOWTO details the extensions that are .\"O not in the standard distribution, .\"O and the netfilter-hacking-HOWTO details the netfilter internals. パケットフィルタリングについての詳細な iptables の使用法を 説明している packet-filtering-HOWTO。 NAT について詳細に説明している NAT-HOWTO。 標準的な配布には含まれない拡張の詳細を 説明している netfilter-extensions-HOWTO。 内部構造について詳細に説明している netfilter-hacking-HOWTO。 .\"O .br .PP .\"O See .\"O .BR "http://www.netfilter.org/" . .UR http://www.netfilter.org/ .B http://www.netfilter.org/ .UE を参照のこと。 .\"O .SH AUTHORS .SH 著者 .\"O Rusty Russell wrote iptables, in early consultation with Michael .\"O Neuling. Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。 .PP .\"O Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet .\"O selection framework in iptables, then wrote the mangle table, the owner match, .\"O the mark stuff, and ran around doing cool stuff everywhere. Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。 そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。 .PP .\"O James Morris wrote the TOS target, and tos match. James Morris が TOS ターゲットと tos マッチングを書いた。 .PP .\"O Jozsef Kadlecsik wrote the REJECT target. Jozsef Kadlecsik が REJECT ターゲットを書いた。 .PP .\"O Harald Welte wrote the ULOG target, TTL, DSCP, ECN matches and targets. Harald Welte が ULOG ターゲットと、 TTL, DSCP, ECN のマッチ・ターゲットを書いた。 .PP .\"O The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, .\"O James Morris, Harald Welte and Rusty Russell. Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James Morris, Harald Welte, Rusty Russell である。 .PP .\"O Man page written by Herve Eychenne . man ページは Herve Eychenne が書いた。 .\" .. and did I mention that we are incredibly cool people? .\" .. sexy, too .. .\" .. witty, charming, powerful .. .\" .. and most of all, modest .. .\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな? .\" .. セクシーで .. .\" .. とてもウィットに富んでいて、チャーミングで、パワフルで .. .\" .. そして、みんな謙虚なんだ ..