msgid ""
msgstr ""
"Project-Id-Version: PACKAGE VERSION\n"
-"POT-Creation-Date: 2014-05-07 04:08+0900\n"
-"PO-Revision-Date: 2014-05-09 02:44+0900\n"
+"POT-Creation-Date: 2021-03-24 13:11+0900\n"
+"PO-Revision-Date: 2021-03-24 17:17+0900\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"Language: \n"
#. type: TH
#, no-wrap
-msgid "iptables 1.4.21"
-msgstr "iptables 1.4.21"
+msgid "iptables 1.8.4"
+msgstr "iptables 1.8.4"
#. type: SH
#, no-wrap
msgstr "bpf"
#. type: Plain text
-msgid "Match using Linux Socket Filter. Expects a BPF program in decimal format. This is the format generated by the B<nfbpf_compile> utility."
-msgstr "Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは B<nfbpf_compile> ユーティリティにより生成されるフォーマットである。"
+msgid "Match using Linux Socket Filter. Expects a path to an eBPF object or a cBPF program in decimal format."
+msgstr "Linux Socket Filter を使ってマッチを行う。 eBPF オブジェクトへのパスもしくは、 10 進数形式の cBPF プログラムを指定する。"
+
+#. type: TP
+#, no-wrap
+msgid "B<--object-pinned> I<path>"
+msgstr "B<--object-pinned> I<path>"
+
+#. type: Plain text
+msgid "Pass a path to a pinned eBPF object."
+msgstr ""
+
+#. type: Plain text
+msgid "Applications load eBPF programs into the kernel with the bpf() system call and BPF_PROG_LOAD command and can pin them in a virtual filesystem with BPF_OBJ_PIN. To use a pinned object in iptables, mount the bpf filesystem using"
+msgstr ""
+
+#. type: Plain text
+msgid "mount -t bpf bpf ${BPF_MOUNT}"
+msgstr ""
+
+#. type: Plain text
+msgid "then insert the filter in iptables by path:"
+msgstr ""
+
+#. type: Plain text
+msgid "iptables -A OUTPUT -m bpf --object-pinned ${BPF_MOUNT}/{PINNED_PATH} -j ACCEPT"
+msgstr ""
#. type: TP
#, no-wrap
msgstr "B<--bytecode> I<code>"
#. type: Plain text
-msgid "Pass the BPF byte code format (described in the example below)."
-msgstr "BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。"
+msgid "Pass the BPF byte code format as generated by the B<nfbpf_compile> utility."
+msgstr "BPF バイトコードフォーマットを渡す。 B<nfbpf_compile> ユーティリティにより生成されるフォーマットである。"
#. type: Plain text
msgid "The code format is similar to the output of the tcpdump -ddd command: one line that stores the number of instructions, followed by one line for each instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal notation. Fields encode the operation, jump offset if true, jump offset if false and generic multiuse field 'K'. Comments are not supported."
msgstr "iptables -A OUTPUT -m bpf --bytecode \"`nfbpf_compile RAW 'ip proto 6'`\" -j ACCEPT"
#. type: Plain text
+msgid "Or use tcpdump -ddd. In that case, generate BPF targeting a device with the same data link type as the xtables match. Iptables passes packets from the network layer up, without mac layer. Select a device with data link type RAW, such as a tun device:"
+msgstr ""
+
+#. type: Plain text
+msgid "ip tuntap add tun0 mode tun"
+msgstr "ip tuntap add tun0 mode tun"
+
+#. type: Plain text
+msgid "ip link set tun0 up"
+msgstr "ip link set tun0 up"
+
+#. type: Plain text
+msgid "tcpdump -ddd -i tun0 ip proto 6"
+msgstr "tcpdump -ddd -i tun0 ip proto 6"
+
+#. type: Plain text
+msgid "See tcpdump -L -i $dev for a list of known data link types for a given device."
+msgstr ""
+
+#. type: Plain text
msgid "You may want to learn more about BPF from FreeBSD's bpf(4) manpage."
msgstr "BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。"
#. type: SS
#, no-wrap
+msgid "cgroup"
+msgstr "cgroup"
+
+#. type: TP
+#, no-wrap
+msgid "[B<!>] B<--path> I<path>"
+msgstr "[B<!>] B<--path> I<path>"
+
+#. type: Plain text
+msgid "Match cgroup2 membership."
+msgstr ""
+
+#. type: Plain text
+msgid "Each socket is associated with the v2 cgroup of the creating process. This matches packets coming from or going to all sockets in the sub-hierarchy of the specified path. The path should be relative to the root of the cgroup2 hierarchy."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "[B<!>] B<--cgroup> I<classid>"
+msgstr "[B<!>] B<--cgroup> I<classid>"
+
+#. type: Plain text
+msgid "Match cgroup net_cls classid."
+msgstr ""
+
+#. type: Plain text
+msgid "classid is the marker set through the cgroup net_cls controller. This option and --path can't be used together."
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid "Example:"
+msgstr "例:"
+
+#. type: Plain text
+msgid "iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --path service/http-server -j DROP"
+msgstr "iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --path service/http-server -j DROP"
+
+#. type: Plain text
+msgid "iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --cgroup 1 -j DROP"
+msgstr "iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --cgroup 1 -j DROP"
+
+#. type: Plain text
+msgid "B<IMPORTANT>: when being used in the INPUT chain, the cgroup matcher is currently only of limited functionality, meaning it will only match on packets that are processed for local sockets through early socket demuxing. Therefore, general usage on the INPUT chain is not advised unless the implications are well understood."
+msgstr ""
+
+#. type: Plain text
+msgid "Available since Linux 3.14."
+msgstr "Linux 3.14 以降で利用可能。"
+
+#. type: SS
+#, no-wrap
msgid "cluster"
msgstr "cluster"
msgid "Set seed value of the Jenkins hash."
msgstr "Jenkins ハッシュのシード値を設定する。"
-#. type: TP
-#, no-wrap
-msgid "Example:"
-msgstr "例:"
-
#. type: Plain text
msgid "iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
msgstr "iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff"
#. type: SS
#, no-wrap
+msgid "connlabel"
+msgstr "connlabel"
+
+#. type: Plain text
+msgid "Module matches or adds connlabels to a connection. connlabels are similar to connmarks, except labels are bit-based; i.e. all labels may be attached to a flow at the same time. Up to 128 unique labels are currently supported."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "[B<!>] B<--label> B<name>"
+msgstr "[B<!>] B<--label> B<name>"
+
+#. type: Plain text
+msgid "matches if label B<name> has been set on a connection. Instead of a name (which will be translated to a number, see EXAMPLE below), a number may be used instead. Using a number always overrides connlabel.conf."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--set>"
+msgstr "B<--set>"
+
+#. type: Plain text
+msgid "if the label has not been set on the connection, set it. Note that setting a label can fail. This is because the kernel allocates the conntrack label storage area when the connection is created, and it only reserves the amount of memory required by the ruleset that exists at the time the connection is created. In this case, the match will fail (or succeed, in case B<--label> option was negated)."
+msgstr ""
+
+#. type: Plain text
+msgid "This match depends on libnetfilter_conntrack 1.0.4 or later. Label translation is done via the B</etc/xtables/connlabel.conf> configuration file."
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid ""
+"0\teth0-in\n"
+"1\teth0-out\n"
+"2\tppp-in\n"
+"3\tppp-out\n"
+"4\tbulk-traffic\n"
+"5\tinteractive\n"
+msgstr ""
+
+#. type: SS
+#, no-wrap
msgid "connlimit"
msgstr "connlimit"
#. type: TP
#, no-wrap
+msgid "B<--hashlimit-rate-match>"
+msgstr "B<--hashlimit-rate-match>"
+
+#. type: Plain text
+msgid "Classify the flow instead of rate-limiting it. This acts like a true/false match on whether the rate is above/below a certain number"
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--hashlimit-rate-interval> I<sec>"
+msgstr "B<--hashlimit-rate-interval> I<sec>"
+
+#. type: Plain text
+msgid "Can be used with --hashlimit-rate-match to specify the interval at which the rate should be sampled"
+msgstr ""
+
+#. type: TP
+#, no-wrap
msgid "matching on source host"
msgstr "送信元ホストに対するマッチ"
#. type: TP
#, no-wrap
-msgid "B<proto>"
-msgstr "B<proto>"
+msgid "B<prot>"
+msgstr "B<prot>"
#. type: Plain text
-msgid "which matches any upper layer protocol header. A protocol name from /etc/protocols and numeric value also allowed. The number 255 is equivalent to B<proto>."
+msgid "which matches any upper layer protocol header. A protocol name from /etc/protocols and numeric value also allowed. The number 255 is equivalent to B<prot>."
msgstr ""
#. type: SS
msgstr "B<nfnl_osf -f /usr/share/xtables/pf.os -d>"
#. type: Plain text
-msgid "The fingerprint database can be downlaoded from http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os ."
+msgid "The fingerprint database can be downloaded from http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os ."
msgstr "フィンガープリントデータベースは http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os からダウンロードできる。"
#. type: SS
#. type: TP
#, no-wrap
+msgid "B<--suppl-groups>"
+msgstr ""
+
+#. type: Plain text
+msgid "Causes group(s) specified with B<--gid-owner> to be also checked in the supplementary groups of a process."
+msgstr ""
+
+#. type: TP
+#, no-wrap
msgid "[B<!>] B<--socket-exists>"
msgstr "[B<!>] B<--socket-exists>"
msgstr "[B<!>] B<--physdev-out> I<name>"
#. type: Plain text
-msgid "Name of a bridge port via which a packet is going to be sent (for packets entering the B<FORWARD>, B<OUTPUT> and B<POSTROUTING> chains). If the interface name ends in a \"+\", then any interface which begins with this name will match. Note that in the B<nat> and B<mangle> B<OUTPUT> chains one cannot match on the bridge output port, however one can in the B<filter OUTPUT> chain. If the packet won't leave by a bridge device or if it is yet unknown what the output device will be, then the packet won't match this option, unless '!' is used."
-msgstr "ã\83\91ã\82±ã\83\83ã\83\88ã\82\92é\80\81ä¿¡ã\81\99ã\82\8bã\81\93ã\81¨ã\81«ã\81ªã\82\8bã\83\96ã\83ªã\83\83ã\82¸ã\81®ã\83\9dã\83¼ã\83\88å\90\8d (B<FORWARD>, B<OUTPUT>, B<POSTROUTING> ã\83\81ã\82§ã\82¤ã\83³ã\81«å\85¥ã\82\8bã\83\91ã\82±ã\83\83ã\83\88ã\81®ã\81¿)ã\80\82 ã\82¤ã\83³ã\82¿ã\83¼ã\83\95ã\82§ã\83¼ã\82¹å\90\8dã\81\8c \"+\" ã\81§çµ\82ã\81£ã\81¦ã\81\84ã\82\8bå ´å\90\88ã\80\81 ã\81\9dã\81®å\90\8då\89\8dã\81§å§\8bã\81¾ã\82\8bä»»æ\84\8fã\81®ã\82¤ã\83³ã\82¿ã\83¼ã\83\95ã\82§ã\83¼ã\82¹å\90\8dã\81«ã\83\9eã\83\83ã\83\81ã\81\99ã\82\8bã\80\82 B<nat> ã\81¨ B<mangle> ã\83\86ã\83¼ã\83\96ã\83«ã\81® B<OUTPUT> ã\83\81ã\82§ã\82¤ã\83³ã\81§ã\81¯ã\83\96ã\83ªã\83\83ã\82¸ã\81®å\87ºå\8a\9bã\83\9dã\83¼ã\83\88ã\81«ã\83\9eã\83\83ã\83\81ã\81\95ã\81\9bã\82\8bã\81\93ã\81¨ã\81\8cã\81§ã\81\8dã\81ªã\81\84ã\81\8cã\80\81 B<filter> ã\83\86ã\83¼ã\83\96ã\83«ã\81® B<OUPUT> ã\83\81ã\82§ã\82¤ã\83³ã\81§ã\81¯ã\83\9eã\83\83ã\83\81å\8f¯è\83½ã\81§ã\81\82ã\82\8bã\80\82 ã\83\91ã\82±ã\83\83ã\83\88ã\81\8cã\83\96ã\83ªã\83\83ã\82¸ã\83\87ã\83\90ã\82¤ã\82¹ã\81\8bã\82\89é\80\81ã\82\89ã\82\8cã\81ªã\81\8bã\81£ã\81\9få ´å\90\88ã\80\81 ã\81¾ã\81\9fã\81¯ã\83\91ã\82±ã\83\83ã\83\88ã\81®å\87ºå\8a\9bã\83\87ã\83\90ã\82¤ã\82¹ã\81\8cä¸\8dæ\98\8eã\81§ã\81\82ã\81£ã\81\9få ´å\90\88ã\81¯ã\80\81 \\&'!' ã\81\8cæ\8c\87å®\9aã\81\95ã\82\8cã\81¦ã\81\84ã\81ªã\81\84é\99\90ã\82\8aã\80\81 ã\83\91ã\82±ã\83\83ã\83\88ã\81¯ã\81\93ã\81®ã\82ªã\83\97ã\82·ã\83§ã\83³ã\81«ã\83\9eã\83\83ã\83\81ã\81\97ã\81ªã\81\84。"
+msgid "Name of a bridge port via which a packet is going to be sent (for bridged packets entering the B<FORWARD> and B<POSTROUTING> chains). If the interface name ends in a \"+\", then any interface which begins with this name will match."
+msgstr "ã\83\91ã\82±ã\83\83ã\83\88ã\81\8cé\80\81ä¿¡ã\81\95ã\82\8cã\82\8bã\83\96ã\83ªã\83\83ã\82¸ã\81®ã\83\9dã\83¼ã\83\88å\90\8d (B<FORWARD>, B<POSTROUTING> ã\83\81ã\82§ã\82¤ã\83³ã\81«å\85¥ã\82\8bã\83\91ã\82±ã\83\83ã\83\88ã\81«å¯¾ã\81\97ã\81¦)ã\80\82 ã\82¤ã\83³ã\82¿ã\83¼ã\83\95ã\82§ã\83¼ã\82¹å\90\8dã\81\8c \"+\" ã\81§çµ\82ã\81£ã\81¦ã\81\84ã\82\8bå ´å\90\88ã\80\81 ã\81\9dã\81®å\90\8då\89\8dã\81§å§\8bã\81¾ã\82\8bä»»æ\84\8fã\81®ã\82¤ã\83³ã\82¿ã\83¼ã\83\95ã\82§ã\83¼ã\82¹å\90\8dã\81«ã\83\9eã\83\83ã\83\81ã\81\99ã\82\8b。"
#. type: TP
#, no-wrap
msgstr "[B<!>] B<--realm> I<value>[B</>I<mask>]"
#. type: Plain text
-msgid "Matches a given realm number (and optionally mask). If not a number, value can be a named realm from /etc/iproute2/rt_realms (mask can not be used in that case)."
+msgid "Matches a given realm number (and optionally mask). If not a number, value can be a named realm from /etc/iproute2/rt_realms (mask can not be used in that case). Both value and mask are four byte unsigned integers and may be specified in decimal, hex (by prefixing with \"0x\") or octal (if a leading zero is given)."
msgstr ""
#. type: SS
msgstr "B<--loose>"
#. type: Plain text
-msgid "Used to specifiy that the reverse path filter test should match even if the selected output device is not the expected one."
+msgid "Used to specify that the reverse path filter test should match even if the selected output device is not the expected one."
msgstr "選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。"
#. type: TP
#. type: TP
#, no-wrap
-msgid "[B<!>] B<-bytes-eq> I<value>"
-msgstr "[B<!>] B<-bytes-eq> I<value>"
+msgid "[B<!>] B<--bytes-eq> I<value>"
+msgstr "[B<!>] B<--bytes-eq> I<value>"
#. type: Plain text
msgid "If the packet is matched an element in the set, match only if the byte counter of the element matches the given value too."
msgid "-t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1"
msgstr "-t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1"
+#. type: TP
+#, no-wrap
+msgid "B<--restore-skmark>"
+msgstr "B<--restore-skmark>"
+
+#. type: Plain text
+msgid "Set the packet mark to the matching socket's mark. Can be combined with the B<--transparent> and B<--nowildcard> options to restrict the sockets to be matched when restoring the packet mark."
+msgstr ""
+
+#. type: Plain text
+msgid "Example: An application opens 2 transparent (B<IP_TRANSPARENT>) sockets and sets a mark on them with B<SO_MARK> socket option. We can filter matching packets:"
+msgstr ""
+
+#. type: Plain text
+msgid "-t mangle -I PREROUTING -m socket --transparent --restore-skmark -j action"
+msgstr "-t mangle -I PREROUTING -m socket --transparent --restore-skmark -j action"
+
+#. type: Plain text
+msgid "-t mangle -A action -m mark --mark 10 -j action2"
+msgstr ""
+
+#. type: Plain text
+msgid "-t mangle -A action -m mark --mark 11 -j action3"
+msgstr ""
+
#. type: SS
#, no-wrap
msgid "state"
msgid "Matches the given pattern in hex notation."
msgstr "指定された 16 進表記のパターンにマッチする。"
+#. type: TP
+#, no-wrap
+msgid "B<--icase>"
+msgstr "B<--icase>"
+
+#. type: Plain text
+msgid "Ignore case when searching."
+msgstr ""
+
#. type: Plain text
msgid "# The string pattern can be used for simple text characters."
msgstr "# 文字列パターンは単純なテキスト文字を探すのに使用できる。"
msgstr "これらの拡張は `--protocol tcp' が指定され場合に使用できる。 以下のオプションが提供される:"
#. type: Plain text
-msgid "Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specified, using the format I<first>B<:>I<last>. If the first port is omitted, \"0\" is assumed; if the last is omitted, \"65535\" is assumed. If the first port is greater than the second one they will be swapped. The flag B<--sport> is a convenient alias for this option."
-msgstr "送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 I<first>B<:>I<last> という形式で、 2 つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 \"0\" を仮定する。 最後のポートを省略した場合、 \"65535\" を仮定する。 最初のポートが最後のポートより大きい場合、 2 つは入れ換えられる。 フラグ B<--sport> は、 このオプションの便利な別名である。"
+msgid "Source port or port range specification. This can either be a service name or a port number. An inclusive range can also be specified, using the format I<first>B<:>I<last>. If the first port is omitted, \"0\" is assumed; if the last is omitted, \"65535\" is assumed. The flag B<--sport> is a convenient alias for this option."
+msgstr "送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定できる。 I<first>B<:>I<last> という形式で、 2 つの番号を含む範囲を指定することもできる。 最初のポートを省略した場合、 \"0\" を仮定する。 最後のポートを省略した場合、 \"65535\" を仮定する。 フラグ B<--sport> は、 このオプションの便利な別名である。"
#. type: Plain text
msgid "Destination port or port range specification. The flag B<--dport> is a convenient alias for this option."
msgstr "[B<!>] B<--mss> I<value>[B<:>I<value>]"
#. type: Plain text
-msgid "Match a given TCP MSS value or range."
-msgstr "指定された TCP MSS 値か範囲にマッチする。"
+msgid "Match a given TCP MSS value or range. If a range is given, the second I<value> must be greater than or equal to the first I<value>."
+msgstr ""
#. type: SS
#, no-wrap
msgid "The instructions are:"
msgstr "命令は以下の通り。"
+#. type: TP
+#, no-wrap
+msgid "B<number>"
+msgstr "B<number>"
+
#. type: Plain text
-msgid "number B = number;"
-msgstr "number B = number;"
+msgid "B = number;"
+msgstr "B = number;"
#. type: Plain text
msgid "C = (*(A+B)E<lt>E<lt>24) + (*(A+B+1)E<lt>E<lt>16) + (*(A+B+2)E<lt>E<lt>8) + *(A+B+3)"
msgstr "C = (*(A+B)E<lt>E<lt>24) + (*(A+B+1)E<lt>E<lt>16) + (*(A+B+2)E<lt>E<lt>8) + *(A+B+3)"
+#. type: TP
+#, no-wrap
+msgid "B<&number>"
+msgstr "B<&number>"
+
#. type: Plain text
-msgid "&number C = C & number"
-msgstr "&number C = C & number"
+msgid "C = C & number"
+msgstr "C = C & number"
+
+#. type: TP
+#, no-wrap
+msgid "B<E<lt>E<lt> number>"
+msgstr "B<E<lt>E<lt> number>"
#. type: Plain text
-msgid "E<lt>E<lt> number C = C E<lt>E<lt> number"
-msgstr "E<lt>E<lt> number C = C E<lt>E<lt> number"
+msgid "C = C E<lt>E<lt> number"
+msgstr "C = C E<lt>E<lt> number"
+
+#. type: TP
+#, no-wrap
+msgid "B<E<gt>E<gt> number>"
+msgstr "B<E<gt>E<gt> number>"
#. type: Plain text
-msgid "E<gt>E<gt> number C = C E<gt>E<gt> number"
-msgstr "E<gt>E<gt> number C = C E<gt>E<gt> number"
+msgid "C = C E<gt>E<gt> number"
+msgstr "C = C E<gt>E<gt> number"
+
+#. type: TP
+#, no-wrap
+msgid "B<@number>"
+msgstr "B<@number>"
#. type: Plain text
-msgid "@number A = A + C; then do the instruction number"
-msgstr "@number A = A + C; この後、命令の数字を実行する"
+msgid "A = A + C; then do the instruction number"
+msgstr "A = A + C; then do the instruction number"
#. type: Plain text
msgid "Any access of memory outside [skb-E<gt>data,skb-E<gt>end] causes the match to fail. Otherwise the result of the computation is the final value of C."
msgid "Destination port or port range specification. See the description of the B<--destination-port> option of the TCP extension for details."
msgstr "宛先ポートまたはポート範囲の指定。 詳細は TCP 拡張の B<--destination-port> オプションの説明を参照すること。"
-#. type: SS
-#, no-wrap
-msgid "unclean (IPv4-specific)"
-msgstr "unclean (IPv4 の場合)"
-
-#. type: Plain text
-msgid "This module takes no options, but attempts to match packets which seem malformed or unusual. This is regarded as experimental."
-msgstr "このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。"
-
#. type: SH
#, no-wrap
msgid "TARGET EXTENSIONS"
msgstr "B<--type> {B<accept>|B<drop>|B<reject>}"
#. type: Plain text
-msgid "Set type of audit record."
-msgstr "監査レコード種別を設定する。"
+msgid "Set type of audit record. Starting with linux-4.12, this option has no effect on generated audit messages anymore. It is still accepted by iptables for compatibility reasons, but ignored."
+msgstr ""
#. type: Plain text
msgid "iptables -N AUDIT_DROP"
msgstr "iptables -N AUDIT_DROP"
#. type: Plain text
-msgid "iptables -A AUDIT_DROP -j AUDIT --type drop"
-msgstr "iptables -A AUDIT_DROP -j AUDIT --type drop"
+msgid "iptables -A AUDIT_DROP -j AUDIT"
+msgstr "iptables -A AUDIT_DROP -j AUDIT"
#. type: Plain text
msgid "iptables -A AUDIT_DROP -j DROP"
#. type: TP
#, no-wrap
-msgid "B<--zone> I<id>"
-msgstr "B<--zone> I<id>"
+msgid "B<--zone-orig> {I<id>|B<mark>}"
+msgstr "B<--zone-orig> {I<id>|B<mark>}"
+
+#. type: Plain text
+msgid "For traffic coming from ORIGINAL direction, assign this packet to zone I<id> and only have lookups done in that zone. If B<mark> is used instead of I<id>, the zone is derived from the packet nfmark."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--zone-reply> {I<id>|B<mark>}"
+msgstr "B<--zone-reply> {I<id>|B<mark>}"
+
+#. type: Plain text
+msgid "For traffic coming from REPLY direction, assign this packet to zone I<id> and only have lookups done in that zone. If B<mark> is used instead of I<id>, the zone is derived from the packet nfmark."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--zone> {I<id>|B<mark>}"
+msgstr "B<--zone> {I<id>|B<mark>}"
#. type: Plain text
-msgid "Assign this packet to zone I<id> and only have lookups done in that zone. By default, packets have zone 0."
+msgid "Assign this packet to zone I<id> and only have lookups done in that zone. If B<mark> is used instead of I<id>, the zone is derived from the packet nfmark. By default, packets have zone 0. This option applies to both directions."
msgstr ""
#. type: TP
msgstr "このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの B<SNAT> 送信元ポートの選択方法 (上記) よりも優先される。 ルールがプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> を指定している場合にのみ有効である。"
#. type: Plain text
-msgid "Randomize source port mapping If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
-msgstr "送信元ポートのマッピングをランダム化する。 B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.21 以降)。"
+msgid "Randomize source port mapping If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21). Since kernel 5.0, B<--random> is identical to B<--random-fully>."
+msgstr "送信元ポートのマッピングをランダム化する。 B<--random> オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.21 以降)。カーネル 5.0 以降では、 B<--random> は B<--random-fully> と等価である。"
-#. type: SS
+#. type: TP
#, no-wrap
-msgid "MIRROR (IPv4-specific)"
-msgstr "MIRROR (IPv4 の場合)"
+msgid "B<--random-fully>"
+msgstr "B<--random-fully>"
#. type: Plain text
-msgid "This is an experimental demonstration target which inverts the source and destination fields in the IP header and retransmits the packet. It is only valid in the B<INPUT>, B<FORWARD> and B<PREROUTING> chains, and user-defined chains which are only called from those chains. Note that the outgoing packets are B<NOT> seen by any packet filtering chains, connection tracking or NAT, to avoid loops and other problems."
-msgstr "実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは B<INPUT>, B<FORWARD>, B<PREROUTING> チェインと、 これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視B<されない>。"
+msgid "Full randomize source port mapping If option B<--random-fully> is used then port mapping will be fully randomized (kernel E<gt>= 3.13)."
+msgstr "送信元ポートのマッピングを完全にランダム化する。 B<--random-fully> オプションを使用すると、 ポートマッピングが完全にランダム化される (カーネル 3.13 以降)。"
#. type: SS
#, no-wrap
msgstr "B<--nflog-range> I<size>"
#. type: Plain text
+msgid "This option has never worked, use --nflog-size instead"
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--nflog-size> I<size>"
+msgstr "B<--nflog-size> I<size>"
+
+#. type: Plain text
msgid "The number of bytes to be copied to userspace (only applicable for nfnetlink_log). nfnetlink_log instances may specify their own range, this option overrides it."
msgstr "ユーザー空間にコピーするバイト数 (nfnetlink_log の場合のみ利用できる)。 nfnetlink_log のインスタンスは自身でコピーする範囲を指定できるが、 このオプションはそれを上書きする。"
msgstr "REDIRECT"
#. type: Plain text
-msgid "This target is only valid in the B<nat> table, in the B<PREROUTING> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the localhost address, 127.0.0.1 for IPv4 and ::1 for IPv6)."
-msgstr "このターゲットは、 B<nat> テーブルの B<PREROUTING> チェインと B<OUTPUT> チェイン、 およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする (ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。"
+msgid "This target is only valid in the B<nat> table, in the B<PREROUTING> and B<OUTPUT> chains, and user-defined chains which are only called from those chains. It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the localhost address, 127.0.0.1 for IPv4 and ::1 for IPv6, and packets arriving on interfaces that don't have an IP address configured are dropped)."
+msgstr "このターゲットは、 B<nat> テーブルの B<PREROUTING> チェインと B<OUTPUT> チェイン、 およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする (ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる。 IP アドレスを設定されていないインタフェースに到着したパケットは破棄される)。"
#. type: Plain text
msgid "This specifies a destination port or range of ports to use: without this, the destination port is never altered. This is only valid if the rule also specifies one of the following protocols: B<tcp>, B<udp>, B<dccp> or B<sctp>."
#. type: SS
#, no-wrap
-msgid "SAME (IPv4-specific)"
-msgstr "SAME (IPv4 の場合)"
-
-#. type: Plain text
-msgid "Similar to SNAT/DNAT depending on chain: it takes a range of addresses (`--to 1.2.3.4-1.2.3.7') and gives a client the same source-/destination-address for each connection."
-msgstr ""
-
-#. type: Plain text
-msgid "N.B.: The DNAT target's B<--persistent> option replaced the SAME target."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--to> I<ipaddr>[B<->I<ipaddr>]"
-msgstr "B<--to> I<ipaddr>[B<->I<ipaddr>]"
-
-#. type: Plain text
-msgid "Addresses to map source to. May be specified more than once for multiple ranges."
-msgstr ""
-
-#. type: TP
-#, no-wrap
-msgid "B<--nodst>"
-msgstr "B<--nodst>"
-
-#. type: Plain text
-msgid "Don't use the destination-ip in the calculations when selecting the new source-ip"
-msgstr ""
-
-#. type: Plain text
-msgid "Port mapping will be forcibly randomized to avoid attacks based on port prediction (kernel E<gt>= 2.6.21)."
-msgstr ""
-
-#. type: SS
-#, no-wrap
msgid "SECMARK"
msgstr "SECMARK"
msgid "delete the address(es)/port(s) of the packet from the set"
msgstr "集合から指定されたアドレス/ポート (複数可) を削除する"
+#. type: TP
+#, no-wrap
+msgid "B<--map-set> I<setname> I<flag>[B<,>I<flag>...] "
+msgstr "B<--map-set> I<setname> I<flag>[B<,>I<flag>...] "
+
+#. type: Plain text
+msgid "[--map-mark] [--map-prio] [--map-queue] map packet properties (firewall mark, tc priority, hardware queue)"
+msgstr ""
+
#. type: Plain text
msgid "where I<flag>(s) are B<src> and/or B<dst> specifications and there can be no more than six of them."
msgstr "I<flag> は B<src> や B<dst> の指定であり、 指定できるのは 6 個までである。"
msgid "when adding an entry if it already exists, reset the timeout value to the specified one or to the default from the set definition"
msgstr "エントリを追加する際に、 エントリが存在する場合、 タイムアウト値を、 指定された値か集合定義のデフォルト値にリセットする"
+#. type: TP
+#, no-wrap
+msgid "B<--map-set> I<set-name>"
+msgstr "B<--map-set> I<set-name>"
+
+#. type: Plain text
+msgid "the set-name should be created with --skbinfo option B<--map-mark> map firewall mark to packet by lookup of value in the set B<--map-prio> map traffic control priority to packet by lookup of value in the set B<--map-queue> map hardware NIC queue to packet by lookup of value in the set"
+msgstr ""
+
+#. type: Plain text
+msgid "The B<--map-set> option can be used from the mangle table only. The B<--map-prio> and B<--map-queue> flags can be used in the OUTPUT, FORWARD and POSTROUTING chains."
+msgstr ""
+
#. type: Plain text
msgid "Use of -j SET requires that ipset kernel support is provided, which, for standard kernels, is the case since Linux 2.6.39."
msgstr "-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。"
msgstr "1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして B<tcp>, B<udp>, B<dccp>, B<sctp> が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024 未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。 2.6.10 以前のカーネルでは、 複数の --to-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や --to-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (E<gt>= 2.6.11-rc1) には複数の範囲を NAT する機能は存在しない。"
#. type: Plain text
-msgid "If option B<--random> is used then port mapping will be randomized (kernel E<gt>= 2.6.21)."
-msgstr "B<--random> オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。"
+msgid "If option B<--random> is used then port mapping will be randomized through a hash-based algorithm (kernel E<gt>= 2.6.21)."
+msgstr "B<--random> オプションが使用されると、ポートマッピングは、ハッシュを使ったアルゴリズムでランダム化される (カーネル 2.6.21 以降)。"
+
+#. type: Plain text
+msgid "If option B<--random-fully> is used then port mapping will be fully randomized through a PRNG (kernel E<gt>= 3.14)."
+msgstr "B<--random> オプションが使用されると、ポートマッピングは PRNG でランダム化される (カーネル 2.6.21 以降)。"
#. type: Plain text
msgid "Kernels prior to 2.6.36-rc1 don't have the ability to B<SNAT> in the B<INPUT> chain."
#. type: SS
#, no-wrap
+msgid "SYNPROXY"
+msgstr "SYNPROXY"
+
+#. type: Plain text
+msgid "This target will process TCP three-way-handshake parallel in netfilter context to protect either local or backend system. This target requires connection tracking because sequence numbers need to be translated. The kernels ability to absorb SYNFLOOD was greatly improved starting with Linux 4.4, so this target should not be needed anymore to protect Linux servers."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--mss> I<maximum segment size>"
+msgstr ""
+
+#. type: Plain text
+msgid "Maximum segment size announced to clients. This must match the backend."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--wscale> I<window scale>"
+msgstr "B<--wscale> I<window scale>"
+
+#. type: Plain text
+msgid "Window scale announced to clients. This must match the backend."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--sack-perm>"
+msgstr "B<--sack-perm>"
+
+#. type: Plain text
+msgid "Pass client selective acknowledgement option to backend (will be disabled if not present)."
+msgstr ""
+
+#. type: TP
+#, no-wrap
+msgid "B<--timestamps>"
+msgstr "B<--timestamps>"
+
+#. type: Plain text
+msgid "Pass client timestamp option to backend (will be disabled if not present, also needed for selective acknowledgement and window scaling)."
+msgstr ""
+
+#. type: Plain text
+msgid "Determine tcp options used by backend, from an external system"
+msgstr ""
+
+#. type: Plain text
+msgid "tcpdump -pni eth0 -c 1 'tcp[tcpflags] == (tcp-syn|tcp-ack)'"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " port 80 &\n"
+msgstr ""
+
+#. type: Plain text
+msgid "telnet 192.0.2.42 80"
+msgstr ""
+
+#. type: Plain text
+msgid "18:57:24.693307 IP 192.0.2.42.80 E<gt> 192.0.2.43.48757:"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " Flags [S.], seq 360414582, ack 788841994, win 14480,\n"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " options [mss 1460,sackOK,\n"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " TS val 1409056151 ecr 9690221,\n"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " nop,wscale 9],\n"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid " length 0\n"
+msgstr " length 0\n"
+
+#. type: Plain text
+msgid "Switch tcp_loose mode off, so conntrack will mark out-of-flow packets as state INVALID."
+msgstr ""
+
+#. type: Plain text
+msgid "Make SYN packets untracked"
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid ""
+"iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 80\n"
+" --syn -j CT --notrack\n"
+msgstr ""
+"iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 80\n"
+" --syn -j CT --notrack\n"
+
+#. type: Plain text
+msgid "Catch UNTRACKED (SYN packets) and INVALID (3WHS ACK packets) states and send them to SYNPROXY. This rule will respond to SYN packets with SYN+ACK syncookies, create ESTABLISHED for valid client response (3WHS ACK packets) and drop incorrect cookies. Flags combinations not expected during 3WHS will not match and continue (e.g. SYN+FIN, SYN+ACK)."
+msgstr ""
+
+#. type: Plain text
+#, no-wrap
+msgid ""
+"iptables -A INPUT -i eth0 -p tcp --dport 80\n"
+" -m state --state UNTRACKED,INVALID -j SYNPROXY\n"
+" --sack-perm --timestamp --mss 1460 --wscale 9\n"
+msgstr ""
+
+#. type: Plain text
+msgid "Drop invalid packets, this will be out-of-flow packets that were not matched by SYNPROXY."
+msgstr ""
+
+#. type: Plain text
+msgid "iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state INVALID -j DROP"
+msgstr "iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state INVALID -j DROP"
+
+#. type: SS
+#, no-wrap
msgid "TCPMSS"
msgstr "TCPMSS"
msgstr "TRACE"
#. type: Plain text
-msgid "This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules."
+msgid "This target marks packets so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules. It can only be used in the B<raw> table."
msgstr ""
#. type: Plain text
-msgid "A logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible. The packets are logged with the string prefix: \"TRACE: tablename:chainname:type:rulenum \" where type can be \"rule\" for plain rule, \"return\" for implicit rule at the end of a user defined chain and \"policy\" for the policy of the built in chains."
+msgid "With iptables-legacy, a logging backend, such as ip(6)t_LOG or nfnetlink_log, must be loaded for this to be visible. The packets are logged with the string prefix: \"TRACE: tablename:chainname:type:rulenum \" where type can be \"rule\" for plain rule, \"return\" for implicit rule at the end of a user defined chain and \"policy\" for the policy of the built in chains."
msgstr ""
#. type: Plain text
-msgid "It can only be used in the B<raw> table."
+msgid "With iptables-nft, the target is translated into nftables' B<meta nftrace> expression. Hence the kernel sends trace events via netlink to userspace where they may be displayed using B<xtables-monitor --trace> command. For details, refer to B<xtables-monitor>(8)."
msgstr ""
#. type: SS
#. type: Plain text
msgid "Number of packet to queue inside kernel. Setting this value to, e.g. 10 accumulates ten packets inside the kernel and transmits them as one netlink multipart message to userspace. Default is 1 (for backwards compatibility)."
msgstr "カーネル内部のキューに入れられるパケットの数。 例えば、 この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。"
+
+#~ msgid "Name of a bridge port via which a packet is going to be sent (for packets entering the B<FORWARD>, B<OUTPUT> and B<POSTROUTING> chains). If the interface name ends in a \"+\", then any interface which begins with this name will match. Note that in the B<nat> and B<mangle> B<OUTPUT> chains one cannot match on the bridge output port, however one can in the B<filter OUTPUT> chain. If the packet won't leave by a bridge device or if it is yet unknown what the output device will be, then the packet won't match this option, unless '!' is used."
+#~ msgstr "パケットを送信することになるブリッジのポート名 (B<FORWARD>, B<OUTPUT>, B<POSTROUTING> チェインに入るパケットのみ)。 インターフェース名が \"+\" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 B<nat> と B<mangle> テーブルの B<OUTPUT> チェインではブリッジの出力ポートにマッチさせることができないが、 B<filter> テーブルの B<OUPUT> チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、 \\&'!' が指定されていない限り、 パケットはこのオプションにマッチしない。"
+
+#~ msgid "Match a given TCP MSS value or range."
+#~ msgstr "指定された TCP MSS 値か範囲にマッチする。"
+
+#~ msgid "unclean (IPv4-specific)"
+#~ msgstr "unclean (IPv4 の場合)"
+
+#~ msgid "This module takes no options, but attempts to match packets which seem malformed or unusual. This is regarded as experimental."
+#~ msgstr "このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。"
+
+#~ msgid "Set type of audit record."
+#~ msgstr "監査レコード種別を設定する。"
+
+#~ msgid "iptables -A AUDIT_DROP -j AUDIT --type drop"
+#~ msgstr "iptables -A AUDIT_DROP -j AUDIT --type drop"
+
+#~ msgid "MIRROR (IPv4-specific)"
+#~ msgstr "MIRROR (IPv4 の場合)"
+
+#~ msgid "This is an experimental demonstration target which inverts the source and destination fields in the IP header and retransmits the packet. It is only valid in the B<INPUT>, B<FORWARD> and B<PREROUTING> chains, and user-defined chains which are only called from those chains. Note that the outgoing packets are B<NOT> seen by any packet filtering chains, connection tracking or NAT, to avoid loops and other problems."
+#~ msgstr "実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは B<INPUT>, B<FORWARD>, B<PREROUTING> チェインと、 これらのチェインから呼び出される ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視B<されない>。"
+
+#~ msgid "SAME (IPv4-specific)"
+#~ msgstr "SAME (IPv4 の場合)"
+
+#~ msgid "B<--to> I<ipaddr>[B<->I<ipaddr>]"
+#~ msgstr "B<--to> I<ipaddr>[B<->I<ipaddr>]"
+
+#~ msgid "B<--nodst>"
+#~ msgstr "B<--nodst>"
OSDN Git Service
