From 882365b6b9a109e9a0661c3df55e7f599c2265a2 Mon Sep 17 00:00:00 2001
From: Akihiro MOTOKI <amotoki@gmail.com>
Date: Wed, 9 May 2012 03:19:44 +0900
Subject: [PATCH] iptables: Generate draft and release pages from ja.po.

---
 draft/man3/libipq.3              |  418 -------
 draft/man8/ip6tables-restore.8   |   66 +-
 draft/man8/ip6tables-save.8      |   65 +-
 draft/man8/ip6tables.8           | 1802 ++++++++---------------------
 draft/man8/iptables-restore.8    |   64 +-
 draft/man8/iptables-save.8       |   61 +-
 draft/man8/iptables.8            | 2330 +++++++++-----------------------------
 release/man8/ip6tables-restore.8 |   47 +-
 release/man8/ip6tables-save.8    |   47 +-
 release/man8/ip6tables.8         | 1199 ++++++++------------
 release/man8/iptables-restore.8  |   45 +-
 release/man8/iptables-save.8     |   43 +-
 release/man8/iptables.8          | 1544 +++++++++----------------
 13 files changed, 2170 insertions(+), 5561 deletions(-)
 delete mode 100644 draft/man3/libipq.3

diff --git a/draft/man3/libipq.3 b/draft/man3/libipq.3
deleted file mode 100644
index 26c8541..0000000
--- a/draft/man3/libipq.3
+++ /dev/null
@@ -1,418 +0,0 @@
-.\"O .TH LIBIPQ 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual" 
-.TH LIBIPQ 3 "16 October 2001" "Linux iptables 1.2" "Linux Programmer's Manual" 
-.\"
-.\" $Id: libipq.3,v 1.4 2001/10/16 16:58:25 jamesm Exp $
-.\"
-.\"     Copyright (c) 2000-2001 Netfilter Core Team
-.\"
-.\"     This program is free software; you can redistribute it and/or modify
-.\"     it under the terms of the GNU General Public License as published by
-.\"     the Free Software Foundation; either version 2 of the License, or
-.\"     (at your option) any later version.
-.\"
-.\"     This program is distributed in the hope that it will be useful,
-.\"     but WITHOUT ANY WARRANTY; without even the implied warranty of
-.\"     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
-.\"     GNU General Public License for more details.
-.\"
-.\"     You should have received a copy of the GNU General Public License
-.\"     along with this program; if not, write to the Free Software
-.\"     Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
-.\"
-.\" Japanese Version Copyright (c) 2003 Susumu ISHIZUKA
-.\"         all rights reserved.
-.\" Translated Tue Jun  6 19:25:23 JST 2003
-.\"         by Susumu ISHIZUKA <szuka@isp.co.jp>
-.\"
-.\"WORD:	userspace	ユーザ空間
-.\"WORD:	verdict		判断
-.\"O .SH NAME
-.SH 名前
-libipq \- iptables userspace packet queuing library.
-.\"O .SH SYNOPSIS
-.SH 書式
-.B #include <linux/netfilter.h>
-.br
-.B #include <libipq.h>
-.\"O .SH DESCRIPTION
-.SH 説明
-.\"O libipq is a development library for iptables userspace packet queuing.
-libipq は iptables を 使って ユーザ空間でパケット操作を
-するためのライブラリである。
-.SS Userspace Packet Queuing
-.\"O Netfilter provides a mechanism for passing packets out of the stack for
-.\"O queueing to userspace, then receiving these packets back into the kernel
-.\"O with a verdict specifying what to do with the packets (such as ACCEPT
-.\"O or DROP).  These packets may also be modified in userspace prior to
-.\"O reinjection back into the kernel.
-Netfilter は、ユーザ空間でパケット操作をするための機構を 
-提供している。 この機構はプロトコルスタックからパケットを 
-ユーザ空間に渡してキューイング(queuing) し、ユーザ空間で 
-(ACCEPT や DROP といった) パケット処理の判断を行った後に
-パケットをカーネルに戻している。 これらのパケットは、 
-ユーザ空間で変更を加えられて、カーネルに返されることもある。 
-.PP
-.\"O For each supported protocol, a kernel module called a
-.\"O .I queue handler
-.\"O may register with Netfilter to perform the mechanics of passing
-.\"O packets to and from userspace.
-ユーザ空間とのパケットのやり取りのために
-.I キューハンドラー (queue handler)
-と呼ばれるカーネルモジュールが 
-Netfilter に登録されている。 
-キューハンドラーは、各プロトコルごとに 用意される。
-.PP
-.\"O The standard queue handler for IPv4 is ip_queue.  It is provided as an
-.\"O experimental module with 2.4 kernels, and uses a Netlink socket for
-.\"O kernel/userspace communication.
-IPv4 での 標準のキューハンドラーは ip_queue である。 
-2.4カーネルでは experimental モジュールとして提供され、
-Netlink ソケットを使って、カーネルとユーザ空間との通信を
-行っている。 
-.PP
-.\"O Once ip_queue is loaded, IP packets may be selected with iptables
-.\"O and queued for userspace processing via the QUEUE target.  For example,
-.\"O running the following commands:
-ip_queue が、メモリ上にロードされると IP パケットは iptables で
-フィルタリングされ QUEUE ターゲットによって ユーザ空間の 処理のために
-キューイングされる。 例として 次の一連の コマンドが発行されると、
-.PP
-	# modprobe iptable_filter
-.br	
-	# modprobe ip_queue
-.br	
-	# iptables -A OUTPUT -p icmp -j QUEUE
-.PP
-.\"O will cause any locally generated ICMP packets (e.g. ping output) to
-.\"O be sent to the ip_queue module, which will then attempt to deliver the
-.\"O packets to a userspace application.  If no userspace application is waiting,
-.\"O the packets will be dropped
-ローカルホストから送信されたICMPパケット（pingの送信など）が
-ip_queueモジュールに送られ、そこからパケットをユーザ空間の
-アプリケーションに渡そうとする。 パケットを受け取る
-アプリケーションがない場合は、パケットは破棄（drop）される。 
-.PP
-.\"O An application may receive and process these packets via libipq.
-アプリケーションは、libipq を使うことでパケットを受信・
-変更できる。 
-.PP
-.PP
-.SS Libipq Overview
-.\"O Libipq provides an API for communicating with ip_queue.  The following is
-.\"O an overview of API usage, refer to individual man pages for more details
-.\"O on each function.
-libipq は、ip_queue と通信するための API を提供する。 
-以下は、API の簡単な説明である。 関数の詳細は各 manpage を
-参照すること。 
-.\P
-.\"O .B Initialisation
-.B 初期化
-.br
-.\"O To initialise the library, call
-.\"O .BR ipq_create_handle (3).
-.\"O This will attempt to bind to the Netlink socket used by ip_queue and
-.\"O return an opaque context handle for subsequent library calls.
-初期化を行うには、
-.BR ipq_create_handle (3)
-を使用する。 
-この関数は ip_queue が使用している Netlink ソケットを bind
-し、この後のライブラリ関数が使用するコンテキストハンドルを
-返す。 
-.PP
-.\"O .B Setting the Queue Mode
-.B キューモード（queue mode）の設定
-.br
-.\"O .BR ipq_set_mode (3)
-.\"O allows the application to specify whether packet metadata, or packet
-.\"O payloads as well as metadata are copied to userspace.  It is also used to
-.\"O initially notify ip_queue that an application is ready to receive queue
-.\"O messages.
-.BR ipq_set_mode (3)
-は、ユーザ空間にパケットのメタデータだけを
-コピーするのか、パケットのメタデータとペイロードの両方を
-コピーするのか指定する。この関数はまた ip_queue に
-アプリケーションがキューメッセージ (queue message)を受け
-取る準備ができたことを通知する。 
-.PP
-.\"O .B Receiving Packets from the Queue
-.B キューからパケットを受信する
-.br
-.\"O .BR ipq_read (3)
-.\"O waits for queue messages to arrive from ip_queue and copies
-.\"O them into a supplied buffer.
-.\"O Queue messages may be
-.\"O .I packet messages
-.\"O or
-.\"O .I error messages.
-.BR ipq_read (3)
-関数は ip_queue からのキューメッセージを
-待って、バッファにコピーする。 キューメッセージは
-.I パケット メッセージ
-または
-.I エラーメッセージ
-のどちらか である。
-.PP
-.\"O The type of packet may be determined with
-.\"O .BR ipq_message_type (3).
-パケットのタイプは
-.BR ipq_message_type (3)
-で取得する。
-.PP
-.\"O If it's a packet message, the metadata and optional payload may be retrieved with
-.\"O .BR ipq_get_packet (3).
-パケットメッセージの場合は、メタデータとペイロードを
-.BR ipq_get_packet (3)
-関数で取得できる。 
-.PP
-.\"O To retrieve the value of an error message, use
-.\"O .BR ipq_get_msgerr (3).
-エラーメッセージの値を取得するには、
-.BR ipq_get_msgerr (3)
-を 使用する。
-.PP
-.\"O .B Issuing Verdicts on Packets
-.B パケットの処理内容の発行
-.br
-.\"O To issue a verdict on a packet, and optionally return a modified version
-.\"O of the packet to the kernel, call
-.\"O .BR ipq_set_verdict (3).
-パケットの処理を決定し、必要ならパケットに変更を加えて
-カーネルに返す時には、
-.BR ipq_set_verdict (3)
-を使用する。
-.PP
-.\"O .B Error Handling
-.B エラー処理
-.br
-.\"O An error string corresponding to the current value of the internal error
-.\"O variable
-.\"O .B ipq_errno
-.\"O may be obtained with
-.\"O .BR ipq_errstr (3).
-現在のエラー状態を格納している変数
-.B ipq_errno
-に対応する
-エラー文字列は
-.BR ipq_errstr (3).
-で取得できる。
-.PP
-.\"O For simple applications, calling
-.\"O .BR ipq_perror (3)
-.\"O will print the same message as
-.\"O .BR ipq_errstr (3),
-.\"O as well as the string corresponding to the global
-.\"O .B errno
-.\"O value (if set) to stderr.
-単純なアプリケーションに使える関数として、
-.BR ipq_perror (3)
-は、
-.BR ipq_errstr (3),
-で返されるのと同じ文字列を標準出力 (stderr) に
-出力する。 また、
-.B errno
-がセットされていれば
-それに対応するエラー文字列も出力する。 
-.PP
-.\"O .B Cleaning Up
-.B 後始末
-.br
-.\"O To free up the Netlink socket and destroy resources associated with
-.\"O the context handle, call
-.\"O .BR ipq_destroy_handle (3).
-Netlink ソケットを解放し、コンテキストハンドルに関連付け
-られたリソースを削除するには、
-.BR ipq_destroy_handle (3)
-関数を使用する。 
-.\"O .SH SUMMARY
-.SH まとめ
-.TP 4
-.BR ipq_create_handle (3)
-.\"O Initialise library, return context handle.
-は、ライブラリを初期化し、コンテキストハンドルを返す。
-.TP
-.BR ipq_set_mode (3)
-.\"O Set the queue mode, to copy either packet metadata, or payloads
-.\"O as well as metadata to userspace.
-は、パケットのメタデータだけをコピーするか、ペイロードも
-コピーするかの動作モードをセットする。
-.TP
-.BR ipq_read (3)
-.\"O Wait for a queue message to arrive from ip_queue and read it into
-.\"O a buffer.
-ip_queue からのメッセージを待ち、受信するとバッファに
-読み込む。
-.TP
-.BR ipq_message_type (3)
-.\"O Determine message type in the buffer.
-は、バッファされたメッセージのタイプを返す。
-.TP
-.BR ipq_get_packet (3)
-.\"O Retrieve a packet message from the buffer.
-は、バッファからメッセージを読む。
-.TP
-.BR ipq_get_msgerr (3)
-.\"O Retrieve an error message from the buffer.
-は、バッファからエラーメッセージを取得する。
-.TP
-.BR ipq_set_verdict (3)
-.\"O Set a verdict on a packet, optionally replacing its contents.
-は、パケットの判断を下す。内容を書き換えることもできる。
-.TP
-.BR ipq_errstr (3)
-.\"O Return an error message corresponding to the internal ipq_errno variable.
-は、内部変数 ipq_errno の値に応じたエラーメッセージを
-返す。
-.TP
-.BR ipq_perror (3)
-.\"O Helper function to print error messages to stderr.
-は、エラーメッセージを標準出力（stderr）に表示する
-ヘルパー関数である。
-.TP
-.BR ipq_destroy_handle (3)
-.\"O Destroy context handle and associated resources.
-は、コンテキストハンドルを破棄し、リソースを解放する。
-.\"O .SH EXAMPLE
-.SH 例
-.\"O The following is an example of a simple application which receives
-.\"O packets and issues NF_ACCEPT verdicts on each packet.
-次のコードは、パケットを受け取って NF_ACCEPT の判断を返す単純な
-アプリケーションの例である。 
-.RS
-.nf
-/*
- * This code is GPL.
- */
-#include <linux/netfilter.h>
-#include <libipq.h>
-#include <stdio.h>
-
-#define BUFSIZE 2048 
-
-static void die(struct ipq_handle *h)
-{
-	ipq_perror("passer");
-	ipq_destroy_handle(h);
-	exit(1);
-}
-
-int main(int argc, char **argv)
-{
-	int status;
-	unsigned char buf[BUFSIZE];
-	struct ipq_handle *h;
-	
-	h = ipq_create_handle(0);
-	if (!h)
-		die(h);
-		
-	status = ipq_set_mode(h, IPQ_COPY_PACKET, BUFSIZE);
-	if (status < 0)
-		die(h);
-		
-	do{
-		status = ipq_read(h, buf, BUFSIZE, 0);
-		if (status < 0)
-			die(h);
-			
-		switch (ipq_message_type(buf)) {
-			case NLMSG_ERROR:
-				fprintf(stderr, "Received error message %d\\n",
-				        ipq_get_msgerr(buf));
-				break;
-				
-			case IPQM_PACKET: {
-				ipq_packet_msg_t *m = ipq_get_packet(buf);
-				
-				status = ipq_set_verdict(h, m->packet_id,
-				                         NF_ACCEPT, 0, NULL);
-				if (status < 0)
-					die(h);
-				break;
-			}
-			
-			default:
-				fprintf(stderr, "Unknown message type!\\n");
-				break;
-		}
-	} while (1);
-	
-	ipq_destroy_handle(h);
-	return 0;
-}
-.RE
-.fi
-.PP
-.\"O Pointers to more libipq application examples may be found in The
-.\"O Netfilter FAQ.
-libipq を使ったアプリケーションの例は
-Netfilter FAQ にもある。 
-.\"O .SH DIAGNOSTICS
-.SH DIAGNOSTICS
-.\"O For information about monitoring and tuning ip_queue, refer to the
-.\"O Linux 2.4 Packet Filtering HOWTO.
-ip_queue の監視とチューニングに関しては Linux 2.4 Packet
-Filtering HOWTO を参照すること。 
-.PP
-.\"O If an application modifies a packet, it needs to also update any
-.\"O checksums for the packet.  Typically, the kernel will silently discard
-.\"O modified packets with invalid checksums. 
-アプリケーションがパケットに変更を加えた時には、関連する
-チェックサムも変更する必要がある。 変更されたパケットの
-チェックサムが異常なときにはカーネルは黙って破棄 (silently discard) する。 
-.\"O .SH SECURITY
-.SH セキュリティー
-.\"O Processes require CAP_NET_ADMIN capabilty to access the kernel ip_queue
-.\"O module.  Such processes can potentially access and modify any IP packets
-.\"O received, generated or forwarded by the kernel.
-ip_queue カーネルモジュールにアクセスするプロセスは
-CAP_NET_ADMIN 権限が必要である。 そのようなプロセスは、
-潜在的にカーネルが受信 (送信、転送) する全ての IP パケットを
-取得し変更する可能性がある。 
-.\"O .SH TODO
-.SH TODO
-.\"O Per-handle
-.\"O .B ipq_errno
-.\"O values.
-.B ipq_errno
-をハンドルごとに用意する。 
-.\"O .SH BUGS
-.SH バグ
-.\"O Probably.
-あるかもしれない。 
-.\"O .SH AUTHOR
-.SH 著者
-James Morris <jmorris@intercode.com.au>
-.\"O .SH COPYRIGHT
-.SH 著作権
-Copyright (c) 2000-2001 Netfilter Core Team.
-.PP
-Distributed under the GNU General Public License.
-.SH CREDITS
-.\"O Joost Remijn implemented the
-.\"O .B ipq_read
-.\"O timeout feature, which appeared in the 1.2.4 release of iptables.
-Joost Remijn は
-.B ipq_read
-のタイムアウトを実装した。 この機能は iptables の 1.2.4 から使用できる。 
-.\"O .SH SEE ALSO
-.SH 関連項目
-.BR iptables (8),
-.BR ipq_create_handle (3),
-.BR ipq_destroy_handle (3),
-.BR ipq_errstr (3),
-.BR ipq_get_msgerr (3),
-.BR ipq_get_packet (3),
-.BR ipq_message_type (3),
-.BR ipq_perror (3),
-.BR ipq_read (3),
-.BR ipq_set_mode (3),
-.BR ipq_set_verdict (3).
-.PP
-.\"O The Netfilter home page at http://netfilter.samba.org/
-.\"O which has links to The Networking Concepts HOWTO, The Linux 2.4 Packet
-.\"O Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO,
-.\"O The Netfilter FAQ and many other useful resources.
-Netfilter のホームページは http://netfilter.samba.org/ にある。
-The Networking Concepts HOWTO, The Linux 2.4 Packet
-Filtering HOWTO, The Linux 2.4 NAT HOWTO, The Netfilter Hacking HOWTO,
-The Netfilter FAQ などの有益な 情報がある。 
diff --git a/draft/man8/ip6tables-restore.8 b/draft/man8/ip6tables-restore.8
index ac450d1..1bba811 100644
--- a/draft/man8/ip6tables-restore.8
+++ b/draft/man8/ip6tables-restore.8
@@ -1,4 +1,9 @@
-.TH IP6TABLES-RESTORE 8 "Jan 30, 2002" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IP6TABLES\-RESTORE 8 "Jan 30, 2002" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,60 +22,31 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\"         all rights reserved.
-.\" Translated Thu May  1 16:13:34 JST 2003
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
 .\"
-.\"O .SH NAME
 .SH 名前
-.\"O ip6tables-restore \- Restore IPv6 Tables
-ip6tables-restore \- IPv6 テーブルを復元する
-.\"O .SH SYNOPSIS
+ip6tables\-restore \- IPv6 テーブルを復元する
 .SH 書式
-.BR "ip6tables-restore " "[-c] [-n]"
+\fBip6tables\-restore \fP[\-c] [\-n]
 .br
-.\"O .SH DESCRIPTION
 .SH 説明
 .PP
-.\"O .B ip6tables-restore
-.\"O is used to restore IPv6 Tables from data specified on STDIN. Use 
-.\"O I/O redirection provided by your shell to read from a file
-.B ip6tables-restore
-は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。
-ファイルから読み込むためには、
+\fBip6tables\-restore\fP は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。 ファイルから読み込むためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-.\"O restore the values of all packet and byte counters
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-n\fR, \fB\-\-noflush\fR 
-.\"O .TP
-.\"O don't flush the previous contents of the table. If not specified, 
-.\"O .B ip6tables-restore
-.\"O flushes (deletes) all previous contents of the respective IPv6 Table.
-これまでのテーブルの内容をフラッシュしない。
-指定されない場合、
-.B ip6tables-restore
-は、これまでの各 IPv6 テーブルの内容を全てフラッシュ (削除) する。
-.\"O .SH BUGS
+.TP 
+\fB\-n\fP, \fB\-\-noflush\fP 
+これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBip6tables\-restore\fP は、これまでの各 IPv6
+テーブルの内容を全てフラッシュ (削除) する。
 .SH バグ
-.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 リリースでは知られていない。
-.\"O .SH AUTHORS
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .br
-Andras Kis-Szabo <kisza@sch.bme.hu>
-.\"O .SH SEE ALSO
+Andras Kis\-Szabo <kisza@sch.bme.hu>
 .SH 関連項目
-.BR ip6tables-save "(8), " ip6tables "(8) "
+\fBip6tables\-save\fP(8), \fBip6tables\fP(8)
 .PP
-.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
-.\"O internals.
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/draft/man8/ip6tables-save.8 b/draft/man8/ip6tables-save.8
index f871ac4..2b68554 100644
--- a/draft/man8/ip6tables-save.8
+++ b/draft/man8/ip6tables-save.8
@@ -1,4 +1,9 @@
-.TH IP6TABLES-SAVE 8 "Jan 30, 2002" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IP6TABLES\-SAVE 8 "Jan 30, 2002" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,58 +22,30 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Thu May  1 17:36:08 JST 2003
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
 .\"
-.\"O .SH NAME
 .SH 名前
-.\"O ip6tables-save \- Save IPv6 Tables
-ip6tables-save \- IPv6 テーブルを保存する
-.\"O .SH SYNOPSIS
+ip6tables\-save \- IPv6 テーブルを保存する
 .SH 書式
-.BR "ip6tables-save " "[-c] [-t table]"
+\fBip6tables\-save \fP[\-c] [\-t table]
 .br
-.\"O .SH DESCRIPTION
 .SH 説明
 .PP
-.\"O .B ip6tables-save
-.\"O is used to dump the contents of an IPv6 Table in easily parseable format
-.\"O to STDOUT. Use I/O-redirection provided by your shell to write to a file.
-.B ip6tables-save
-は IPv6 テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。
-ファイルに書き出すためには、
-シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-.\"O include the current values of all packet and byte counters in the output
+\fBip6tables\-save\fP は IPv6 テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。
+ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-.\"O .TP
-.\"O restrict output to only one table. If not specified, output includes all
-.\"O available tables.
-出力を 1 つのテーブルのみに制限する。
-指定されない場合、得られた全てのテーブルを出力する。
-.\"O .SH BUGS
+.TP 
+\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP
+出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
 .SH バグ
-.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 リリースでは知られていない。
-.\"O .SH AUTHORS
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .br
-Andras Kis-Szabo <kisza@sch.bme.hu>
-.\"O .SH SEE ALSO
+Andras Kis\-Szabo <kisza@sch.bme.hu>
 .SH 関連項目
-.BR ip6tables-restore "(8), " ip6tables "(8) "
+\fBip6tables\-restore\fP(8), \fBip6tables\fP(8)
 .PP
-.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
-.\"O internals.
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/draft/man8/ip6tables.8 b/draft/man8/ip6tables.8
index b1e2ad7..15026c4 100644
--- a/draft/man8/ip6tables.8
+++ b/draft/man8/ip6tables.8
@@ -1,3 +1,8 @@
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
 .TH IP6TABLES 8 "Mar 09, 2002" "" ""
 .\"
 .\" Man page written by Andras Kis-Szabo <kisza@sch.bme.hu>
@@ -24,1484 +29,603 @@
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
 .\"
-.\" Japanese Version Copyright (c) 2001-2004 Yuichi SATO
-.\"         all right reserved.
-.\" Translated Sat Dec  1 06:32:08 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified Sun Feb  8 14:05:26 JST 2004
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
-.\"
-.\"WORD:	chain		チェイン
-.\"WORD:	built-in chain	組み込み済みチェイン
-.\"WORD:	non-terminating target  非終了ターゲット
-.\"
-.\"O .SH NAME
 .SH 名前
-.\"O ip6tables \- IPv6 packet filter administration
 ip6tables \- IPv6 パケットフィルタを管理する
-.\"O .SH SYNOPSIS
 .SH 書式
-.\"O .BR "ip6tables [-t table] -[AD] " "chain rule-specification [options]"
-.BR "ip6tables [-t テーブル] -[AD] " "チェイン ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-[AD] \fPチェイン ルールの詳細 [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -I " "chain [rulenum] rule-specification [options]"
-.BR "ip6tables [-t テーブル] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -R " "chain rulenum rule-specification [options]"
-.BR "ip6tables [-t テーブル] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-R \fPチェイン ルール番号 ルールの詳細 [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -D " "chain rulenum [options]"
-.BR "ip6tables [-t テーブル] -D " "チェイン ルール番号 [オプション]"
+\fBip6tables [\-t テーブル] \-D \fPチェイン ルール番号 [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -[LFZ] " "[chain] [options]"
-.BR "ip6tables [-t テーブル] -[LFZ] " "[チェイン] [オプション]"
+\fBip6tables [\-t テーブル] \-[LFZ] \fP[チェイン] [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -N " "chain"
-.BR "ip6tables [-t テーブル] -N " "チェイン"
+\fBip6tables [\-t テーブル] \-N \fPチェイン
 .br
-.\"O .BR "ip6tables [-t table] -X " "[chain]"
-.BR "ip6tables [-t テーブル] -X " "[チェイン]"
+\fBip6tables [\-t テーブル] \-X \fP[チェイン]
 .br
-.\"O .BR "ip6tables [-t table] -P " "chain target [options]"
-.BR "ip6tables [-t テーブル] -P " "チェイン ターゲット [オプション]"
+\fBip6tables [\-t テーブル] \-P \fPチェイン ターゲット [オプション]
 .br
-.\"O .BR "ip6tables [-t table] -E " "old-chain-name new-chain-name"
-.BR "ip6tables  [-t テーブル] -E " "旧チェイン名 新チェイン名"
-.\"O .SH DESCRIPTION
+\fBip6tables [\-t テーブル] \-E \fP旧チェイン名 新チェイン名
 .SH 説明
-.\"O .B Ip6tables
-.\"O is used to set up, maintain, and inspect the tables of IPv6 packet
-.\"O filter rules in the Linux kernel.  Several different tables
-.\"O may be defined.  Each table contains a number of built-in
-.\"O chains and may also contain user-defined chains.
-.B ip6tables
-は Linux カーネルの IPv6 パケットフィルタルールのテーブルを
-設定・管理・検査するために使われる。
-複数の異なるテーブルが定義される可能性がある。
-各テーブルは組み込み済みチェインを含む。
-さらにユーザー定義のチェインを含むこともできる。
+\fBip6tables\fP は Linux カーネルの IPv6 パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。
+複数の異なるテーブルが定義される可能性がある。 各テーブルは組み込み済みチェインを含む。 さらにユーザー定義のチェインを含むこともできる。
 
-.\"O Each chain is a list of rules which can match a set of packets.  Each
-.\"O rule specifies what to do with a packet that matches.  This is called
-.\"O a `target', which may be a jump to a user-defined chain in the same
-.\"O table.
-各チェインは、パケット群にマッチするルールのリストである。
-各ルールはマッチしたパケットに対して何をするかを指定する。
-これは「ターゲット」と呼ばれ、
-同じテーブル内のユーザー定義チェインにジャンプすることもある。
+各チェインは、パケット群にマッチするルールのリストである。 各ルールは
+マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と
+呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
 
-.\"O .SH TARGETS
 .SH ターゲット
-.\"O A firewall rule specifies criteria for a packet, and a target.  If the
-.\"O packet does not match, the next rule in the chain is the examined; if
-.\"O it does match, then the next rule is specified by the value of the
-.\"O target, which can be the name of a user-defined chain or one of the
-.\"O special values 
-.\"O .IR ACCEPT ,
-.\"O .IR DROP ,
-.\"O .IR QUEUE ,
-.\"O or
-.\"O .IR RETURN .
 ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
 パケットがマッチしない場合、チェイン内の次のルールが評価される。
-パケットがマッチした場合、
-ターゲットの値によって次のルールが指定される。
+パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。
 ターゲットの値は、ユーザー定義チェインの名前、または特別な値
-.IR ACCEPT ,
-.IR DROP ,
-.IR QUEUE ,
-.I RETURN
-のうちの 1 つである。
+\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。
 .PP
-.\"O .I ACCEPT 
-.\"O means to let the packet through.
-.I ACCEPT 
-はパケットを通すという意味である。
-.\"O .I DROP
-.\"O means to drop the packet on the floor.
-.I DROP
-はパケットを床に落す (捨てる) という意味である。
-.\"O .I QUEUE
-.\"O means to pass the packet to userspace (if supported by the kernel).
-.I QUEUE
-はパケットをユーザー空間に渡すという意味である
+\fIACCEPT\fP はパケットを通すという意味である。
+\fIDROP\fP はパケットを床に落す (捨てる) という意味である。
+\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である
 (カーネルがサポートしていればであるが)。
-.\"O .I RETURN
-.\"O means stop traversing this chain and resume at the next rule in the
-.\"O previous (calling) chain.  If the end of a built-in chain is reached
-.\"O or a rule in a built-in chain with target
-.\"O .I RETURN
-.\"O is matched, the target specified by the chain policy determines the
-.\"O fate of the packet.
-.I RETURN
-は、このチェインを検討することを中止して、
-前の (呼び出し側) チェインの次のルールで停止するという意味である。
-組み込み済みチェインの最後に到達した場合、
-またはターゲット
-.I RETURN
-が含まれている組み込み済みチェインのルールにマッチした場合、
-チェインポリシーで指定されたターゲットが
-パケットの行方を決定する。
-.\"O .SH TABLES
+\fIRETURN\fP は、このチェインを辿るのを中止して、
+前の (呼び出し元) チェインの次のルールから再開するという意味である。
+組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで
+ターゲット \fIRETURN\fP を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが パケットの行方を決定する。
 .SH テーブル
-.\"O There are currently two independent tables (which tables are present
-.\"O at any time depends on the kernel configuration options and which
-.\"O modules are present), as nat table has not been implemented yet.
-現在のところ 2 つの独立なテーブルが存在する
-(どのテーブルがどの時点で現れるかは、
-カーネルの設定やどういったモジュールが存在するかに依存する)。
+現在のところ 2 つの独立なテーブルが存在する (どのテーブルがどの時点で現れるかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
 nat テーブルは、まだ実装されていない。
-.TP
-.BI "-t, --table " "table"
-.\"O This option specifies the packet matching table which the command
-.\"O should operate on.  If the kernel is configured with automatic module
-.\"O loading, an attempt will be made to load the appropriate module for
-.\"O that table if it is not already there.
-このオプションは、どのコマンドを適用すべきかを決定するための
-パケットマッチングテーブルを指定する。
-カーネルに自動モジュールローディングが設定されている場合、
-あるテーブルに対して適切なモジュールがまだロードされていなければ、
-そのモジュールのロードを行う。
+.TP 
+\fB\-t, \-\-table \fP\fItable\fP
+このオプションは、このコマンドが操作するパケットマッチングテーブルを
+指定する。 カーネルに自動モジュールローディングが設定されている場合、
+そのテーブルに対する適切なモジュールがまだロードされていなければ、
+そのモジュールがロードされる。
 
-.\"O The tables are as follows:
 テーブルは以下の通りである。
 .RS
-.TP .4i
-.BR "filter" :
-.\"O This is the default table (if no -t option is passed).  It contains
-.\"O the built-in chains
-.\"O .B INPUT
-.\"O (for packets coming into the box itself),
-.\"O .B FORWARD
-.\"O (for packets being routed through the box), and
-.\"O .B OUTPUT
-.\"O (for locally-generated packets).
-(-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
-これには
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B OUTPUT
-(ローカルマシンで生成されたパケットに対するチェイン)
-という組み込み済みチェインが含まれる。
-.TP
-.BR "mangle" :
-.\"O This table is used for specialized packet alteration.  Until kernel
-.\"O 2.4.17 it had two built-in chains:
-.\"O .B PREROUTING
-.\"O (for altering incoming packets before routing) and
-.\"O .B OUTPUT
-.\"O (for altering locally-generated packets before routing).
-このテーブルは特別なパケット変換に使われる。
-カーネル 2.4.17 までは、
-.B PREROUTING
-(パケットが入ってきた場合、
-すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットを
-ルーティングの前に変換するためのチェイン)
-という 2 つの組み込み済みチェインが含まれていた。
-.\"O Since kernel 2.4.18, three other built-in chains are also supported:
-.\"O .B INPUT
-.\"O (for packets coming into the box itself),
-.\"O .B FORWARD
-.\"O (for altering packets being routed through the box), and
-.\"O .B POSTROUTING
-.\"O (for altering packets as they are about to go out).
-カーネル 2.4.18 からは、これらの他に
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)・
-という 3 つの組み込み済みチェインもサポートされる。
+.TP  .4i
+\fBfilter\fP:
+(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・
+\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・
+\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という
+組み込み済みチェインが含まれる。
+.TP 
+\fBmangle\fP:
+このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、
+\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する
+ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン
+グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま
+れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に
+入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ
+トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する
+ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。
 .RE
-.\"O .SH OPTIONS
 .SH オプション
-.\"O The options that are recognized by
-.\"O .B ip6tables
-.\"O can be divided into several different groups.
-.B ip6tables
-で使えるオプションは、いくつかのグループに分けられる。
-.\"O .SS COMMANDS
+\fBip6tables\fP で使えるオプションは、いくつかのグループに分けられる。
 .SS コマンド
-.\"O These options specify the specific action to perform.  Only one of them
-.\"O can be specified on the command line unless otherwise specified
-.\"O below.  For all the long versions of the command and option names, you
-.\"O need to use only enough letters to ensure that
-.\"O .B ip6tables
-.\"O can differentiate it from all other options.
-これらのオプションは、実行する特定の動作を指定する。
-以下の説明で許可されていない限り、
-この中の 1 つしかコマンドラインで指定することができない。
-長いバージョンのコマンド名とオプション名は、
-.B ip6tables
-が他のコマンド名やオプション名と区別できる範囲で
-(文字を省略して) 指定することもできる。
-.TP
-.BI "-A, --append " "chain rule-specification"
-.\"O Append one or more rules to the end of the selected chain.
-.\"O When the source and/or destination names resolve to more than one
-.\"O address, a rule will be added for each possible address combination.
+これらのオプションは、実行する特定の動作を指定する。 以下の説明で許可されていない限り、 この中の 1 つしかコマンドラインで指定することができない。
+長いバージョンのコマンド名とオプション名は、 \fBip6tables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して)
+指定することもできる。
+.TP 
+\fB\-A, \-\-append \fP\fIchain rule\-specification\fP
 選択されたチェインの最後に 1 つ以上のルールを追加する。
-送信元や送信先の名前が 1 つ以上のアドレスに対応している場合、
-可能なアドレスの組合せのそれぞれについてルールが追加される。
-.TP
-.BI "-D, --delete " "chain rule-specification"
+送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された
+場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP
 .ns
-.TP
-.BI "-D, --delete " "chain rulenum"
-.\"O Delete one or more rules from the selected chain.  There are two
-.\"O versions of this command: the rule can be specified as a number in the
-.\"O chain (starting at 1 for the first rule) or a rule to match.
-選択されたチェインから 1 つ以上のルールを削除する。
-このコマンドには 2 つの使い方がある:
-チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
-マッチするルールを指定する場合である。
-.TP
-.B "-I, --insert"
-.\"O Insert one or more rules in the selected chain as the given rule
-.\"O number.  So, if the rule number is 1, the rule or rules are inserted
-.\"O at the head of the chain.  This is also the default if no rule number
-.\"O is specified.
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
-ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rulenum\fP
+選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
+を指定する場合と、 マッチするルールを指定する場合である。
+.TP 
+\fB\-I, \-\-insert\fP
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
 これはルール番号が指定されない場合のデフォルトでもある。
-.TP
-.BI "-R, --replace " "chain rulenum rule-specification"
-.\"O Replace a rule in the selected chain.  If the source and/or
-.\"O destination names resolve to multiple addresses, the command will
-.\"O fail.  Rules are numbered starting at 1.
+.TP 
+\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP
 選択されたチェインにあるルールを置き換える。
-送信元や送信先の名前が 1 つ以上のアドレスに対応している場合は失敗する。
-ルールには 1 から始まる番号が付けられている。
-.TP
-.BR "-L, --list " "[\fIchain\fP]"
-.\"O List all rules in the selected chain.  If no chain is selected, all
-.\"O chains are listed.  As every other iptables command, it applies to the
-.\"O specified table (filter is the default), so mangle rules get listed by
-選択されたチェインにある全てのルールを一覧表示する。
-チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
-他の各 iptables コマンドと同様に、
-指定されたテーブル (デフォルトは filter) に対して作用する。
-よって mangle ルールを表示するには以下のようにする。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+このコマンドは失敗する。ルール番号は 1 からはじまる。
+.TP 
+\fB\-L, \-\-list \fP[\fIchain\fP]
+選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables
+コマンドと同様に、 指定されたテーブル (デフォルトは filter) に対して作用する。 よって mangle ルールを表示するには以下のようにする。
 .nf
- ip6tables -t mangle -n -L
+ ip6tables \-t mangle \-n \-L
 .fi
-.\"O Please note that it is often used with the
-.\"O .B -n
-.\"O option, in order to avoid long reverse DNS lookups.
-DNS の逆引きを避けるために、よく
-.B -n
-オプションと共に使用される。
-.\"O It is legal to specify the
-.\"O chains are listed.  It is legal to specify the
-.\"O .B -Z
-.\"O (zero) option as well, in which case the chain(s) will be atomically
-.\"O listed and zeroed.  The exact output is affected by the other
-.\"O arguments given. The exact rules are suppressed until you use
-.B -Z
-(ゼロ化) オプションを同時に指定することもできる。
-この場合、チェインは要素毎にリストされて、
-(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
-どのように出力するかは、与えられる他の引き数に影響される。
+DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。
+\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、
+チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト
+カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に
+影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、
+実際のルールそのものは表示されない。
 .nf
- ip6tables -L -v
+ ip6tables \-L \-v
 .fi
-を使わない限り、(訳註: -v オプションを指定しない限り)
-実際のルールそのものは表示されない。
-.TP
-.BR "-F, --flush " "[\fIchain\fP]"
-.\"O Flush the selected chain (all the chains in the table if none is given).
-.\"O This is equivalent to deleting all the rules one by one.
-選択されたチェイン
-(何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。
-これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-.BR "-Z, --zero " "[\fIchain\fP]"
-.\"O Zero the packet and byte counters in all chains.  It is legal to
-.\"O specify the
-.\"O .B "-L, --list"
-.\"O (list) option as well, to see the counters immediately before they are
-.\"O cleared. (See above.)
-すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
-クリアされる直前のカウンタを見るために、
-.B "-L, --list"
-(一覧表示) オプションと同時に指定することもできる (上記を参照)。
-.TP
-.BI "-N, --new-chain " "chain"
-.\"O Create a new user-defined chain by the given name.  There must be no
-.\"O target of that name already.
-指定した名前でユーザー定義チェインを作成する。
-同じ名前のターゲットが既に存在してはならない。
-.TP
-.BR "-X, --delete-chain " "[\fIchain\fP]"
-.\"O Delete the optional user-defined chain specified.  There must be no references
-.\"O to the chain.  If there are, you must delete or replace the referring
-.\"O rules before the chain can be deleted.  If no argument is given, it
-.\"O will attempt to delete every non-builtin chain in the table.
-オプションのユーザー定義チェインを削除する。
-そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを
-削除するか置き換えるかしなければならない。
-引き数が与えられない場合、テーブルにあるチェインのうち
-組み込み済みチェインでないものを全て削除する。
-.TP
-.BI "-P, --policy " "chain target"
-.\"O Set the policy for the chain to the given target.  See the section
-.\"O .B TARGETS
-.\"O for the legal targets.  Only built-in (non-user-defined) chains can have
-.\"O policies, and neither built-in nor user-defined chains can be policy
-.\"O targets.
-チェインのポリシーを、指定したターゲットに設定する。
-指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
-(ユーザー定義ではない) 組み込み済みチェインにしかポリシーは設定できない。
-また、組み込み済みチェインもユーザー定義チェインも
-ポリシーのターゲットに設定することはできない。
-.TP
-.BI "-E, --rename-chain " "old-chain new-chain"
-.\"O Rename the user specified chain to the user supplied name.  This is
-.\"O cosmetic, and has no effect on the structure of the table.
-ユーザー定義チェインを指定した名前に変更する。
-これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-.B -h
-.\"O Help.
-.\"O Give a (currently very brief) description of the command syntax.
-ヘルプ。
-(今のところはとても簡単な) コマンド書式の説明を表示する。
-.\"O .SS PARAMETERS
+.TP 
+\fB\-F, \-\-flush \fP[\fIchain\fP]
+選択されたチェイン (何も指定されなければテーブル内の全てのチェイン)
+の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと
+同じである。
+.TP 
+\fB\-Z, \-\-zero \fP[\fIchain\fP]
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示)
+オプションと同時に指定することもできる (上記を参照)。
+.TP 
+\fB\-N, \-\-new\-chain \fP\fIchain\fP
+指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。
+.TP 
+\fB\-X, \-\-delete\-chain \fP[\fIchain\fP]
+指定したユーザー定義チェインを削除する。 そのチェインが参照されていては
+ならない。 チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー
+ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。
+.TP 
+\fB\-P, \-\-policy \fP\fIchain target\fP
+チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット
+は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み
+済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも
+ユーザー定義チェインも ポリシーのターゲットに設定することはできない。
+.TP 
+\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP
+ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
+.TP 
+\fB\-h\fP
+ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
 .SS パラメータ
-.\"O The following parameters make up a rule specification (as used in the
-.\"O add, delete, insert, replace and append commands).
-以下のパラメータは (add, delete, insert, 
-replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-.BR "-p, --protocol " "[!] \fIprotocol\fP"
-.\"O The protocol of the rule or of the packet to check.
-.\"O The specified protocol can be one of
-.\"O .IR tcp ,
-.\"O .IR udp ,
-.\"O .IR ipv6-icmp|icmpv6 ,
-.\"O or
-.\"O .IR all ,
-.\"O or it can be a numeric value, representing one of these protocols or a
-.\"O different one.  A protocol name from /etc/protocols is also allowed.
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
-指定できるプロトコルは、
-.IR tcp ,
-.IR udp ,
-.IR ipv6-icmp|icmpv6 ,
-.I all
-のいずれか 1 つか、数値である。
-数値は、これらのプロトコルの 1 つ、もしくは別のプロトコルを表す。
-/etc/protocols にあるプロトコル名も指定できる。
-.\"O A "!" argument before the protocol inverts the
-.\"O test.  The number zero is equivalent to
-.\"O .IR all .
-.\"O Protocol
-.\"O .I all
-.\"O will match with all protocols and is taken as default when this
-.\"O option is omitted.
-プロトコルの前に "!" を置くと、そのプロトコルを指定しないという意味になる。
-数値 0 は
-.I all
-と等しい。
-プロトコル
-.I all
-は全てのプロトコルとマッチし、
+以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
+.TP 
+\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP,
+\fIipv6\-icmp|icmpv6\fP, \fIall\fP のいずれか 1 つか、数値である。 数値は、これらのプロトコルの 1
+つ、もしくは別のプロトコルを表す。 /etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!"
+を置くと、そのプロトコルを指定しないという意味になる。 数値 0 は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、
 このオプションが省略された際のデフォルトである。
-.TP
-.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Source specification.
-.\"O .I Address
-.\"O can be either a hostname (please note that specifying
-.\"O any name to be resolved with a remote query such as DNS is a really bad idea),
-.\"O a network IPv6 address (with /mask), or a plain IPv6 address.
-.\"O (the network name isn't supported now).
-送信元の指定。
-.I address
-はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは
-非常に良くない)・
-ネットワーク IPv6 アドレス (/mask を指定する)・
-通常の IPv6 アドレス
-(今のところ、ネットワーク名はサポートされていない)、のいずれかである。
-.\"O The
-.\"O .I mask
-.\"O can be either a network mask or a plain number,
-.\"O specifying the number of 1's at the left side of the network mask.
-.I mask
-はネットワークマスクか、
-ネットワークマスクの左側にある 1 の数を指定する数値である。
-.\"O Thus, a mask of
-.\"O .I 64
-.\"O is equivalent to
-.\"O .IR ffff:ffff:ffff:ffff:0000:0000:0000:0000 .
-つまり、
-.I 64
-という mask は
-.I ffff:ffff:ffff:ffff:0000:0000:0000:0000
-に等しい。
-.\"O A "!" argument before the address specification inverts the sense of
-.\"O the address. The flag
-.\"O .B --src
-.\"O is an alias for this option.
-アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
-フラグ
-.B --src
-は、このオプションの別名である。
-.TP
-.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Destination specification. 
-.\"O See the description of the
-.\"O .B -s
-.\"O (source) flag for a detailed description of the syntax.  The flag
-.\"O .B --dst
-.\"O is an alias for this option.
-送信先の指定。
-書式の詳しい説明については、
-.B -s
-(送信元) フラグの説明を参照すること。
-フラグ
-.B --dst
+.TP 
+\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP]
+送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは 非常に良くない)・ ネットワーク
+IPv6 アドレス (/mask を指定する)・ 通常の IPv6 アドレス (今のところ、ネットワーク名はサポートされていない)、のいずれかである。
+\fImask\fP はネットワークマスクか、 ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI64\fP という mask は
+\fIffff:ffff:ffff:ffff:0000:0000:0000:0000\fP に等しい。 アドレス指定の前に "!"
+を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。
+.TP 
+\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP]
+送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
 は、このオプションの別名である。
-.TP
-.BI "-j, --jump " "target"
-.\"O This specifies the target of the rule; i.e., what to do if the packet
-.\"O matches it.  The target can be a user-defined chain (other than the
-.\"O one this rule is in), one of the special builtin targets which decide
-.\"O the fate of the packet immediately, or an extension (see
-.\"O .B EXTENSIONS
-.\"O below).  If this
-.\"O option is omitted in a rule, then matching the rule will have no
-.\"O effect on the packet's fate, but the counters on the rule will be
-.\"O incremented.
-ルールのターゲット、つまり、
-パケットがマッチした場合にどうするかを指定する。
-ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、
-パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
-拡張されたターゲット (以下の
-.RB 「 ターゲットの拡張 」
-を参照) でもよい。
-このオプションがルールの中で省略された場合、
-ルールにマッチしてもパケットの行方に何も影響しないが、
-ルールのカウンタは 1 つ加算される。
-.TP
-.BR "-i, --in-interface " "[!] \fIname\fP"
-.\"O Name of an interface via which a packet is going to be received (only for
-.\"O packets entering the 
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B PREROUTING
-.\"O chains).  
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインのみに入る) パケットを受信するインターフェース名。
-.\"O When the "!" argument is used before the interface name, the
-.\"O sense is inverted.  If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match.  If this option is
-.\"O omitted, any interface name will match.
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-j, \-\-jump \fP\fItarget\fP
+ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定
+する。ターゲットはユーザー定義チェイン (そのルール自身が入っている
+チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み
+ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を
+参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに
+マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ
+加算される。
+.TP 
+\fB\-i, \-\-in\-interface \fP[!] \fIname\fP
+パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP,
+\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に
+"!" を置くと、 そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意の
+インターフェース名にマッチする。このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.BR "-o, --out-interface " "[!] \fIname\fP"
-.\"O Name of an interface via which a packet is going to be sent (for packets
-.\"O entering the
-.\"O .BR FORWARD 
-.\"O and
-.\"O .B OUTPUT
-.\"O chains).  
-.RB ( FORWARD ,
-.B OUTPUT
-チェインに入る) パケットを送信するインターフェース名。
-.\"O When the "!" argument is used before the interface name, the
-.\"O sense is inverted.  If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match.  If this option is
-.\"O omitted, any interface name will match.
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
-任意のインターフェース名にマッチする。
-.TP
-.\"O .\" Currently not supported (header-based)
-.\" (ヘッダに基づくものは) 今のところサポートされていない。
-.\" 
+.TP 
+\fB\-o, \-\-out\-interface \fP[!] \fIname\fP
+(\fBFORWARD\fP, \fBOUTPUT\fP チェインに入る) パケットを送信するインターフェース名。 インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。
+.TP 
+.\" Currently not supported (header-based)
 .\" .B "[!] " "-f, --fragment"
-.\"O .\" This means that the rule only refers to second and further fragments
-.\"O .\" of fragmented packets.  Since there is no way to tell the source or
-.\"O .\" destination ports of such a packet (or ICMP type), such a packet will
-.\"O .\" not match any rules which specify them.  When the "!" argument
-.\"O .\" precedes the "-f" flag, the rule will only match head fragments, or
-.\"O .\" unfragmented packets.
-.\" このオプションは、分割されたパケット (fragmented packet) のうち
-.\" 2 番目以降のパケットだけを参照するルールであることを意味している。
-.\" このようなパケット (または ICMP タイプのパケット) は
-.\" 送信元・送信先ポートを知る方法がないので、
-.\" 送信元や送信先を指定するようなルールにはマッチしない。
-.\" "-f" フラグの前に "!" を置くと、
-.\" 分割されたパケットのうち最初のものか、
-.\" 分割されていないパケットだけにマッチする。
+.\" This means that the rule only refers to second and further fragments
+.\" of fragmented packets.  Since there is no way to tell the source or
+.\" destination ports of such a packet (or ICMP type), such a packet will
+.\" not match any rules which specify them.  When the "!" argument
+.\" precedes the "-f" flag, the rule will only match head fragments, or
+.\" unfragmented packets.
 .\" .TP
-.B "-c, --set-counters " "PKTS BYTES"
-.\"O This enables the administrater to initialize the packet and byte
-.\"O counters of a rule (during
-.\"O .B INSERT,
-.\"O .B APPEND,
-.\"O .B REPLACE
-.\"O operations)
-このオプションを使うと、
-.RB ( insert ,
-.BR append ,
-.B replace
-操作において) 管理者はパケットカウンタとバイトカウンタを
+\fB\-c, \-\-set\-counters  PKTS BYTES\fP
+このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
 初期化することができる。
-.\"O .SS "OTHER OPTIONS"
 .SS その他のオプション
-.\"O The following additional options can be specified:
 その他に以下のオプションを指定することができる:
-.TP
-.B "-v, --verbose"
-.\"O Verbose output.  This option makes the list command show the interface
-.\"O name, the rule options (if any), and the TOS masks.  The packet and
-.\"O byte counters are also listed, with the suffix 'K', 'M' or 'G' for
-.\"O 1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see
-.\"O the
-.\"O .B -x
-.\"O flag to change this).
-.\"O For appending, insertion, deletion and replacement, this causes
-.\"O detailed information on the rule or rules to be printed.
-詳細な出力を行う。
-list コマンドの際に、インターフェース名・
-(もしあれば) ルールのオプション・TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。
-添字 'K', 'M', 'G' は、
-それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
-(これを変更する
-.B -x
-フラグも見よ)。
-このオプションを append, insert, delete, replace コマンドに適用すると、
-ルールについての詳細な情報を表示する。
-.TP
-.B "-n, --numeric"
-.\"O Numeric output.
-.\"O IP addresses and port numbers will be printed in numeric format.
-.\"O By default, the program will try to display them as host names,
-.\"O network names, or services (whenever applicable).
-数値による出力を行う。
-IP アドレスやポート番号を数値によるフォーマットで表示する。
-デフォルトでは、このプログラムは (可能であれば) これらの情報を
+.TP 
+\fB\-v, \-\-verbose\fP
+詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
+倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
+コマンドに適用すると、 ルールについての詳細な情報を表示する。
+.TP 
+\fB\-n, \-\-numeric\fP
+数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット
+で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を
 ホスト名・ネットワーク名・サービス名で表示しようとする。
-.TP
-.B "-x, --exact"
-.\"O Expand numbers.
-.\"O Display the exact value of the packet and byte counters,
-.\"O instead of only the rounded number in K's (multiples of 1000)
-.\"O M's (multiples of 1000K) or G's (multiples of 1000M).  This option is
-.\"O only relevant for the 
-.\"O .B -L
-.\"O command.
-厳密な数値で表示する。
-パケットカウンタとバイトカウンタを、
-K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
-厳密な値で表示する。
-このオプションは、
-.B -L
-コマンドとしか関係しない。
-.TP
-.B "--line-numbers"
-.\"O When listing rules, add line numbers to the beginning of each rule,
-.\"O corresponding to that rule's position in the chain.
-ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
-行番号を各行の始めに付加する。
-.TP
-.B "--modprobe=command"
-.\"O When adding or inserting rules into a chain, use
-.\"O .B command
-.\"O to load any necessary modules (targets, match extensions, etc).
-チェインにルールを追加または挿入する際に、
-(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
-.B command
+.TP 
+\fB\-x, \-\-exact\fP
+厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
+ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。
+.TP 
+\fB\-\-line\-numbers\fP
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。
+.TP 
+\fB\-\-modprobe=command\fP
+チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP
 を指定する。
-.\"O .SH MATCH EXTENSIONS
 .SH マッチングの拡張
-.\"O ip6tables can use extended packet matching modules.  These are loaded
-.\"O in two ways: implicitly, when
-.\"O .B -p
-.\"O or
-.\"O .B --protocol
-.\"O is specified, or with the
-.\"O .B -m
-.\"O or
-.\"O .B --match
-.\"O options, followed by the matching module name; 
-ip6tables は拡張されたパケットマッチングモジュールを使うことができる。
-これらのモジュールは 2 種類の方法でロードされる:
-モジュールは、
-.B -p
-または
-.B --protocol
-で暗黙のうちに指定されるか、
-.B -m
-または
-.B --match
-の後にモジュール名を続けて指定される。
-.\"O after these, various
-.\"O extra command line options become available, depending on the specific
-.\"O module.  You can specify multiple extended match modules in one line,
-.\"O and you can use the
-.\"O .B -h
-.\"O or
-.\"O .B --help
-.\"O options after the module has been specified to receive help specific
-.\"O to that module.
-これらのモジュールの後ろには、モジュールに応じて
-他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを 1 行で指定することができる。
-また、モジュールに特有のヘルプを表示させるためには、
-モジュールを指定した後で
-.B -h
-または
-.B --help
-を指定すればよい。
+ip6tables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、
+\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP
+の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを 1 行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で
+\fB\-h\fP または \fB\-\-help\fP を指定すればよい。
 
-.\"O The following are included in the base package, and most of these can
-.\"O be preceded by a
-.\"O .B !
-.\"O to invert the sense of the match.
-以下の拡張がベースパッケージに含まれている。
-大部分のものは、マッチングの意味を逆にするために
-.B !
-を前におくことができる。
+以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を
+前におくことによってマッチングの意味を逆にできる。
 .SS tcp
-.\"O These extensions are loaded if `--protocol tcp' is specified. It
-.\"O provides the following options:
-これらの拡張は `--protocol tcp' が指定され場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Source port or port range specification. This can either be a service
-.\"O name or a port number. An inclusive range can also be specified,
-.\"O using the format
-.\"O .IR port : port .
-送信元ポートまたはポート範囲の指定。
-サービス名またはポート番号を指定できる。
-.IR port : port
-という形式で、2 つの番号を含む範囲を指定することもできる。
-.\"O If the first port is omitted, "0" is assumed; if the last is omitted,
-.\"O "65535" is assumed.
-.\"O If the second port greater then the first they will be swapped.
-.\"O The flag
-.\"O .B --sport
-.\"O is a convenient alias for this option.
-最初のポートを省略した場合、"0" を仮定する。
-最後のポートを省略した場合、"65535" を仮定する。
-最後のポートが最初のポートより大きい場合、2 つは入れ換えられる。
-フラグ
-.B --sport
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Destination port or port range specification.  The flag
-.\"O .B --dport
-.\"O is a convenient alias for this option.
-送信先ポートまたはポート範囲の指定。
-フラグ
-.B --dport
-は、このオプションの便利な別名である。
-.TP
-.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-.\"O Match when the TCP flags are as specified.  The first argument is the
-.\"O flags which we should examine, written as a comma-separated list, and
-.\"O the second argument is a comma-separated list of flags which must be
-.\"O set.  Flags are: 
-.\"O .BR "SYN ACK FIN RST URG PSH ALL NONE" .
-指定されているような TCP フラグの場合にマッチする。
-第 1 引き数は評価されるフラグで、コンマで分けられたリストで書かれる。
-第 2 引き数は設定されていなければならないフラグで、
-コンマで分けられたリストで書かれる。
-指定できるフラグは
-.B "SYN ACK FIN RST URG PSH ALL NONE"
-である。
-.\"O Hence the command
-.\"O .nf
-.\"O ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
-.\"O .fi
-.\"O will only match packets with the SYN flag set, and the ACK, FIN and
-.\"O RST flags unset.
-よって、コマンド
+これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で
+きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること
+もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを
+省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい
+場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利
+な別名である。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP
+TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価
+対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定
+しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ
+グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド
 .nf
-ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
+ip6tables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
 .fi
-は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
-パケットにのみマッチする。
-.TP
-.B "[!] --syn"
-.\"O Only match TCP packets with the SYN bit set and the ACK and RST bits
-.\"O cleared.  Such packets are used to request TCP connection initiation;
-.\"O for example, blocking such packets coming in an interface will prevent
-.\"O incoming TCP connections, but outgoing TCP connections will be
-.\"O unaffected.
-.\"O It is equivalent to \fB--tcp-flags SYN,RST,ACK SYN\fP.
-.\"O If the "!" flag precedes the "--syn", the sense of the
-.\"O option is inverted.
-SYN ビットが設定され ACK と RST ビットがクリアされている
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
+.TP 
+\fB[!] \-\-syn\fP
+SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに
+のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え
+ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ
+は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
+を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
 TCP パケットにのみマッチする。
-このようなパケットは TCP 接続の開始要求に使われる。
-例えば、インターフェースに入ってくるこのようなパケットをブロックすれば、
-内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
-これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
-"--syn" の前に "!" フラグを置くと、
-SYN ビットがクリアされ ACK と FIN ビットが設定されている
-TCP パケットにのみマッチする。
-.TP
-.BR "--tcp-option " "[!] \fInumber\fP"
-.\"O Match if TCP option set.
+.TP 
+\fB\-\-tcp\-option \fP[!] \fInumber\fP
 TCP オプションが設定されている場合にマッチする。
 .SS udp
-.\"O These extensions are loaded if `--protocol udp' is specified.  It
-.\"O provides the following options:
-これらの拡張は `--protocol udp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Source port or port range specification.
-.\"O See the description of the
-.\"O .B --source-port
-.\"O option of the TCP extension for details.
-送信元ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --source-port
-オプションの説明を参照すること。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Destination port or port range specification.
-.\"O See the description of the
-.\"O .B --destination-port
-.\"O option of the TCP extension for details.
-送信先ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --destination-port
-オプションの説明を参照すること。
-.SS ipv6-icmp
-.\"O This extension is loaded if `--protocol ipv6-icmp' or `--protocol icmpv6' is
-.\"O specified. It provides the following option:
-これらの拡張は `--protocol ipv6-icmp' 
-または `--protocol icmpv6' が指定された場合にロードされ、
+これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
+.SS ipv6\-icmp
+これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合にロードされ、
 以下のオプションが提供される:
-.TP
-.BR "--icmpv6-type " "[!] \fItypename\fP"
-.\"O This allows specification of the ICMP type, which can be a numeric
-.\"O IPv6-ICMP type, or one of the IPv6-ICMP type names shown by the command
-数値の IPv6-ICMP タイプ、またはコマンド
+.TP 
+\fB\-\-icmpv6\-type \fP[!] \fItypename\fP
+ICMP タイプを指定できる。タイプ指定には、 数値の IPv6\-ICMP タイプ、または以下のコマンド で表示される IPv6\-ICMP
+タイプ名を使用できる。
 .nf
- ip6tables -p ipv6-icmp -h
+ ip6tables \-p ipv6\-icmp \-h
 .fi
-で表示される IPv6-ICMP タイプ名を指定できる。
 .SS mac
-.TP
-.BR "--mac-source " "[!] \fIaddress\fP"
-.\"O Match source MAC address.  It must be of the form XX:XX:XX:XX:XX:XX.
-.\"O Note that this only makes sense for packets coming from an Ethernet device
-.\"O and entering the
-.\"O .BR PREROUTING ,
-.\"O .B FORWARD
-.\"O or
-.\"O .B INPUT
-.\"O chains.
-送信元 MAC アドレスにマッチする。
-.I address
-は XX:XX:XX:XX:XX:XX という形式でなければならない。
-イーサーネットデバイスから入ってくるパケットで、
-.BR PREROUTING ,
-.BR FORWARD ,
-.B INPUT
-チェインに入るパケットにしか意味がない点に注意すること。
+.TP 
+\fB\-\-mac\-source \fP[!] \fIaddress\fP
+送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
+いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ
+トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
+意味がない。
 .SS limit
-.\"O This module matches at a limited rate using a token bucket filter.
-.\"O A rule using this extension will match until this limit is reached
-.\"O (unless the `!' flag is used).  It can be used in combination with the
-.\"O .B LOG
-.\"O target to give limited logging, for example.
-このモジュールは、トークンバケツフィルタを使い、
-単位時間あたり制限された回数だけマッチする。
-この拡張を使ったルールは、(`!' フラグが指定されない限り)
-制限に達するまでマッチする。
-このモジュールは、ログ記録を制限する
-.B LOG
-ターゲットと組み合わせて使うことができる。
-たとえば、
-.TP
-.BI "--limit " "rate"
-.\"O Maximum average matching rate: specified as a number, with an optional
-.\"O `/second', `/minute', `/hour', or `/day' suffix; the default is
-.\"O 3/hour.
-単位時間あたりの平均マッチ回数の最大値。
-数値で指定され、添字 `/second', `/minute',
-`/hour', `/day' を付けることもできる。
-デフォルトは 3/hour である。
-.TP
-.BI "--limit-burst " "number"
-.\"O Maximum initial number of packets to match: this number gets
-.\"O recharged by one every time the limit specified above is not reached,
-.\"O up to this number; the default is 5.
-パケットがマッチする回数の最大初期値:
-上のオプションで指定した制限に達しなければ、
-その度ごとに、この数値になるまで 1 個ずつ増やされる。
+このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され
+た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され
+ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録
+を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
+.TP 
+\fB\-\-limit \fP\fIrate\fP
+単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day'
+を付けることもできる。 デフォルトは 3/hour である。
+.TP 
+\fB\-\-limit\-burst \fP\fInumber\fP
+パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に
+達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。
 デフォルトは 5 である。
 .SS multiport
-.\"O This module matches a set of source or destination ports.  Up to 15
-.\"O ports can be specified.  It can only be used in conjunction with
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" .
-このモジュールは送信元や送信先のポートの集合にマッチする。
-ポートは 15 個まで指定できる。
-このモジュールは
-.B "-p tcp"
-または
-.B "-p udp"
-と組み合わせて使うことしかできない。
-.TP
-.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the source port is one of the given ports.  The flag
-.\"O .B --sports
-.\"O is a convenient alias for this option.
-送信元ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --sports
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the destination port is one of the given ports.  The flag
-.\"O .B --dports
-.\"O is a convenient alias for this option.
-送信先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --dports
-は、このオプションの便利な別名である。
-.TP
-.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the both the source and destination ports are equal to each
-.\"O other and to one of the given ports.
-送信元と送信先ポートの両方が互いに等しいか、
-指定されたポートのうちのいずれかであればマッチする。
+このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p
+udp\fP と組み合わせて使うことしかできない。
+.TP 
+\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+宛先ポートが指定されたポートのうちのいずれかであればマッチする。
+フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの
+うちのいずれかであればマッチする。
 .SS mark
-.\"O This module matches the netfilter mark field associated with a packet
-.\"O (which can be set using the
-.\"O .B MARK
-.\"O target below).
-このモジュールはパケットに関連づけられた
-netfilter の mark フィールドにマッチする
-(このフィールドは、以下の
-.B MARK
+このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP
 ターゲットで設定される)。
-.TP
-.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-.\"O Matches packets with the given unsigned mark value (if a mask is
-.\"O specified, this is logically ANDed with the mask before the
-.\"O comparison).
-指定された符号なし mark 値のパケットにマッチする
-(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
+.TP 
+\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP]
+指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
 .SS owner
-.\"O This module attempts to match various characteristics of the packet
-.\"O creator, for locally-generated packets.  It is only valid in the
-.\"O .B OUTPUT
-.\"O chain, and even this some packets (such as ICMP ping responses) may
-.\"O have no owner, and hence never match.  This is regarded as experimental.
-このモジュールは、ローカルで生成されたパケットに付いて、
-パケット生成者のいろいろな特性とのマッチングをとる。
-これは
-.B OUTPUT
-チェインのみでしか有効でない。
-また、(ICMP ping 応答のような) パケットは、
-所有者がいないので絶対にマッチしない。
+このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性とのマッチングをとる。 これは \fBOUTPUT\fP
+チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。
 これは実験的なものという扱いである。
-.TP
-.BI "--uid-owner " "userid"
-.\"O Matches if the packet was created by a process with the given
-.\"O effective user id.
-指定された実効ユーザー ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--gid-owner " "groupid"
-.\"O Matches if the packet was created by a process with the given
-.\"O effective group id.
-指定された実効グループ ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--pid-owner " "processid"
-.\"O Matches if the packet was created by a process with the given
-.\"O process id.
-指定されたプロセス ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--sid-owner " "sessionid"
-.\"O Matches if the packet was created by a process in the given session
-.\"O group.
-指定されたセッショングループのプロセスにより
-パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-uid\-owner \fP\fIuserid\fP
+指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-gid\-owner \fP\fIgroupid\fP
+指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-pid\-owner \fP\fIprocessid\fP
+指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-sid\-owner \fP\fIsessionid\fP
 .\" .SS state
-.\"O .\" This module, when combined with connection tracking, allows access to
-.\"O .\" the connection tracking state for this packet.
-.\" このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-.\" パケットについての接続追跡状態を知ることができる。
+.\" This module, when combined with connection tracking, allows access to
+.\" the connection tracking state for this packet.
 .\" .TP
 .\" .BI "--state " "state"
-.\"O .\" Where state is a comma separated list of the connection states to
-.\"O .\" match.  Possible states are 
-.\"O .\" .B INVALID
-.\"O .\" meaning that the packet is associated with no known connection,
-.\"O .\" .B ESTABLISHED
-.\"O .\" meaning that the packet is associated with a connection which has seen
-.\"O .\" packets in both directions,
-.\" state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
-.\" 指定可能な state は以下の通り。
-.\" .BR INVALID :
-.\" このパケットは既知の接続と関係していない。
-.\" .BR ESTABLISHED :
-.\" このパケットは双方向接続のパケットと判明した。
-.\"O .\" .B NEW
-.\"O .\" meaning that the packet has started a new connection, or otherwise
-.\"O .\" associated with a connection which has not seen packets in both
-.\"O .\" directions, and
-.\" .BR NEW :
-.\" このパケットが新しい接続を開始したか、
-.\" 双方向接続のパケットでないものと判明した。
-.\"O .\" .B RELATED
-.\"O .\" meaning that the packet is starting a new connection, but is
-.\"O .\" associated with an existing connection, such as an FTP data transfer,
-.\"O .\" or an ICMP error.
-.\" .BR RELATED :
-.\" このパケットが新しい接続を開始しているが、
-.\" FTP データ転送や ICMP エラーのように、既存の接続に関係している。
+.\" Where state is a comma separated list of the connection states to
+.\" match.  Possible states are 
+.\" .B INVALID
+.\" meaning that the packet is associated with no known connection,
+.\" .B ESTABLISHED
+.\" meaning that the packet is associated with a connection which has seen
+.\" packets in both directions,
+.\" .B NEW
+.\" meaning that the packet has started a new connection, or otherwise
+.\" associated with a connection which has not seen packets in both
+.\" directions, and
+.\" .B RELATED
+.\" meaning that the packet is starting a new connection, but is
+.\" associated with an existing connection, such as an FTP data transfer,
+.\" or an ICMP error.
 .\" .SS unclean
-.\"O .\" This module takes no options, but attempts to match packets which seem
-.\"O .\" malformed or unusual.  This is regarded as experimental.
-.\" このモジュールにはオプションがないが、
-.\" おかしく正常でないように見えるパケットにマッチする。
-.\" これは実験的なものとして扱われている。
+.\" This module takes no options, but attempts to match packets which seem
+.\" malformed or unusual.  This is regarded as experimental.
 .\" .SS tos
-.\"O .\" This module matches the 8 bits of Type of Service field in the IP
-.\"O .\" header (ie. including the precedence bits). 
-.\" このモジュールは IP ヘッダーの (上位ビットを含む) 8 ビットの
-.\" Type of Service フィールドにマッチする
+.\" This module matches the 8 bits of Type of Service field in the IP
+.\" header (ie. including the precedence bits). 
 .\" .TP
 .\" .BI "--tos " "tos"
-.\"O .\" The argument is either a standard name, (use
-.\"O .\" .br
-.\"O .\"  iptables -m tos -h
-.\"O .\" .br
-.\"O .\" to see the list), or a numeric value to match.
-.\" 引き数は、マッチを行う標準的な名前でも数値でもよい
-.\" (名前のリストを見るには
+.\" The argument is either a standard name, (use
 .\" .br
-.\"  iptables -m tos -h
+.\" iptables -m tos -h
 .\" .br
-.\" を使うこと)。
-.\"O .SH TARGET EXTENSIONS
+.\" to see the list), or a numeric value to match.
+指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。
 .SH ターゲットの拡張
-.\"O iptables can use extended target modules: the following are included
-.\"O in the standard distribution.
-iptables は拡張ターゲットモジュールを使うことができる:
-以下のものが、標準的なディストリビューションに含まれている。
+iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。
 .SS LOG
-.\"O Turn on kernel logging of matching packets.  When this option is set
-.\"O for a rule, the Linux kernel will print some information on all
-.\"O matching packets (like most IPv6 IPv6-header fields) via the kernel log
-.\"O (where it can be read with
-.\"O .I dmesg
-.\"O or 
-.\"O .IR syslogd (8)).
-マッチしたパケットをカーネルログに記録する。
-このオプションがルールに対して設定されると、
-Linux カーネルはマッチしたパケットについての
-(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を
-カーネルログに表示する
-(カーネルログは
-.I dmesg
-または
-.IR syslogd (8)
-で見ることができる)。
-.\"O This is a "non-terminating target", i.e. rule traversal continues at
-.\"O the next rule.  So if you want to LOG the packets you refuse, use two
-.\"O separate rules with the same matching criteria, first using target LOG
-.\"O then DROP (or REJECT).
-これは「非終了タ ーゲット」である。
-すなわち、ルールの検討は、次のルールへと継続される。
-よって、拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、
-最初のルールで LOG ターゲットを、
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての
+(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または
+\fIsyslogd\fP(8)  で見ることができる)。 これは「非終了タ ーゲット」である。 すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、
 次のルールで DROP (または REJECT) ターゲットを指定する。
-.TP
-.BI "--log-level " "level"
-.\"O Level of logging (numeric or see \fIsyslog.conf\fP(5)).
-ログ記録のレベル (数値で指定するか、
-(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
-.TP
-.BI "--log-prefix " "prefix"
-.\"O Prefix log messages with the specified prefix; up to 29 letters long,
-.\"O and useful for distinguishing messages in the logs.
+.TP 
+\fB\-\-log\-level \fP\fIlevel\fP
+ログ記録のレベル (数値て指定するか、(名前で指定する場合は)
+\fIsyslog.conf\fP(5) を参照すること)。
+.TP 
+\fB\-\-log\-prefix \fP\fIprefix\fP
 指定したプレフィックスをログメッセージの前に付ける。
 プレフィックスは 29 文字までの長さで、
-ログのなかでメッセージを区別するのに役立つ。
-.TP
-.B --log-tcp-sequence
-.\"O Log TCP sequence numbers. This is a security risk if the log is
-.\"O readable by users.
-TCP シーケンス番号をログに記録する。
-ログがユーザーから読める場合、セキュリティ上の危険がある。
-.TP
-.B --log-tcp-options
-.\"O Log options from the TCP packet header.
+ログの中でメッセージを区別するのに役立つ。
+.TP 
+\fB\-\-log\-tcp\-sequence\fP
+TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。
+.TP 
+\fB\-\-log\-tcp\-options\fP
 TCP パケットヘッダのオプションをログに記録する。
-.TP
-.B --log-ip-options
-.\"O Log options from the IPv6 packet header.
+.TP 
+\fB\-\-log\-ip\-options\fP
 IPv6 パケットヘッダのオプションをログに記録する。
 .SS MARK
-.\"O This is used to set the netfilter mark value associated with the
-.\"O packet.  It is only valid in the
-.\"O .B mangle
-.\"O table.
-パケットに関連づけられた netfilter の mark 値を指定する。
-.B mangle
-テーブルのみで有効である。
-.TP
-.BI "--set-mark " "mark"
+パケットに関連づけられた netfilter の mark 値を指定する。 \fBmangle\fP テーブルのみで有効である。
+.TP 
+\fB\-\-set\-mark \fP\fImark\fP
 .SS REJECT
-.\"O This is used to send back an error packet in response to the matched
-.\"O packet: otherwise it is equivalent to 
-.\"O .B DROP
-.\"O so it is a terminating TARGET, ending rule traversal.
 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、
-.B DROP
-と同じであり、
-TARGET を終了し、ルールの検討を終了する。
-.\"O This target is only valid in the
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B OUTPUT
-.\"O chains, and user-defined chains which are only called from those
-.\"O chains.  The following option controls the nature of the error packet
-.\"O returned:
-このターゲットは、
-.BR INPUT ,
-.BR FORWARD ,
-.B OUTPUT
-チェインと、これらのチェインから呼ばれる
-ユーザー定義チェインだけで有効である。
-以下のオプションは、返されるエラーパケットの特性を制御する。
-.TP
-.BI "--reject-with " "type"
-.\"O The type given can be
+エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、
+ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
+\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン
+だけで有効である。以下のオプションは、返されるエラーパケットの特性を
+制御する。
+.TP 
+\fB\-\-reject\-with \fP\fItype\fP
 type として指定可能なものは
 .nf
-.B " icmp6-no-route"
-.B " no-route"
-.B " icmp6-adm-prohibited"
-.B " adm-prohibited"
-.B " icmp6-addr-unreachable"
-.B " addr-unreach"
-.B " icmp6-port-unreachable"
-.B " port-unreach"
+\fBicmp6\-no\-route\fP
+\fBno\-route\fP
+\fBicmp6\-adm\-prohibited\fP
+\fBadm\-prohibited\fP
+\fBicmp6\-addr\-unreachable\fP
+\fBaddr\-unreach\fP
+\fBicmp6\-port\-unreachable\fP
+\fBport\-unreach\fP
 .fi
-.\"O which return the appropriate IPv6-ICMP error message (\fBport-unreach\fP is
-.\"O  the default). 
-であり、適切な IPv6-ICMP エラーメッセージを返す
-(\fBport-unreach\fP がデフォルトである)。
-.\"O Finally, the option
-.\"O .B tcp-reset
-.\"O can be used on rules which only match the TCP protocol: this causes a
-.\"O TCP RST packet to be sent back.  This is mainly useful for blocking 
-.\"O .I ident
-.\"O (113/tcp) probes which frequently occur when sending mail to broken mail
-.\"O hosts (which won't accept your mail otherwise).
-さらに、TCP プロトコルにのみマッチするルールに対して、オプション
-.B tcp-reset
-を使うことができる。
-このオプションを使うと、TCP RST パケットが送り返される。
-主として
-.I ident
-(113/tcp) による探査を阻止するのに役立つ。
-.I ident
-による探査は、壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。
 .\" .SS TOS
-.\"O .\" This is used to set the 8-bit Type of Service field in the IP header.
-.\"O .\" It is only valid in the
-.\"O .\" .B mangle
-.\"O .\" table.
-.\" IP ヘッダの 8 ビットの Type of Service フィールドを設定するために使われる。
+.\" This is used to set the 8-bit Type of Service field in the IP header.
+.\" It is only valid in the
 .\" .B mangle
-.\" テーブルのみで有効である。
+.\" table.
 .\" .TP
 .\" .BI "--set-tos " "tos"
-.\"O .\" You can use a numeric TOS values, or use
-.\"O .\" .br
-.\"O .\"  iptables -j TOS -h
-.\"O .\" .br
-.\"O .\" to see the list of valid TOS names.
-.\" TOS を番号で指定することができる。
-.\" また、
+.\" You can use a numeric TOS values, or use
 .\" .br
-.\"  iptables -j TOS -h
+.\" iptables -j TOS -h
 .\" .br
-.\" を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
+.\" to see the list of valid TOS names.
 .\" .SS MIRROR
-.\"O .\" This is an experimental demonstration target which inverts the source
-.\"O .\" and destination fields in the IP header and retransmits the packet.
-.\" 実験的なデモンストレーション用のターゲットであり、
-.\" IP ヘッダの送信元と送信先フィールドを入れ換え、
-.\" パケットを再送信するものである。
-.\"O .\" It is only valid in the
-.\"O .\" .BR INPUT ,
-.\"O .\" .B FORWARD
-.\"O .\" and 
-.\"O .\" .B PREROUTING
-.\"O .\" chains, and user-defined chains which are only called from those
-.\"O .\" chains.  
-.\" これは
+.\" This is an experimental demonstration target which inverts the source
+.\" and destination fields in the IP header and retransmits the packet.
+.\" It is only valid in the
 .\" .BR INPUT ,
-.\" .BR FORWARD ,
+.\" .B FORWARD
+.\" and 
 .\" .B PREROUTING
-.\" チェインと、これらのチェインから呼び出される
-.\" ユーザー定義チェインだけで有効である。
-.\"O .\" Note that the outgoing packets are
-.\"O .\" .B NOT
-.\"O .\" seen by any packet filtering chains, connection tracking or NAT, to
-.\"O .\" avoid loops and other problems.
-.\" ループ等の問題を回避するため、外部に送られるパケットは
-.\" いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
-.\" 監視\fBされない\fR 。
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  Note that the outgoing packets are
+.\" .B NOT
+.\" seen by any packet filtering chains, connection tracking or NAT, to
+.\" avoid loops and other problems.
 .\" .SS SNAT
-.\"O .\" This target is only valid in the 
-.\"O .\" .B nat
-.\"O .\" table, in the 
-.\"O .\" .B POSTROUTING
-.\"O .\" chain.  It specifies that the source address of the packet should be
-.\"O .\" modified (and all future packets in this connection will also be
-.\"O .\" mangled), and rules should cease being examined.  It takes one option:
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブルと
+.\" table, in the 
 .\" .B POSTROUTING
-.\" チェインのみで有効である。
-.\" このターゲットはパケットの送信元アドレスを修正させる
-.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
-.\" さらに、ルールが評価を中止するように指示する。
-.\" このターゲットにはオプションが 1 つある:
+.\" chain.  It specifies that the source address of the packet should be
+.\" modified (and all future packets in this connection will also be
+.\" mangled), and rules should cease being examined.  It takes one option:
 .\" .TP
 .\" .BR "--to-source  " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\"O .\" which can specify a single new source IP address, an inclusive range
-.\"O .\" of IP addresses, and optionally, a port range (which is only valid if
-.\"O .\" the rule also specifies
-.\"O .\" .B "-p tcp"
-.\"O .\" or
-.\"O .\" .BR "-p udp" ).
-.\" 1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
-.\" オプションとして、ポートの範囲が指定できる
-.\" (ルールが
+.\" which can specify a single new source IP address, an inclusive range
+.\" of IP addresses, and optionally, a port range (which is only valid if
+.\" the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効)。
-.\"O .\" If no port range is specified, then source ports below 512 will be
-.\"O .\" mapped to other ports below 512: those between 512 and 1023 inclusive
-.\"O .\" will be mapped to ports below 1024, and other ports will be mapped to
-.\"O .\" 1024 or above. Where possible, no port alteration will occur.
-.\" ポートの範囲が指定されていない場合、
-.\" 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
-.\" 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
-.\" それ以外のポートは、1024 以上のポートにマッピングされる。
-.\" 可能であれば、ポートの変換は起こらない。
+.\" or
+.\" .BR "-p udp" ).
+.\" If no port range is specified, then source ports below 512 will be
+.\" mapped to other ports below 512: those between 512 and 1023 inclusive
+.\" will be mapped to ports below 1024, and other ports will be mapped to
+.\" 1024 or above. Where possible, no port alteration will occur.
 .\" .SS DNAT
-.\"O .\" This target is only valid in the 
-.\"O .\" .B nat
-.\"O .\" table, in the 
-.\"O .\" .B PREROUTING
-.\"O .\" and
-.\"O .\" .B OUTPUT
-.\"O .\" chains, and user-defined chains which are only called from those
-.\"O .\" chains.  It specifies that the destination address of the packet
-.\"O .\" should be modified (and all future packets in this connection will
-.\"O .\" also be mangled), and rules should cease being examined.  It takes one
-.\"O .\" option:
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブルと
-.\" .BR PREROUTING ,
+.\" table, in the 
+.\" .B PREROUTING
+.\" and
 .\" .B OUTPUT
-.\" チェイン、これらのチェインから呼び出される
-.\" ユーザー定義チェインのみで有効である。
-.\" このターゲットはパケットの送信先アドレスを修正する
-.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
-.\" さらに、ルールによるチェックを止めさせる。
-.\" このターゲットにはオプションが 1 つある:
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  It specifies that the destination address of the packet
+.\" should be modified (and all future packets in this connection will
+.\" also be mangled), and rules should cease being examined.  It takes one
+.\" option:
 .\" .TP
 .\" .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\"O .\" which can specify a single new destination IP address, an inclusive
-.\"O .\" range of IP addresses, and optionally, a port range (which is only
-.\"O .\" valid if the rule also specifies
-.\"O .\" .B "-p tcp"
-.\"O .\" or
-.\"O .\" .BR "-p udp" ).
-.\"O .\" If no port range is specified, then the destination port will never be
-.\"O .\" modified.
-.\" 1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
-.\" オプションとして、ポートの範囲が指定できる
-.\" (ルールが
+.\" which can specify a single new destination IP address, an inclusive
+.\" range of IP addresses, and optionally, a port range (which is only
+.\" valid if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効)。
-.\" ポートの範囲が指定されていない場合、送信先アドレスは変更されない。
+.\" or
+.\" .BR "-p udp" ).
+.\" If no port range is specified, then the destination port will never be
+.\" modified.
 .\" .SS MASQUERADE
-.\"O .\" This target is only valid in the 
-.\"O .\" .B nat
-.\"O .\" table, in the 
-.\"O .\" .B POSTROUTING
-.\"O .\" chain.  
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブル、または
+.\" table, in the 
 .\" .B POSTROUTING
-.\" チェインのみで有効である。
-.\"O .\" It should only be used with dynamically assigned IP (dialup)
-.\"O .\" connections: if you have a static IP address, you should use the SNAT
-.\"O .\" target.  
-.\" 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
-.\" 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
-.\"O .\" Masquerading is equivalent to specifying a mapping to the IP
-.\"O .\" address of the interface the packet is going out, but also has the
-.\"O .\" effect that connections are 
-.\"O .\" .I forgotten
-.\"O .\" when the interface goes down.  
-.\" マスカレーディングは、パケットが送信されるインターフェースの
-.\" IP アドレスへのマッピングを指定するのと同じであるが、
-.\" インターフェースが停止した場合に接続を\fI忘れる\fRという現象がある。
-.\"O .\" This is the correct behavior when the
-.\"O .\" next dialup is unlikely to have the same interface address (and hence
-.\"O .\" any established connections are lost anyway).  It takes one option:
-.\" 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-.\" (そのため、前回確立された接続は失われる) 場合、
-.\" この動作は正しい。
-.\" このターゲットにはオプションが 1 つある。
+.\" chain.  It should only be used with dynamically assigned IP (dialup)
+.\" connections: if you have a static IP address, you should use the SNAT
+.\" target.  Masquerading is equivalent to specifying a mapping to the IP
+.\" address of the interface the packet is going out, but also has the
+.\" effect that connections are 
+.\" .I forgotten
+.\" when the interface goes down.  This is the correct behavior when the
+.\" next dialup is unlikely to have the same interface address (and hence
+.\" any established connections are lost anyway).  It takes one option:
 .\" .TP
 .\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\"O .\" This specifies a range of source ports to use, overriding the default 
-.\"O .\" .B SNAT
-.\"O .\" source port-selection heuristics (see above).  This is only valid
-.\"O .\" if the rule also specifies
-.\"O .\" .B "-p tcp"
-.\"O .\" or
-.\"O .\" .BR "-p udp" .
-.\" このオプションは、使用する送信元ポートの範囲を指定し、
-.\" デフォルトの
+.\" This specifies a range of source ports to use, overriding the default 
 .\" .B SNAT
-.\" 送信元ポートの選択方法 (上記) よりも優先される。
-.\" ルールが
+.\" source port-selection heuristics (see above).  This is only valid
+.\" if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効である。
+.\" or
+.\" .BR "-p udp" .
 .\" .SS REDIRECT
-.\"O .\" This target is only valid in the 
-.\"O .\" .B nat
-.\"O .\" table, in the 
-.\"O .\" .B PREROUTING
-.\"O .\" and
-.\"O .\" .B OUTPUT
-.\"O .\" chains, and user-defined chains which are only called from those
-.\"O .\" chains.  It alters the destination IP address to send the packet to
-.\"O .\" the machine itself (locally-generated packets are mapped to the
-.\"O .\" 127.0.0.1 address).  It takes one option:
-.\" このターゲットは、
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブル内の
-.\" .B PREROUTING 
-.\" チェイン及び
-.\" .B OUTPUT 
-.\" チェイン、そしてこれらチェインから呼び出される
-.\" ユーザ定義チェインでのみ有効である。
-.\" このターゲットはパケットの送信先 IP アドレスを
-.\" マシン自身の IP アドレスに変換する。
-.\" (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
-.\" このターゲットにはオプションが 1 つある:
+.\" table, in the 
+.\" .B PREROUTING
+.\" and
+.\" .B OUTPUT
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  It alters the destination IP address to send the packet to
+.\" the machine itself (locally-generated packets are mapped to the
+.\" 127.0.0.1 address).  It takes one option:
 .\" .TP
 .\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\"O .\" This specifies a destination port or range of ports to use: without
-.\"O .\" this, the destination port is never altered.  This is only valid
-.\"O .\" if the rule also specifies
-.\"O .\" .B "-p tcp"
-.\"O .\" or
-.\"O .\" .BR "-p udp" .
-.\" このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
-.\" このオプションが指定されない場合、送信先ポートは変更されない。
-.\" ルールが
+.\" This specifies a destination port or range of ports to use: without
+.\" this, the destination port is never altered.  This is only valid
+.\" if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効である。
-.\"O .SH DIAGNOSTICS
+.\" or
+.\" .BR "-p udp" .
+であり、適切な IPv6\-ICMP エラーメッセージを返す (\fBport\-unreach\fP がデフォルトである)。 さらに、TCP
+プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST
+パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている
+(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。
 .SH 返り値
-.\"O Various error messages are printed to standard error.  The exit code
-.\"O is 0 for correct functioning.  Errors which appear to be caused by
-.\"O invalid or abused command line parameters cause an exit code of 2, and
-.\"O other errors cause an exit code of 1.
-いろいろなエラーメッセージが標準エラーに表示される。
-正しく機能した場合、終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、
-終了コード 2 が返される。
-その他のエラーの場合は、終了コード 1 が返される。
-.\"O .SH BUGS
+いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。
 .SH バグ
-.\"O Bugs?  What's this? ;-)
-.\"O Well... the counters are not reliable on sparc64.
-バグ? バグって何? ;-)
-えーと…、sparc64 ではカウンター値が信頼できない。
-.\"O .SH COMPATIBILITY WITH IPCHAINS
-.SH IPCHAINS との互換性
-.\"O This 
-.\"O .B ip6tables
-.\"O is very similar to ipchains by Rusty Russell.  The main difference is
-.\"O that the chains 
-.\"O .B INPUT
-.\"O and
-.\"O .B OUTPUT
-.\"O are only traversed for packets coming into the local host and
-.\"O originating from the local host respectively.  Hence every packet only
-.\"O passes through one of the three chains (except loopback traffic, which
-.\"O involves both INPUT and OUTPUT chains); previously a forwarded packet
-.\"O would pass through all three.
-.B ip6tables
-は、Rusty Russell の ipchains と非常によく似ている。
-大きな違いは、チェイン
-.B INPUT
-と
-.B OUTPUT
-が、それぞれローカルホストに入ってくるパケットと、
-ローカルホストから出されるパケットのみしか調べないという点である。
-よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない
-(ループバックトラフィックは例外で、INPUT と OUTPUT チェインの両方を通る)。
-以前は (ipchains では)、
-フォワードされるパケットが 3 つのチェイン全てを通っていた。
+バグ? バグって何? ;\-)  えーと…、sparc64 ではカウンター値が信頼できない。
+.SH "IPCHAINS との互換性"
+\fBip6tables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
+\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。
+よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない (ループバックトラフィックは例外で、INPUT と OUTPUT
+チェインの両方を通る)。 以前は (ipchains では)、 フォワードされるパケットが 3 つのチェイン全てを通っていた。
 .PP
-.\"O The other main difference is that 
-.\"O .B -i
-.\"O refers to the input interface;
-.\"O .B -o
-.\"O refers to the output interface, and both are available for packets
-.\"O entering the
-.\"O .B FORWARD
-.\"O chain.
-その他の大きな違いは、
-.B -i
-で入力インターフェース、
-.B -o
-で出力インターフェースを指定し、
-ともに
-.B FORWARD
-チェインに入るパケットに対して指定可能な点である。
-.\"O .\" .PP The various forms of NAT have been separated out; 
-.\"O .\" .B iptables 
-.\"O .\" is a pure packet filter when using the default `filter' table, with
-.\"O .\" optional extension modules.  This should simplify much of the previous
-.\"O .\" confusion over the combination of IP masquerading and packet filtering
-.\"O .\" seen previously.  So the following options are handled differently:
-.\" .PP
-.\" NAT のいろいろな形式が分割された。
-.\" オプションの拡張モジュールとともに
-.\" デフォルトの「フィルタ」テーブルを用いた場合、
+.\" .PP The various forms of NAT have been separated out; 
 .\" .B iptables 
-.\" は純粋なパケットフィルタとなる。
-.\" これは、以前みられた IP マスカレーディングとパケットフィルタリングの
-.\" 組合せによる混乱を簡略化する。
-.\" よって、オプション
+.\" is a pure packet filter when using the default `filter' table, with
+.\" optional extension modules.  This should simplify much of the previous
+.\" confusion over the combination of IP masquerading and packet filtering
+.\" seen previously.  So the following options are handled differently:
 .\" .br
-.\"  -j MASQ
+.\" -j MASQ
 .\" .br
-.\"  -M -S
+.\" -M -S
 .\" .br
-.\"  -M -L
+.\" -M -L
 .\" .br
-.\" は別のものとして扱われる。
-.\"O There are several other changes in ip6tables.
-ip6tables では、その他にもいくつかの変更がある。
-.\"O .SH SEE ALSO
+その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを指定し、 ともに \fBFORWARD\fP
+チェインに入るパケットに対して指定可能な点である。 ip6tables では、その他にもいくつかの変更がある。
 .SH 関連項目
-.BR ip6tables-save (8),
-.BR ip6tables-restore(8),
-.BR iptables (8),
-.BR iptables-save (8),
-.BR iptables-restore (8).
+\fBip6tables\-save\fP(8), \fBip6tables\-restore(8),\fP \fBiptables\fP(8),
+\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8).
 .P
-.\"O The packet-filtering-HOWTO details iptables usage for
-.\"O packet filtering, the NAT-HOWTO details NAT,
-.\"O the netfilter-extensions-HOWTO details the extensions that are
-.\"O not in the standard distribution,
-.\"O and the netfilter-hacking-HOWTO details the netfilter internals.
 パケットフィルタリングについての詳細な iptables の使用法を
-説明している packet-filtering-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-標準的な配布には含まれない拡張の詳細を説明している netfilter-extensions-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+説明している packet\-filtering\-HOWTO。
+NAT について詳細に説明している NAT\-HOWTO。
+標準的な配布には含まれない拡張の詳細を 説明している
+netfilter\-extensions\-HOWTO。
+内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
 .br
-.\"O See
-.\"O .BR "http://www.netfilter.org/" .
-.B "http://www.netfilter.org/"
-を参照のこと。
-.\"O .SH AUTHORS
-.SH 著者
-.\"O Rusty Russell wrote iptables, in early consultation with Michael
-.\"O Neuling.
+\fBhttp://www.netfilter.org/\fP を参照。
+.SH 作者
 Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
 .PP
-.\"O Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet
-.\"O selection framework in iptables, then wrote the mangle table, the owner match,
-.\"O the mark stuff, and ran around doing cool stuff everywhere.
-Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
-ipnatctl を止めさせた。
-そして、mangle テーブル・所有者マッチング・
-mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
 .PP
-.\"O James Morris wrote the TOS target, and tos match.
 James Morris が TOS ターゲットと tos マッチングを書いた。
 .PP
-.\"O Jozsef Kadlecsik wrote the REJECT target.
 Jozsef Kadlecsik が REJECT ターゲットを書いた。
 .PP
-.\"O Harald Welte wrote the ULOG target, TTL match+target and libipulog.
-Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・
-libipulog を書いた。
+Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・ libipulog を書いた。
 .PP
-.\"O The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-.\"O James Morris, Harald Welte and Rusty Russell.
-Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell である。
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James
+Morris, Harald Welte, Rusty Russell である。
 .PP
-.\"O ip6tables man page created by Andras Kis-Szabo, based on
-.\"O iptables man page written by Herve Eychenne <rv@wallfire.org>.
-ip6tables の man ページは、Andras Kis-Szabo によって作成された。
-これは Herve Eychenne <rv@wallfire.org> によって書かれた
-iptables の man ページを元にしている。
-.\"O .\" .. and did I mention that we are incredibly cool people?
-.\"O .\" .. sexy, too ..
-.\"O .\" .. witty, charming, powerful ..
-.\"O .\" .. and most of all, modest ..
-.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな？
-.\" .. セクシーで ..
-.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
-.\" .. そして、みんな謙虚なんだ ..
+ip6tables の man ページは、Andras Kis\-Szabo によって作成された。 これは Herve Eychenne
+<rv@wallfire.org> によって書かれた iptables の man ページを元にしている。
+.\" .. and did I mention that we are incredibly cool people?
+.\" .. sexy, too ..
+.\" .. witty, charming, powerful ..
+.\" .. and most of all, modest ..
diff --git a/draft/man8/iptables-restore.8 b/draft/man8/iptables-restore.8
index 502f7cb..59d7b0b 100644
--- a/draft/man8/iptables-restore.8
+++ b/draft/man8/iptables-restore.8
@@ -1,4 +1,9 @@
-.TH IPTABLES-RESTORE 8 "Jan 04, 2001" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES\-RESTORE 8 "Jan 04, 2001" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,58 +22,29 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Tue May 15 20:08:04 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
 .\"
-.\"O .SH NAME
 .SH 名前
-.\"O iptables-restore \- Restore IP Tables
-iptables-restore \- IP テーブルを復元する
-.\"O .SH SYNOPSIS
+iptables\-restore \- IP テーブルを復元する
 .SH 書式
-.BR "iptables-restore " "[-c] [-n]"
+\fBiptables\-restore \fP[\-c] [\-n]
 .br
-.\"O .SH DESCRIPTION
 .SH 説明
 .PP
-.\"O .B iptables-restore
-.\"O is used to restore IP Tables from data specified on STDIN. Use 
-.\"O I/O redirection provided by your shell to read from a file
-.B iptables-restore
-は標準入力で指定されたデータから IP テーブルを復元するために使われる。
-ファイルから読み込むためには、
+\fBiptables\-restore\fP は標準入力で指定されたデータから IP テーブルを復元するために使われる。 ファイルから読み込むためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-.\"O restore the values of all packet and byte counters
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-n\fR, \fB\-\-noflush\fR 
-.\"O .TP
-.\"O don't flush the previous contents of the table. If not specified, 
-.\"O .B iptables-restore
-.\"O flushes (deletes) all previous contents of the respective IP Table.
-これまでのテーブルの内容をフラッシュしない。
-指定されない場合、
-.B iptables-restore
-は、これまでの各 IP テーブルの内容を全てフラッシュ (削除) する。
-.\"O .SH BUGS
+.TP 
+\fB\-n\fP, \fB\-\-noflush\fP 
+これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBiptables\-restore\fP は、これまでの各 IP
+テーブルの内容を全てフラッシュ (削除) する。
 .SH バグ
-.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 リリースでは知られていない。
-.\"O .SH AUTHOR
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
-.\"O .SH SEE ALSO
 .SH 関連項目
-.BR iptables-save "(8), " iptables "(8) "
+\fBiptables\-save\fP(8), \fBiptables\fP(8)
 .PP
-.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
-.\"O internals.
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/draft/man8/iptables-save.8 b/draft/man8/iptables-save.8
index 0b1c61e..38d01ce 100644
--- a/draft/man8/iptables-save.8
+++ b/draft/man8/iptables-save.8
@@ -1,4 +1,9 @@
-.TH IPTABLES-SAVE 8 "Jan 04, 2001" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES\-SAVE 8 "Jan 04, 2001" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,56 +22,28 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Tue May 15 20:09:48 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
 .\"
-.\"O .SH NAME
 .SH 名前
-.\"O iptables-save \- Save IP Tables
-iptables-save \- IP テーブルを保存する
-.\"O .SH SYNOPSIS
+iptables\-save \- IP テーブルを保存する
 .SH 書式
-.BR "iptables-save " "[-c] [-t table]"
+\fBiptables\-save \fP[\-c] [\-t table]
 .br
-.\"O .SH DESCRIPTION
 .SH 説明
 .PP
-.\"O .B iptables-save
-.\"O is used to dump the contents of an IP Table in easily parseable format
-.\"O to STDOUT. Use I/O-redirection provided by your shell to write to a file.
-.B iptables-save
-は IP テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。
-ファイルに書き出すためには、
+\fBiptables\-save\fP は IP テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。 ファイルに書き出すためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
-.\"O include the current values of all packet and byte counters in the output
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-.\"O .TP
-.\"O restrict output to only one table. If not specified, output includes all
-.\"O available tables.
-出力を 1 つのテーブルのみに制限する。
-指定されない場合、得られた全てのテーブルを出力する。
-.\"O .SH BUGS
+.TP 
+\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP
+出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
 .SH バグ
-.\"O None known as of iptables-1.2.1 release
-iptables-1.2.1 リリースでは知られていない。
-.\"O .SH AUTHOR
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
-.\"O .SH SEE ALSO
 .SH 関連項目
-.BR iptables-restore "(8), " iptables "(8) "
+\fBiptables\-restore\fP(8), \fBiptables\fP(8)
 .PP
-.\"O The iptables-HOWTO, which details more iptables usage, the NAT-HOWTO,
-.\"O which details NAT, and the netfilter-hacking-HOWTO which details the
-.\"O internals.
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/draft/man8/iptables.8 b/draft/man8/iptables.8
index 415f04c..a696e13 100644
--- a/draft/man8/iptables.8
+++ b/draft/man8/iptables.8
@@ -1,3 +1,9 @@
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES 8 "Mar 09, 2002" "" ""
 .\"
 .\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
 .\" It is based on ipchains page.
@@ -21,1969 +27,715 @@
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
 .\"
-.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO
-.\"         all right reserved.
-.\" Translated Sun Jul 29 01:03:37 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified Wed Sep 12 06:22:55 JST 2001 by Yuichi SATO
-.\" Updated on Wed May 28 01:51:45 JST 2003 by
-.\"    System Design and Research Institute Co., Ltd.
-.\" Updated & Modified Sat Feb 21 23:28:25 JST 2004
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
-.\"
-.\"WORD:	chain		チェイン
-.\"WORD:	built-in chain	組み込み済みチェイン
-.\"WORD:	connection tracking	接続追跡
-.\"WORD:	enslave		スレーブにする
-.\"WORD:	infrastructure	基盤
-.\"WORD:	round-robin	ラウンド・ロビン
-.\"WORD:	rule traverse	ルールの検討
-.\"WORD:	non-terminating target	非終了ターゲット
-.\"WORD:	criteria	判断(する)基準
-.\"
-.TH IPTABLES 8 "Mar 09, 2002" "" ""
-.\"O .SH NAME
 .SH 名前
-.\"O iptables \- administration tool for IPv4 packet filtering and NAT
 iptables \- IPv4 のパケットフィルタと NAT を管理するツール
-.\"O .SH SYNOPSIS
 .SH 書式
-.\"O .BR "iptables [-t table] -[AD] " "chain rule-specification [options]"
-.BR "iptables [-t table] -[AD] " "チェイン ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-[AD] \fPチェイン ルールの詳細 [オプション]
 .br
-.\"O .BR "iptables [-t table] -I " "chain [rulenum] rule-specification [options]"
-.BR "iptables [-t table] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション]
 .br
-.\"O .BR "iptables [-t table] -R " "chain rulenum rule-specification [options]"
-.BR "iptables [-t table] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-R \fPチェイン ルール番号 ルールの詳細 [オプション]
 .br
-.\"O .BR "iptables [-t table] -D " "chain rulenum [options]"
-.BR "iptables [-t table] -D " "チェイン ルール番号 [オプション]"
+\fBiptables [\-t table] \-D \fPチェイン ルール番号 [オプション]
 .br
-.\"O .BR "iptables [-t table] -[LFZ] " "[chain] [options]"
-.BR "iptables [-t table] -[LFZ] " "[チェイン] [オプション]"
+\fBiptables [\-t table] \-[LFZ] \fP[チェイン] [オプション]
 .br
-.\"O .BR "iptables [-t table] -N " "chain"
-.BR "iptables [-t table] -N " "チェイン"
+\fBiptables [\-t table] \-N \fPチェイン
 .br
-.\"O .BR "iptables [-t table] -X " "[chain]"
-.BR "iptables [-t table] -X " "[チェイン]"
+\fBiptables [\-t table] \-X \fP[チェイン]
 .br
-.\"O .BR "iptables [-t table] -P " "chain target [options]"
-.BR "iptables [-t table] -P " "チェイン ターゲット [オプション]"
+\fBiptables [\-t table] \-P \fPチェイン ターゲット [オプション]
 .br
-.\"O .BR "iptables [-t table] -E " "old-chain-name new-chain-name"
-.BR "iptables [-t table] -E " "旧チェイン名 新チェイン名"
-.\"O .SH DESCRIPTION
+\fBiptables [\-t table] \-E \fP旧チェイン名 新チェイン名
 .SH 説明
-.\"O .B Iptables
-.\"O is used to set up, maintain, and inspect the tables of IP packet
-.\"O filter rules in the Linux kernel.  Several different tables
-.\"O may be defined.  Each table contains a number of built-in
-.\"O chains and may also contain user-defined chains.
-.B iptables
-は Linux カーネルの IP パケットフィルタルールのテーブルを
-設定・管理・検査するために使われる。
-複数の異なるテーブルを定義できる。
-各テーブルにはたくさんの組み込み済みチェインが含まれており、
-さらにユーザー定義のチェインを加えることもできる。
+\fBiptables\fP は Linux カーネルの IP パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。
+複数の異なるテーブルを定義できる。 各テーブルにはたくさんの組み込み済みチェインが含まれており、 さらにユーザー定義のチェインを加えることもできる。
 
-.\"O Each chain is a list of rules which can match a set of packets.  Each
-.\"O rule specifies what to do with a packet that matches.  This is called
-.\"O a `target', which may be a jump to a user-defined chain in the same
-.\"O table.
-各チェインは、パケット群にマッチするルールのリストである。
-各ルールはマッチしたパケットに対して何をするかを指定する。
-これは「ターゲット」と呼ばれ、
-同じテーブル内のユーザー定義チェインにジャンプすることもできる。
+各チェインは、パケット群にマッチするルールのリストである。 各ルールは
+マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と
+呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
 
-.\"O .SH TARGETS
 .SH ターゲット
-.\"O A firewall rule specifies criteria for a packet, and a target.  If the
-.\"O packet does not match, the next rule in the chain is the examined; if
-.\"O it does match, then the next rule is specified by the value of the
-.\"O target, which can be the name of a user-defined chain or one of the
-.\"O special values 
-.\"O .IR ACCEPT ,
-.\"O .IR DROP ,
-.\"O .IR QUEUE ,
-.\"O or
-.\"O .IR RETURN .
-ひとつのファイアウォールルールでは、
-パケットを判断する基準とターゲットとが指定される。
+ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
 パケットがマッチしない場合、チェイン内の次のルールが評価される。
-パケットがマッチした場合、
-ターゲットの値が次のルールを指定する。
+パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。
 ターゲットの値は、ユーザー定義チェインの名前、または特別な値
-.IR ACCEPT ,
-.IR DROP ,
-.IR QUEUE ,
-.I RETURN
-のうちの 1 つである。
+\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。
 .PP
-.\"O .I ACCEPT 
-.\"O means to let the packet through.
-.I ACCEPT 
-はパケットを通すという意味である。
-.\"O .I DROP
-.\"O means to drop the packet on the floor.
-.I DROP
-はパケットを床に落す (捨てる) という意味である。
-.\"O .I QUEUE
-.\"O means to pass the packet to userspace (if supported by the kernel).
-.I QUEUE
-はパケットをユーザー空間に渡すという意味である
+\fIACCEPT\fP はパケットを通すという意味である。
+\fIDROP\fP はパケットを床に落す (捨てる) という意味である。
+\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である
 (カーネルがサポートしていればであるが)。
-.\"O .I RETURN
-.\"O means stop traversing this chain and resume at the next rule in the
-.\"O previous (calling) chain.  If the end of a built-in chain is reached
-.\"O or a rule in a built-in chain with target
-.\"O .I RETURN
-.\"O is matched, the target specified by the chain policy determines the
-.\"O fate of the packet.
-.I RETURN
-は、このチェインの検討を中止して、
-以前の (呼び出し元) チェイン内の
-次のルールから検討を再開するという意味である。
-組み込み済みチェインの最後に到達した場合、
-または組み込み済みチェインでターゲット
-.I RETURN
-を持つルールにマッチした場合、
-チェインポリシーで指定されたターゲットが
-パケットの行方を決定する。
-.\"O .SH TABLES
+\fIRETURN\fP は、このチェインを辿るのを中止して、
+前の (呼び出し元) チェインの次のルールから再開するという意味である。
+組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで
+ターゲット \fIRETURN\fP を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが パケットの行方を決定する。
 .SH テーブル
-.\"O There are currently three independent tables (which tables are present
-.\"O at any time depends on the kernel configuration options and which
-.\"O modules are present).
-現在のところ 3 つの独立なテーブルが存在する
-(ある時点でどのテーブルが存在するかは、
-カーネルの設定やどういったモジュールが存在するかに依存する)。
-.TP
-.BI "-t, --table " "table"
-.\"O This option specifies the packet matching table which the command
-.\"O should operate on.  If the kernel is configured with automatic module
-.\"O loading, an attempt will be made to load the appropriate module for
-.\"O that table if it is not already there.
-このオプションは、このコマンドを適用する
-パケットマッチングテーブルを指定する。
-カーネルに自動モジュールローディングが設定されている場合、
+現在のところ 3 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
+.TP 
+\fB\-t, \-\-table \fP\fItable\fP
+このオプションは、このコマンドが操作するパケットマッチングテーブルを
+指定する。 カーネルに自動モジュールローディングが設定されている場合、
 そのテーブルに対する適切なモジュールがまだロードされていなければ、
 そのモジュールがロードされる。
 
-.\"O The tables are as follows:
 テーブルは以下の通りである。
 .RS
-.TP .4i
-.BR "filter" :
-.\"O This is the default table (if no -t option is passed).  It contains
-.\"O the built-in chains
-.\"O .B INPUT
-.\"O (for packets coming into the box itself),
-.\"O .B FORWARD
-.\"O (for packets being routed through the box), and
-.\"O .B OUTPUT
-.\"O (for locally-generated packets).
-(\-t オプションが渡されなければ) これがデフォルトのテーブルである。
-これには
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B OUTPUT
-(ローカルマシンで生成されたパケットに対するチェイン)
-という組み込み済みチェインが含まれる。
-.TP
-.BR "nat" :
-.\"O This table is consulted when a packet that creates a new
-.\"O connection is encountered.  It consists of three built-ins:
-.\"O .B PREROUTING
-.\"O (for altering packets as soon as they come in),
-.\"O .B OUTPUT
-.\"O (for altering locally-generated packets before routing), and
-.\"O .B POSTROUTING
-.\"O (for altering packets as they are about to go out).
-このテーブルは新しい接続を開くようなパケットに対して参照される。
-これには
-.B PREROUTING
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)
-という 3 つの組み込み済みチェインが含まれる。
-.TP
-.BR "mangle" :
-.\"O This table is used for specialized packet alteration.  Until kernel
-.\"O 2.4.17 it had two built-in chains:
-.\"O .B PREROUTING
-.\"O (for altering incoming packets before routing) and
-.\"O .B OUTPUT
-.\"O (for altering locally-generated packets before routing).
-.\"O Since kernel 2.4.18, three other built-in chains are also supported:
-.\"O .B INPUT
-.\"O (for packets coming into the box itself),
-.\"O .B FORWARD
-.\"O (for altering packets being routed through the box), and
-.\"O .B POSTROUTING
-.\"O (for altering packets as they are about to go out).
-このテーブルは特別なパケット変換に使われる。
-これには、カーネル 2.4.17 までは
-.B PREROUTING
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)
-という 2 つの組み込み済みチェインが含まれる。
-カーネル 2.4.18 からは、これらの他に
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)
-という 3 つの組み込み済みチェインも含まれる。
+.TP  .4i
+\fBfilter\fP:
+(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・
+\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・
+\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という
+組み込み済みチェインが含まれる。
+.TP 
+\fBnat\fP:
+このテーブルは新しい接続を開くようなパケットに対して参照される。 これには \fBPREROUTING\fP
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・ \fBOUTPUT\fP
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・ \fBPOSTROUTING\fP
+(パケットが出て行くときに変換するためのチェイン)  という 3 つの組み込み済みチェインが含まれる。
+.TP 
+\fBmangle\fP:
+このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、
+\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する
+ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン
+グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま
+れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に
+入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ
+トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する
+ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。
 .RE
-.\"O .SH OPTIONS
 .SH オプション
-.\"O The options that are recognized by
-.\"O .B iptables
-.\"O can be divided into several different groups.
-.B iptables
-で使えるオプションは、いくつかのグループに分けられる。
-.\"O .SS COMMANDS
+\fBiptables\fP で使えるオプションは、いくつかのグループに分けられる。
 .SS コマンド
-.\"O These options specify the specific action to perform.  Only one of them
-.\"O can be specified on the command line unless otherwise specified
-.\"O below.  For all the long versions of the command and option names, you
-.\"O need to use only enough letters to ensure that
-.\"O .B iptables
-.\"O can differentiate it from all other options.
-これらのオプションは、実行する特定の動作を指定する。
-以下の説明で注記されていない限り、
-コマンドラインで指定できるのはこの中の 1 つだけである。
-長いバージョンのコマンド名とオプション名は、
-.B iptables
-が他のコマンド名やオプション名と区別できる範囲で
-(文字を省略して) 指定することもできる。
-.TP
-.\"O .BI "-A, --append " "chain rule-specification"
-.BI "-A, --append " "チェイン ルールの詳細"
-.\"O Append one or more rules to the end of the selected chain.
-.\"O When the source and/or destination names resolve to more than one
-.\"O address, a rule will be added for each possible address combination.
+これらのオプションは、実行する特定の動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の 1 つだけである。
+長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して)
+指定することもできる。
+.TP 
+\fB\-A, \-\-append \fP\fIchain rule\-specification\fP
 選択されたチェインの最後に 1 つ以上のルールを追加する。
-送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
-可能なアドレスの組合せそれぞれに対してルールが追加される。
-.TP
-.\"O .BI "-D, --delete " "chain rule-specification"
-.BI "-D, --delete " "チェイン ルールの詳細"
+送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された
+場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP
 .ns
-.TP
-.\"O .BI "-D, --delete " "chain rulenum"
-.BI "-D, --delete " "チェイン ルール番号"
-.\"O Delete one or more rules from the selected chain.  There are two
-.\"O versions of this command: the rule can be specified as a number in the
-.\"O chain (starting at 1 for the first rule) or a rule to match.
-選択されたチェインから 1 つ以上のルールを削除する。
-このコマンドには 2 つの使い方がある:
-チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
-マッチするルールを指定する場合である。
-.TP
-.\"O .BR "-I, --insert " "\fIchain\fP [\fIrulenum\fP] \fIrule-specification\fP"
-.BR  "-I, --insert " "\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細"
-.\"O Insert one or more rules in the selected chain as the given rule
-.\"O number.  So, if the rule number is 1, the rule or rules are inserted
-.\"O at the head of the chain.  This is also the default if no rule number
-.\"O is specified.
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
-ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rulenum\fP
+選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
+を指定する場合と、 マッチするルールを指定する場合である。
+.TP 
+\fB\-I, \-\-insert \fP\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細\fP
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
 これはルール番号が指定されない場合のデフォルトでもある。
-.TP
-.\"O .BI "-R, --replace " "chain rulenum rule-specification"
-.BI  "-R, --replace " "チェイン ルール番号 ルールの詳細"
-.\"O Replace a rule in the selected chain.  If the source and/or
-.\"O destination names resolve to multiple addresses, the command will
-.\"O fail.  Rules are numbered starting at 1.
-選択されたチェインでルールを置換する。
+.TP 
+\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP
+選択されたチェインにあるルールを置き換える。
 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
 このコマンドは失敗する。ルール番号は 1 からはじまる。
-.TP
-.\"O .BR "-L, --list " "[\fIchain\fP]"
-.BR  "-L, --list " "[\fIチェイン\fP]"
-.\"O List all rules in the selected chain.  If no chain is selected, all
-.\"O chains are listed.  As every other iptables command, it applies to the
-.\"O specified table (filter is the default), so NAT rules get listed by
-選択されたチェインにある全てのルールを一覧表示する。
-チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
-他の各 iptables コマンドと同様に、指定されたテーブル
-(デフォルトは filter) に対して作用する。
-よって NAT ルールを表示するには以下のようにする。
+.TP 
+\fB\-L, \-\-list \fP[\fIchain\fP]
+選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables
+コマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 よって NAT ルールを表示するには以下のようにする。
 .nf
- iptables -t nat -n -L
+ iptables \-t nat \-n \-L
 .fi
-.\"O Please note that it is often used with the
-.\"O .B -n
-.\"O option, in order to avoid long reverse DNS lookups.
-DNSの逆引きを避けるために、よく
-.B -n
-オプションと共に使用される。
-.\"O It is legal to specify the
-.\"O .B -Z
-.\"O (zero) option as well, in which case the chain(s) will be atomically
-.\"O listed and zeroed.  The exact output is affected by the other
-.\"O arguments given. The exact rules are suppressed until you use
-.\"O .br
-.\"O  iptables -L -v
-.\"O .br
-.B -Z
-(ゼロ化) オプションを同時に指定することもできる。
-この場合、チェインは要素毎にリストされて、
-(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
-出力表示は同時に与えられた他の引き数に影響される。
+DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。
+\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、
+チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト
+カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に
+影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、
+実際のルールそのものは表示されない。
 .nf
- iptables -L -v
+ iptables \-L \-v
 .fi
-を使わない限り (訳注: -v オプションを指定しない限り)、
-実際のルールそのものは表示されない。
-.TP
-.\"O .BR "-F, --flush " "[\fIchain\fP]"
-.BR "-F, --flush " "[\fIチェイン\fP]"
-.\"O Flush the selected chain (all the chains in the table if none is given).
-.\"O This is equivalent to deleting all the rules one by one.
-選択されたチェイン(何も指定しなければテーブル内の全てのチェイン)
-の内容を全消去する。
-これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-.\"O .BR "-Z, --zero " "[\fIchain\fP]"
-.BR "-Z, --zero " "[\fIチェイン\fP]"
-.\"O Zero the packet and byte counters in all chains.  It is legal to
-.\"O specify the
-.\"O .B "-L, --list"
-.\"O (list) option as well, to see the counters immediately before they are
-.\"O cleared. (See above.)
-すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
-クリアされる直前のカウンタを見るために、
-.B "-L, --list"
-(一覧表示) オプションと同時に指定することもできる (上記を参照)。
-.TP
-.\"O .BI "-N, --new-chain " "chain"
-.BI "-N, --new-chain " "チェイン"
-.\"O Create a new user-defined chain by the given name.  There must be no
-.\"O target of that name already.
-指定した名前でユーザー定義チェインを作成する。
-同じ名前のターゲットが既に存在してはならない。
-.TP
-.\"O .BR "-X, --delete-chain " "[\fIchain\fP]"
-.BR "-X, --delete-chain " "[\fIチェイン\fP]"
-.\"O Delete the optional user-defined chain specified.  There must be no references
-.\"O to the chain.  If there are, you must delete or replace the referring
-.\"O rules before the chain can be deleted.  If no argument is given, it
-.\"O will attempt to delete every non-builtin chain in the table.
-指定したユーザー定義チェインを削除する。
-そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを
-削除するか置き換えるかしなければならない。
-引き数が与えられない場合、テーブルにあるチェインのうち
-組み込み済みチェインでないものを全て削除する。
-.TP
-.\"O .BI "-P, --policy " "chain target"
-.BI "-P, --policy " "チェイン ターゲット"
-.\"O Set the policy for the chain to the given target.  See the section
-.\"O .B TARGETS
-.\"O for the legal targets.  Only built-in (non-user-defined) chains can have
-.\"O policies, and neither built-in nor user-defined chains can be policy
-.\"O targets.
-チェインのポリシーを、指定したターゲットに設定する。
-指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
-(ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。
-また、組み込み済みチェインもユーザー定義チェインも
-ポリシーのターゲットに設定することはできない。
-.TP
-.\"O .BI "-E, --rename-chain " "old-chain new-chain"
-.BI  "-E, --rename-chain " "旧チェイン名 新チェイン名"
-.\"O Rename the user specified chain to the user supplied name.  This is
-.\"O cosmetic, and has no effect on the structure of the table.
-ユーザー定義チェインを指定した名前に変更する。
-これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-.B -h
-.\"O Help.
-.\"O Give a (currently very brief) description of the command syntax.
-ヘルプ。
-(今のところはとても簡単な) コマンド書式の説明を表示する。
-.\"O .SS PARAMETERS
+.TP 
+\fB\-F, \-\-flush \fP[\fIchain\fP]
+選択されたチェイン (何も指定されなければテーブル内の全てのチェイン)
+の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと
+同じである。
+.TP 
+\fB\-Z, \-\-zero \fP[\fIchain\fP]
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示)
+オプションと同時に指定することもできる (上記を参照)。
+.TP 
+\fB\-N, \-\-new\-chain \fP\fIchain\fP
+指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。
+.TP 
+\fB\-X, \-\-delete\-chain \fP[\fIchain\fP]
+指定したユーザー定義チェインを削除する。 そのチェインが参照されていては
+ならない。 チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー
+ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。
+.TP 
+\fB\-P, \-\-policy \fP\fIchain target\fP
+チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット
+は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み
+済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも
+ユーザー定義チェインも ポリシーのターゲットに設定することはできない。
+.TP 
+\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP
+ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
+.TP 
+\fB\-h\fP
+ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
 .SS パラメータ
-.\"O The following parameters make up a rule specification (as used in the
-.\"O add, delete, insert, replace and append commands).
-以下のパラメータは (add, delete, insert, 
-replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-.BR "-p, --protocol " "[!] \fIprotocol\fP"
-.\"O The protocol of the rule or of the packet to check.
-.\"O The specified protocol can be one of
-.\"O .IR tcp ,
-.\"O .IR udp ,
-.\"O .IR icmp ,
-.\"O or
-.\"O .IR all ,
-.\"O or it can be a numeric value, representing one of these protocols or a
-.\"O different one.  A protocol name from /etc/protocols is also allowed.
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
-指定できるプロトコルは、
-.IR tcp ,
-.IR udp ,
-.IR icmp ,
-.I all
-のいずれか 1 つか、数値である。
-数値には、これらのプロトコルのどれかないし別のプロトコルを表す
-数値を指定することができる。
-/etc/protocols にあるプロトコル名も指定できる。
-.\"O A "!" argument before the protocol inverts the
-.\"O test.  The number zero is equivalent to
-.\"O .IR all .
-.\"O Protocol
-.\"O .I all
-.\"O will match with all protocols and is taken as default when this
-.\"O option is omitted.
-プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。
-数値 0 は
-.I all
-と等しい。
-プロトコル
-.I all
-は全てのプロトコルとマッチし、
-このオプションが省略された際のデフォルトである。
-.TP
-.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Source specification.
-.\"O .I Address
-.\"O can be either a network name, a hostname (please note that specifying
-.\"O any name to be resolved with a remote query such as DNS is a really bad idea),
-.\"O a network IP address (with /mask), or a plain IP address.
-送信元の指定。
-.I address
-はホスト名
-(DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)
-・ネットワーク IP アドレス (/mask を指定する)・
-通常の IP アドレス、のいずれかである。
-.\"O The
-.\"O .I mask
-.\"O can be either a network mask or a plain number,
-.\"O specifying the number of 1's at the left side of the network mask.
-.I mask
-はネットワークマスクか、
-ネットワークマスクの左側にある 1 の数を指定する数値である。
-.\"O Thus, a mask of
-.\"O .I 24
-.\"O is equivalent to
-.\"O .IR 255.255.255.0 .
-つまり、
-.I 24
-という mask は
-.I 255.255.255.0
-に等しい。
-.\"O A "!" argument before the address specification inverts the sense of
-.\"O the address. The flag
-.\"O .B --src
-.\"O is an alias for this option.
-アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
-フラグ
-.B --src
-は、このオプションの別名である。
-.TP
-.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Destination specification. 
-.\"O See the description of the
-.\"O .B -s
-.\"O (source) flag for a detailed description of the syntax.  The flag
-.\"O .B --dst
-.\"O is an alias for this option.
-送信先の指定。
-書式の詳しい説明については、
-.B -s
-(送信元) フラグの説明を参照すること。
-フラグ
-.B --dst
+以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
+.TP 
+\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP, \fIicmp\fP,
+\fIall\fP のいずれか 1 つか、数値である。 数値には、これらのプロトコルのどれかないし別のプロトコルを表す 数値を指定することができる。
+/etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0
+は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、 このオプションが省略された際のデフォルトである。
+.TP 
+\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP]
+送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)  ・ネットワーク
+IP アドレス (/mask を指定する)・ 通常の IP アドレス、のいずれかである。 \fImask\fP はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI24\fP という mask は \fI255.255.255.0\fP に等しい。
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。
+.TP 
+\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP]
+送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
 は、このオプションの別名である。
-.TP
-.BI "-j, --jump " "target"
-.\"O This specifies the target of the rule; i.e., what to do if the packet
-.\"O matches it.  The target can be a user-defined chain (other than the
-.\"O one this rule is in), one of the special builtin targets which decide
-.\"O the fate of the packet immediately, or an extension (see
-.\"O .B EXTENSIONS
-.\"O below).  If this
-.\"O option is omitted in a rule, then matching the rule will have no
-.\"O effect on the packet's fate, but the counters on the rule will be
-.\"O incremented.
-ルールのターゲット、つまり、
-パケットがマッチした場合にどうするかを指定する。
-ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、
-パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
-拡張されたターゲット (以下の
-.RB 「 ターゲットの拡張 」
-を参照) でもよい。
-このオプションがルールに指定されなかった場合は、
-ルールにマッチしてもパケットの行方に何も影響しないが、
-ルールのカウンタは 1 つ加算される。
-.TP
-.BR "-i, --in-interface " "[!] \fIname\fP"
-.\"O Name of an interface via which a packet is going to be received (only for
-.\"O packets entering the 
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B PREROUTING
-.\"O chains).
-パケットを受信することになるインターフェース名
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインに入るパケットのみ)。
-.\"O When the "!" argument is used before the interface name, the
-.\"O sense is inverted.  If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match.  If this option is
-.\"O omitted, any interface name will match.
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-j, \-\-jump \fP\fItarget\fP
+ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定
+する。ターゲットはユーザー定義チェイン (そのルール自身が入っている
+チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み
+ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を
+参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに
+マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ
+加算される。
+.TP 
+\fB\-i, \-\-in\-interface \fP[!] \fIname\fP
+パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP,
+\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に
+"!" を置くと、 そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意の
+インターフェース名にマッチする。このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.BR "-o, --out-interface " "[!] \fIname\fP"
-.\"O Name of an interface via which a packet is going to be sent (for packets
-.\"O entering the
-.\"O .BR FORWARD ,
-.\"O .B OUTPUT
-.\"O and
-.\"O .B POSTROUTING
-.\"O chains).
-パケットを送信することになるインターフェース名
-.RB ( FORWARD ,
-.BR OUTPUT , 
-.B POSTROUTING
-チェインに入るパケットのみ)。
-.\"O When the "!" argument is used before the interface name, the
-.\"O sense is inverted.  If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match.  If this option is
-.\"O omitted, any interface name will match.
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-o, \-\-out\-interface \fP[!] \fIname\fP
+パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
+チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が
+"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.B "[!] " "-f, --fragment"
-.\"O This means that the rule only refers to second and further fragments
-.\"O of fragmented packets.  Since there is no way to tell the source or
-.\"O destination ports of such a packet (or ICMP type), such a packet will
-.\"O not match any rules which specify them.  When the "!" argument
-.\"O precedes the "-f" flag, the rule will only match head fragments, or
-.\"O unfragmented packets.
-このオプションは、分割されたパケット (fragmented packet) のうち
-2 番目以降のパケットだけを参照するルールであることを意味する。
-このようなパケット (または ICMP タイプのパケット) は
-送信元・送信先ポートを知る方法がないので、
-送信元や送信先を指定するようなルールにはマッチしない。
-"-f" フラグの前に "!" を置くと、
-分割されたパケットのうち最初のものか、
+.TP 
+\fB[!]  \-f, \-\-fragment\fP
+このオプションは、分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。
+このようなパケット (または ICMP タイプのパケット) は 送信元・送信先ポートを知る方法がないので、
+送信元や送信先を指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、 分割されたパケットのうち最初のものか、
 分割されていないパケットだけにマッチする。
-.TP
-.BI "-c, --set-counters " "PKTS BYTES"
-.\"O This enables the administrator to initialize the packet and byte
-.\"O counters of a rule (during
-.\"O .B INSERT,
-.\"O .B APPEND,
-.\"O .B REPLACE
-.\"O operations).
-このオプションを使うと、
-.RB ( insert ,
-.BR append ,
-.B replace
-操作において) 管理者はパケットカウンタとバイトカウンタを
+.TP 
+\fB\-c, \-\-set\-counters \fP\fIPKTS BYTES\fP
+このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
 初期化することができる。
-.\"O .SS "OTHER OPTIONS"
 .SS その他のオプション
-.\"O The following additional options can be specified:
 その他に以下のオプションを指定することができる:
-.TP
-.B "-v, --verbose"
-.\"O Verbose output.  This option makes the list command show the interface
-.\"O name, the rule options (if any), and the TOS masks.  The packet and
-.\"O byte counters are also listed, with the suffix 'K', 'M' or 'G' for
-.\"O 1000, 1,000,000 and 1,000,000,000 multipliers respectively (but see
-.\"O the
-.\"O .B -x
-.\"O flag to change this).
-.\"O For appending, insertion, deletion and replacement, this causes
-.\"O detailed information on the rule or rules to be printed.
-詳細な出力を行う。
-list コマンドの際に、インターフェース名・
-(もしあれば) ルールのオプション・TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。
-添字 'K', 'M', 'G' は、
-それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
-(これを変更する
-.B -x
-フラグも見よ)。
-このオプションを append, insert, delete, replace コマンドに適用すると、
-ルールについての詳細な情報を表示する。
-.TP
-.B "-n, --numeric"
-.\"O Numeric output.
-.\"O IP addresses and port numbers will be printed in numeric format.
-.\"O By default, the program will try to display them as host names,
-.\"O network names, or services (whenever applicable).
-数値による出力を行う。
-IP アドレスやポート番号を数値によるフォーマットで表示する。
-デフォルトでは、iptables は (可能であれば) これらの情報を
+.TP 
+\fB\-v, \-\-verbose\fP
+詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
+倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
+コマンドに適用すると、 ルールについての詳細な情報を表示する。
+.TP 
+\fB\-n, \-\-numeric\fP
+数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット
+で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を
 ホスト名・ネットワーク名・サービス名で表示しようとする。
-.TP
-.B "-x, --exact"
-.\"O Expand numbers.
-.\"O Display the exact value of the packet and byte counters,
-.\"O instead of only the rounded number in K's (multiples of 1000)
-.\"O M's (multiples of 1000K) or G's (multiples of 1000M).  This option is
-.\"O only relevant for the 
-.\"O .B -L
-.\"O command.
-厳密な数値で表示する。
-パケットカウンタとバイトカウンタを、
-K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
-厳密な値で表示する。
-このオプションは、
-.B -L
-コマンドとしか関係しない。
-.TP
-.B "--line-numbers"
-.\"O When listing rules, add line numbers to the beginning of each rule,
-.\"O corresponding to that rule's position in the chain.
-ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
-行番号を各行の始めに付加する。
-.TP
-.B "--modprobe=command"
-.\"O When adding or inserting rules into a chain, use
-.\"O .B command
-.\"O to load any necessary modules (targets, match extensions, etc).
-チェインにルールを追加または挿入する際に、
-(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
-.B command
+.TP 
+\fB\-x, \-\-exact\fP
+厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
+ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。
+.TP 
+\fB\-\-line\-numbers\fP
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。
+.TP 
+\fB\-\-modprobe=command\fP
+チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP
 を指定する。
-.\"O .SH MATCH EXTENSIONS
 .SH マッチングの拡張
-.\"O iptables can use extended packet matching modules.  These are loaded
-.\"O in two ways: implicitly, when
-.\"O .B -p
-.\"O or
-.\"O .B --protocol
-.\"O is specified, or with the
-.\"O .B -m
-.\"O or
-.\"O .B --match
-.\"O options, followed by the matching module name;
-iptables は拡張されたパケットマッチングモジュールを使うことができる。
-これらのモジュールは 2 種類の方法でロードされる:
-モジュールは、
-.B -p
-または
-.B --protocol
-で暗黙のうちに指定されるか、
-.B -m
-または
-.B --match
-の後にモジュール名を続けて指定される。
-.\"O after these, various
-.\"O extra command line options become available, depending on the specific
-.\"O module.  You can specify multiple extended match modules in one line,
-.\"O and you can use the
-.\"O .B -h
-.\"O or
-.\"O .B --help
-.\"O options after the module has been specified to receive help specific
-.\"O to that module.
-これらのモジュールの後ろには、モジュールに応じて
-他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを一行で指定することができる。
-また、モジュールに特有のヘルプを表示させるためには、
-モジュールを指定した後で
-.B -h
-または
-.B --help
-を指定すればよい。
+iptables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、
+\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP
+の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを一行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で \fB\-h\fP
+または \fB\-\-help\fP を指定すればよい。
 
-.\"O The following are included in the base package, and most of these can
-.\"O be preceded by a
-.\"O .B !
-.\"O to invert the sense of the match.
-以下の拡張がベースパッケージに含まれている。
-大部分のものは、
-.B !
-を前におくことによって
-マッチングの意味を逆にできる。
+以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を
+前におくことによってマッチングの意味を逆にできる。
 .SS ah
-.\"O This module matches the SPIs in AH header of IPSec packets.
-このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。 
-.TP
-.BR "--ahspi " "[!] \fIspi\fP[:\fIspi\fP]"
+このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。
+.TP 
+\fB\-\-ahspi \fP[!] \fIspi\fP[:\fIspi\fP]
 .SS conntrack
-.\"O This module, when combined with connection tracking, allows access to
-.\"O more connection tracking information than the "state" match.
-.\"O (this module is present only if iptables was compiled under a kernel
-.\"O supporting this feature)
-このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-"state" マッチよりもさらに多くの、
-パケットについての接続追跡状態を知ることができる
-(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 "state" マッチよりもさらに多くの、
+パケットについての接続追跡状態を知ることができる (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
 にのみ、このモジュールは存在する)。
-.TP
-.BI "--ctstate " "state"
-.\"O Where state is a comma separated list of the connection states to
-.\"O match. Possible states are
-.\"O .B INVALID
-.\"O meaning that the packet could not be identified for some reason which
-.\"O includes running out of memory and ICMP errors which don't correspond to any
-.\"O known connection,
-.\"O .B ESTABLISHED
-.\"O meaning that the packet is associated with a connection which has seen
-.\"O packets in both directions,
-state は、マッチング対象となる、コンマ区切りの接続状態リストである。
-指定可能な state は以下の通り。
-.BR INVALID :
-メモリを使い果たした為や、
-既知の接続とは対応しない ICMP エラーなど、
-何らかの理由によりパケットが識別できない。
-.BR ESTABLISHED :
-このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
-.\"O .B NEW
-.\"O meaning that the packet has started a new connection, or otherwise
-.\"O associated with a connection which has not seen packets in both
-.\"O directions, and
-.BR NEW :
-このパケットが新しい接続を開始したか、
-双方向にはパケットがやり取りされていない接続に属するパケットである。
-.\"O .B RELATED
-.\"O meaning that the packet is starting a new connection, but is
-.\"O associated with an existing connection, such as an FTP data transfer,
-.\"O or an ICMP error.
-.BR RELATED :
-このパケットが新しい接続を開始しているが、
-FTP データ転送や ICMP エラーのように、既存の接続に関係している。
-.\"O .B SNAT
-.\"O A virtual state, matching if the original source address differs from
-.\"O the reply destination.
-.BR SNAT :
-仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと
-異なる場合にマッチする。
-.\"O .B DNAT
-.\"O A virtual state, matching if the original destination differs from the
-.\"O reply source.
-.BR DNAT :
-仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと
-異なる場合にマッチする。
-.TP
-.BI "--ctproto " "proto"
-.\"O Protocol to match (by number or name)
+.TP 
+\fB\-\-ctstate \fP\fIstate\fP
+state は、マッチング対象となる、コンマ区切りの接続状態リストである。 指定可能な state は以下の通り。 \fBINVALID\fP:
+メモリを使い果たした為や、 既知の接続とは対応しない ICMP エラーなど、 何らかの理由によりパケットが識別できない。 \fBESTABLISHED\fP:
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP
+データ転送や ICMP エラーのように、既存の接続に関係している。 \fBSNAT\fP:
+仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと 異なる場合にマッチする。 \fBDNAT\fP:
+仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと 異なる場合にマッチする。
+.TP 
+\fB\-\-ctproto \fP\fIproto\fP
 (名前または数値で) 指定されたプロトコルにマッチする。
-.TP
-.BI "--ctorigsrc " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Match against original source address
+.TP 
+\fB\-\-ctorigsrc \fP\fI[!] address[/mask]\fP
 書き換え前の送信元アドレスにマッチする。
-.TP
-.BI "--ctorigdst " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Match against original destination address
+.TP 
+\fB\-\-ctorigdst \fP\fI[!] address[/mask]\fP
 書き換え前の宛先アドレスにマッチする。
-.TP
-.BI "--ctreplsrc " "[!] \fIaddress\fP[/\fImask\fP]"
-.\"O Match against reply source address
+.TP 
+\fB\-\-ctreplsrc \fP\fI[!] address[/mask]\fP
 応答の送信元アドレスにマッチする。
-.TP
-.BI "--ctrepldst " "[!] \fIaddress\fB[/\fImask\fP]"
-.\"O Match against reply destination address
+.TP 
+\fB\-\-ctrepldst \fP\fI[!] address\fP\fB[/\fP\fImask\fP\fB]\fP
 応答の宛先アドレスにマッチする。
-.TP
-.BI "--ctstatus " "[\fINONE|EXPECTED|SEEN_REPLY|ASSURED\fP][,...]"
-.\"O Match against internal conntrack states
+.TP 
+\fB\-\-ctstatus \fP\fI[NONE|EXPECTED|SEEN_REPLY|ASSURED][,...]\fP
 接続追跡の内部的な状態にマッチする。
-.TP
-.BI "--ctexpire " "\fItime\fP[\fI:time\fP]"
-.\"O Match remaining lifetime in seconds against given value
-.\"O or range of values (inclusive)
+.TP 
+\fB\-\-ctexpire \fP\fItime[:time]\fP
 有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。
 .SS dscp
-.\"O This module matches the 6 bit DSCP field within the TOS field in the
-.\"O IP header.  DSCP has superseded TOS within the IETF.
-このモジュールは、IP ヘッダーの TOS フィールド内にある、
-6 bit の DSCP フィールドにマッチする。
-IETF では DSCP が TOS に取って代わった。
-.TP
-.BI "--dscp " "value"
-.\"O Match against a numeric (decimal or hex) value [0-32].
-.\"O motoki: patch [JM:12854]
+このモジュールは、IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が
+TOS に取って代わった。
+.TP 
+\fB\-\-dscp \fP\fIvalue\fP
 (10 進または 16 進の) 数値 [0\-63] にマッチする。
-.TP
-.BI "--dscp-class " "\fIDiffServ Class\fP"
-.\"O Match the DiffServ class. This value may be any of the
-.\"O BE, EF, AFxx or CSx classes.  It will then be converted
-.\"O into it's according numeric value.
-DiffServ クラスにマッチする。
-値は BE, EF, AFxx, CSx クラスのいずれかである。
+.TP 
+\fB\-\-dscp\-class \fP\fIDiffServ Class\fP
+DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。
 これらは、対応する数値で指定するのと同じである。
 .SS esp
-.\"O This module matches the SPIs in ESP header of IPSec packets.
-このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。 
-.TP
-.BR "--espspi " "[!] \fIspi\fP[:\fIspi\fP]"
+このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。
+.TP 
+\fB\-\-espspi \fP[!] \fIspi\fP[:\fIspi\fP]
 .SS helper
-.\"O This module matches packets related to a specific conntrack-helper.
-このモジュールは、指定された接続追跡ヘルパーモジュールに
-関連するパケットにマッチする。
-.TP
-.BI "--helper " "string"
-.\"O Matches packets related to the specified conntrack-helper.
-指定された接続追跡ヘルパーモジュールに
-関連するパケットにマッチする。
+このモジュールは、指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。
+.TP 
+\fB\-\-helper \fP\fIstring\fP
+指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。
 .RS
 .PP
-.\"O string can be "ftp" for packets related to a ftp-session on default port.
-.\"O For other ports append -portnr to the value, ie. "ftp-2121".
-デフォルトのポートを使った ftp-セッションに関連するパケットでは、
-string に "ftp" と書ける。
-他のポートでは "\-ポート番号" を値に付け加える。
-すなわち "ftp-2121" となる。
+デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号"
+を値に付け加える。 すなわち "ftp\-2121" となる。
 .PP
-.\"O Same rules apply for other conntrack-helpers.
 他の接続追跡ヘルパーでも同じルールが適用される。
 .RE
 .SS icmp
-.\"O This extension is loaded if `--protocol icmp' is specified.  It
-.\"O provides the following option:
-この拡張は `--protocol icmp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--icmp-type " "[!] \fItypename\fP"
-.\"O This allows specification of the ICMP type, which can be a numeric
-.\"O ICMP type, or one of the ICMP type names shown by the command
-数値の ICMP タイプ、またはコマンド
+この拡張は `\-\-protocol icmp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-icmp\-type \fP[!] \fItypename\fP
+ICMP タイプを指定できる。タイプ指定には、 数値の ICMP タイプ、または以下のコマンド で表示される ICMP タイプ名を指定できる。
 .nf
- iptables -p icmp -h
+ iptables \-p icmp \-h
 .fi
-で表示される ICMP タイプ名を指定できる。
 .SS length
-.\"O This module matches the length of a packet against a specific value
-.\"O or range of values.
 このモジュールは、指定されたパケット長、またはその範囲にマッチする。
-.TP
-.BR "--length " "\fIlength\fP[:\fIlength\fP]"
+.TP 
+\fB\-\-length \fP\fIlength\fP[:\fIlength\fP]
 .SS limit
-.\"O This module matches at a limited rate using a token bucket filter.
-このモジュールは、トークンバケツフィルタを使い、
-単位時間あたり制限された回数だけマッチする。
-.\"O A rule using this extension will match until this limit is reached
-.\"O (unless the `!' flag is used).  It can be used in combination with the
-.\"O .B LOG
-.\"O target to give limited logging, for example.
-この拡張を使ったルールは、(`!' フラグが指定されない限り)
-制限に達するまでマッチする。
-このモジュールは例えば、ログ記録を制限するために
-.B LOG
-ターゲットと組み合わせて使うことができる。
-.TP
-.BI "--limit " "rate"
-.\"O Maximum average matching rate: specified as a number, with an optional
-.\"O `/second', `/minute', `/hour', or `/day' suffix; the default is
-.\"O 3/hour.
-単位時間あたりの平均マッチ回数の最大値。
-数値で指定され、添字 `/second', `/minute',
-`/hour', `/day' を付けることもできる。
-デフォルトは 3/hour である。
-.TP
-.BI "--limit-burst " "number"
-.\"O Maximum initial number of packets to match: this number gets
-.\"O recharged by one every time the limit specified above is not reached,
-.\"O up to this number; the default is 5.
-パケットがマッチする回数の最大初期値:
-マッチ回数の最大値は、
-上のオプションで指定した制限に達しなければ、
-その度ごとに、この数値になるまで 1 個ずつ増やされる。
+このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され
+た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され
+ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録
+を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
+.TP 
+\fB\-\-limit \fP\fIrate\fP
+単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day'
+を付けることもできる。 デフォルトは 3/hour である。
+.TP 
+\fB\-\-limit\-burst \fP\fInumber\fP
+パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に
+達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。
 デフォルトは 5 である。
 .SS mac
-.TP
-.BR "--mac-source " "[!] \fIaddress\fP"
-.\"O Match source MAC address.  It must be of the form XX:XX:XX:XX:XX:XX.
-.\"O Note that this only makes sense for packets coming from an Ethernet device
-.\"O and entering the
-.\"O .BR PREROUTING ,
-.\"O .B FORWARD
-.\"O or
-.\"O .B INPUT
-.\"O chains.
-送信元 MAC アドレスにマッチする。
-.I address
-は XX:XX:XX:XX:XX:XX という形式でなければならない。
-イーサーネットデバイスから入ってくるパケットで、
-.BR PREROUTING ,
-.BR FORWARD ,
-.B INPUT
-チェインに入るパケットにしか意味がない。
+.TP 
+\fB\-\-mac\-source \fP[!] \fIaddress\fP
+送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
+いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ
+トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
+意味がない。
 .SS mark
-.\"O This module matches the netfilter mark field associated with a packet
-.\"O (which can be set using the
-.\"O .B MARK
-.\"O target below).
-このモジュールはパケットに関連づけられた
-netfilter の mark フィールドにマッチする
-(このフィールドは、以下の
-.B MARK
+このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP
 ターゲットで設定される)。
-.TP
-.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-.\"O Matches packets with the given unsigned mark value (if a mask is
-.\"O specified, this is logically ANDed with the mask before the
-.\"O comparison).
-指定された符号なし mark 値のパケットにマッチする
-(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
+.TP 
+\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP]
+指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
 .SS multiport
-.\"O This module matches a set of source or destination ports.  Up to 15
-.\"O ports can be specified.  It can only be used in conjunction with
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" .
-このモジュールは送信元や送信先のポートの集合にマッチする。
-ポートは 15 個まで指定できる。
-このモジュールは
-.B "-p tcp"
-または
-.B "-p udp"
-と組み合わせて使うことしかできない。
-.TP
-.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the source port is one of the given ports.  The flag
-.\"O .B --sports
-.\"O is a convenient alias for this option.
-送信元ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --sports
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the destination port is one of the given ports.  The flag
-.\"O .B --dports
-.\"O is a convenient alias for this option.
+このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p
+udp\fP と組み合わせて使うことしかできない。
+.TP 
+\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
 宛先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --dports
-は、このオプションの便利な別名である。
-.TP
-.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-.\"O Match if the both the source and destination ports are equal to each
-.\"O other and to one of the given ports.
-送信元ポートと宛先ポートが等しく、
-かつそのポートが指定されたポートのうちのいずれかであればマッチする。
+フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの
+うちのいずれかであればマッチする。
 .SS owner
-.\"O This module attempts to match various characteristics of the packet
-.\"O creator, for locally-generated packets.  It is only valid in the
-.\"O .B OUTPUT
-.\"O chain, and even this some packets (such as ICMP ping responses) may
-.\"O have no owner, and hence never match.
-このモジュールは、ローカルで生成されたパケットに付いて、
-パケット生成者のいろいろな特性に対してマッチを行う。
-これは
-.B OUTPUT
-チェインのみでしか有効でない。
-また、(ICMP ping 応答のような) パケットは、
-所有者がいないので絶対にマッチしない。
-.TP
-.BI "--uid-owner " "userid"
-.\"O Matches if the packet was created by a process with the given
-.\"O effective user id.
-指定された実効ユーザー ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--gid-owner " "groupid"
-.\"O Matches if the packet was created by a process with the given
-.\"O effective group id.
-指定された実効グループ ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--pid-owner " "processid"
-.\"O Matches if the packet was created by a process with the given
-.\"O process id.
-指定されたプロセス ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--sid-owner " "sessionid"
-.\"O Matches if the packet was created by a process in the given session
-.\"O group.
-指定されたセッショングループのプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--cmd-owner " "name"
-.\"O Matches if the packet was created by a process with the given command name.
-.\"O (this option is present only if iptables was compiled under a kernel
-.\"O supporting this feature)
-指定されたコマンド名を持つプロセスにより
-パケットが生成されている場合にマッチする
-(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
-にのみ、このモジュールは存在する)。
+このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性に対してマッチを行う。 これは \fBOUTPUT\fP
+チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。
+.TP 
+\fB\-\-uid\-owner \fP\fIuserid\fP
+指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-gid\-owner \fP\fIgroupid\fP
+指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-pid\-owner \fP\fIprocessid\fP
+指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-sid\-owner \fP\fIsessionid\fP
+指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-cmd\-owner \fP\fIname\fP
+指定されたコマンド名を持つプロセスにより パケットが生成されている場合にマッチする (この機能をサポートしたカーネルのもとで iptables
+がコンパイルされた場合 にのみ、このモジュールは存在する)。
 .SS physdev
-.\"O This module matches on the bridge port input and output devices enslaved
-.\"O to a bridge device. This module is a part of the infrastructure that enables
-.\"O a transparent bridging IP firewall and is only useful for kernel versions
-.\"O above version 2.5.44.
-このモジュールは、ブリッジデバイスのスレーブにされた、
-ブリッジポートの入出力デバイスにマッチする。
-このモジュールは、ブリッジによる透過的な
-IP ファイアウォールの基盤の一部であり、
-カーネルバージョン 2.5.44 以降でのみ有効である。
-.TP
-.B --physdev-in name
-.\"O Name of a bridge port via which a packet is received (only for
-.\"O packets entering the
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B PREROUTING
-.\"O chains). If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match. If the packet didn't arrive
-.\"O through a bridge device, this packet won't match this option, unless '!' is used.
-パケットが受信されるブリッジのポート名
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインに入るパケットのみ)。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-ブリッジデバイスを通して受け取られなかったパケットは、
-\&'!' が指定されていない限り、このオプションにマッチしない。
-.\"O sato: 最後の一文は意訳ぎみかも
-.TP
-.B --physdev-out name
-.\"O Name of a bridge port via which a packet is going to be sent (for packets
-.\"O entering the
-.\"O .BR FORWARD ,
-.\"O .B OUTPUT
-.\"O and
-.\"O .B POSTROUTING
-.\"O chains).  If the interface name ends in a "+", then any
-.\"O interface which begins with this name will match. Note that in the
-.\"O .BR nat " and " mangle
-.\"O .B OUTPUT
-.\"O chains one cannot match on the bridge output port, however one can in the
-.\"O .B "filter OUTPUT"
-.\"O chain. If the packet won't leave by a bridge device or it is yet unknown what
-.\"O the output device will be, then the packet won't match this option, unless
-.\"O '!' is used.
-パケットを送信することになるブリッジのポート名
-.RB ( FORWARD ,
-.BR OUTPUT , 
-.B POSTROUTING
-チェインに入るパケットのみ)。 
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-.B nat
-と
-.B mangle
-テーブルの
-.B OUTPUT
-チェインではブリッジの出力ポートにマッチさせることができないが、
-.B filter
-テーブルの
-.B OUPUT
-チェインではマッチ可能である。
-パケットがブリッジデバイスから送られなかった場合、
-またはパケットの出力デバイスが不明であった場合は、
+このモジュールは、ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、ブリッジによる透過的な IP
+ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。
+.TP 
+\fB\-\-physdev\-in name\fP
+パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。
+ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、このオプションにマッチしない。
+.TP 
+\fB\-\-physdev\-out name\fP
+パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
+チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP
+と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの
+\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、
 \&'!' が指定されていない限り、パケットはこのオプションにマッチしない。
-.TP
-.B --physdev-is-in
-.\"O Matches if the packet has entered through a bridge interface.
+.TP 
+\fB\-\-physdev\-is\-in\fP
 パケットがブリッジインターフェースに入った場合にマッチする。
-.TP
-.B --physdev-is-out
-.\"O Matches if the packet will leave through a bridge interface.
+.TP 
+\fB\-\-physdev\-is\-out\fP
 パケットがブリッジインターフェースから出ようとした場合にマッチする。
-.TP
-.B --physdev-is-bridged
-.\"O Matches if the packet is being bridged and therefore is not being routed.
-.\"O This is only useful in the FORWARD and POSTROUTING chains.
-パケットがブリッジされることにより、
-ルーティングされなかった場合にマッチする。
-これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。
+.TP 
+\fB\-\-physdev\-is\-bridged\fP
+パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING
+チェインにおいてのみ役立つ。
 .SS pkttype
-.\"O This module matches the link-layer packet type.
 このモジュールは、リンク層のパケットタイプにマッチする。
-.TP
-.BI "--pkt-type " "[\fIunicast\fP|\fIbroadcast\fP|\fImulticast\fP]"
+.TP 
+\fB\-\-pkt\-type \fP\fI[unicast|broadcast|multicast]\fP
 .SS state
-.\"O This module, when combined with connection tracking, allows access to
-.\"O the connection tracking state for this packet.
-このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-パケットについての接続追跡状態を知ることができる。
-.TP
-.BI "--state " "state"
-.\"O Where state is a comma separated list of the connection states to
-.\"O match.  Possible states are 
-.\"O .B INVALID
-.\"O meaning that the packet is associated with no known connection,
-.\"O .B ESTABLISHED
-.\"O meaning that the packet is associated with a connection which has seen
-.\"O packets in both directions,
-state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
-指定可能な state は以下の通り。
-.BR INVALID :
-このパケットは既知の接続と関係していない。
-.BR ESTABLISHED :
-このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
-.\"O .B NEW
-.\"O meaning that the packet has started a new connection, or otherwise
-.\"O associated with a connection which has not seen packets in both
-.\"O directions, and
-.BR NEW :
-このパケットが新しい接続を開始したか、
-双方向にはパケットがやり取りされていない接続に属するパケットである。
-.\"O .B RELATED
-.\"O meaning that the packet is starting a new connection, but is
-.\"O associated with an existing connection, such as an FTP data transfer,
-.\"O or an ICMP error.
-.BR RELATED :
-このパケットが新しい接続を開始しているが、
-FTP データ転送や ICMP エラーのように、既存の接続に関係している。
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 パケットについての接続追跡状態を知ることができる。
+.TP 
+\fB\-\-state \fP\fIstate\fP
+state は、マッチングを行うための、コンマで区切られた接続状態のリストである。 指定可能な state は以下の通り。 \fBINVALID\fP:
+このパケットは既知の接続と関係していない。 \fBESTABLISHED\fP:
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP
+データ転送や ICMP エラーのように、既存の接続に関係している。
 .SS tcp
-.\"O These extensions are loaded if `--protocol tcp' is specified. It
-.\"O provides the following options:
-これらの拡張は `--protocol tcp' が指定され場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Source port or port range specification. This can either be a service
-.\"O name or a port number. An inclusive range can also be specified,
-.\"O using the format
-.\"O .IR port : port .
-送信元ポートまたはポート範囲の指定。
-サービス名またはポート番号を指定できる。
-.IR port : port
-という形式で、2 つの番号を含む範囲を指定することもできる。
-.\"O If the first port is omitted, "0" is assumed; if the last is omitted,
-.\"O "65535" is assumed.
-.\"O If the second port greater then the first they will be swapped.
-.\"O The flag
-.\"O .B --sport
-.\"O is a convenient alias for this option.
-最初のポートを省略した場合、"0" を仮定する。
-最後のポートを省略した場合、"65535" を仮定する。
-最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。
-.\"tsekine 原文が間違ってそう
-フラグ
-.B --sport
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Destination port or port range specification.  The flag
-.\"O .B --dport
-.\"O is a convenient alias for this option.
-送信先ポートまたはポート範囲の指定。
-フラグ
-.B --dport
-は、このオプションの便利な別名である。
-.TP
-.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-.\"O Match when the TCP flags are as specified.  The first argument is the
-.\"O flags which we should examine, written as a comma-separated list, and
-.\"O the second argument is a comma-separated list of flags which must be
-.\"O set.  Flags are:
-.\"O .BR "SYN ACK FIN RST URG PSH ALL NONE" .
-TCP フラグが指定されたものと等しい場合にマッチする。
-第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。
-第 2 引き数はこのうち設定されていなければならないフラグで、
-コンマ区切りのリストである。
-指定できるフラグは
-.B "SYN ACK FIN RST URG PSH ALL NONE"
-である。
-.\"O Hence the command
-.\"O .nf
-.\"O  iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
-.\"O .fi
-.\"O will only match packets with the SYN flag set, and the ACK, FIN and
-.\"O RST flags unset.
-よって、コマンド
+これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で
+きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること
+もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを
+省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい
+場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利
+な別名である。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP
+TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価
+対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定
+しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ
+グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド
 .nf
- iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
+ iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
 .fi
-は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
-パケットにのみマッチする。
-.TP
-.B "[!] --syn"
-.\"O Only match TCP packets with the SYN bit set and the ACK and RST bits
-.\"O cleared.  Such packets are used to request TCP connection initiation;
-.\"O for example, blocking such packets coming in an interface will prevent
-.\"O incoming TCP connections, but outgoing TCP connections will be
-.\"O unaffected.
-.\"O It is equivalent to \fB--tcp-flags SYN,RST,ACK SYN\fP.
-.\"O If the "!" flag precedes the "--syn", the sense of the
-.\"O option is inverted.
-SYN ビットが設定され ACK と RST ビットがクリアされている
-TCP パケットにのみマッチする。
-このようなパケットは TCP 接続の開始要求に使われる。
-例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
-内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
-これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
-"--syn" の前に "!" フラグを置くと、
-SYN ビットがクリアされ ACK と RST ビットが設定されている
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
+.TP 
+\fB[!] \-\-syn\fP
+SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに
+のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え
+ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ
+は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
+を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
 TCP パケットにのみマッチする。
-.TP
-.BR "--tcp-option " "[!] \fInumber\fP"
-.\"O Match if TCP option set.
+.TP 
+\fB\-\-tcp\-option \fP[!] \fInumber\fP
 TCP オプションが設定されている場合にマッチする。
-.TP
-.BR "--mss " "\fIvalue\fP[:\fIvalue\fP]"
-.\"O Match TCP SYN or SYN/ACK packets with the specified MSS value (or range),
-.\"O which control the maximum packet size for that connection.
-指定された MSS 値 (の範囲) を持つ TCP の 
-SYN または SYN/ACK パケットにマッチする。
-MSS は接続に対するパケットの最大サイズを制御する。
+.TP 
+\fB\-\-mss \fP\fIvalue\fP[:\fIvalue\fP]
+指定された MSS 値 (の範囲) を持つ TCP の SYN または SYN/ACK パケットにマッチする。 MSS
+は接続に対するパケットの最大サイズを制御する。
 .SS tos
-.\"O This module matches the 8 bits of Type of Service field in the IP
-.\"O header (ie. including the precedence bits).
-このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)
-Type of Service フィールドにマッチする。
-.TP
-.BI "--tos " "tos"
-.\"O The argument is either a standard name, (use
-.\"O .br
-.\"O  iptables -m tos -h
-.\"O .br
-.\"O to see the list), or a numeric value to match.
-引き数は、マッチを行う標準的な名前でも数値でもよい
-(名前のリストを見るには
-.nf
- iptables -m tos -h
-.fi
+このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)  Type of Service フィールドにマッチする。
+.TP 
+\fB\-\-tos \fP\fItos\fP
+引き数は、マッチを行う標準的な名前でも数値でもよい (名前のリストを見るには
+.br
+ iptables \-m tos \-h
+.br
 を使うこと)。
 .SS ttl
-.\"O This module matches the time to live field in the IP header.
 このモジュールは IP ヘッダーの time to live フィールドにマッチする。
-.TP
-.BI "--ttl " "ttl"
-.\"O Matches the given TTL value.
+.TP 
+\fB\-\-ttl \fP\fIttl\fP
 指定された TTL 値にマッチする。
 .SS udp
-.\"O These extensions are loaded if `--protocol udp' is specified.  It
-.\"O provides the following options:
-これらの拡張は `--protocol udp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Source port or port range specification.
-.\"O See the description of the
-.\"O .B --source-port
-.\"O option of the TCP extension for details.
-送信元ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --source-port
-オプションの説明を参照すること。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-.\"O Destination port or port range specification.
-.\"O See the description of the
-.\"O .B --destination-port
-.\"O option of the TCP extension for details.
-送信先ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --destination-port
-オプションの説明を参照すること。
+これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
 .SS unclean
-.\"O This module takes no options, but attempts to match packets which seem
-.\"O malformed or unusual.  This is regarded as experimental.
-このモジュールにはオプションがないが、
-おかしく正常でないように見えるパケットにマッチする。
-これは実験的なものとして扱われている。
-.\"O .SH TARGET EXTENSIONS
+このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。
 .SH ターゲットの拡張
-.\"O iptables can use extended target modules: the following are included
-.\"O in the standard distribution.
-iptables は拡張ターゲットモジュールを使うことができる:
-以下のものが、標準的なディストリビューションに含まれている。
+iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。
 .SS DNAT
-.\"O This target is only valid in the
-.\"O .B nat
-.\"O table, in the
-.\"O .B PREROUTING
-.\"O and
-.\"O .B OUTPUT
-.\"O chains, and user-defined chains which are only called from those
-.\"O chains.  It specifies that the destination address of the packet
-.\"O should be modified (and all future packets in this connection will
-.\"O also be mangled), and rules should cease being examined.  It takes one
-.\"O type of option:
-このターゲットは
-.B nat
-テーブルの
-.BR PREROUTING ,
-.B OUTPUT
-チェイン、これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。
-このターゲットはパケットの送信先アドレスを修正する
-(この接続の以降のパケットも修正して分からなく (mangle) する)。
-さらに、ルールによるチェックを止めさせる。
-このターゲットにはオプションが 1 種類ある:
-.TP
-.BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\"O which can specify a single new destination IP address, an inclusive
-.\"O range of IP addresses, and optionally, a port range (which is only
-.\"O valid if the rule also specifies
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" ).
-.\"O If no port range is specified, then the destination port will never be
-.\"O modified.
-1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
-ポートの範囲を指定することもできる
-(これはルールで
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効)。
-ポートの範囲が指定されていない場合、送信先ポートは変更されない。
+このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信先アドレスを修正する (この接続の以降のパケットも修正して分からなく
+(mangle) する)。 さらに、ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある:
+.TP 
+\fB\-\-to\-destination \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP]
+1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで \fB\-p
+tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、送信先ポートは変更されない。
 .RS
 .PP
-.\"O You can add several --to-destination options.  If you specify more
-.\"O than one destination address, either via an address range or multiple
-.\"O --to-destination options, a simple round-robin (one after another in
-.\"O cycle) load balancing takes place between these adresses.
-複数の --to-destination オプションを指定することができる。
-アドレスの範囲によって、
-もしくは複数の --to-destination オプションによって
-2 つ以上の送信先アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビン
-(順々に循環させる) がおこなわれる。
-.RE
+複数の \-\-to\-destination オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-destination
+オプションによって 2 つ以上の送信先アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。
 .SS DSCP
-.\"O This target allows to alter the value of the DSCP bits within the TOS
-.\"O header of the IPv4 packet.  As this manipulates a packet, it can only
-.\"O be used in the mangle table.
-このターゲットは、IPv4 パケットの TOS ヘッダーにある
-DSCP ビットの値の書き換えを可能にする。
-これはパケットを操作するので、mangle テーブルでのみ使用できる。
-.TP
-.BI "--set-dscp " "value"
-.\"O Set the DSCP field to a numerical value (can be decimal or hex)
+このターゲットは、IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、mangle
+テーブルでのみ使用できる。
+.TP 
+\fB\-\-set\-dscp \fP\fIvalue\fP
 DSCP フィールドの数値を設定する (10 進または 16 進)。
-.TP
-.BI "--set-dscp-class " "class"
-.\"O Set the DSCP field to a DiffServ class.
+.TP 
+\fB\-\-set\-dscp\-class \fP\fIclass\fP
 DSCP フィールドの DiffServ クラスを設定する。
 .SS ECN
-.\"O This target allows to selectively work around known ECN blackholes.
-.\"O It can only be used in the mangle table.
-このターゲットは ECN ブラックホール問題への対処を可能にする。
-mangle テーブルでのみ使用できる。
-.TP
-.BI "--ecn-tcp-remove"
-.\"O Remove all ECN bits from the TCP header.  Of course, it can only be used
-.\"O in conjunction with
-.\"O .BR "-p tcp" .
-TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。
-当然、
-.B "-p tcp"
+このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。
+.TP 
+\fB\-\-ecn\-tcp\-remove\fP
+TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
 オプションとの組合わせでのみ使用できる。
 .SS LOG
-.\"O Turn on kernel logging of matching packets.  When this option is set
-.\"O for a rule, the Linux kernel will print some information on all
-.\"O matching packets (like most IP header fields) via the kernel log
-.\"O (where it can be read with
-.\"O .I dmesg
-.\"O or 
-.\"O .IR syslogd (8)).
-マッチしたパケットをカーネルログに記録する。
-このオプションがルールに対して設定されると、
-Linux カーネルはマッチしたパケットについての
-(大部分の IP ヘッダーフィールドのような) 何らかの情報を
-カーネルログに表示する
-(カーネルログは
-.I dmesg
-または
-.IR syslogd (8)
-で見ることができる)。
-.\"O This is a "non-terminating target", i.e. rule traversal continues at
-.\"O the next rule.  So if you want to LOG the packets you refuse, use two
-.\"O separate rules with the same matching criteria, first using target LOG
-.\"O then DROP (or REJECT).
-これは "非終了ターゲット" である。
-すなわち、ルールの検討は、次のルールへと継続される。
-よって、拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、
-最初のルールで LOG ターゲットを、
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての
+(大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または
+\fIsyslogd\fP(8)  で見ることができる)。 これは "非終了ターゲット" である。 すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、
 次のルールで DROP (または REJECT) ターゲットを指定する。
-.TP
-.BI "--log-level " "level"
-.\"O Level of logging (numeric or see \fIsyslog.conf\fP(5)).
-ログ記録のレベル (数値て指定するか、
-(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
-.TP
-.BI "--log-prefix " "prefix"
-.\"O Prefix log messages with the specified prefix; up to 29 letters long,
-.\"O and useful for distinguishing messages in the logs.
+.TP 
+\fB\-\-log\-level \fP\fIlevel\fP
+ログ記録のレベル (数値て指定するか、(名前で指定する場合は)
+\fIsyslog.conf\fP(5) を参照すること)。
+.TP 
+\fB\-\-log\-prefix \fP\fIprefix\fP
 指定したプレフィックスをログメッセージの前に付ける。
 プレフィックスは 29 文字までの長さで、
 ログの中でメッセージを区別するのに役立つ。
-.TP
-.B --log-tcp-sequence
-.\"O Log TCP sequence numbers. This is a security risk if the log is
-.\"O readable by users.
-TCP シーケンス番号をログに記録する。
-ログがユーザーから読める場合、セキュリティ上の危険がある。
-.TP
-.B --log-tcp-options
-.\"O Log options from the TCP packet header.
-TCP パケットヘッダーのオプションをログに記録する。
-.TP
-.B --log-ip-options
-.\"O Log options from the IP packet header.
+.TP 
+\fB\-\-log\-tcp\-sequence\fP
+TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。
+.TP 
+\fB\-\-log\-tcp\-options\fP
+TCP パケットヘッダのオプションをログに記録する。
+.TP 
+\fB\-\-log\-ip\-options\fP
 IP パケットヘッダーのオプションをログに記録する。
 .SS MARK
-.\"O This is used to set the netfilter mark value associated with the
-.\"O packet.  It is only valid in the
-.\"O .B mangle
-.\"O table.  It can for example be used in conjunction with iproute2.
-パケットに関連づけられた netfilter の mark 値を設定する。
-.B mangle
-テーブルのみで有効である。
-例えば、iproute2 と組み合わせて使うことができる。
-.TP
-.BI "--set-mark " "mark"
+パケットに関連づけられた netfilter の mark 値を設定する。 \fBmangle\fP テーブルのみで有効である。 例えば、iproute2
+と組み合わせて使うことができる。
+.TP 
+\fB\-\-set\-mark \fP\fImark\fP
 .SS MASQUERADE
-.\"O This target is only valid in the
-.\"O .B nat
-.\"O table, in the
-.\"O .B POSTROUTING
-.\"O chain.
-このターゲットは
-.B nat
-テーブルの
-.B POSTROUTING
-チェインのみで有効である。
-.\"O It should only be used with dynamically assigned IP (dialup)
-.\"O connections: if you have a static IP address, you should use the SNAT
-.\"O target.
-動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
-固定 IP アドレスならば、SNAT ターゲットを使うべきである。
-.\"O Masquerading is equivalent to specifying a mapping to the IP
-.\"O address of the interface the packet is going out, but also has the
-.\"O effect that connections are
-.\"O .I forgotten
-.\"O when the interface goes down.
-マスカレーディングは、パケットが送信されるインターフェースの
-IP アドレスへのマッピングを指定するのと同じであるが、
-インターフェースが停止した場合に接続を\fI忘れる\fRという効果がある。
-.\"O This is the correct behavior when the
-.\"O next dialup is unlikely to have the same interface address (and hence
-.\"O any established connections are lost anyway).  It takes one option:
-次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-(そのため、前回確立された接続は失われる) 場合、
-この動作は正しい。
-このターゲットにはオプションが 1 つある。
-.TP
-.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\"O This specifies a range of source ports to use, overriding the default
-.\"O .B SNAT
-.\"O source port-selection heuristics (see above).  This is only valid
-.\"O if the rule also specifies
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" .
-このオプションは、使用する送信元ポートの範囲を指定し、
-デフォルトの
-.B SNAT
-送信元ポートの選択方法 (上記) よりも優先される。
-ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効である。
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
+接続の場合にのみ使うべきである。 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
+マスカレーディングは、パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、
+インターフェースが停止した場合に接続を\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+(そのため、前回確立された接続は失われる) 場合、 この動作は正しい。 このターゲットにはオプションが 1 つある。
+.TP 
+\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP]
+このオプションは、使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。 ルールが
+\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
 .SS MIRROR
-.\"O This is an experimental demonstration target which inverts the source
-.\"O and destination fields in the IP header and retransmits the packet.
-実験的なデモンストレーション用のターゲットであり、
-IP ヘッダーの送信元と送信先フィールドを入れ換え、
-パケットを再送信するものである。
-.\"O It is only valid in the
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B PREROUTING
-.\"O chains, and user-defined chains which are only called from those
-.\"O chains.
-これは
-.BR INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインと、これらのチェインから呼び出される
-ユーザー定義チェインだけで有効である。
-.\"O Note that the outgoing packets are
-.\"O .B NOT
-.\"O seen by any packet filtering chains, connection tracking or NAT, to
-.\"O avoid loops and other problems.
-ループ等の問題を回避するため、外部に送られるパケットは
-いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
-監視\fBされない\fR。
+実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と送信先フィールドを入れ換え、 パケットを再送信するものである。 これは
+\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、これらのチェインから呼び出される
+ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、外部に送られるパケットは いかなるパケットフィルタリングチェイン・接続追跡・NAT
+からも 監視\fBされない\fP。
 .SS REDIRECT
-.\"O This target is only valid in the
-.\"O .B nat
-.\"O table, in the
-.\"O .B PREROUTING
-.\"O and
-.\"O .B OUTPUT
-.\"O chains, and user-defined chains which are only called from those
-.\"O chains.  It alters the destination IP address to send the packet to
-.\"O the machine itself (locally-generated packets are mapped to the
-.\"O 127.0.0.1 address).  It takes one option:
-このターゲットは、
-.B nat
-テーブル内の
-.B PREROUTING 
-チェイン及び
-.B OUTPUT 
-チェイン、そしてこれらチェインから呼び出される
-ユーザー定義チェインでのみ有効である。
-このターゲットはパケットの送信先 IP アドレスを
-マシン自身の IP アドレスに変換する。
-(ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
-このターゲットにはオプションが 1 つある:
-.TP
-.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\"O This specifies a destination port or range of ports to use: without
-.\"O this, the destination port is never altered.  This is only valid
-.\"O if the rule also specifies
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" .
-このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
-このオプションが指定されない場合、送信先ポートは変更されない。
-ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効である。
+このターゲットは、 \fBnat\fP テーブル内の \fBPREROUTING\fP チェイン及び \fBOUTPUT\fP
+チェイン、そしてこれらチェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットはパケットの送信先 IP アドレスを マシン自身の
+IP アドレスに変換する。 (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。 このターゲットにはオプションが 1
+つある:
+.TP 
+\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP]
+このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、送信先ポートは変更されない。 ルールが
+\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
 .SS REJECT
-.\"O This is used to send back an error packet in response to the matched
-.\"O packet: otherwise it is equivalent to
-.\"O .B DROP
-.\"O so it is a terminating TARGET, ending rule traversal.
 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、
-.B DROP
-と同じであり、TARGET を終了し、ルールの検討を終了する。
-.\"O This target is only valid in the
-.\"O .BR INPUT ,
-.\"O .B FORWARD
-.\"O and
-.\"O .B OUTPUT
-.\"O chains, and user-defined chains which are only called from those
-.\"O chains.  The following option controls the nature of the error packet
-.\"O returned:
-このターゲットは、
-.BR INPUT ,
-.BR FORWARD ,
-.B OUTPUT
-チェインと、これらのチェインから呼ばれる
-ユーザー定義チェインだけで有効である。
-以下のオプションは、返されるエラーパケットの特性を制御する。
-.TP
-.BI "--reject-with " "type"
-.\"O The type given can be
-.\"O .nf
-.\"O .B " icmp-net-unreachable"
-.\"O .B " icmp-host-unreachable"
-.\"O .B " icmp-port-unreachable"
-.\"O .B " icmp-proto-unreachable"
-.\"O .B " icmp-net-prohibited"
-.\"O .B " icmp-host-prohibited or"
-.\"O .B " icmp-admin-prohibited (*)"
-.\"O .fi
-.\"O which return the appropriate ICMP error message (\fBport-unreachable\fP is
-.\"O the default).
+エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、
+ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
+\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン
+だけで有効である。以下のオプションは、返されるエラーパケットの特性を
+制御する。
+.TP 
+\fB\-\-reject\-with \fP\fItype\fP
 type として指定可能なものは
 .nf
-.B " icmp-net-unreachable"
-.B " icmp-host-unreachable"
-.B " icmp-port-unreachable"
-.B " icmp-proto-unreachable"
-.B " icmp-net-prohibited"
-.B " icmp-host-prohibited or"
-.B " icmp-admin-prohibited (*)"
+\fBicmp\-net\-unreachable\fP
+\fBicmp\-host\-unreachable\fP
+\fBicmp\-port\-unreachable\fP
+\fBicmp\-proto\-unreachable\fP
+\fBicmp\-net\-prohibited\fP
+\fBicmp\-host\-prohibited or\fP
+\fBicmp\-admin\-prohibited (*)\fP
 .fi
-であり、適切な ICMP エラーメッセージを返す
-.RB ( port-unreachable
-がデフォルトである)。
-.\"O The option
-.\"O .B tcp-reset
-.\"O can be used on rules which only match the TCP protocol: this causes a
-.\"O TCP RST packet to be sent back.  This is mainly useful for blocking 
-.\"O .I ident
-.\"O (113/tcp) probes which frequently occur when sending mail to broken mail
-.\"O hosts (which won't accept your mail otherwise).
-TCP プロトコルにのみマッチするルールに対して、オプション
-.B tcp-reset
-を使うことができる。
-このオプションを使うと、TCP RST パケットが送り返される。
-主として
-.I ident
-(113/tcp) による探査を阻止するのに役立つ。
-.I ident
-による探査は、壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。
-.\"O .TP
-.\"O (*) Using icmp-admin-prohibited with kernels that do not support it will result in a plain DROP instead of REJECT
+であり、適切な ICMP エラーメッセージを返す (\fBport\-unreachable\fP がデフォルトである)。 TCP
+プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST
+パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている
+(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。
 .RS
 .PP
-(*) icmp-admin-prohibited をサポートしないカーネルで、
-icmp-admin-prohibited を使用すると、
+(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、
 REJECT ではなく単なる DROP になる。
 .SS SNAT
-.\"O This target is only valid in the
-.\"O .B nat
-.\"O table, in the
-.\"O .B POSTROUTING
-.\"O chain.  It specifies that the source address of the packet should be
-.\"O modified (and all future packets in this connection will also be
-.\"O mangled), and rules should cease being examined.  It takes one type
-.\"O of option:
-このターゲットは
-.B nat
-テーブルの
-.B POSTROUTING
-チェインのみで有効である。
-このターゲットはパケットの送信元アドレスを修正させる
-(この接続の以降のパケットも修正して分からなく (mangle) する)。
-さらに、ルールが評価を中止するように指示する。
-このターゲットにはオプションが 1 種類ある:
-.TP
-.BR "--to-source  " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\"O which can specify a single new source IP address, an inclusive range
-.\"O of IP addresses, and optionally, a port range (which is only valid if
-.\"O the rule also specifies
-.\"O .B "-p tcp"
-.\"O or
-.\"O .BR "-p udp" ).
-1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
-ポートの範囲を指定することもできる
-(ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効)。
-.\"O If no port range is specified, then source ports below 512 will be
-.\"O mapped to other ports below 512: those between 512 and 1023 inclusive
-.\"O will be mapped to ports below 1024, and other ports will be mapped to
-.\"O 1024 or above. Where possible, no port alteration will occur.
-ポートの範囲が指定されていない場合、
-512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
-512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
-それ以外のポートは、1024 以上のポートにマッピングされる。
-可能であれば、ポートの変換は起こらない。
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。
+このターゲットはパケットの送信元アドレスを修正させる (この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある:
+.TP 
+\fB\-\-to\-source  \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP]
+1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが \fB\-p tcp\fP
+または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、他の 512
+未満のポートにマッピングされる。 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。 それ以外のポートは、1024
+以上のポートにマッピングされる。 可能であれば、ポートの変換は起こらない。
 .RS
 .PP
-.\"O You can add several --to-source options.  If you specify more
-.\"O than one source address, either via an address range or multiple
-.\"O --to-source options, a simple round-robin (one after another in
-.\"O cycle) takes place between these adresses.
-複数の --to-source オプションを指定することができる。
-アドレスの範囲によって、
-もしくは複数の --to-source オプションによって
-2 つ以上の送信元アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビン
-(順々に循環させる) がおこなわれる。
+複数の \-\-to\-source オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-source オプションによって
+2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。
 .SS TCPMSS
-.\"O This target allows to alter the MSS value of TCP SYN packets, to control
-.\"O the maximum size for that connection (usually limiting it to your
-.\"O outgoing interface's MTU minus 40).  Of course, it can only be used
-.\"O in conjunction with
-.\"O .BR "-p tcp" .
-このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、
-そのコネクションの最大サイズ
-(通常は、送信インターフェースの MTU から 40 引いた値)
-を制御できる。
-もちろん
-.B "-p tcp"
-と組み合わせてしか使えない。
-.\"O .br
-.PP
-.\"O This target is used to overcome criminally braindead ISPs or servers
-.\"O which block ICMP Fragmentation Needed packets.  The symptoms of this
-.\"O problem are that everything works fine from your Linux
-.\"O firewall/router, but machines behind it can never exchange large
-.\"O packets:
-このターゲットは犯罪的に頭のいかれた ISP や
-ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
-乗り越えるために使用する。
-Linux ファイアウォール/ルーターでは何も問題がないのに、
-そこにぶら下がるマシンでは以下のように大きなパケットを
+このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、 そのコネクションの最大サイズ (通常は、送信インターフェースの MTU
+から 40 引いた値)  を制御できる。 もちろん \fB\-p tcp\fP と組み合わせてしか使えない。
+.br
+このターゲットは犯罪的に頭のいかれた ISP や ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
+乗り越えるために使用する。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットを
 やりとりできないというのが、この問題の兆候である。
 .PD 0
 .RS 0.1i
-.TP 0.3i
+.TP  0.3i
 1)
-.\"O Web browsers connect, then hang with no data received.
 ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする
-.TP
+.TP 
 2)
-.\"O Small mail works fine, but large emails hang.
 短いメールは問題ないが、長いメールがハングする
-.TP
+.TP 
 3)
-.\"O ssh works fine, but scp hangs after initial handshaking.
 ssh は問題ないが、scp は最初のハンドシェーク後にハングする
 .RE
 .PD
-.\"O Workaround: activate this option and add a rule to your firewall
-.\"O configuration like:
-回避方法: このオプションを有効にし、以下のようなルールを
-ファイアウォールの設定に追加する。
+回避方法: このオプションを有効にし、以下のようなルールを ファイアウォールの設定に追加する。
 .nf
- iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\
-             -j TCPMSS --clamp-mss-to-pmtu
+ iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN \e
+             \-j TCPMSS \-\-clamp\-mss\-to\-pmtu
 .fi
-.TP
-.BI "--set-mss " "value"
-.\"O Explicitly set MSS option to specified value.
-MSS オプションの値を指定した値に設定する。
-.TP
-.B "--clamp-mss-to-pmtu"
-.\"O Automatically clamp MSS value to (path_MTU - 40).
-自動的に、MSS 値を (path_MTU - 40) に強制する。
-.\"O .TP
-.RS
-.PP
-.\"O These options are mutually exclusive.
+.TP 
+\fB\-\-set\-mss \fP\fIvalue\fP
+MSS オプションの値に指定した値を明示的に設定する。
+.TP 
+\fB\-\-clamp\-mss\-to\-pmtu\fP
+自動的に、MSS 値を (path_MTU \- 40) に強制する。
+.TP 
 これらのオプションはどちらか 1 つしか指定できない。
-.RE
 .SS TOS
-.\"O This is used to set the 8-bit Type of Service field in the IP header.
-.\"O It is only valid in the
-.\"O .B mangle
-.\"O table.
-IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。
-.B mangle
-テーブルのみで有効である。
-.TP
-.BI "--set-tos " "tos"
-.\"O You can use a numeric TOS values, or use
-.\"O .nf
-.\"O  iptables -j TOS -h
-.\"O .fi
-.\"O to see the list of valid TOS names.
-TOS を番号で指定することができる。
-また、
+IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。 \fBmangle\fP テーブルのみで有効である。
+.TP 
+\fB\-\-set\-tos \fP\fItos\fP
+TOS を番号で指定することができる。 また、
 .nf
- iptables -j TOS -h
+ iptables \-j TOS \-h
 .fi
 を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
 .SS ULOG
-.\"O This target provides userspace logging of matching packets.  When this
-.\"O target is set for a rule, the Linux kernel will multicast this packet
-.\"O through a
-.\"O .IR netlink 
-.\"O socket. One or more userspace processes may then subscribe to various 
-.\"O multicast groups and receive the packets.
-このターゲットは、マッチしたパケットを
-ユーザー空間でログ記録する機能を提供する。
-このターゲットがルールに設定されると、
-Linux カーネルは、そのパケットを
-.I netlink
-ソケットを用いてマルチキャストする。
-そして、1 つ以上のユーザー空間プロセスが
-いろいろなマルチキャストグループに登録をおこない、
-パケットを受信する。
-.\"O Like LOG, this is a "non-terminating target", i.e. rule traversal
-.\"O continues at the next rule.
-LOG と同様、これは "非終了ターゲット" であり、
+このターゲットは、マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
+カーネルは、そのパケットを \fInetlink\fP ソケットを用いてマルチキャストする。 そして、1 つ以上のユーザー空間プロセスが
+いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、これは "非終了ターゲット" であり、
 ルールの検討は次のルールへと継続される。
-.TP
-.BI "--ulog-nlgroup " "nlgroup"
-.\"O This specifies the netlink group (1-32) to which the packet is sent.
-.\"O Default value is 1.
-パケットを送信する netlink グループ (1-32) を指定する。
-デフォルトの値は 1 である。
-.TP
-.BI "--ulog-prefix " "prefix"
-.\"O Prefix log messages with the specified prefix; up to 32 characters
-.\"O long, and useful for distinguishing messages in the logs.
-指定したプレフィックスをログメッセージの前に付ける。
-32 文字までの指定できる。
-ログの中でメッセージを区別するのに便利である。
-.TP
-.BI "--ulog-cprange " "size"
-.\"O Number of bytes to be copied to userspace.  A value of 0 always copies
-.\"O the entire packet, regardless of its size.  Default is 0.
-ユーザー空間にコピーするパケットのバイト数。
-値が 0 の場合、サイズに関係なく全パケットをコピーする。
-デフォルトは 0 である。
-.TP
-.BI "--ulog-qthreshold " "size"
-.\"O Number of packet to queue inside kernel.  Setting this value to, e.g. 10
-.\"O accumulates ten packets inside the kernel and transmits them as one
-.\"O netlink multipart message to userspace.  Default is 1 (for backwards
-.\"O compatibility).
-.\"O .br
-カーネル内部のキューに入れられるパケットの数。
-例えば、この値を 10 にした場合、
-カーネル内部で 10 個のパケットをまとめ、
-1 つの netlink マルチパートメッセージとしてユーザー空間に送る。
-(過去のものとの互換性のため) デフォルトは 1 である。
-.\"O .SH DIAGNOSTICS
+.TP 
+\fB\-\-ulog\-nlgroup \fP\fInlgroup\fP
+パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
+.TP 
+\fB\-\-ulog\-prefix \fP\fIprefix\fP
+指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。
+.TP 
+\fB\-\-ulog\-cprange \fP\fIsize\fP
+ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。
+.TP 
+\fB\-\-ulog\-qthreshold \fP\fIsize\fP
+カーネル内部のキューに入れられるパケットの数。 例えば、この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの
+netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。
+.br
 .SH 返り値
-.\"O Various error messages are printed to standard error.  The exit code
-.\"O is 0 for correct functioning.  Errors which appear to be caused by
-.\"O invalid or abused command line parameters cause an exit code of 2, and
-.\"O other errors cause an exit code of 1.
-いろいろなエラーメッセージが標準エラーに表示される。
-正しく機能した場合、終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、
-終了コード 2 が返される。
-その他のエラーの場合は、終了コード 1 が返される。
-.\"O .SH BUGS
+いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。
 .SH バグ
-.\"O Bugs?  What's this? ;-)
-.\"O Well... the counters are not reliable on sparc64.
-バグ? バグって何? ;-)
-えーと…、sparc64 ではカウンター値が信頼できない。
-.\"O .SH COMPATIBILITY WITH IPCHAINS
-.SH IPCHAINS との互換性
-.\"O This
-.\"O .B iptables
-.\"O is very similar to ipchains by Rusty Russell.  The main difference is
-.\"O that the chains
-.\"O .B INPUT
-.\"O and
-.\"O .B OUTPUT
-.\"O are only traversed for packets coming into the local host and
-.\"O originating from the local host respectively.  Hence every packet only
-.\"O passes through one of the three chains (except loopback traffic, which
-.\"O involves both INPUT and OUTPUT chains); previously a forwarded packet
-.\"O would pass through all three.
-.B iptables
-は、Rusty Russell の ipchains と非常によく似ている。
-大きな違いは、チェイン
-.B INPUT
-と
-.B OUTPUT
-が、それぞれローカルホストに入ってくるパケットと、
-ローカルホストから出されるパケットのみしか調べないという点である。
-よって、(INPUT と OUTPUT の両方のチェインを起動する
-ループバックトラフィックを除く)
-全てのパケットは 3 つあるチェインのうち 1 しか通らない。
-以前は (ipchains では)、
-フォワードされるパケットは 3 つのチェイン全てを通っていた。
+バグ? バグって何? ;\-)  えーと…、sparc64 ではカウンター値が信頼できない。
+.SH "IPCHAINS との互換性"
+\fBiptables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
+\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。
+よって、(INPUT と OUTPUT の両方のチェインを起動する ループバックトラフィックを除く)  全てのパケットは 3 つあるチェインのうち 1
+しか通らない。 以前は (ipchains では)、 フォワードされるパケットは 3 つのチェイン全てを通っていた。
 .PP
-.\"O The other main difference is that
-.\"O .B -i
-.\"O refers to the input interface;
-.\"O .B -o
-.\"O refers to the output interface, and both are available for packets
-.\"O entering the
-.\"O .B FORWARD
-.\"O chain.
-その他の大きな違いは、
-.B -i
-で入力インターフェース、
-.B -o
-で出力インターフェースを参照すること、
-そしてともに
-.B FORWARD
+その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを参照すること、 そしてともに \fBFORWARD\fP
 チェインに入るパケットに対して指定可能な点である。
-.\"O .PP The various forms of NAT have been separated out; 
-.\"O .B iptables 
-.\"O is a pure packet filter when using the default `filter' table, with
-.\"O optional extension modules.  This should simplify much of the previous
-.\"O confusion over the combination of IP masquerading and packet filtering
-.\"O seen previously.  So the following options are handled differently:
-.\"O .nf
-.\"O  -j MASQ
-.\"O  -M -S
-.\"O  -M -L
-.\"O .fi
 .PP
-NAT のいろいろな形式が分割された。
-オプションの拡張モジュールとともに
-デフォルトの「フィルタ」テーブルを用いた場合、
-.B iptables 
-は純粋なパケットフィルタとなる。
-これは、以前みられた IP マスカレーディングとパケットフィルタリングの
-組合せによる混乱を簡略化する。
+NAT のいろいろな形式が分割された。 オプションの拡張モジュールとともに デフォルトの「フィルタ」テーブルを用いた場合、 \fBiptables\fP
+は純粋なパケットフィルタとなる。 これは、以前みられた IP マスカレーディングとパケットフィルタリングの 組合せによる混乱を簡略化する。
 よって、オプション
 .nf
- -j MASQ
- -M -S
- -M -L
+ \-j MASQ
+ \-M \-S
+ \-M \-L
 .fi
-は別のものとして扱われる。
-.\"O There are several other changes in iptables.
-iptables では、その他にもいくつかの変更がある。
-.\"O .SH SEE ALSO
+は別のものとして扱われる。 iptables では、その他にもいくつかの変更がある。
 .SH 関連項目
-.BR iptables-save (8),
-.BR iptables-restore (8),
-.BR ip6tables (8),
-.BR ip6tables-save (8),
-.BR ip6tables-restore (8).
+\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBip6tables\fP(8),
+\fBip6tables\-save\fP(8), \fBip6tables\-restore\fP(8).
 .P
-.\"O The packet-filtering-HOWTO details iptables usage for
-.\"O packet filtering, the NAT-HOWTO details NAT,
-.\"O the netfilter-extensions-HOWTO details the extensions that are
-.\"O not in the standard distribution,
-.\"O and the netfilter-hacking-HOWTO details the netfilter internals.
 パケットフィルタリングについての詳細な iptables の使用法を
-説明している packet-filtering-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-標準的な配布には含まれない拡張の詳細を
-説明している netfilter-extensions-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
-.\"O .br
-.PP
-.\"O See
-.\"O .BR "http://www.netfilter.org/" .
-.UR http://www.netfilter.org/
-.B http://www.netfilter.org/
-.UE
-を参照のこと。
-.\"O .SH AUTHORS
-.SH 著者
-.\"O Rusty Russell wrote iptables, in early consultation with Michael
-.\"O Neuling.
+説明している packet\-filtering\-HOWTO。
+NAT について詳細に説明している NAT\-HOWTO。
+標準的な配布には含まれない拡張の詳細を 説明している
+netfilter\-extensions\-HOWTO。
+内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+.br
+\fBhttp://www.netfilter.org/\fP を参照。
+.SH 作者
 Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
 .PP
-.\"O Marc Boucher made Rusty abandon ipnatctl by lobbying for a generic packet
-.\"O selection framework in iptables, then wrote the mangle table, the owner match,
-.\"O the mark stuff, and ran around doing cool stuff everywhere.
-Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
-ipnatctl を止めさせた。
-そして、mangle テーブル・所有者マッチング・
-mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
 .PP
-.\"O James Morris wrote the TOS target, and tos match.
 James Morris が TOS ターゲットと tos マッチングを書いた。
 .PP
-.\"O Jozsef Kadlecsik wrote the REJECT target.
 Jozsef Kadlecsik が REJECT ターゲットを書いた。
 .PP
-.\"O Harald Welte wrote the ULOG target, TTL, DSCP, ECN matches and targets.
-Harald Welte が ULOG ターゲットと、
-TTL, DSCP, ECN のマッチ・ターゲットを書いた。
+Harald Welte が ULOG ターゲットと、 TTL, DSCP, ECN のマッチ・ターゲットを書いた。
 .PP
-.\"O The Netfilter Core Team is: Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, 
-.\"O James Morris, Harald Welte and Rusty Russell.
-Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, 
-James Morris, Harald Welte, Rusty Russell である。
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James
+Morris, Harald Welte, Rusty Russell である。
 .PP
-.\"O Man page written by Herve Eychenne <rv@wallfire.org>.
 man ページは Herve Eychenne <rv@wallfire.org> が書いた。
 .\" .. and did I mention that we are incredibly cool people?
 .\" .. sexy, too ..
 .\" .. witty, charming, powerful ..
 .\" .. and most of all, modest ..
-.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな？
-.\" .. セクシーで ..
-.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
-.\" .. そして、みんな謙虚なんだ ..
diff --git a/release/man8/ip6tables-restore.8 b/release/man8/ip6tables-restore.8
index ebc1b07..1bba811 100644
--- a/release/man8/ip6tables-restore.8
+++ b/release/man8/ip6tables-restore.8
@@ -1,4 +1,9 @@
-.TH IP6TABLES-RESTORE 8 "Jan 30, 2002" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IP6TABLES\-RESTORE 8 "Jan 30, 2002" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,41 +22,31 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\"         all rights reserved.
-.\" Translated Thu May  1 16:13:34 JST 2003
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
 .\"
 .SH 名前
-ip6tables-restore \- IPv6 テーブルを復元する
+ip6tables\-restore \- IPv6 テーブルを復元する
 .SH 書式
-.BR "ip6tables-restore " "[-c] [-n]"
+\fBip6tables\-restore \fP[\-c] [\-n]
 .br
 .SH 説明
 .PP
-.B ip6tables-restore
-は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。
-ファイルから読み込むためには、
+\fBip6tables\-restore\fP は標準入力で指定されたデータから IPv6 テーブルを復元するために使われる。 ファイルから読み込むためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-n\fR, \fB\-\-noflush\fR 
-これまでのテーブルの内容をフラッシュしない。
-指定されない場合、
-.B ip6tables-restore
-は、これまでの各 IPv6 テーブルの内容を全てフラッシュ (削除) する。
+.TP 
+\fB\-n\fP, \fB\-\-noflush\fP 
+これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBip6tables\-restore\fP は、これまでの各 IPv6
+テーブルの内容を全てフラッシュ (削除) する。
 .SH バグ
-iptables-1.2.1 リリースでは知られていない。
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .br
-Andras Kis-Szabo <kisza@sch.bme.hu>
+Andras Kis\-Szabo <kisza@sch.bme.hu>
 .SH 関連項目
-.BR ip6tables-save "(8), " ip6tables "(8) "
+\fBip6tables\-save\fP(8), \fBip6tables\fP(8)
 .PP
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/release/man8/ip6tables-save.8 b/release/man8/ip6tables-save.8
index c97e6f1..2b68554 100644
--- a/release/man8/ip6tables-save.8
+++ b/release/man8/ip6tables-save.8
@@ -1,4 +1,9 @@
-.TH IP6TABLES-SAVE 8 "Jan 30, 2002" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IP6TABLES\-SAVE 8 "Jan 30, 2002" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,40 +22,30 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2003 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Thu May  1 17:36:08 JST 2003
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
 .\"
 .SH 名前
-ip6tables-save \- IPv6 テーブルを保存する
+ip6tables\-save \- IPv6 テーブルを保存する
 .SH 書式
-.BR "ip6tables-save " "[-c] [-t table]"
+\fBip6tables\-save \fP[\-c] [\-t table]
 .br
 .SH 説明
 .PP
-.B ip6tables-save
-は IPv6 テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。
-ファイルに書き出すためには、
-シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
+\fBip6tables\-save\fP は IPv6 テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。
+ファイルに書き出すためには、 シェルで提供されている I/O リダイレクションを使うこと。
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-出力を 1 つのテーブルのみに制限する。
-指定されない場合、得られた全てのテーブルを出力する。
+.TP 
+\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP
+出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
 .SH バグ
-iptables-1.2.1 リリースでは知られていない。
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .br
-Andras Kis-Szabo <kisza@sch.bme.hu>
+Andras Kis\-Szabo <kisza@sch.bme.hu>
 .SH 関連項目
-.BR ip6tables-restore "(8), " ip6tables "(8) "
+\fBip6tables\-restore\fP(8), \fBip6tables\fP(8)
 .PP
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/release/man8/ip6tables.8 b/release/man8/ip6tables.8
index cd4f434..15026c4 100644
--- a/release/man8/ip6tables.8
+++ b/release/man8/ip6tables.8
@@ -1,3 +1,8 @@
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
 .TH IP6TABLES 8 "Mar 09, 2002" "" ""
 .\"
 .\" Man page written by Andras Kis-Szabo <kisza@sch.bme.hu>
@@ -24,881 +29,603 @@
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
 .\"
-.\" Japanese Version Copyright (c) 2001-2004 Yuichi SATO
-.\"         all right reserved.
-.\" Translated Sat Dec  1 06:32:08 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified Sun Feb  8 14:05:26 JST 2004
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
-.\"
-.\"WORD:	chain		チェイン
-.\"WORD:	built-in chain	組み込み済みチェイン
-.\"WORD:	non-terminating target  非終了ターゲット
-.\"
 .SH 名前
 ip6tables \- IPv6 パケットフィルタを管理する
 .SH 書式
-.BR "ip6tables [-t テーブル] -[AD] " "チェイン ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-[AD] \fPチェイン ルールの詳細 [オプション]
 .br
-.BR "ip6tables [-t テーブル] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション]
 .br
-.BR "ip6tables [-t テーブル] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
+\fBip6tables [\-t テーブル] \-R \fPチェイン ルール番号 ルールの詳細 [オプション]
 .br
-.BR "ip6tables [-t テーブル] -D " "チェイン ルール番号 [オプション]"
+\fBip6tables [\-t テーブル] \-D \fPチェイン ルール番号 [オプション]
 .br
-.BR "ip6tables [-t テーブル] -[LFZ] " "[チェイン] [オプション]"
+\fBip6tables [\-t テーブル] \-[LFZ] \fP[チェイン] [オプション]
 .br
-.BR "ip6tables [-t テーブル] -N " "チェイン"
+\fBip6tables [\-t テーブル] \-N \fPチェイン
 .br
-.BR "ip6tables [-t テーブル] -X " "[チェイン]"
+\fBip6tables [\-t テーブル] \-X \fP[チェイン]
 .br
-.BR "ip6tables [-t テーブル] -P " "チェイン ターゲット [オプション]"
+\fBip6tables [\-t テーブル] \-P \fPチェイン ターゲット [オプション]
 .br
-.BR "ip6tables  [-t テーブル] -E " "旧チェイン名 新チェイン名"
+\fBip6tables [\-t テーブル] \-E \fP旧チェイン名 新チェイン名
 .SH 説明
-.B ip6tables
-は Linux カーネルの IPv6 パケットフィルタルールのテーブルを
-設定・管理・検査するために使われる。
-複数の異なるテーブルが定義される可能性がある。
-各テーブルは組み込み済みチェインを含む。
-さらにユーザー定義のチェインを含むこともできる。
+\fBip6tables\fP は Linux カーネルの IPv6 パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。
+複数の異なるテーブルが定義される可能性がある。 各テーブルは組み込み済みチェインを含む。 さらにユーザー定義のチェインを含むこともできる。
 
-各チェインは、パケット群にマッチするルールのリストである。
-各ルールはマッチしたパケットに対して何をするかを指定する。
-これは「ターゲット」と呼ばれ、
-同じテーブル内のユーザー定義チェインにジャンプすることもある。
+各チェインは、パケット群にマッチするルールのリストである。 各ルールは
+マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と
+呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
 
 .SH ターゲット
 ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
 パケットがマッチしない場合、チェイン内の次のルールが評価される。
-パケットがマッチした場合、
-ターゲットの値によって次のルールが指定される。
+パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。
 ターゲットの値は、ユーザー定義チェインの名前、または特別な値
-.IR ACCEPT ,
-.IR DROP ,
-.IR QUEUE ,
-.I RETURN
-のうちの 1 つである。
+\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。
 .PP
-.I ACCEPT 
-はパケットを通すという意味である。
-.I DROP
-はパケットを床に落す (捨てる) という意味である。
-.I QUEUE
-はパケットをユーザー空間に渡すという意味である
+\fIACCEPT\fP はパケットを通すという意味である。
+\fIDROP\fP はパケットを床に落す (捨てる) という意味である。
+\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である
 (カーネルがサポートしていればであるが)。
-.I RETURN
-は、このチェインを検討することを中止して、
-前の (呼び出し側) チェインの次のルールで停止するという意味である。
-組み込み済みチェインの最後に到達した場合、
-またはターゲット
-.I RETURN
-が含まれている組み込み済みチェインのルールにマッチした場合、
-チェインポリシーで指定されたターゲットが
-パケットの行方を決定する。
+\fIRETURN\fP は、このチェインを辿るのを中止して、
+前の (呼び出し元) チェインの次のルールから再開するという意味である。
+組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで
+ターゲット \fIRETURN\fP を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが パケットの行方を決定する。
 .SH テーブル
-現在のところ 2 つの独立なテーブルが存在する
-(どのテーブルがどの時点で現れるかは、
-カーネルの設定やどういったモジュールが存在するかに依存する)。
+現在のところ 2 つの独立なテーブルが存在する (どのテーブルがどの時点で現れるかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
 nat テーブルは、まだ実装されていない。
-.TP
-.BI "-t, --table " "table"
-このオプションは、どのコマンドを適用すべきかを決定するための
-パケットマッチングテーブルを指定する。
-カーネルに自動モジュールローディングが設定されている場合、
-あるテーブルに対して適切なモジュールがまだロードされていなければ、
-そのモジュールのロードを行う。
+.TP 
+\fB\-t, \-\-table \fP\fItable\fP
+このオプションは、このコマンドが操作するパケットマッチングテーブルを
+指定する。 カーネルに自動モジュールローディングが設定されている場合、
+そのテーブルに対する適切なモジュールがまだロードされていなければ、
+そのモジュールがロードされる。
 
 テーブルは以下の通りである。
 .RS
-.TP .4i
-.BR "filter" :
-(-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
-これには
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B OUTPUT
-(ローカルマシンで生成されたパケットに対するチェイン)
-という組み込み済みチェインが含まれる。
-.TP
-.BR "mangle" :
-このテーブルは特別なパケット変換に使われる。
-カーネル 2.4.17 までは、
-.B PREROUTING
-(パケットが入ってきた場合、
-すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットを
-ルーティングの前に変換するためのチェイン)
-という 2 つの組み込み済みチェインが含まれていた。
-カーネル 2.4.18 からは、これらの他に
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)・
-という 3 つの組み込み済みチェインもサポートされる。
+.TP  .4i
+\fBfilter\fP:
+(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・
+\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・
+\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という
+組み込み済みチェインが含まれる。
+.TP 
+\fBmangle\fP:
+このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、
+\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する
+ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン
+グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま
+れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に
+入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ
+トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する
+ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。
 .RE
 .SH オプション
-.B ip6tables
-で使えるオプションは、いくつかのグループに分けられる。
+\fBip6tables\fP で使えるオプションは、いくつかのグループに分けられる。
 .SS コマンド
-これらのオプションは、実行する特定の動作を指定する。
-以下の説明で許可されていない限り、
-この中の 1 つしかコマンドラインで指定することができない。
-長いバージョンのコマンド名とオプション名は、
-.B ip6tables
-が他のコマンド名やオプション名と区別できる範囲で
-(文字を省略して) 指定することもできる。
-.TP
-.BI "-A, --append " "chain rule-specification"
+これらのオプションは、実行する特定の動作を指定する。 以下の説明で許可されていない限り、 この中の 1 つしかコマンドラインで指定することができない。
+長いバージョンのコマンド名とオプション名は、 \fBip6tables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して)
+指定することもできる。
+.TP 
+\fB\-A, \-\-append \fP\fIchain rule\-specification\fP
 選択されたチェインの最後に 1 つ以上のルールを追加する。
-送信元や送信先の名前が 1 つ以上のアドレスに対応している場合、
-可能なアドレスの組合せのそれぞれについてルールが追加される。
-.TP
-.BI "-D, --delete " "chain rule-specification"
+送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された
+場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP
 .ns
-.TP
-.BI "-D, --delete " "chain rulenum"
-選択されたチェインから 1 つ以上のルールを削除する。
-このコマンドには 2 つの使い方がある:
-チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
-マッチするルールを指定する場合である。
-.TP
-.B "-I, --insert"
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
-ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rulenum\fP
+選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
+を指定する場合と、 マッチするルールを指定する場合である。
+.TP 
+\fB\-I, \-\-insert\fP
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
 これはルール番号が指定されない場合のデフォルトでもある。
-.TP
-.BI "-R, --replace " "chain rulenum rule-specification"
+.TP 
+\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP
 選択されたチェインにあるルールを置き換える。
-送信元や送信先の名前が 1 つ以上のアドレスに対応している場合は失敗する。
-ルールには 1 から始まる番号が付けられている。
-.TP
-.BR "-L, --list " "[\fIchain\fP]"
-選択されたチェインにある全てのルールを一覧表示する。
-チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
-他の各 iptables コマンドと同様に、
-指定されたテーブル (デフォルトは filter) に対して作用する。
-よって mangle ルールを表示するには以下のようにする。
+送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
+このコマンドは失敗する。ルール番号は 1 からはじまる。
+.TP 
+\fB\-L, \-\-list \fP[\fIchain\fP]
+選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables
+コマンドと同様に、 指定されたテーブル (デフォルトは filter) に対して作用する。 よって mangle ルールを表示するには以下のようにする。
 .nf
- ip6tables -t mangle -n -L
+ ip6tables \-t mangle \-n \-L
 .fi
-DNS の逆引きを避けるために、よく
-.B -n
-オプションと共に使用される。
-.B -Z
-(ゼロ化) オプションを同時に指定することもできる。
-この場合、チェインは要素毎にリストされて、
-(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
-どのように出力するかは、与えられる他の引き数に影響される。
+DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。
+\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、
+チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト
+カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に
+影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、
+実際のルールそのものは表示されない。
 .nf
- ip6tables -L -v
+ ip6tables \-L \-v
 .fi
-を使わない限り、(訳註: -v オプションを指定しない限り)
-実際のルールそのものは表示されない。
-.TP
-.BR "-F, --flush " "[\fIchain\fP]"
-選択されたチェイン
-(何も指定されなければテーブル内の全てのチェイン) の内容を全消去する。
-これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-.BR "-Z, --zero " "[\fIchain\fP]"
-すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
-クリアされる直前のカウンタを見るために、
-.B "-L, --list"
-(一覧表示) オプションと同時に指定することもできる (上記を参照)。
-.TP
-.BI "-N, --new-chain " "chain"
-指定した名前でユーザー定義チェインを作成する。
-同じ名前のターゲットが既に存在してはならない。
-.TP
-.BR "-X, --delete-chain " "[\fIchain\fP]"
-オプションのユーザー定義チェインを削除する。
-そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを
-削除するか置き換えるかしなければならない。
-引き数が与えられない場合、テーブルにあるチェインのうち
-組み込み済みチェインでないものを全て削除する。
-.TP
-.BI "-P, --policy " "chain target"
-チェインのポリシーを、指定したターゲットに設定する。
-指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
-(ユーザー定義ではない) 組み込み済みチェインにしかポリシーは設定できない。
-また、組み込み済みチェインもユーザー定義チェインも
-ポリシーのターゲットに設定することはできない。
-.TP
-.BI "-E, --rename-chain " "old-chain new-chain"
-ユーザー定義チェインを指定した名前に変更する。
-これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-.B -h
-ヘルプ。
-(今のところはとても簡単な) コマンド書式の説明を表示する。
+.TP 
+\fB\-F, \-\-flush \fP[\fIchain\fP]
+選択されたチェイン (何も指定されなければテーブル内の全てのチェイン)
+の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと
+同じである。
+.TP 
+\fB\-Z, \-\-zero \fP[\fIchain\fP]
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示)
+オプションと同時に指定することもできる (上記を参照)。
+.TP 
+\fB\-N, \-\-new\-chain \fP\fIchain\fP
+指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。
+.TP 
+\fB\-X, \-\-delete\-chain \fP[\fIchain\fP]
+指定したユーザー定義チェインを削除する。 そのチェインが参照されていては
+ならない。 チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー
+ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。
+.TP 
+\fB\-P, \-\-policy \fP\fIchain target\fP
+チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット
+は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み
+済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも
+ユーザー定義チェインも ポリシーのターゲットに設定することはできない。
+.TP 
+\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP
+ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
+.TP 
+\fB\-h\fP
+ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
 .SS パラメータ
-以下のパラメータは (add, delete, insert, 
-replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-.BR "-p, --protocol " "[!] \fIprotocol\fP"
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
-指定できるプロトコルは、
-.IR tcp ,
-.IR udp ,
-.IR ipv6-icmp|icmpv6 ,
-.I all
-のいずれか 1 つか、数値である。
-数値は、これらのプロトコルの 1 つ、もしくは別のプロトコルを表す。
-/etc/protocols にあるプロトコル名も指定できる。
-プロトコルの前に "!" を置くと、そのプロトコルを指定しないという意味になる。
-数値 0 は
-.I all
-と等しい。
-プロトコル
-.I all
-は全てのプロトコルとマッチし、
+以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
+.TP 
+\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP,
+\fIipv6\-icmp|icmpv6\fP, \fIall\fP のいずれか 1 つか、数値である。 数値は、これらのプロトコルの 1
+つ、もしくは別のプロトコルを表す。 /etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!"
+を置くと、そのプロトコルを指定しないという意味になる。 数値 0 は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、
 このオプションが省略された際のデフォルトである。
-.TP
-.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-送信元の指定。
-.I address
-はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは
-非常に良くない)・
-ネットワーク IPv6 アドレス (/mask を指定する)・
-通常の IPv6 アドレス
-(今のところ、ネットワーク名はサポートされていない)、のいずれかである。
-.I mask
-はネットワークマスクか、
-ネットワークマスクの左側にある 1 の数を指定する数値である。
-つまり、
-.I 64
-という mask は
-.I ffff:ffff:ffff:ffff:0000:0000:0000:0000
-に等しい。
-アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
-フラグ
-.B --src
-は、このオプションの別名である。
-.TP
-.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-送信先の指定。
-書式の詳しい説明については、
-.B -s
-(送信元) フラグの説明を参照すること。
-フラグ
-.B --dst
+.TP 
+\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP]
+送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは 非常に良くない)・ ネットワーク
+IPv6 アドレス (/mask を指定する)・ 通常の IPv6 アドレス (今のところ、ネットワーク名はサポートされていない)、のいずれかである。
+\fImask\fP はネットワークマスクか、 ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI64\fP という mask は
+\fIffff:ffff:ffff:ffff:0000:0000:0000:0000\fP に等しい。 アドレス指定の前に "!"
+を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。
+.TP 
+\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP]
+送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
 は、このオプションの別名である。
-.TP
-.BI "-j, --jump " "target"
-ルールのターゲット、つまり、
-パケットがマッチした場合にどうするかを指定する。
-ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、
-パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
-拡張されたターゲット (以下の
-.RB 「 ターゲットの拡張 」
-を参照) でもよい。
-このオプションがルールの中で省略された場合、
-ルールにマッチしてもパケットの行方に何も影響しないが、
-ルールのカウンタは 1 つ加算される。
-.TP
-.BR "-i, --in-interface " "[!] \fIname\fP"
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインのみに入る) パケットを受信するインターフェース名。
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-j, \-\-jump \fP\fItarget\fP
+ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定
+する。ターゲットはユーザー定義チェイン (そのルール自身が入っている
+チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み
+ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を
+参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに
+マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ
+加算される。
+.TP 
+\fB\-i, \-\-in\-interface \fP[!] \fIname\fP
+パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP,
+\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に
+"!" を置くと、 そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意の
+インターフェース名にマッチする。このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.BR "-o, --out-interface " "[!] \fIname\fP"
-.RB ( FORWARD ,
-.B OUTPUT
-チェインに入る) パケットを送信するインターフェース名。
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
-任意のインターフェース名にマッチする。
-.TP
-.\" (ヘッダに基づくものは) 今のところサポートされていない。
-.\" 
+.TP 
+\fB\-o, \-\-out\-interface \fP[!] \fIname\fP
+(\fBFORWARD\fP, \fBOUTPUT\fP チェインに入る) パケットを送信するインターフェース名。 インターフェース名の前に "!" を置くと、
+そのインターフェースを除外するという意味になる。 インターフェース名が "+" で終っている場合、
+その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、 任意のインターフェース名にマッチする。
+.TP 
+.\" Currently not supported (header-based)
 .\" .B "[!] " "-f, --fragment"
-.\" このオプションは、分割されたパケット (fragmented packet) のうち
-.\" 2 番目以降のパケットだけを参照するルールであることを意味している。
-.\" このようなパケット (または ICMP タイプのパケット) は
-.\" 送信元・送信先ポートを知る方法がないので、
-.\" 送信元や送信先を指定するようなルールにはマッチしない。
-.\" "-f" フラグの前に "!" を置くと、
-.\" 分割されたパケットのうち最初のものか、
-.\" 分割されていないパケットだけにマッチする。
+.\" This means that the rule only refers to second and further fragments
+.\" of fragmented packets.  Since there is no way to tell the source or
+.\" destination ports of such a packet (or ICMP type), such a packet will
+.\" not match any rules which specify them.  When the "!" argument
+.\" precedes the "-f" flag, the rule will only match head fragments, or
+.\" unfragmented packets.
 .\" .TP
-.B "-c, --set-counters " "PKTS BYTES"
-このオプションを使うと、
-.RB ( insert ,
-.BR append ,
-.B replace
-操作において) 管理者はパケットカウンタとバイトカウンタを
+\fB\-c, \-\-set\-counters  PKTS BYTES\fP
+このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
 初期化することができる。
 .SS その他のオプション
 その他に以下のオプションを指定することができる:
-.TP
-.B "-v, --verbose"
-詳細な出力を行う。
-list コマンドの際に、インターフェース名・
-(もしあれば) ルールのオプション・TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。
-添字 'K', 'M', 'G' は、
-それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
-(これを変更する
-.B -x
-フラグも見よ)。
-このオプションを append, insert, delete, replace コマンドに適用すると、
-ルールについての詳細な情報を表示する。
-.TP
-.B "-n, --numeric"
-数値による出力を行う。
-IP アドレスやポート番号を数値によるフォーマットで表示する。
-デフォルトでは、このプログラムは (可能であれば) これらの情報を
+.TP 
+\fB\-v, \-\-verbose\fP
+詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
+倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
+コマンドに適用すると、 ルールについての詳細な情報を表示する。
+.TP 
+\fB\-n, \-\-numeric\fP
+数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット
+で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を
 ホスト名・ネットワーク名・サービス名で表示しようとする。
-.TP
-.B "-x, --exact"
-厳密な数値で表示する。
-パケットカウンタとバイトカウンタを、
-K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
-厳密な値で表示する。
-このオプションは、
-.B -L
-コマンドとしか関係しない。
-.TP
-.B "--line-numbers"
-ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
-行番号を各行の始めに付加する。
-.TP
-.B "--modprobe=command"
-チェインにルールを追加または挿入する際に、
-(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
-.B command
+.TP 
+\fB\-x, \-\-exact\fP
+厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
+ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。
+.TP 
+\fB\-\-line\-numbers\fP
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。
+.TP 
+\fB\-\-modprobe=command\fP
+チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP
 を指定する。
 .SH マッチングの拡張
-ip6tables は拡張されたパケットマッチングモジュールを使うことができる。
-これらのモジュールは 2 種類の方法でロードされる:
-モジュールは、
-.B -p
-または
-.B --protocol
-で暗黙のうちに指定されるか、
-.B -m
-または
-.B --match
-の後にモジュール名を続けて指定される。
-これらのモジュールの後ろには、モジュールに応じて
-他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを 1 行で指定することができる。
-また、モジュールに特有のヘルプを表示させるためには、
-モジュールを指定した後で
-.B -h
-または
-.B --help
-を指定すればよい。
+ip6tables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、
+\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP
+の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを 1 行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で
+\fB\-h\fP または \fB\-\-help\fP を指定すればよい。
 
-以下の拡張がベースパッケージに含まれている。
-大部分のものは、マッチングの意味を逆にするために
-.B !
-を前におくことができる。
+以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を
+前におくことによってマッチングの意味を逆にできる。
 .SS tcp
-これらの拡張は `--protocol tcp' が指定され場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-送信元ポートまたはポート範囲の指定。
-サービス名またはポート番号を指定できる。
-.IR port : port
-という形式で、2 つの番号を含む範囲を指定することもできる。
-最初のポートを省略した場合、"0" を仮定する。
-最後のポートを省略した場合、"65535" を仮定する。
-最後のポートが最初のポートより大きい場合、2 つは入れ換えられる。
-フラグ
-.B --sport
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-送信先ポートまたはポート範囲の指定。
-フラグ
-.B --dport
-は、このオプションの便利な別名である。
-.TP
-.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-指定されているような TCP フラグの場合にマッチする。
-第 1 引き数は評価されるフラグで、コンマで分けられたリストで書かれる。
-第 2 引き数は設定されていなければならないフラグで、
-コンマで分けられたリストで書かれる。
-指定できるフラグは
-.B "SYN ACK FIN RST URG PSH ALL NONE"
-である。
-よって、コマンド
+これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で
+きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること
+もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを
+省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい
+場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利
+な別名である。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP
+TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価
+対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定
+しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ
+グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド
 .nf
-ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
+ip6tables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
 .fi
-は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
-パケットにのみマッチする。
-.TP
-.B "[!] --syn"
-SYN ビットが設定され ACK と RST ビットがクリアされている
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
+.TP 
+\fB[!] \-\-syn\fP
+SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに
+のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え
+ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ
+は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
+を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
 TCP パケットにのみマッチする。
-このようなパケットは TCP 接続の開始要求に使われる。
-例えば、インターフェースに入ってくるこのようなパケットをブロックすれば、
-内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
-これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
-"--syn" の前に "!" フラグを置くと、
-SYN ビットがクリアされ ACK と FIN ビットが設定されている
-TCP パケットにのみマッチする。
-.TP
-.BR "--tcp-option " "[!] \fInumber\fP"
+.TP 
+\fB\-\-tcp\-option \fP[!] \fInumber\fP
 TCP オプションが設定されている場合にマッチする。
 .SS udp
-これらの拡張は `--protocol udp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-送信元ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --source-port
-オプションの説明を参照すること。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-送信先ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --destination-port
-オプションの説明を参照すること。
-.SS ipv6-icmp
-これらの拡張は `--protocol ipv6-icmp' 
-または `--protocol icmpv6' が指定された場合にロードされ、
+これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
+.SS ipv6\-icmp
+これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合にロードされ、
 以下のオプションが提供される:
-.TP
-.BR "--icmpv6-type " "[!] \fItypename\fP"
-数値の IPv6-ICMP タイプ、またはコマンド
+.TP 
+\fB\-\-icmpv6\-type \fP[!] \fItypename\fP
+ICMP タイプを指定できる。タイプ指定には、 数値の IPv6\-ICMP タイプ、または以下のコマンド で表示される IPv6\-ICMP
+タイプ名を使用できる。
 .nf
- ip6tables -p ipv6-icmp -h
+ ip6tables \-p ipv6\-icmp \-h
 .fi
-で表示される IPv6-ICMP タイプ名を指定できる。
 .SS mac
-.TP
-.BR "--mac-source " "[!] \fIaddress\fP"
-送信元 MAC アドレスにマッチする。
-.I address
-は XX:XX:XX:XX:XX:XX という形式でなければならない。
-イーサーネットデバイスから入ってくるパケットで、
-.BR PREROUTING ,
-.BR FORWARD ,
-.B INPUT
-チェインに入るパケットにしか意味がない点に注意すること。
+.TP 
+\fB\-\-mac\-source \fP[!] \fIaddress\fP
+送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
+いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ
+トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
+意味がない。
 .SS limit
-このモジュールは、トークンバケツフィルタを使い、
-単位時間あたり制限された回数だけマッチする。
-この拡張を使ったルールは、(`!' フラグが指定されない限り)
-制限に達するまでマッチする。
-このモジュールは、ログ記録を制限する
-.B LOG
-ターゲットと組み合わせて使うことができる。
-たとえば、
-.TP
-.BI "--limit " "rate"
-単位時間あたりの平均マッチ回数の最大値。
-数値で指定され、添字 `/second', `/minute',
-`/hour', `/day' を付けることもできる。
-デフォルトは 3/hour である。
-.TP
-.BI "--limit-burst " "number"
-パケットがマッチする回数の最大初期値:
-上のオプションで指定した制限に達しなければ、
-その度ごとに、この数値になるまで 1 個ずつ増やされる。
+このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され
+た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され
+ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録
+を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
+.TP 
+\fB\-\-limit \fP\fIrate\fP
+単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day'
+を付けることもできる。 デフォルトは 3/hour である。
+.TP 
+\fB\-\-limit\-burst \fP\fInumber\fP
+パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に
+達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。
 デフォルトは 5 である。
 .SS multiport
-このモジュールは送信元や送信先のポートの集合にマッチする。
-ポートは 15 個まで指定できる。
-このモジュールは
-.B "-p tcp"
-または
-.B "-p udp"
-と組み合わせて使うことしかできない。
-.TP
-.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-送信元ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --sports
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-送信先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --dports
-は、このオプションの便利な別名である。
-.TP
-.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-送信元と送信先ポートの両方が互いに等しいか、
-指定されたポートのうちのいずれかであればマッチする。
+このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p
+udp\fP と組み合わせて使うことしかできない。
+.TP 
+\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+宛先ポートが指定されたポートのうちのいずれかであればマッチする。
+フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの
+うちのいずれかであればマッチする。
 .SS mark
-このモジュールはパケットに関連づけられた
-netfilter の mark フィールドにマッチする
-(このフィールドは、以下の
-.B MARK
+このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP
 ターゲットで設定される)。
-.TP
-.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-指定された符号なし mark 値のパケットにマッチする
-(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
+.TP 
+\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP]
+指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
 .SS owner
-このモジュールは、ローカルで生成されたパケットに付いて、
-パケット生成者のいろいろな特性とのマッチングをとる。
-これは
-.B OUTPUT
-チェインのみでしか有効でない。
-また、(ICMP ping 応答のような) パケットは、
-所有者がいないので絶対にマッチしない。
+このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性とのマッチングをとる。 これは \fBOUTPUT\fP
+チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。
 これは実験的なものという扱いである。
-.TP
-.BI "--uid-owner " "userid"
-指定された実効ユーザー ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--gid-owner " "groupid"
-指定された実効グループ ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--pid-owner " "processid"
-指定されたプロセス ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--sid-owner " "sessionid"
-指定されたセッショングループのプロセスにより
-パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-uid\-owner \fP\fIuserid\fP
+指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-gid\-owner \fP\fIgroupid\fP
+指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-pid\-owner \fP\fIprocessid\fP
+指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-sid\-owner \fP\fIsessionid\fP
 .\" .SS state
-.\" このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-.\" パケットについての接続追跡状態を知ることができる。
+.\" This module, when combined with connection tracking, allows access to
+.\" the connection tracking state for this packet.
 .\" .TP
 .\" .BI "--state " "state"
-.\" state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
-.\" 指定可能な state は以下の通り。
-.\" .BR INVALID :
-.\" このパケットは既知の接続と関係していない。
-.\" .BR ESTABLISHED :
-.\" このパケットは双方向接続のパケットと判明した。
-.\" .BR NEW :
-.\" このパケットが新しい接続を開始したか、
-.\" 双方向接続のパケットでないものと判明した。
-.\" .BR RELATED :
-.\" このパケットが新しい接続を開始しているが、
-.\" FTP データ転送や ICMP エラーのように、既存の接続に関係している。
+.\" Where state is a comma separated list of the connection states to
+.\" match.  Possible states are 
+.\" .B INVALID
+.\" meaning that the packet is associated with no known connection,
+.\" .B ESTABLISHED
+.\" meaning that the packet is associated with a connection which has seen
+.\" packets in both directions,
+.\" .B NEW
+.\" meaning that the packet has started a new connection, or otherwise
+.\" associated with a connection which has not seen packets in both
+.\" directions, and
+.\" .B RELATED
+.\" meaning that the packet is starting a new connection, but is
+.\" associated with an existing connection, such as an FTP data transfer,
+.\" or an ICMP error.
 .\" .SS unclean
-.\" このモジュールにはオプションがないが、
-.\" おかしく正常でないように見えるパケットにマッチする。
-.\" これは実験的なものとして扱われている。
+.\" This module takes no options, but attempts to match packets which seem
+.\" malformed or unusual.  This is regarded as experimental.
 .\" .SS tos
-.\" このモジュールは IP ヘッダーの (上位ビットを含む) 8 ビットの
-.\" Type of Service フィールドにマッチする
+.\" This module matches the 8 bits of Type of Service field in the IP
+.\" header (ie. including the precedence bits). 
 .\" .TP
 .\" .BI "--tos " "tos"
-.\" 引き数は、マッチを行う標準的な名前でも数値でもよい
-.\" (名前のリストを見るには
+.\" The argument is either a standard name, (use
 .\" .br
-.\"  iptables -m tos -h
+.\" iptables -m tos -h
 .\" .br
-.\" を使うこと)。
+.\" to see the list), or a numeric value to match.
+指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。
 .SH ターゲットの拡張
-iptables は拡張ターゲットモジュールを使うことができる:
-以下のものが、標準的なディストリビューションに含まれている。
+iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。
 .SS LOG
-マッチしたパケットをカーネルログに記録する。
-このオプションがルールに対して設定されると、
-Linux カーネルはマッチしたパケットについての
-(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を
-カーネルログに表示する
-(カーネルログは
-.I dmesg
-または
-.IR syslogd (8)
-で見ることができる)。
-これは「非終了タ ーゲット」である。
-すなわち、ルールの検討は、次のルールへと継続される。
-よって、拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、
-最初のルールで LOG ターゲットを、
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての
+(IPv6 における大部分の IPv6 ヘッダフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または
+\fIsyslogd\fP(8)  で見ることができる)。 これは「非終了タ ーゲット」である。 すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、
 次のルールで DROP (または REJECT) ターゲットを指定する。
-.TP
-.BI "--log-level " "level"
-ログ記録のレベル (数値で指定するか、
-(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
-.TP
-.BI "--log-prefix " "prefix"
+.TP 
+\fB\-\-log\-level \fP\fIlevel\fP
+ログ記録のレベル (数値て指定するか、(名前で指定する場合は)
+\fIsyslog.conf\fP(5) を参照すること)。
+.TP 
+\fB\-\-log\-prefix \fP\fIprefix\fP
 指定したプレフィックスをログメッセージの前に付ける。
 プレフィックスは 29 文字までの長さで、
-ログのなかでメッセージを区別するのに役立つ。
-.TP
-.B --log-tcp-sequence
-TCP シーケンス番号をログに記録する。
-ログがユーザーから読める場合、セキュリティ上の危険がある。
-.TP
-.B --log-tcp-options
+ログの中でメッセージを区別するのに役立つ。
+.TP 
+\fB\-\-log\-tcp\-sequence\fP
+TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。
+.TP 
+\fB\-\-log\-tcp\-options\fP
 TCP パケットヘッダのオプションをログに記録する。
-.TP
-.B --log-ip-options
+.TP 
+\fB\-\-log\-ip\-options\fP
 IPv6 パケットヘッダのオプションをログに記録する。
 .SS MARK
-パケットに関連づけられた netfilter の mark 値を指定する。
-.B mangle
-テーブルのみで有効である。
-.TP
-.BI "--set-mark " "mark"
+パケットに関連づけられた netfilter の mark 値を指定する。 \fBmangle\fP テーブルのみで有効である。
+.TP 
+\fB\-\-set\-mark \fP\fImark\fP
 .SS REJECT
 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、
-.B DROP
-と同じであり、
-TARGET を終了し、ルールの検討を終了する。
-このターゲットは、
-.BR INPUT ,
-.BR FORWARD ,
-.B OUTPUT
-チェインと、これらのチェインから呼ばれる
-ユーザー定義チェインだけで有効である。
-以下のオプションは、返されるエラーパケットの特性を制御する。
-.TP
-.BI "--reject-with " "type"
+エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、
+ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
+\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン
+だけで有効である。以下のオプションは、返されるエラーパケットの特性を
+制御する。
+.TP 
+\fB\-\-reject\-with \fP\fItype\fP
 type として指定可能なものは
 .nf
-.B " icmp6-no-route"
-.B " no-route"
-.B " icmp6-adm-prohibited"
-.B " adm-prohibited"
-.B " icmp6-addr-unreachable"
-.B " addr-unreach"
-.B " icmp6-port-unreachable"
-.B " port-unreach"
+\fBicmp6\-no\-route\fP
+\fBno\-route\fP
+\fBicmp6\-adm\-prohibited\fP
+\fBadm\-prohibited\fP
+\fBicmp6\-addr\-unreachable\fP
+\fBaddr\-unreach\fP
+\fBicmp6\-port\-unreachable\fP
+\fBport\-unreach\fP
 .fi
-であり、適切な IPv6-ICMP エラーメッセージを返す
-(\fBport-unreach\fP がデフォルトである)。
-さらに、TCP プロトコルにのみマッチするルールに対して、オプション
-.B tcp-reset
-を使うことができる。
-このオプションを使うと、TCP RST パケットが送り返される。
-主として
-.I ident
-(113/tcp) による探査を阻止するのに役立つ。
-.I ident
-による探査は、壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。
 .\" .SS TOS
-.\" IP ヘッダの 8 ビットの Type of Service フィールドを設定するために使われる。
+.\" This is used to set the 8-bit Type of Service field in the IP header.
+.\" It is only valid in the
 .\" .B mangle
-.\" テーブルのみで有効である。
+.\" table.
 .\" .TP
 .\" .BI "--set-tos " "tos"
-.\" TOS を番号で指定することができる。
-.\" また、
+.\" You can use a numeric TOS values, or use
 .\" .br
-.\"  iptables -j TOS -h
+.\" iptables -j TOS -h
 .\" .br
-.\" を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
+.\" to see the list of valid TOS names.
 .\" .SS MIRROR
-.\" 実験的なデモンストレーション用のターゲットであり、
-.\" IP ヘッダの送信元と送信先フィールドを入れ換え、
-.\" パケットを再送信するものである。
-.\" これは
+.\" This is an experimental demonstration target which inverts the source
+.\" and destination fields in the IP header and retransmits the packet.
+.\" It is only valid in the
 .\" .BR INPUT ,
-.\" .BR FORWARD ,
+.\" .B FORWARD
+.\" and 
 .\" .B PREROUTING
-.\" チェインと、これらのチェインから呼び出される
-.\" ユーザー定義チェインだけで有効である。
-.\" ループ等の問題を回避するため、外部に送られるパケットは
-.\" いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
-.\" 監視\fBされない\fR 。
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  Note that the outgoing packets are
+.\" .B NOT
+.\" seen by any packet filtering chains, connection tracking or NAT, to
+.\" avoid loops and other problems.
 .\" .SS SNAT
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブルと
+.\" table, in the 
 .\" .B POSTROUTING
-.\" チェインのみで有効である。
-.\" このターゲットはパケットの送信元アドレスを修正させる
-.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
-.\" さらに、ルールが評価を中止するように指示する。
-.\" このターゲットにはオプションが 1 つある:
+.\" chain.  It specifies that the source address of the packet should be
+.\" modified (and all future packets in this connection will also be
+.\" mangled), and rules should cease being examined.  It takes one option:
 .\" .TP
 .\" .BR "--to-source  " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\" 1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
-.\" オプションとして、ポートの範囲が指定できる
-.\" (ルールが
+.\" which can specify a single new source IP address, an inclusive range
+.\" of IP addresses, and optionally, a port range (which is only valid if
+.\" the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効)。
-.\" ポートの範囲が指定されていない場合、
-.\" 512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
-.\" 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
-.\" それ以外のポートは、1024 以上のポートにマッピングされる。
-.\" 可能であれば、ポートの変換は起こらない。
+.\" or
+.\" .BR "-p udp" ).
+.\" If no port range is specified, then source ports below 512 will be
+.\" mapped to other ports below 512: those between 512 and 1023 inclusive
+.\" will be mapped to ports below 1024, and other ports will be mapped to
+.\" 1024 or above. Where possible, no port alteration will occur.
 .\" .SS DNAT
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブルと
-.\" .BR PREROUTING ,
+.\" table, in the 
+.\" .B PREROUTING
+.\" and
 .\" .B OUTPUT
-.\" チェイン、これらのチェインから呼び出される
-.\" ユーザー定義チェインのみで有効である。
-.\" このターゲットはパケットの送信先アドレスを修正する
-.\" (この接続の以降のパケットも修正して分からなくする (mangle))。
-.\" さらに、ルールによるチェックを止めさせる。
-.\" このターゲットにはオプションが 1 つある:
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  It specifies that the destination address of the packet
+.\" should be modified (and all future packets in this connection will
+.\" also be mangled), and rules should cease being examined.  It takes one
+.\" option:
 .\" .TP
 .\" .BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-.\" 1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
-.\" オプションとして、ポートの範囲が指定できる
-.\" (ルールが
+.\" which can specify a single new destination IP address, an inclusive
+.\" range of IP addresses, and optionally, a port range (which is only
+.\" valid if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効)。
-.\" ポートの範囲が指定されていない場合、送信先アドレスは変更されない。
+.\" or
+.\" .BR "-p udp" ).
+.\" If no port range is specified, then the destination port will never be
+.\" modified.
 .\" .SS MASQUERADE
-.\" このターゲットは
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブル、または
+.\" table, in the 
 .\" .B POSTROUTING
-.\" チェインのみで有効である。
-.\" 動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
-.\" 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
-.\" マスカレーディングは、パケットが送信されるインターフェースの
-.\" IP アドレスへのマッピングを指定するのと同じであるが、
-.\" インターフェースが停止した場合に接続を\fI忘れる\fRという現象がある。
-.\" 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-.\" (そのため、前回確立された接続は失われる) 場合、
-.\" この動作は正しい。
-.\" このターゲットにはオプションが 1 つある。
+.\" chain.  It should only be used with dynamically assigned IP (dialup)
+.\" connections: if you have a static IP address, you should use the SNAT
+.\" target.  Masquerading is equivalent to specifying a mapping to the IP
+.\" address of the interface the packet is going out, but also has the
+.\" effect that connections are 
+.\" .I forgotten
+.\" when the interface goes down.  This is the correct behavior when the
+.\" next dialup is unlikely to have the same interface address (and hence
+.\" any established connections are lost anyway).  It takes one option:
 .\" .TP
 .\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\" このオプションは、使用する送信元ポートの範囲を指定し、
-.\" デフォルトの
+.\" This specifies a range of source ports to use, overriding the default 
 .\" .B SNAT
-.\" 送信元ポートの選択方法 (上記) よりも優先される。
-.\" ルールが
+.\" source port-selection heuristics (see above).  This is only valid
+.\" if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効である。
+.\" or
+.\" .BR "-p udp" .
 .\" .SS REDIRECT
-.\" このターゲットは、
+.\" This target is only valid in the 
 .\" .B nat
-.\" テーブル内の
-.\" .B PREROUTING 
-.\" チェイン及び
-.\" .B OUTPUT 
-.\" チェイン、そしてこれらチェインから呼び出される
-.\" ユーザ定義チェインでのみ有効である。
-.\" このターゲットはパケットの送信先 IP アドレスを
-.\" マシン自身の IP アドレスに変換する。
-.\" (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
-.\" このターゲットにはオプションが 1 つある:
+.\" table, in the 
+.\" .B PREROUTING
+.\" and
+.\" .B OUTPUT
+.\" chains, and user-defined chains which are only called from those
+.\" chains.  It alters the destination IP address to send the packet to
+.\" the machine itself (locally-generated packets are mapped to the
+.\" 127.0.0.1 address).  It takes one option:
 .\" .TP
 .\" .BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-.\" このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
-.\" このオプションが指定されない場合、送信先ポートは変更されない。
-.\" ルールが
+.\" This specifies a destination port or range of ports to use: without
+.\" this, the destination port is never altered.  This is only valid
+.\" if the rule also specifies
 .\" .B "-p tcp"
-.\" または
-.\" .B "-p udp"
-.\" を指定している場合にのみ有効である。
+.\" or
+.\" .BR "-p udp" .
+であり、適切な IPv6\-ICMP エラーメッセージを返す (\fBport\-unreach\fP がデフォルトである)。 さらに、TCP
+プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST
+パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている
+(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。
 .SH 返り値
-いろいろなエラーメッセージが標準エラーに表示される。
-正しく機能した場合、終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、
-終了コード 2 が返される。
-その他のエラーの場合は、終了コード 1 が返される。
+いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。
 .SH バグ
-バグ? バグって何? ;-)
-えーと…、sparc64 ではカウンター値が信頼できない。
-.SH IPCHAINS との互換性
-.B ip6tables
-は、Rusty Russell の ipchains と非常によく似ている。
-大きな違いは、チェイン
-.B INPUT
-と
-.B OUTPUT
-が、それぞれローカルホストに入ってくるパケットと、
-ローカルホストから出されるパケットのみしか調べないという点である。
-よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない
-(ループバックトラフィックは例外で、INPUT と OUTPUT チェインの両方を通る)。
-以前は (ipchains では)、
-フォワードされるパケットが 3 つのチェイン全てを通っていた。
+バグ? バグって何? ;\-)  えーと…、sparc64 ではカウンター値が信頼できない。
+.SH "IPCHAINS との互換性"
+\fBip6tables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
+\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。
+よって、全てのパケットは 3 つあるチェインのうち 1 つしか通らない (ループバックトラフィックは例外で、INPUT と OUTPUT
+チェインの両方を通る)。 以前は (ipchains では)、 フォワードされるパケットが 3 つのチェイン全てを通っていた。
 .PP
-その他の大きな違いは、
-.B -i
-で入力インターフェース、
-.B -o
-で出力インターフェースを指定し、
-ともに
-.B FORWARD
-チェインに入るパケットに対して指定可能な点である。
-.\" .PP
-.\" NAT のいろいろな形式が分割された。
-.\" オプションの拡張モジュールとともに
-.\" デフォルトの「フィルタ」テーブルを用いた場合、
+.\" .PP The various forms of NAT have been separated out; 
 .\" .B iptables 
-.\" は純粋なパケットフィルタとなる。
-.\" これは、以前みられた IP マスカレーディングとパケットフィルタリングの
-.\" 組合せによる混乱を簡略化する。
-.\" よって、オプション
+.\" is a pure packet filter when using the default `filter' table, with
+.\" optional extension modules.  This should simplify much of the previous
+.\" confusion over the combination of IP masquerading and packet filtering
+.\" seen previously.  So the following options are handled differently:
 .\" .br
-.\"  -j MASQ
+.\" -j MASQ
 .\" .br
-.\"  -M -S
+.\" -M -S
 .\" .br
-.\"  -M -L
+.\" -M -L
 .\" .br
-.\" は別のものとして扱われる。
-ip6tables では、その他にもいくつかの変更がある。
+その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを指定し、 ともに \fBFORWARD\fP
+チェインに入るパケットに対して指定可能な点である。 ip6tables では、その他にもいくつかの変更がある。
 .SH 関連項目
-.BR ip6tables-save (8),
-.BR ip6tables-restore(8),
-.BR iptables (8),
-.BR iptables-save (8),
-.BR iptables-restore (8).
+\fBip6tables\-save\fP(8), \fBip6tables\-restore(8),\fP \fBiptables\fP(8),
+\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8).
 .P
 パケットフィルタリングについての詳細な iptables の使用法を
-説明している packet-filtering-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-標準的な配布には含まれない拡張の詳細を説明している netfilter-extensions-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+説明している packet\-filtering\-HOWTO。
+NAT について詳細に説明している NAT\-HOWTO。
+標準的な配布には含まれない拡張の詳細を 説明している
+netfilter\-extensions\-HOWTO。
+内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
 .br
-.B "http://www.netfilter.org/"
-を参照のこと。
-.SH 著者
+\fBhttp://www.netfilter.org/\fP を参照。
+.SH 作者
 Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
 .PP
-Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
-ipnatctl を止めさせた。
-そして、mangle テーブル・所有者マッチング・
-mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
 .PP
 James Morris が TOS ターゲットと tos マッチングを書いた。
 .PP
 Jozsef Kadlecsik が REJECT ターゲットを書いた。
 .PP
-Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・
-libipulog を書いた。
+Harald Welte が ULOG ターゲット・TTL マッチングと TTL ターゲット・ libipulog を書いた。
 .PP
-Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik,
-James Morris, Harald Welte, Rusty Russell である。
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James
+Morris, Harald Welte, Rusty Russell である。
 .PP
-ip6tables の man ページは、Andras Kis-Szabo によって作成された。
-これは Herve Eychenne <rv@wallfire.org> によって書かれた
-iptables の man ページを元にしている。
-.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな？
-.\" .. セクシーで ..
-.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
-.\" .. そして、みんな謙虚なんだ ..
+ip6tables の man ページは、Andras Kis\-Szabo によって作成された。 これは Herve Eychenne
+<rv@wallfire.org> によって書かれた iptables の man ページを元にしている。
+.\" .. and did I mention that we are incredibly cool people?
+.\" .. sexy, too ..
+.\" .. witty, charming, powerful ..
+.\" .. and most of all, modest ..
diff --git a/release/man8/iptables-restore.8 b/release/man8/iptables-restore.8
index 3547830..59d7b0b 100644
--- a/release/man8/iptables-restore.8
+++ b/release/man8/iptables-restore.8
@@ -1,4 +1,9 @@
-.TH IPTABLES-RESTORE 8 "Jan 04, 2001" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES\-RESTORE 8 "Jan 04, 2001" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,39 +22,29 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Tue May 15 20:08:04 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
 .\"
 .SH 名前
-iptables-restore \- IP テーブルを復元する
+iptables\-restore \- IP テーブルを復元する
 .SH 書式
-.BR "iptables-restore " "[-c] [-n]"
+\fBiptables\-restore \fP[\-c] [\-n]
 .br
 .SH 説明
 .PP
-.B iptables-restore
-は標準入力で指定されたデータから IP テーブルを復元するために使われる。
-ファイルから読み込むためには、
+\fBiptables\-restore\fP は標準入力で指定されたデータから IP テーブルを復元するために使われる。 ファイルから読み込むためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの値を復元する。
-.TP
-\fB\-n\fR, \fB\-\-noflush\fR 
-これまでのテーブルの内容をフラッシュしない。
-指定されない場合、
-.B iptables-restore
-は、これまでの各 IP テーブルの内容を全てフラッシュ (削除) する。
+.TP 
+\fB\-n\fP, \fB\-\-noflush\fP 
+これまでのテーブルの内容をフラッシュしない。 指定されない場合、 \fBiptables\-restore\fP は、これまでの各 IP
+テーブルの内容を全てフラッシュ (削除) する。
 .SH バグ
-iptables-1.2.1 リリースでは知られていない。
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .SH 関連項目
-.BR iptables-save "(8), " iptables "(8) "
+\fBiptables\-save\fP(8), \fBiptables\fP(8)
 .PP
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/release/man8/iptables-save.8 b/release/man8/iptables-save.8
index a40de06..38d01ce 100644
--- a/release/man8/iptables-save.8
+++ b/release/man8/iptables-save.8
@@ -1,4 +1,9 @@
-.TH IPTABLES-SAVE 8 "Jan 04, 2001" "" ""
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES\-SAVE 8 "Jan 04, 2001" "" ""
 .\"
 .\" Man page written by Harald Welte <laforge@gnumonks.org>
 .\" It is based on the iptables man page.
@@ -17,38 +22,28 @@
 .\"	along with this program; if not, write to the Free Software
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
-.\" Japanese Version Copyright (c) 2001 Yuichi SATO
-.\"         all rights reserved.                                               
-.\" Translated Tue May 15 20:09:48 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
 .\"
 .SH 名前
-iptables-save \- IP テーブルを保存する
+iptables\-save \- IP テーブルを保存する
 .SH 書式
-.BR "iptables-save " "[-c] [-t table]"
+\fBiptables\-save \fP[\-c] [\-t table]
 .br
 .SH 説明
 .PP
-.B iptables-save
-は IP テーブルの内容を簡単に解析できる形式で
-標準出力にダンプするために使われる。
-ファイルに書き出すためには、
+\fBiptables\-save\fP は IP テーブルの内容を簡単に解析できる形式で 標準出力にダンプするために使われる。 ファイルに書き出すためには、
 シェルで提供されている I/O リダイレクションを使うこと。
-.TP
-\fB\-c\fR, \fB\-\-counters\fR
+.TP 
+\fB\-c\fP, \fB\-\-counters\fP
 全てのパケットカウンタとバイトカウンタの現在の値を出力する。
-.TP
-\fB\-t\fR, \fB\-\-table\fR \fBtablename\fR
-出力を 1 つのテーブルのみに制限する。
-指定されない場合、得られた全てのテーブルを出力する。
+.TP 
+\fB\-t\fP, \fB\-\-table\fP \fBtablename\fP
+出力を 1 つのテーブルのみに制限する。 指定されない場合、得られた全てのテーブルを出力する。
 .SH バグ
-iptables-1.2.1 リリースでは知られていない。
-.SH 著者
+iptables\-1.2.1 リリースでは知られていない。
+.SH 作者
 Harald Welte <laforge@gnumonks.org>
 .SH 関連項目
-.BR iptables-restore "(8), " iptables "(8) "
+\fBiptables\-restore\fP(8), \fBiptables\fP(8)
 .PP
-より多くの iptables の使用法について
-詳細に説明している iptables-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
+より多くの iptables の使用法について 詳細に説明している iptables\-HOWTO。 NAT について詳細に説明している
+NAT\-HOWTO。 内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
diff --git a/release/man8/iptables.8 b/release/man8/iptables.8
index d4d4b07..a696e13 100644
--- a/release/man8/iptables.8
+++ b/release/man8/iptables.8
@@ -1,3 +1,9 @@
+.\"*******************************************************************
+.\"
+.\" This file was generated with po4a. Translate the source file.
+.\"
+.\"*******************************************************************
+.TH IPTABLES 8 "Mar 09, 2002" "" ""
 .\"
 .\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
 .\" It is based on ipchains page.
@@ -21,1183 +27,715 @@
 .\"	Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
 .\"
 .\"
-.\" Japanese Version Copyright (c) 2001, 2004 Yuichi SATO
-.\"         all right reserved.
-.\" Translated Sun Jul 29 01:03:37 JST 2001
-.\"         by Yuichi SATO <ysato@h4.dion.ne.jp>
-.\" Updated & Modified Wed Sep 12 06:22:55 JST 2001 by Yuichi SATO
-.\" Updated on Wed May 28 01:51:45 JST 2003 by
-.\"    System Design and Research Institute Co., Ltd.
-.\" Updated & Modified Sat Feb 21 23:28:25 JST 2004
-.\"         by Yuichi SATO <ysato444@yahoo.co.jp>
-.\"
-.\"WORD:	chain		チェイン
-.\"WORD:	built-in chain	組み込み済みチェイン
-.\"WORD:	connection tracking	接続追跡
-.\"WORD:	enslave		スレーブにする
-.\"WORD:	infrastructure	基盤
-.\"WORD:	round-robin	ラウンド・ロビン
-.\"WORD:	rule traverse	ルールの検討
-.\"WORD:	non-terminating target	非終了ターゲット
-.\"WORD:	criteria	判断(する)基準
-.\"
-.TH IPTABLES 8 "Mar 09, 2002" "" ""
 .SH 名前
 iptables \- IPv4 のパケットフィルタと NAT を管理するツール
 .SH 書式
-.BR "iptables [-t table] -[AD] " "チェイン ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-[AD] \fPチェイン ルールの詳細 [オプション]
 .br
-.BR "iptables [-t table] -I " "チェイン [ルール番号] ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-I \fPチェイン [ルール番号] ルールの詳細 [オプション]
 .br
-.BR "iptables [-t table] -R " "チェイン ルール番号 ルールの詳細 [オプション]"
+\fBiptables [\-t table] \-R \fPチェイン ルール番号 ルールの詳細 [オプション]
 .br
-.BR "iptables [-t table] -D " "チェイン ルール番号 [オプション]"
+\fBiptables [\-t table] \-D \fPチェイン ルール番号 [オプション]
 .br
-.BR "iptables [-t table] -[LFZ] " "[チェイン] [オプション]"
+\fBiptables [\-t table] \-[LFZ] \fP[チェイン] [オプション]
 .br
-.BR "iptables [-t table] -N " "チェイン"
+\fBiptables [\-t table] \-N \fPチェイン
 .br
-.BR "iptables [-t table] -X " "[チェイン]"
+\fBiptables [\-t table] \-X \fP[チェイン]
 .br
-.BR "iptables [-t table] -P " "チェイン ターゲット [オプション]"
+\fBiptables [\-t table] \-P \fPチェイン ターゲット [オプション]
 .br
-.BR "iptables [-t table] -E " "旧チェイン名 新チェイン名"
+\fBiptables [\-t table] \-E \fP旧チェイン名 新チェイン名
 .SH 説明
-.B iptables
-は Linux カーネルの IP パケットフィルタルールのテーブルを
-設定・管理・検査するために使われる。
-複数の異なるテーブルを定義できる。
-各テーブルにはたくさんの組み込み済みチェインが含まれており、
-さらにユーザー定義のチェインを加えることもできる。
+\fBiptables\fP は Linux カーネルの IP パケットフィルタルールのテーブルを 設定・管理・検査するために使われる。
+複数の異なるテーブルを定義できる。 各テーブルにはたくさんの組み込み済みチェインが含まれており、 さらにユーザー定義のチェインを加えることもできる。
 
-各チェインは、パケット群にマッチするルールのリストである。
-各ルールはマッチしたパケットに対して何をするかを指定する。
-これは「ターゲット」と呼ばれ、
-同じテーブル内のユーザー定義チェインにジャンプすることもできる。
+各チェインは、パケット群にマッチするルールのリストである。 各ルールは
+マッチしたパケットに対して何をするかを指定する。 これは「ターゲット」と
+呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
 
 .SH ターゲット
-ひとつのファイアウォールルールでは、
-パケットを判断する基準とターゲットとが指定される。
+ファイアウォールのルールは、パケットを判断する基準とターゲットを指定する。
 パケットがマッチしない場合、チェイン内の次のルールが評価される。
-パケットがマッチした場合、
-ターゲットの値が次のルールを指定する。
+パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。
 ターゲットの値は、ユーザー定義チェインの名前、または特別な値
-.IR ACCEPT ,
-.IR DROP ,
-.IR QUEUE ,
-.I RETURN
-のうちの 1 つである。
+\fIACCEPT\fP, \fIDROP\fP, \fIQUEUE\fP, \fIRETURN\fP のうちの 1 つである。
 .PP
-.I ACCEPT 
-はパケットを通すという意味である。
-.I DROP
-はパケットを床に落す (捨てる) という意味である。
-.I QUEUE
-はパケットをユーザー空間に渡すという意味である
+\fIACCEPT\fP はパケットを通すという意味である。
+\fIDROP\fP はパケットを床に落す (捨てる) という意味である。
+\fIQUEUE\fP はパケットをユーザー空間に渡すという意味である
 (カーネルがサポートしていればであるが)。
-.I RETURN
-は、このチェインの検討を中止して、
-以前の (呼び出し元) チェイン内の
-次のルールから検討を再開するという意味である。
-組み込み済みチェインの最後に到達した場合、
-または組み込み済みチェインでターゲット
-.I RETURN
-を持つルールにマッチした場合、
-チェインポリシーで指定されたターゲットが
-パケットの行方を決定する。
+\fIRETURN\fP は、このチェインを辿るのを中止して、
+前の (呼び出し元) チェインの次のルールから再開するという意味である。
+組み込み済みチェインの最後に到達した場合、 または組み込み済みチェインで
+ターゲット \fIRETURN\fP を持つルールにマッチした場合、
+チェインポリシーで指定されたターゲットが パケットの行方を決定する。
 .SH テーブル
-現在のところ 3 つの独立なテーブルが存在する
-(ある時点でどのテーブルが存在するかは、
-カーネルの設定やどういったモジュールが存在するかに依存する)。
-.TP
-.BI "-t, --table " "table"
-このオプションは、このコマンドを適用する
-パケットマッチングテーブルを指定する。
-カーネルに自動モジュールローディングが設定されている場合、
+現在のところ 3 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
+.TP 
+\fB\-t, \-\-table \fP\fItable\fP
+このオプションは、このコマンドが操作するパケットマッチングテーブルを
+指定する。 カーネルに自動モジュールローディングが設定されている場合、
 そのテーブルに対する適切なモジュールがまだロードされていなければ、
 そのモジュールがロードされる。
 
 テーブルは以下の通りである。
 .RS
-.TP .4i
-.BR "filter" :
-(\-t オプションが渡されなければ) これがデフォルトのテーブルである。
-これには
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B OUTPUT
-(ローカルマシンで生成されたパケットに対するチェイン)
-という組み込み済みチェインが含まれる。
-.TP
-.BR "nat" :
-このテーブルは新しい接続を開くようなパケットに対して参照される。
-これには
-.B PREROUTING
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)
-という 3 つの組み込み済みチェインが含まれる。
-.TP
-.BR "mangle" :
-このテーブルは特別なパケット変換に使われる。
-これには、カーネル 2.4.17 までは
-.B PREROUTING
-(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・
-.B OUTPUT
-(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)
-という 2 つの組み込み済みチェインが含まれる。
-カーネル 2.4.18 からは、これらの他に
-.B INPUT
-(マシン自体に入ってくるパケットに対するチェイン)・
-.B FORWARD
-(マシンを経由するパケットに対するチェイン)・
-.B POSTROUTING
-(パケットが出て行くときに変換するためのチェイン)
-という 3 つの組み込み済みチェインも含まれる。
+.TP  .4i
+\fBfilter\fP:
+(\-t オプションが指定されていない場合は) これがデフォルトのテーブルである。
+これには \fBINPUT\fP (マシン自体に入ってくるパケットに対するチェイン)・
+\fBFORWARD\fP (マシンを経由するパケットに対するチェイン)・
+\fBOUTPUT\fP (ローカルマシンで生成されたパケットに対するチェイン) という
+組み込み済みチェインが含まれる。
+.TP 
+\fBnat\fP:
+このテーブルは新しい接続を開くようなパケットに対して参照される。 これには \fBPREROUTING\fP
+(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)・ \fBOUTPUT\fP
+(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)・ \fBPOSTROUTING\fP
+(パケットが出て行くときに変換するためのチェイン)  という 3 つの組み込み済みチェインが含まれる。
+.TP 
+\fBmangle\fP:
+このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、
+\fBPREROUTING\fP (パケットが入ってきた場合、 すぐにそのパケットを変換する
+ためのチェイン)・ \fBOUTPUT\fP (ローカルで生成されたパケットを ルーティン
+グの前に変換するためのチェイン) という 2 つの組み込み済みチェインが含ま
+れていた。 カーネル 2.4.18 からは、これらの他に \fBINPUT\fP (マシン自体に
+入ってくるパケットに対するチェイン)・ \fBFORWARD\fP (マシンを経由するパケッ
+トに対するチェイン)・ \fBPOSTROUTING\fP (パケットが出て行くときに変換する
+ためのチェイン)・ という 3 つの組み込み済みチェインもサポートされる。
 .RE
 .SH オプション
-.B iptables
-で使えるオプションは、いくつかのグループに分けられる。
+\fBiptables\fP で使えるオプションは、いくつかのグループに分けられる。
 .SS コマンド
-これらのオプションは、実行する特定の動作を指定する。
-以下の説明で注記されていない限り、
-コマンドラインで指定できるのはこの中の 1 つだけである。
-長いバージョンのコマンド名とオプション名は、
-.B iptables
-が他のコマンド名やオプション名と区別できる範囲で
-(文字を省略して) 指定することもできる。
-.TP
-.BI "-A, --append " "チェイン ルールの詳細"
+これらのオプションは、実行する特定の動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の 1 つだけである。
+長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (文字を省略して)
+指定することもできる。
+.TP 
+\fB\-A, \-\-append \fP\fIchain rule\-specification\fP
 選択されたチェインの最後に 1 つ以上のルールを追加する。
-送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
-可能なアドレスの組合せそれぞれに対してルールが追加される。
-.TP
-.BI "-D, --delete " "チェイン ルールの詳細"
+送信元や送信先の名前の解決を行って、 1 つ以上のアドレスに展開された
+場合は、可能なアドレスの組合せそれぞれに対してルールが追加される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rule\-specification\fP
 .ns
-.TP
-.BI "-D, --delete " "チェイン ルール番号"
-選択されたチェインから 1 つ以上のルールを削除する。
-このコマンドには 2 つの使い方がある:
-チェインの中の番号 (最初のルールを 1 とする) を指定する場合と、
-マッチするルールを指定する場合である。
-.TP
-.BR  "-I, --insert " "\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細"
-選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。
-ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
+.TP 
+\fB\-D, \-\-delete \fP\fIchain rulenum\fP
+選択されたチェインから 1 つ以上のルールを削除する。 このコマンドには 2 つの使い方がある: チェインの中の番号 (最初のルールを 1 とする)
+を指定する場合と、 マッチするルールを指定する場合である。
+.TP 
+\fB\-I, \-\-insert \fP\fIチェイン\fP [\fIルール番号\fP] \fIルールの詳細\fP
+選択されたチェインにルール番号を指定して 1 つ以上のルールを挿入する。 ルール番号が 1 の場合、ルールはチェインの先頭に挿入される。
 これはルール番号が指定されない場合のデフォルトでもある。
-.TP
-.BI  "-R, --replace " "チェイン ルール番号 ルールの詳細"
-選択されたチェインでルールを置換する。
+.TP 
+\fB\-R, \-\-replace \fP\fIchain rulenum rule\-specification\fP
+選択されたチェインにあるルールを置き換える。
 送信元や送信先の名前が 1 つ以上のアドレスに解決された場合は、
 このコマンドは失敗する。ルール番号は 1 からはじまる。
-.TP
-.BR  "-L, --list " "[\fIチェイン\fP]"
-選択されたチェインにある全てのルールを一覧表示する。
-チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。
-他の各 iptables コマンドと同様に、指定されたテーブル
-(デフォルトは filter) に対して作用する。
-よって NAT ルールを表示するには以下のようにする。
+.TP 
+\fB\-L, \-\-list \fP[\fIchain\fP]
+選択されたチェインにある全てのルールを一覧表示する。 チェインが指定されない場合、全てのチェインにあるリストが一覧表示される。 他の各 iptables
+コマンドと同様に、指定されたテーブル (デフォルトは filter) に対して作用する。 よって NAT ルールを表示するには以下のようにする。
 .nf
- iptables -t nat -n -L
+ iptables \-t nat \-n \-L
 .fi
-DNSの逆引きを避けるために、よく
-.B -n
-オプションと共に使用される。
-.B -Z
-(ゼロ化) オプションを同時に指定することもできる。
-この場合、チェインは要素毎にリストされて、
-(訳註: パケットカウンタとバイトカウンタが) ゼロにされる。
-出力表示は同時に与えられた他の引き数に影響される。
+DNS の逆引きを避けるために、よく \fB\-n\fP オプションと共に使用される。
+\fB\-Z\fP (ゼロ化) オプションを同時に指定することもできる。この場合、
+チェインは要素毎にリストされて、 (訳註: パケットカウンタとバイト
+カウンタが) ゼロにされる。出力表示は同時に与えられた他の引き数に
+影響される。以下のように、 \fB\-v\fP オプションを指定しない限り、
+実際のルールそのものは表示されない。
 .nf
- iptables -L -v
+ iptables \-L \-v
 .fi
-を使わない限り (訳注: -v オプションを指定しない限り)、
-実際のルールそのものは表示されない。
-.TP
-.BR "-F, --flush " "[\fIチェイン\fP]"
-選択されたチェイン(何も指定しなければテーブル内の全てのチェイン)
-の内容を全消去する。
-これは全てのルールを 1 個ずつ削除するのと同じである。
-.TP
-.BR "-Z, --zero " "[\fIチェイン\fP]"
-すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。
-クリアされる直前のカウンタを見るために、
-.B "-L, --list"
-(一覧表示) オプションと同時に指定することもできる (上記を参照)。
-.TP
-.BI "-N, --new-chain " "チェイン"
-指定した名前でユーザー定義チェインを作成する。
-同じ名前のターゲットが既に存在してはならない。
-.TP
-.BR "-X, --delete-chain " "[\fIチェイン\fP]"
-指定したユーザー定義チェインを削除する。
-そのチェインが参照されていてはならない。
-チェインを削除する前に、そのチェインを参照しているルールを
-削除するか置き換えるかしなければならない。
-引き数が与えられない場合、テーブルにあるチェインのうち
-組み込み済みチェインでないものを全て削除する。
-.TP
-.BI "-P, --policy " "チェイン ターゲット"
-チェインのポリシーを、指定したターゲットに設定する。
-指定可能なターゲットは「\fBターゲット\fR」の章を参照すること。
-(ユーザー定義ではない)組み込み済みチェインにしかポリシーは設定できない。
-また、組み込み済みチェインもユーザー定義チェインも
-ポリシーのターゲットに設定することはできない。
-.TP
-.BI  "-E, --rename-chain " "旧チェイン名 新チェイン名"
-ユーザー定義チェインを指定した名前に変更する。
-これは見た目だけの変更なので、テーブルの構造には何も影響しない。
-.TP
-.B -h
-ヘルプ。
-(今のところはとても簡単な) コマンド書式の説明を表示する。
+.TP 
+\fB\-F, \-\-flush \fP[\fIchain\fP]
+選択されたチェイン (何も指定されなければテーブル内の全てのチェイン)
+の内容を全消去する。これは全てのルールを 1 個ずつ削除するのと
+同じである。
+.TP 
+\fB\-Z, \-\-zero \fP[\fIchain\fP]
+すべてのチェインのパケットカウンタとバイトカウンタをゼロにする。 クリアされる直前のカウンタを見るために、 \fB\-L, \-\-list\fP (一覧表示)
+オプションと同時に指定することもできる (上記を参照)。
+.TP 
+\fB\-N, \-\-new\-chain \fP\fIchain\fP
+指定した名前でユーザー定義チェインを作成する。 同じ名前のターゲットが既に存在してはならない。
+.TP 
+\fB\-X, \-\-delete\-chain \fP[\fIchain\fP]
+指定したユーザー定義チェインを削除する。 そのチェインが参照されていては
+ならない。 チェインを削除する前に、そのチェインを参照しているルールを
+削除するか置き換えるかしなければならない。 引き数が与えられない場合、テー
+ブルにあるチェインのうち 組み込み済みチェインでないものを全て削除する。
+.TP 
+\fB\-P, \-\-policy \fP\fIchain target\fP
+チェインのポリシーを指定したターゲットに設定する。指定可能なターゲット
+は「\fBターゲット\fP」の章を参照すること。 (ユーザー定義ではない) 組み込み
+済みチェインにしかポリシーは設定できない。 また、組み込み済みチェインも
+ユーザー定義チェインも ポリシーのターゲットに設定することはできない。
+.TP 
+\fB\-E, \-\-rename\-chain \fP\fIold\-chain new\-chain\fP
+ユーザー定義チェインを指定した名前に変更する。 これは見た目だけの変更なので、テーブルの構造には何も影響しない。
+.TP 
+\fB\-h\fP
+ヘルプ。 (今のところはとても簡単な) コマンド書式の説明を表示する。
 .SS パラメータ
-以下のパラメータは (add, delete, insert, 
-replace, append コマンドで用いられて) ルールの仕様を決める。
-.TP
-.BR "-p, --protocol " "[!] \fIprotocol\fP"
-ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。
-指定できるプロトコルは、
-.IR tcp ,
-.IR udp ,
-.IR icmp ,
-.I all
-のいずれか 1 つか、数値である。
-数値には、これらのプロトコルのどれかないし別のプロトコルを表す
-数値を指定することができる。
-/etc/protocols にあるプロトコル名も指定できる。
-プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。
-数値 0 は
-.I all
-と等しい。
-プロトコル
-.I all
-は全てのプロトコルとマッチし、
-このオプションが省略された際のデフォルトである。
-.TP
-.BR "-s, --source " "[!] \fIaddress\fP[/\fImask\fP]"
-送信元の指定。
-.I address
-はホスト名
-(DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)
-・ネットワーク IP アドレス (/mask を指定する)・
-通常の IP アドレス、のいずれかである。
-.I mask
-はネットワークマスクか、
-ネットワークマスクの左側にある 1 の数を指定する数値である。
-つまり、
-.I 24
-という mask は
-.I 255.255.255.0
-に等しい。
-アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。
-フラグ
-.B --src
-は、このオプションの別名である。
-.TP
-.BR "-d, --destination " "[!] \fIaddress\fP[/\fImask\fP]"
-送信先の指定。
-書式の詳しい説明については、
-.B -s
-(送信元) フラグの説明を参照すること。
-フラグ
-.B --dst
+以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
+.TP 
+\fB\-p, \-\-protocol \fP[!] \fIprotocol\fP
+ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fItcp\fP, \fIudp\fP, \fIicmp\fP,
+\fIall\fP のいずれか 1 つか、数値である。 数値には、これらのプロトコルのどれかないし別のプロトコルを表す 数値を指定することができる。
+/etc/protocols にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0
+は \fIall\fP と等しい。 プロトコル \fIall\fP は全てのプロトコルとマッチし、 このオプションが省略された際のデフォルトである。
+.TP 
+\fB\-s, \-\-source \fP[!] \fIaddress\fP[/\fImask\fP]
+送信元の指定。 \fIaddress\fP はホスト名 (DNS のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くない)  ・ネットワーク
+IP アドレス (/mask を指定する)・ 通常の IP アドレス、のいずれかである。 \fImask\fP はネットワークマスクか、
+ネットワークマスクの左側にある 1 の数を指定する数値である。 つまり、 \fI24\fP という mask は \fI255.255.255.0\fP に等しい。
+アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ \fB\-\-src\fP は、このオプションの別名である。
+.TP 
+\fB\-d, \-\-destination \fP[!] \fIaddress\fP[/\fImask\fP]
+送信先の指定。 書式の詳しい説明については、 \fB\-s\fP (送信元) フラグの説明を参照すること。 フラグ \fB\-\-dst\fP
 は、このオプションの別名である。
-.TP
-.BI "-j, --jump " "target"
-ルールのターゲット、つまり、
-パケットがマッチした場合にどうするかを指定する。
-ターゲットはユーザー定義チェイン
-(そのルール自身が入っているチェイン以外) でも、
-パケットの行方を即時に決定する特別な組み込み済みターゲットでも、
-拡張されたターゲット (以下の
-.RB 「 ターゲットの拡張 」
-を参照) でもよい。
-このオプションがルールに指定されなかった場合は、
-ルールにマッチしてもパケットの行方に何も影響しないが、
-ルールのカウンタは 1 つ加算される。
-.TP
-.BR "-i, --in-interface " "[!] \fIname\fP"
-パケットを受信することになるインターフェース名
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインに入るパケットのみ)。
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-j, \-\-jump \fP\fItarget\fP
+ルールのターゲット、つまり、パケットがマッチした場合にどうするかを指定
+する。ターゲットはユーザー定義チェイン (そのルール自身が入っている
+チェイン以外) でも、パケットの行方を即時に決定する特別な組み込み済み
+ターゲットでも、拡張されたターゲット (以下の 「\fBターゲットの拡張\fP」 を
+参照) でもよい。 このオプションがルールの中で省略された場合、 ルールに
+マッチしてもパケットの行方に何も影響しないが、 ルールのカウンタは 1 つ
+加算される。
+.TP 
+\fB\-i, \-\-in\-interface \fP[!] \fIname\fP
+パケットを受信することになるインターフェース名 (\fBINPUT\fP, \fBFORWARD\fP,
+\fBPREROUTING\fP チェインに入るパケットのみ)。インターフェース名の前に
+"!" を置くと、 そのインターフェースを除外するという意味になる。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意の
+インターフェース名にマッチする。このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.BR "-o, --out-interface " "[!] \fIname\fP"
-パケットを送信することになるインターフェース名
-.RB ( FORWARD ,
-.BR OUTPUT , 
-.B POSTROUTING
-チェインに入るパケットのみ)。
-インターフェース名の前に "!" を置くと、
-そのインターフェースを除外するという意味になる。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-このオプションが省略された場合、
+.TP 
+\fB\-o, \-\-out\-interface \fP[!] \fIname\fP
+パケットを送信することになるインターフェース名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
+チェインに入るパケットのみ)。 インターフェース名の前に "!" を置くと、 そのインターフェースを除外するという意味になる。 インターフェース名が
+"+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 このオプションが省略された場合、
 任意のインターフェース名にマッチする。
-.TP
-.B "[!] " "-f, --fragment"
-このオプションは、分割されたパケット (fragmented packet) のうち
-2 番目以降のパケットだけを参照するルールであることを意味する。
-このようなパケット (または ICMP タイプのパケット) は
-送信元・送信先ポートを知る方法がないので、
-送信元や送信先を指定するようなルールにはマッチしない。
-"-f" フラグの前に "!" を置くと、
-分割されたパケットのうち最初のものか、
+.TP 
+\fB[!]  \-f, \-\-fragment\fP
+このオプションは、分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。
+このようなパケット (または ICMP タイプのパケット) は 送信元・送信先ポートを知る方法がないので、
+送信元や送信先を指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、 分割されたパケットのうち最初のものか、
 分割されていないパケットだけにマッチする。
-.TP
-.BI "-c, --set-counters " "PKTS BYTES"
-このオプションを使うと、
-.RB ( insert ,
-.BR append ,
-.B replace
-操作において) 管理者はパケットカウンタとバイトカウンタを
+.TP 
+\fB\-c, \-\-set\-counters \fP\fIPKTS BYTES\fP
+このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
 初期化することができる。
 .SS その他のオプション
 その他に以下のオプションを指定することができる:
-.TP
-.B "-v, --verbose"
-詳細な出力を行う。
-list コマンドの際に、インターフェース名・
-(もしあれば) ルールのオプション・TOS マスクを表示させる。
-パケットとバイトカウンタも表示される。
-添字 'K', 'M', 'G' は、
-それぞれ 1000, 1,000,000, 1,000,000,000 倍を表す
-(これを変更する
-.B -x
-フラグも見よ)。
-このオプションを append, insert, delete, replace コマンドに適用すると、
-ルールについての詳細な情報を表示する。
-.TP
-.B "-n, --numeric"
-数値による出力を行う。
-IP アドレスやポート番号を数値によるフォーマットで表示する。
-デフォルトでは、iptables は (可能であれば) これらの情報を
+.TP 
+\fB\-v, \-\-verbose\fP
+詳細な出力を行う。 list コマンドの際に、インターフェース名・ (もしあれば) ルールのオプション・TOS マスクを表示させる。
+パケットとバイトカウンタも表示される。 添字 'K', 'M', 'G' は、 それぞれ 1000, 1,000,000, 1,000,000,000
+倍を表す (これを変更する \fB\-x\fP フラグも見よ)。 このオプションを append, insert, delete, replace
+コマンドに適用すると、 ルールについての詳細な情報を表示する。
+.TP 
+\fB\-n, \-\-numeric\fP
+数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマット
+で表示する。 デフォルトでは、iptables は (可能であれば) これらの情報を
 ホスト名・ネットワーク名・サービス名で表示しようとする。
-.TP
-.B "-x, --exact"
-厳密な数値で表示する。
-パケットカウンタとバイトカウンタを、
-K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か) ではなく、
-厳密な値で表示する。
-このオプションは、
-.B -L
-コマンドとしか関係しない。
-.TP
-.B "--line-numbers"
-ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す
-行番号を各行の始めに付加する。
-.TP
-.B "--modprobe=command"
-チェインにルールを追加または挿入する際に、
-(ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う
-.B command
+.TP 
+\fB\-x, \-\-exact\fP
+厳密な数値で表示する。 パケットカウンタとバイトカウンタを、 K (1000 の何倍か)・M (1000K の何倍か)・G (1000M の何倍か)
+ではなく、 厳密な値で表示する。 このオプションは、 \fB\-L\fP コマンドとしか関係しない。
+.TP 
+\fB\-\-line\-numbers\fP
+ルールを一覧表示する際、そのルールがチェインのどの位置にあるかを表す 行番号を各行の始めに付加する。
+.TP 
+\fB\-\-modprobe=command\fP
+チェインにルールを追加または挿入する際に、 (ターゲットやマッチングの拡張などで) 必要なモジュールをロードするために使う \fBcommand\fP
 を指定する。
 .SH マッチングの拡張
-iptables は拡張されたパケットマッチングモジュールを使うことができる。
-これらのモジュールは 2 種類の方法でロードされる:
-モジュールは、
-.B -p
-または
-.B --protocol
-で暗黙のうちに指定されるか、
-.B -m
-または
-.B --match
-の後にモジュール名を続けて指定される。
-これらのモジュールの後ろには、モジュールに応じて
-他のいろいろなコマンドラインオプションを指定することができる。
-複数の拡張マッチングモジュールを一行で指定することができる。
-また、モジュールに特有のヘルプを表示させるためには、
-モジュールを指定した後で
-.B -h
-または
-.B --help
-を指定すればよい。
+iptables は拡張されたパケットマッチングモジュールを使うことができる。 これらのモジュールは 2 種類の方法でロードされる: モジュールは、
+\fB\-p\fP または \fB\-\-protocol\fP で暗黙のうちに指定されるか、 \fB\-m\fP または \fB\-\-match\fP
+の後にモジュール名を続けて指定される。 これらのモジュールの後ろには、モジュールに応じて 他のいろいろなコマンドラインオプションを指定することができる。
+複数の拡張マッチングモジュールを一行で指定することができる。 また、モジュールに特有のヘルプを表示させるためには、 モジュールを指定した後で \fB\-h\fP
+または \fB\-\-help\fP を指定すればよい。
 
-以下の拡張がベースパッケージに含まれている。
-大部分のものは、
-.B !
-を前におくことによって
-マッチングの意味を逆にできる。
+以下の拡張がベースパッケージに含まれている。大部分のものは、 \fB!\fP を
+前におくことによってマッチングの意味を逆にできる。
 .SS ah
-このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。 
-.TP
-.BR "--ahspi " "[!] \fIspi\fP[:\fIspi\fP]"
+このモジュールは IPSec パケットの AH ヘッダーの SPI 値にマッチする。
+.TP 
+\fB\-\-ahspi \fP[!] \fIspi\fP[:\fIspi\fP]
 .SS conntrack
-このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-"state" マッチよりもさらに多くの、
-パケットについての接続追跡状態を知ることができる
-(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 "state" マッチよりもさらに多くの、
+パケットについての接続追跡状態を知ることができる (この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
 にのみ、このモジュールは存在する)。
-.TP
-.BI "--ctstate " "state"
-state は、マッチング対象となる、コンマ区切りの接続状態リストである。
-指定可能な state は以下の通り。
-.BR INVALID :
-メモリを使い果たした為や、
-既知の接続とは対応しない ICMP エラーなど、
-何らかの理由によりパケットが識別できない。
-.BR ESTABLISHED :
-このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
-.BR NEW :
-このパケットが新しい接続を開始したか、
-双方向にはパケットがやり取りされていない接続に属するパケットである。
-.BR RELATED :
-このパケットが新しい接続を開始しているが、
-FTP データ転送や ICMP エラーのように、既存の接続に関係している。
-.BR SNAT :
-仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと
-異なる場合にマッチする。
-.BR DNAT :
-仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと
-異なる場合にマッチする。
-.TP
-.BI "--ctproto " "proto"
+.TP 
+\fB\-\-ctstate \fP\fIstate\fP
+state は、マッチング対象となる、コンマ区切りの接続状態リストである。 指定可能な state は以下の通り。 \fBINVALID\fP:
+メモリを使い果たした為や、 既知の接続とは対応しない ICMP エラーなど、 何らかの理由によりパケットが識別できない。 \fBESTABLISHED\fP:
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP
+データ転送や ICMP エラーのように、既存の接続に関係している。 \fBSNAT\fP:
+仮想的な状態であり、書き換え前の送信元アドレスが応答の宛先アドレスと 異なる場合にマッチする。 \fBDNAT\fP:
+仮想的な状態であり、書き換え前の宛先アドレスが応答の送信元アドレスと 異なる場合にマッチする。
+.TP 
+\fB\-\-ctproto \fP\fIproto\fP
 (名前または数値で) 指定されたプロトコルにマッチする。
-.TP
-.BI "--ctorigsrc " "[!] \fIaddress\fP[/\fImask\fP]"
+.TP 
+\fB\-\-ctorigsrc \fP\fI[!] address[/mask]\fP
 書き換え前の送信元アドレスにマッチする。
-.TP
-.BI "--ctorigdst " "[!] \fIaddress\fP[/\fImask\fP]"
+.TP 
+\fB\-\-ctorigdst \fP\fI[!] address[/mask]\fP
 書き換え前の宛先アドレスにマッチする。
-.TP
-.BI "--ctreplsrc " "[!] \fIaddress\fP[/\fImask\fP]"
+.TP 
+\fB\-\-ctreplsrc \fP\fI[!] address[/mask]\fP
 応答の送信元アドレスにマッチする。
-.TP
-.BI "--ctrepldst " "[!] \fIaddress\fB[/\fImask\fP]"
+.TP 
+\fB\-\-ctrepldst \fP\fI[!] address\fP\fB[/\fP\fImask\fP\fB]\fP
 応答の宛先アドレスにマッチする。
-.TP
-.BI "--ctstatus " "[\fINONE|EXPECTED|SEEN_REPLY|ASSURED\fP][,...]"
+.TP 
+\fB\-\-ctstatus \fP\fI[NONE|EXPECTED|SEEN_REPLY|ASSURED][,...]\fP
 接続追跡の内部的な状態にマッチする。
-.TP
-.BI "--ctexpire " "\fItime\fP[\fI:time\fP]"
+.TP 
+\fB\-\-ctexpire \fP\fItime[:time]\fP
 有効期間の残り秒数、またはその範囲(両端を含む)にマッチする。
 .SS dscp
-このモジュールは、IP ヘッダーの TOS フィールド内にある、
-6 bit の DSCP フィールドにマッチする。
-IETF では DSCP が TOS に取って代わった。
-.TP
-.BI "--dscp " "value"
+このモジュールは、IP ヘッダーの TOS フィールド内にある、 6 bit の DSCP フィールドにマッチする。 IETF では DSCP が
+TOS に取って代わった。
+.TP 
+\fB\-\-dscp \fP\fIvalue\fP
 (10 進または 16 進の) 数値 [0\-63] にマッチする。
-.TP
-.BI "--dscp-class " "\fIDiffServ Class\fP"
-DiffServ クラスにマッチする。
-値は BE, EF, AFxx, CSx クラスのいずれかである。
+.TP 
+\fB\-\-dscp\-class \fP\fIDiffServ Class\fP
+DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。
 これらは、対応する数値で指定するのと同じである。
 .SS esp
-このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。 
-.TP
-.BR "--espspi " "[!] \fIspi\fP[:\fIspi\fP]"
+このモジュールは IPSec パケットの ESP ヘッダーの SPI 値にマッチする。
+.TP 
+\fB\-\-espspi \fP[!] \fIspi\fP[:\fIspi\fP]
 .SS helper
-このモジュールは、指定された接続追跡ヘルパーモジュールに
-関連するパケットにマッチする。
-.TP
-.BI "--helper " "string"
-指定された接続追跡ヘルパーモジュールに
-関連するパケットにマッチする。
+このモジュールは、指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。
+.TP 
+\fB\-\-helper \fP\fIstring\fP
+指定された接続追跡ヘルパーモジュールに 関連するパケットにマッチする。
 .RS
 .PP
-デフォルトのポートを使った ftp-セッションに関連するパケットでは、
-string に "ftp" と書ける。
-他のポートでは "\-ポート番号" を値に付け加える。
-すなわち "ftp-2121" となる。
+デフォルトのポートを使った ftp\-セッションに関連するパケットでは、 string に "ftp" と書ける。 他のポートでは "\-ポート番号"
+を値に付け加える。 すなわち "ftp\-2121" となる。
 .PP
 他の接続追跡ヘルパーでも同じルールが適用される。
 .RE
 .SS icmp
-この拡張は `--protocol icmp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--icmp-type " "[!] \fItypename\fP"
-数値の ICMP タイプ、またはコマンド
+この拡張は `\-\-protocol icmp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-icmp\-type \fP[!] \fItypename\fP
+ICMP タイプを指定できる。タイプ指定には、 数値の ICMP タイプ、または以下のコマンド で表示される ICMP タイプ名を指定できる。
 .nf
- iptables -p icmp -h
+ iptables \-p icmp \-h
 .fi
-で表示される ICMP タイプ名を指定できる。
 .SS length
 このモジュールは、指定されたパケット長、またはその範囲にマッチする。
-.TP
-.BR "--length " "\fIlength\fP[:\fIlength\fP]"
+.TP 
+\fB\-\-length \fP\fIlength\fP[:\fIlength\fP]
 .SS limit
-このモジュールは、トークンバケツフィルタを使い、
-単位時間あたり制限された回数だけマッチする。
-この拡張を使ったルールは、(`!' フラグが指定されない限り)
-制限に達するまでマッチする。
-このモジュールは例えば、ログ記録を制限するために
-.B LOG
-ターゲットと組み合わせて使うことができる。
-.TP
-.BI "--limit " "rate"
-単位時間あたりの平均マッチ回数の最大値。
-数値で指定され、添字 `/second', `/minute',
-`/hour', `/day' を付けることもできる。
-デフォルトは 3/hour である。
-.TP
-.BI "--limit-burst " "number"
-パケットがマッチする回数の最大初期値:
-マッチ回数の最大値は、
-上のオプションで指定した制限に達しなければ、
-その度ごとに、この数値になるまで 1 個ずつ増やされる。
+このモジュールは、トークンバケツフィルタを使い、 単位時間あたり制限され
+た回数だけマッチする。 この拡張を使ったルールは、(`!' フラグが指定され
+ない限り) 制限に達するまでマッチする。 例えば、このモジュールはログ記録
+を制限するために \fBLOG\fP ターゲットと組み合わせて使うことができる。
+.TP 
+\fB\-\-limit \fP\fIrate\fP
+単位時間あたりの平均マッチ回数の最大値。 数値で指定され、添字 `/second', `/minute', `/hour', `/day'
+を付けることもできる。 デフォルトは 3/hour である。
+.TP 
+\fB\-\-limit\-burst \fP\fInumber\fP
+パケットがマッチする回数の最大初期値: 上のオプションで指定した制限に
+達しなければ、 その度ごとに、この数値になるまで 1 個ずつ増やされる。
 デフォルトは 5 である。
 .SS mac
-.TP
-.BR "--mac-source " "[!] \fIaddress\fP"
-送信元 MAC アドレスにマッチする。
-.I address
-は XX:XX:XX:XX:XX:XX という形式でなければならない。
-イーサーネットデバイスから入ってくるパケットで、
-.BR PREROUTING ,
-.BR FORWARD ,
-.B INPUT
-チェインに入るパケットにしか意味がない。
+.TP 
+\fB\-\-mac\-source \fP[!] \fIaddress\fP
+送信元 MAC アドレスにマッチする。 \fIaddress\fP は XX:XX:XX:XX:XX:XX と
+いう形式でなければならない。イーサーネットデバイスから入ってくるパケッ
+トで、 \fBPREROUTING\fP, \fBFORWARD\fP, \fBINPUT\fP チェインに入るパケットにしか
+意味がない。
 .SS mark
-このモジュールはパケットに関連づけられた
-netfilter の mark フィールドにマッチする
-(このフィールドは、以下の
-.B MARK
+このモジュールはパケットに関連づけられた netfilter の mark フィールドにマッチする (このフィールドは、以下の \fBMARK\fP
 ターゲットで設定される)。
-.TP
-.BR "--mark " "\fIvalue\fP[/\fImask\fP]"
-指定された符号なし mark 値のパケットにマッチする
-(mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
+.TP 
+\fB\-\-mark \fP\fIvalue\fP[/\fImask\fP]
+指定された符号なし mark 値のパケットにマッチする (mask が指定されると、比較の前に mask との論理積 (AND) がとられる)。
 .SS multiport
-このモジュールは送信元や送信先のポートの集合にマッチする。
-ポートは 15 個まで指定できる。
-このモジュールは
-.B "-p tcp"
-または
-.B "-p udp"
-と組み合わせて使うことしかできない。
-.TP
-.BR "--source-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-送信元ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --sports
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
+このモジュールは送信元や送信先のポートの集合にマッチする。 ポートは 15 個まで指定できる。 このモジュールは \fB\-p tcp\fP または \fB\-p
+udp\fP と組み合わせて使うことしかできない。
+.TP 
+\fB\-\-source\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートが指定されたポートのうちのいずれかであればマッチする。 フラグ \fB\-\-sports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-destination\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
 宛先ポートが指定されたポートのうちのいずれかであればマッチする。
-フラグ
-.B --dports
-は、このオプションの便利な別名である。
-.TP
-.BR "--ports " "\fIport\fP[,\fIport\fP[,\fIport\fP...]]"
-送信元ポートと宛先ポートが等しく、
-かつそのポートが指定されたポートのうちのいずれかであればマッチする。
+フラグ \fB\-\-dports\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-ports \fP\fIport\fP[,\fIport\fP[,\fIport\fP...]]
+送信元ポートと宛先ポートが等しく、 かつそのポートが指定されたポートの
+うちのいずれかであればマッチする。
 .SS owner
-このモジュールは、ローカルで生成されたパケットに付いて、
-パケット生成者のいろいろな特性に対してマッチを行う。
-これは
-.B OUTPUT
-チェインのみでしか有効でない。
-また、(ICMP ping 応答のような) パケットは、
-所有者がいないので絶対にマッチしない。
-.TP
-.BI "--uid-owner " "userid"
-指定された実効ユーザー ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--gid-owner " "groupid"
-指定された実効グループ ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--pid-owner " "processid"
-指定されたプロセス ID のプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--sid-owner " "sessionid"
-指定されたセッショングループのプロセスにより
-パケットが生成されている場合にマッチする。
-.TP
-.BI "--cmd-owner " "name"
-指定されたコマンド名を持つプロセスにより
-パケットが生成されている場合にマッチする
-(この機能をサポートしたカーネルのもとで iptables がコンパイルされた場合
-にのみ、このモジュールは存在する)。
+このモジュールは、ローカルで生成されたパケットに付いて、 パケット生成者のいろいろな特性に対してマッチを行う。 これは \fBOUTPUT\fP
+チェインのみでしか有効でない。 また、(ICMP ping 応答のような) パケットは、 所有者がいないので絶対にマッチしない。
+.TP 
+\fB\-\-uid\-owner \fP\fIuserid\fP
+指定された実効ユーザー ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-gid\-owner \fP\fIgroupid\fP
+指定された実効グループ ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-pid\-owner \fP\fIprocessid\fP
+指定されたプロセス ID のプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-sid\-owner \fP\fIsessionid\fP
+指定されたセッショングループのプロセスにより パケットが生成されている場合にマッチする。
+.TP 
+\fB\-\-cmd\-owner \fP\fIname\fP
+指定されたコマンド名を持つプロセスにより パケットが生成されている場合にマッチする (この機能をサポートしたカーネルのもとで iptables
+がコンパイルされた場合 にのみ、このモジュールは存在する)。
 .SS physdev
-このモジュールは、ブリッジデバイスのスレーブにされた、
-ブリッジポートの入出力デバイスにマッチする。
-このモジュールは、ブリッジによる透過的な
-IP ファイアウォールの基盤の一部であり、
-カーネルバージョン 2.5.44 以降でのみ有効である。
-.TP
-.B --physdev-in name
-パケットが受信されるブリッジのポート名
-.RB ( INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインに入るパケットのみ)。
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-ブリッジデバイスを通して受け取られなかったパケットは、
-\&'!' が指定されていない限り、このオプションにマッチしない。
-.TP
-.B --physdev-out name
-パケットを送信することになるブリッジのポート名
-.RB ( FORWARD ,
-.BR OUTPUT , 
-.B POSTROUTING
-チェインに入るパケットのみ)。 
-インターフェース名が "+" で終っている場合、
-その名前で始まる任意のインターフェース名にマッチする。
-.B nat
-と
-.B mangle
-テーブルの
-.B OUTPUT
-チェインではブリッジの出力ポートにマッチさせることができないが、
-.B filter
-テーブルの
-.B OUPUT
-チェインではマッチ可能である。
-パケットがブリッジデバイスから送られなかった場合、
-またはパケットの出力デバイスが不明であった場合は、
+このモジュールは、ブリッジデバイスのスレーブにされた、 ブリッジポートの入出力デバイスにマッチする。 このモジュールは、ブリッジによる透過的な IP
+ファイアウォールの基盤の一部であり、 カーネルバージョン 2.5.44 以降でのみ有効である。
+.TP 
+\fB\-\-physdev\-in name\fP
+パケットが受信されるブリッジのポート名 (\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインに入るパケットのみ)。
+インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。
+ブリッジデバイスを通して受け取られなかったパケットは、 \&'!' が指定されていない限り、このオプションにマッチしない。
+.TP 
+\fB\-\-physdev\-out name\fP
+パケットを送信することになるブリッジのポート名 (\fBFORWARD\fP, \fBOUTPUT\fP, \fBPOSTROUTING\fP
+チェインに入るパケットのみ)。 インターフェース名が "+" で終っている場合、 その名前で始まる任意のインターフェース名にマッチする。 \fBnat\fP
+と \fBmangle\fP テーブルの \fBOUTPUT\fP チェインではブリッジの出力ポートにマッチさせることができないが、 \fBfilter\fP テーブルの
+\fBOUPUT\fP チェインではマッチ可能である。 パケットがブリッジデバイスから送られなかった場合、 またはパケットの出力デバイスが不明であった場合は、
 \&'!' が指定されていない限り、パケットはこのオプションにマッチしない。
-.TP
-.B --physdev-is-in
+.TP 
+\fB\-\-physdev\-is\-in\fP
 パケットがブリッジインターフェースに入った場合にマッチする。
-.TP
-.B --physdev-is-out
+.TP 
+\fB\-\-physdev\-is\-out\fP
 パケットがブリッジインターフェースから出ようとした場合にマッチする。
-.TP
-.B --physdev-is-bridged
-パケットがブリッジされることにより、
-ルーティングされなかった場合にマッチする。
-これは FORWARD, POSTROUTING チェインにおいてのみ役立つ。
+.TP 
+\fB\-\-physdev\-is\-bridged\fP
+パケットがブリッジされることにより、 ルーティングされなかった場合にマッチする。 これは FORWARD, POSTROUTING
+チェインにおいてのみ役立つ。
 .SS pkttype
 このモジュールは、リンク層のパケットタイプにマッチする。
-.TP
-.BI "--pkt-type " "[\fIunicast\fP|\fIbroadcast\fP|\fImulticast\fP]"
+.TP 
+\fB\-\-pkt\-type \fP\fI[unicast|broadcast|multicast]\fP
 .SS state
-このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、
-パケットについての接続追跡状態を知ることができる。
-.TP
-.BI "--state " "state"
-state は、マッチングを行うための、コンマで区切られた接続状態のリストである。
-指定可能な state は以下の通り。
-.BR INVALID :
-このパケットは既知の接続と関係していない。
-.BR ESTABLISHED :
-このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。
-.BR NEW :
-このパケットが新しい接続を開始したか、
-双方向にはパケットがやり取りされていない接続に属するパケットである。
-.BR RELATED :
-このパケットが新しい接続を開始しているが、
-FTP データ転送や ICMP エラーのように、既存の接続に関係している。
+このモジュールは、接続追跡 (connection tracking) と組み合わせて用いると、 パケットについての接続追跡状態を知ることができる。
+.TP 
+\fB\-\-state \fP\fIstate\fP
+state は、マッチングを行うための、コンマで区切られた接続状態のリストである。 指定可能な state は以下の通り。 \fBINVALID\fP:
+このパケットは既知の接続と関係していない。 \fBESTABLISHED\fP:
+このパケットは、過去双方向にパケットがやり取りされた接続に属するパケットである。 \fBNEW\fP: このパケットが新しい接続を開始したか、
+双方向にはパケットがやり取りされていない接続に属するパケットである。 \fBRELATED\fP: このパケットが新しい接続を開始しているが、 FTP
+データ転送や ICMP エラーのように、既存の接続に関係している。
 .SS tcp
-これらの拡張は `--protocol tcp' が指定され場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-送信元ポートまたはポート範囲の指定。
-サービス名またはポート番号を指定できる。
-.IR port : port
-という形式で、2 つの番号を含む範囲を指定することもできる。
-最初のポートを省略した場合、"0" を仮定する。
-最後のポートを省略した場合、"65535" を仮定する。
-最初のポートが最後のポートより大きい場合、2 つは入れ換えられる。
-.\"tsekine 原文が間違ってそう
-フラグ
-.B --sport
-は、このオプションの便利な別名である。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-送信先ポートまたはポート範囲の指定。
-フラグ
-.B --dport
-は、このオプションの便利な別名である。
-.TP
-.BR "--tcp-flags " "[!] \fImask\fP \fIcomp\fP"
-TCP フラグが指定されたものと等しい場合にマッチする。
-第 1 引き数は評価対象とするフラグで、コンマ区切りのリストである。
-第 2 引き数はこのうち設定されていなければならないフラグで、
-コンマ区切りのリストである。
-指定できるフラグは
-.B "SYN ACK FIN RST URG PSH ALL NONE"
-である。
-よって、コマンド
+これらの拡張は `\-\-protocol tcp' が指定され場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 サービス名またはポート番号を指定で
+きる。 \fIport\fP:\fIport\fP という形式で、2 つの番号を含む範囲を指定すること
+もできる。 最初のポートを省略した場合、"0" を仮定する。 最後のポートを
+省略した場合、"65535" を仮定する。 最初のポートが最後のポートより大きい
+場合、2 つは入れ換えられる。 フラグ \fB\-\-sport\fP は、このオプションの便利
+な別名である。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 フラグ \fB\-\-dport\fP は、このオプションの便利な別名である。
+.TP 
+\fB\-\-tcp\-flags \fP[!] \fImask\fP \fIcomp\fP
+TCP フラグが指定されたものと等しい場合にマッチする。 第 1 引き数は評価
+対象とするフラグで、コンマ区切りのリストである。 第 2 引き数は必ず設定
+しなければならないフラグで、コンマ区切りのリストである。 指定できるフラ
+グは \fBSYN ACK FIN RST URG PSH ALL NONE\fP である。 よって、コマンド
 .nf
- iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
+ iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,ACK,FIN,RST SYN
 .fi
-は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない
-パケットにのみマッチする。
-.TP
-.B "[!] --syn"
-SYN ビットが設定され ACK と RST ビットがクリアされている
-TCP パケットにのみマッチする。
-このようなパケットは TCP 接続の開始要求に使われる。
-例えば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
-内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。
-これは \fB--tcp-flags SYN,RST,ACK SYN\fP と等しい。
-"--syn" の前に "!" フラグを置くと、
-SYN ビットがクリアされ ACK と RST ビットが設定されている
+は、SYN フラグが設定され ACK, FIN, RST フラグが設定されていない パケットにのみマッチする。
+.TP 
+\fB[!] \-\-syn\fP
+SYN ビットが設定され ACK と RST ビットがクリアされている TCP パケットに
+のみマッチする。このようなパケットは TCP 接続の開始要求に使われる。例え
+ば、あるインターフェースに入ってくるこのようなパケットをブロックすれば、
+内側への TCP 接続は禁止されるが、外側への TCP 接続には影響しない。 これ
+は \fB\-\-tcp\-flags SYN,RST,ACK SYN\fP と等しい。 "\-\-syn" の前に "!" フラグ
+を置くと、 SYN ビットがクリアされ ACK と RST ビットが設定されている
 TCP パケットにのみマッチする。
-.TP
-.BR "--tcp-option " "[!] \fInumber\fP"
+.TP 
+\fB\-\-tcp\-option \fP[!] \fInumber\fP
 TCP オプションが設定されている場合にマッチする。
-.TP
-.BR "--mss " "\fIvalue\fP[:\fIvalue\fP]"
-指定された MSS 値 (の範囲) を持つ TCP の 
-SYN または SYN/ACK パケットにマッチする。
-MSS は接続に対するパケットの最大サイズを制御する。
+.TP 
+\fB\-\-mss \fP\fIvalue\fP[:\fIvalue\fP]
+指定された MSS 値 (の範囲) を持つ TCP の SYN または SYN/ACK パケットにマッチする。 MSS
+は接続に対するパケットの最大サイズを制御する。
 .SS tos
-このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)
-Type of Service フィールドにマッチする。
-.TP
-.BI "--tos " "tos"
-引き数は、マッチを行う標準的な名前でも数値でもよい
-(名前のリストを見るには
-.nf
- iptables -m tos -h
-.fi
+このモジュールは IP ヘッダーの 8 ビットの (つまり上位ビットを含む)  Type of Service フィールドにマッチする。
+.TP 
+\fB\-\-tos \fP\fItos\fP
+引き数は、マッチを行う標準的な名前でも数値でもよい (名前のリストを見るには
+.br
+ iptables \-m tos \-h
+.br
 を使うこと)。
 .SS ttl
 このモジュールは IP ヘッダーの time to live フィールドにマッチする。
-.TP
-.BI "--ttl " "ttl"
+.TP 
+\fB\-\-ttl \fP\fIttl\fP
 指定された TTL 値にマッチする。
 .SS udp
-これらの拡張は `--protocol udp' が指定された場合にロードされ、
-以下のオプションが提供される:
-.TP
-.BR "--source-port " "[!] \fIport\fP[:\fIport\fP]"
-送信元ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --source-port
-オプションの説明を参照すること。
-.TP
-.BR "--destination-port " "[!] \fIport\fP[:\fIport\fP]"
-送信先ポートまたはポート範囲の指定。
-詳細は TCP 拡張の
-.B --destination-port
-オプションの説明を参照すること。
+これらの拡張は `\-\-protocol udp' が指定された場合にロードされ、 以下のオプションが提供される:
+.TP 
+\fB\-\-source\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信元ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-source\-port\fP オプションの説明を参照すること。
+.TP 
+\fB\-\-destination\-port \fP[!] \fIport\fP[:\fIport\fP]
+送信先ポートまたはポート範囲の指定。 詳細は TCP 拡張の \fB\-\-destination\-port\fP オプションの説明を参照すること。
 .SS unclean
-このモジュールにはオプションがないが、
-おかしく正常でないように見えるパケットにマッチする。
-これは実験的なものとして扱われている。
+このモジュールにはオプションがないが、 おかしく正常でないように見えるパケットにマッチする。 これは実験的なものとして扱われている。
 .SH ターゲットの拡張
-iptables は拡張ターゲットモジュールを使うことができる:
-以下のものが、標準的なディストリビューションに含まれている。
+iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、標準的なディストリビューションに含まれている。
 .SS DNAT
-このターゲットは
-.B nat
-テーブルの
-.BR PREROUTING ,
-.B OUTPUT
-チェイン、これらのチェインから呼び出される
-ユーザー定義チェインのみで有効である。
-このターゲットはパケットの送信先アドレスを修正する
-(この接続の以降のパケットも修正して分からなく (mangle) する)。
-さらに、ルールによるチェックを止めさせる。
-このターゲットにはオプションが 1 種類ある:
-.TP
-.BR "--to-destination " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。
-ポートの範囲を指定することもできる
-(これはルールで
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効)。
-ポートの範囲が指定されていない場合、送信先ポートは変更されない。
+このターゲットは \fBnat\fP テーブルの \fBPREROUTING\fP, \fBOUTPUT\fP チェイン、これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信先アドレスを修正する (この接続の以降のパケットも修正して分からなく
+(mangle) する)。 さらに、ルールによるチェックを止めさせる。 このターゲットにはオプションが 1 種類ある:
+.TP 
+\fB\-\-to\-destination \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP]
+1 つの新しい送信先 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (これはルールで \fB\-p
+tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、送信先ポートは変更されない。
 .RS
 .PP
-複数の --to-destination オプションを指定することができる。
-アドレスの範囲によって、
-もしくは複数の --to-destination オプションによって
-2 つ以上の送信先アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビン
-(順々に循環させる) がおこなわれる。
-.RE
+複数の \-\-to\-destination オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-destination
+オプションによって 2 つ以上の送信先アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。
 .SS DSCP
-このターゲットは、IPv4 パケットの TOS ヘッダーにある
-DSCP ビットの値の書き換えを可能にする。
-これはパケットを操作するので、mangle テーブルでのみ使用できる。
-.TP
-.BI "--set-dscp " "value"
+このターゲットは、IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、mangle
+テーブルでのみ使用できる。
+.TP 
+\fB\-\-set\-dscp \fP\fIvalue\fP
 DSCP フィールドの数値を設定する (10 進または 16 進)。
-.TP
-.BI "--set-dscp-class " "class"
+.TP 
+\fB\-\-set\-dscp\-class \fP\fIclass\fP
 DSCP フィールドの DiffServ クラスを設定する。
 .SS ECN
-このターゲットは ECN ブラックホール問題への対処を可能にする。
-mangle テーブルでのみ使用できる。
-.TP
-.BI "--ecn-tcp-remove"
-TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。
-当然、
-.B "-p tcp"
+このターゲットは ECN ブラックホール問題への対処を可能にする。 mangle テーブルでのみ使用できる。
+.TP 
+\fB\-\-ecn\-tcp\-remove\fP
+TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
 オプションとの組合わせでのみ使用できる。
 .SS LOG
-マッチしたパケットをカーネルログに記録する。
-このオプションがルールに対して設定されると、
-Linux カーネルはマッチしたパケットについての
-(大部分の IP ヘッダーフィールドのような) 何らかの情報を
-カーネルログに表示する
-(カーネルログは
-.I dmesg
-または
-.IR syslogd (8)
-で見ることができる)。
-これは "非終了ターゲット" である。
-すなわち、ルールの検討は、次のルールへと継続される。
-よって、拒否するパケットをログ記録したければ、
-同じマッチング判断基準を持つ 2 つのルールを使用し、
-最初のルールで LOG ターゲットを、
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux カーネルはマッチしたパケットについての
+(大部分の IP ヘッダーフィールドのような) 何らかの情報を カーネルログに表示する (カーネルログは \fIdmesg\fP または
+\fIsyslogd\fP(8)  で見ることができる)。 これは "非終了ターゲット" である。 すなわち、ルールの検討は、次のルールへと継続される。
+よって、拒否するパケットをログ記録したければ、 同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、
 次のルールで DROP (または REJECT) ターゲットを指定する。
-.TP
-.BI "--log-level " "level"
-ログ記録のレベル (数値て指定するか、
-(訳註: 名前で指定する場合は) \fIsyslog.conf\fP(5) を参照すること)。
-.TP
-.BI "--log-prefix " "prefix"
+.TP 
+\fB\-\-log\-level \fP\fIlevel\fP
+ログ記録のレベル (数値て指定するか、(名前で指定する場合は)
+\fIsyslog.conf\fP(5) を参照すること)。
+.TP 
+\fB\-\-log\-prefix \fP\fIprefix\fP
 指定したプレフィックスをログメッセージの前に付ける。
 プレフィックスは 29 文字までの長さで、
 ログの中でメッセージを区別するのに役立つ。
-.TP
-.B --log-tcp-sequence
-TCP シーケンス番号をログに記録する。
-ログがユーザーから読める場合、セキュリティ上の危険がある。
-.TP
-.B --log-tcp-options
-TCP パケットヘッダーのオプションをログに記録する。
-.TP
-.B --log-ip-options
+.TP 
+\fB\-\-log\-tcp\-sequence\fP
+TCP シーケンス番号をログに記録する。 ログがユーザーから読める場合、セキュリティ上の危険がある。
+.TP 
+\fB\-\-log\-tcp\-options\fP
+TCP パケットヘッダのオプションをログに記録する。
+.TP 
+\fB\-\-log\-ip\-options\fP
 IP パケットヘッダーのオプションをログに記録する。
 .SS MARK
-パケットに関連づけられた netfilter の mark 値を設定する。
-.B mangle
-テーブルのみで有効である。
-例えば、iproute2 と組み合わせて使うことができる。
-.TP
-.BI "--set-mark " "mark"
+パケットに関連づけられた netfilter の mark 値を設定する。 \fBmangle\fP テーブルのみで有効である。 例えば、iproute2
+と組み合わせて使うことができる。
+.TP 
+\fB\-\-set\-mark \fP\fImark\fP
 .SS MASQUERADE
-このターゲットは
-.B nat
-テーブルの
-.B POSTROUTING
-チェインのみで有効である。
-動的割り当て IP (ダイヤルアップ) 接続の場合にのみ使うべきである。
-固定 IP アドレスならば、SNAT ターゲットを使うべきである。
-マスカレーディングは、パケットが送信されるインターフェースの
-IP アドレスへのマッピングを指定するのと同じであるが、
-インターフェースが停止した場合に接続を\fI忘れる\fRという効果がある。
-次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
-(そのため、前回確立された接続は失われる) 場合、
-この動作は正しい。
-このターゲットにはオプションが 1 つある。
-.TP
-.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-このオプションは、使用する送信元ポートの範囲を指定し、
-デフォルトの
-.B SNAT
-送信元ポートの選択方法 (上記) よりも優先される。
-ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効である。
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
+接続の場合にのみ使うべきである。 固定 IP アドレスならば、SNAT ターゲットを使うべきである。
+マスカレーディングは、パケットが送信されるインターフェースの IP アドレスへのマッピングを指定するのと同じであるが、
+インターフェースが停止した場合に接続を\fI忘れる\fPという効果がある。 次のダイヤルアップでは同じインターフェースアドレスになる可能性が低い
+(そのため、前回確立された接続は失われる) 場合、 この動作は正しい。 このターゲットにはオプションが 1 つある。
+.TP 
+\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP]
+このオプションは、使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。 ルールが
+\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
 .SS MIRROR
-実験的なデモンストレーション用のターゲットであり、
-IP ヘッダーの送信元と送信先フィールドを入れ換え、
-パケットを再送信するものである。
-これは
-.BR INPUT ,
-.BR FORWARD ,
-.B PREROUTING
-チェインと、これらのチェインから呼び出される
-ユーザー定義チェインだけで有効である。
-ループ等の問題を回避するため、外部に送られるパケットは
-いかなるパケットフィルタリングチェイン・接続追跡・NAT からも
-監視\fBされない\fR。
+実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と送信先フィールドを入れ換え、 パケットを再送信するものである。 これは
+\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、これらのチェインから呼び出される
+ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、外部に送られるパケットは いかなるパケットフィルタリングチェイン・接続追跡・NAT
+からも 監視\fBされない\fP。
 .SS REDIRECT
-このターゲットは、
-.B nat
-テーブル内の
-.B PREROUTING 
-チェイン及び
-.B OUTPUT 
-チェイン、そしてこれらチェインから呼び出される
-ユーザー定義チェインでのみ有効である。
-このターゲットはパケットの送信先 IP アドレスを
-マシン自身の IP アドレスに変換する。
-(ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。
-このターゲットにはオプションが 1 つある:
-.TP
-.BR "--to-ports " "\fIport\fP[-\fIport\fP]"
-このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。
-このオプションが指定されない場合、送信先ポートは変更されない。
-ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効である。
+このターゲットは、 \fBnat\fP テーブル内の \fBPREROUTING\fP チェイン及び \fBOUTPUT\fP
+チェイン、そしてこれらチェインから呼び出される ユーザー定義チェインでのみ有効である。 このターゲットはパケットの送信先 IP アドレスを マシン自身の
+IP アドレスに変換する。 (ローカルで生成されたパケットは、アドレス 127.0.0.1 にマップされる)。 このターゲットにはオプションが 1
+つある:
+.TP 
+\fB\-\-to\-ports \fP\fIport\fP[\-\fIport\fP]
+このオプションは使用される送信先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、送信先ポートは変更されない。 ルールが
+\fB\-p tcp\fP または \fB\-p udp\fP を指定している場合にのみ有効である。
 .SS REJECT
 マッチしたパケットの応答としてエラーパケットを送信するために使われる。
-エラーパケットを送らなければ、
-.B DROP
-と同じであり、TARGET を終了し、ルールの検討を終了する。
-このターゲットは、
-.BR INPUT ,
-.BR FORWARD ,
-.B OUTPUT
-チェインと、これらのチェインから呼ばれる
-ユーザー定義チェインだけで有効である。
-以下のオプションは、返されるエラーパケットの特性を制御する。
-.TP
-.BI "--reject-with " "type"
+エラーパケットを送らなければ、 \fBDROP\fP と同じであり、TARGET を終了し、
+ルールの検討を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
+\fBOUTPUT\fP チェインと、これらのチェインから呼ばれる ユーザー定義チェイン
+だけで有効である。以下のオプションは、返されるエラーパケットの特性を
+制御する。
+.TP 
+\fB\-\-reject\-with \fP\fItype\fP
 type として指定可能なものは
 .nf
-.B " icmp-net-unreachable"
-.B " icmp-host-unreachable"
-.B " icmp-port-unreachable"
-.B " icmp-proto-unreachable"
-.B " icmp-net-prohibited"
-.B " icmp-host-prohibited or"
-.B " icmp-admin-prohibited (*)"
+\fBicmp\-net\-unreachable\fP
+\fBicmp\-host\-unreachable\fP
+\fBicmp\-port\-unreachable\fP
+\fBicmp\-proto\-unreachable\fP
+\fBicmp\-net\-prohibited\fP
+\fBicmp\-host\-prohibited or\fP
+\fBicmp\-admin\-prohibited (*)\fP
 .fi
-であり、適切な ICMP エラーメッセージを返す
-.RB ( port-unreachable
-がデフォルトである)。
-TCP プロトコルにのみマッチするルールに対して、オプション
-.B tcp-reset
-を使うことができる。
-このオプションを使うと、TCP RST パケットが送り返される。
-主として
-.I ident
-(113/tcp) による探査を阻止するのに役立つ。
-.I ident
-による探査は、壊れている (メールを受け取らない) メールホストに
-メールが送られる場合に頻繁に起こる。
+であり、適切な ICMP エラーメッセージを返す (\fBport\-unreachable\fP がデフォルトである)。 TCP
+プロトコルにのみマッチするルールに対して、オプション \fBtcp\-reset\fP を使うことができる。 このオプションを使うと、TCP RST
+パケットが送り返される。 主として \fIident\fP (113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、壊れている
+(メールを受け取らない) メールホストに メールが送られる場合に頻繁に起こる。
 .RS
 .PP
-(*) icmp-admin-prohibited をサポートしないカーネルで、
-icmp-admin-prohibited を使用すると、
+(*) icmp\-admin\-prohibited をサポートしないカーネルで、 icmp\-admin\-prohibited を使用すると、
 REJECT ではなく単なる DROP になる。
 .SS SNAT
-このターゲットは
-.B nat
-テーブルの
-.B POSTROUTING
-チェインのみで有効である。
-このターゲットはパケットの送信元アドレスを修正させる
-(この接続の以降のパケットも修正して分からなく (mangle) する)。
-さらに、ルールが評価を中止するように指示する。
-このターゲットにはオプションが 1 種類ある:
-.TP
-.BR "--to-source  " "\fIipaddr\fP[-\fIipaddr\fP][:\fIport\fP-\fIport\fP]"
-1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。
-ポートの範囲を指定することもできる
-(ルールが
-.B "-p tcp"
-または
-.B "-p udp"
-を指定している場合にのみ有効)。
-ポートの範囲が指定されていない場合、
-512 未満の送信元ポートは、他の 512 未満のポートにマッピングされる。
-512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。
-それ以外のポートは、1024 以上のポートにマッピングされる。
-可能であれば、ポートの変換は起こらない。
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。
+このターゲットはパケットの送信元アドレスを修正させる (この接続の以降のパケットも修正して分からなく (mangle) する)。
+さらに、ルールが評価を中止するように指示する。 このターゲットにはオプションが 1 種類ある:
+.TP 
+\fB\-\-to\-source  \fP\fIipaddr\fP[\-\fIipaddr\fP][:\fIport\fP\-\fIport\fP]
+1 つの新しい送信元 IP アドレス、または IP アドレスの範囲が指定できる。 ポートの範囲を指定することもできる (ルールが \fB\-p tcp\fP
+または \fB\-p udp\fP を指定している場合にのみ有効)。 ポートの範囲が指定されていない場合、 512 未満の送信元ポートは、他の 512
+未満のポートにマッピングされる。 512 〜 1023 までのポートは、1024 未満のポートにマッピングされる。 それ以外のポートは、1024
+以上のポートにマッピングされる。 可能であれば、ポートの変換は起こらない。
 .RS
 .PP
-複数の --to-source オプションを指定することができる。
-アドレスの範囲によって、
-もしくは複数の --to-source オプションによって
-2 つ以上の送信元アドレスを指定した場合、
-それらのアドレスを使った単純なラウンド・ロビン
-(順々に循環させる) がおこなわれる。
+複数の \-\-to\-source オプションを指定することができる。 アドレスの範囲によって、 もしくは複数の \-\-to\-source オプションによって
+2 つ以上の送信元アドレスを指定した場合、 それらのアドレスを使った単純なラウンド・ロビン (順々に循環させる) がおこなわれる。
 .SS TCPMSS
-このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、
-そのコネクションの最大サイズ
-(通常は、送信インターフェースの MTU から 40 引いた値)
-を制御できる。
-もちろん
-.B "-p tcp"
-と組み合わせてしか使えない。
-.PP
-このターゲットは犯罪的に頭のいかれた ISP や
-ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
-乗り越えるために使用する。
-Linux ファイアウォール/ルーターでは何も問題がないのに、
-そこにぶら下がるマシンでは以下のように大きなパケットを
+このターゲットを用いると、TCP の SYN パケットの MSS 値を書き換え、 そのコネクションの最大サイズ (通常は、送信インターフェースの MTU
+から 40 引いた値)  を制御できる。 もちろん \fB\-p tcp\fP と組み合わせてしか使えない。
+.br
+このターゲットは犯罪的に頭のいかれた ISP や ICMP Fragmentation Needed パケットをブロックしてしまうサーバーを
+乗り越えるために使用する。 Linux ファイアウォール/ルーターでは何も問題がないのに、 そこにぶら下がるマシンでは以下のように大きなパケットを
 やりとりできないというのが、この問題の兆候である。
 .PD 0
 .RS 0.1i
-.TP 0.3i
+.TP  0.3i
 1)
 ウェブ・ブラウザで接続が、何のデータも受け取らずにハングする
-.TP
+.TP 
 2)
 短いメールは問題ないが、長いメールがハングする
-.TP
+.TP 
 3)
 ssh は問題ないが、scp は最初のハンドシェーク後にハングする
 .RE
 .PD
-回避方法: このオプションを有効にし、以下のようなルールを
-ファイアウォールの設定に追加する。
+回避方法: このオプションを有効にし、以下のようなルールを ファイアウォールの設定に追加する。
 .nf
- iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \\
-             -j TCPMSS --clamp-mss-to-pmtu
+ iptables \-A FORWARD \-p tcp \-\-tcp\-flags SYN,RST SYN \e
+             \-j TCPMSS \-\-clamp\-mss\-to\-pmtu
 .fi
-.TP
-.BI "--set-mss " "value"
-MSS オプションの値を指定した値に設定する。
-.TP
-.B "--clamp-mss-to-pmtu"
-自動的に、MSS 値を (path_MTU - 40) に強制する。
-.RS
-.PP
+.TP 
+\fB\-\-set\-mss \fP\fIvalue\fP
+MSS オプションの値に指定した値を明示的に設定する。
+.TP 
+\fB\-\-clamp\-mss\-to\-pmtu\fP
+自動的に、MSS 値を (path_MTU \- 40) に強制する。
+.TP 
 これらのオプションはどちらか 1 つしか指定できない。
-.RE
 .SS TOS
-IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。
-.B mangle
-テーブルのみで有効である。
-.TP
-.BI "--set-tos " "tos"
-TOS を番号で指定することができる。
-また、
+IP ヘッダーの 8 ビットの Type of Service フィールドを設定するために使われる。 \fBmangle\fP テーブルのみで有効である。
+.TP 
+\fB\-\-set\-tos \fP\fItos\fP
+TOS を番号で指定することができる。 また、
 .nf
- iptables -j TOS -h
+ iptables \-j TOS \-h
 .fi
 を実行して得られる、使用可能な TOS 名の一覧にある TOS 名も指定できる。
 .SS ULOG
-このターゲットは、マッチしたパケットを
-ユーザー空間でログ記録する機能を提供する。
-このターゲットがルールに設定されると、
-Linux カーネルは、そのパケットを
-.I netlink
-ソケットを用いてマルチキャストする。
-そして、1 つ以上のユーザー空間プロセスが
-いろいろなマルチキャストグループに登録をおこない、
-パケットを受信する。
-LOG と同様、これは "非終了ターゲット" であり、
+このターゲットは、マッチしたパケットを ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
+カーネルは、そのパケットを \fInetlink\fP ソケットを用いてマルチキャストする。 そして、1 つ以上のユーザー空間プロセスが
+いろいろなマルチキャストグループに登録をおこない、 パケットを受信する。 LOG と同様、これは "非終了ターゲット" であり、
 ルールの検討は次のルールへと継続される。
-.TP
-.BI "--ulog-nlgroup " "nlgroup"
-パケットを送信する netlink グループ (1-32) を指定する。
-デフォルトの値は 1 である。
-.TP
-.BI "--ulog-prefix " "prefix"
-指定したプレフィックスをログメッセージの前に付ける。
-32 文字までの指定できる。
-ログの中でメッセージを区別するのに便利である。
-.TP
-.BI "--ulog-cprange " "size"
-ユーザー空間にコピーするパケットのバイト数。
-値が 0 の場合、サイズに関係なく全パケットをコピーする。
-デフォルトは 0 である。
-.TP
-.BI "--ulog-qthreshold " "size"
-カーネル内部のキューに入れられるパケットの数。
-例えば、この値を 10 にした場合、
-カーネル内部で 10 個のパケットをまとめ、
-1 つの netlink マルチパートメッセージとしてユーザー空間に送る。
-(過去のものとの互換性のため) デフォルトは 1 である。
+.TP 
+\fB\-\-ulog\-nlgroup \fP\fInlgroup\fP
+パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
+.TP 
+\fB\-\-ulog\-prefix \fP\fIprefix\fP
+指定したプレフィックスをログメッセージの前に付ける。 32 文字までの指定できる。 ログの中でメッセージを区別するのに便利である。
+.TP 
+\fB\-\-ulog\-cprange \fP\fIsize\fP
+ユーザー空間にコピーするパケットのバイト数。 値が 0 の場合、サイズに関係なく全パケットをコピーする。 デフォルトは 0 である。
+.TP 
+\fB\-\-ulog\-qthreshold \fP\fIsize\fP
+カーネル内部のキューに入れられるパケットの数。 例えば、この値を 10 にした場合、 カーネル内部で 10 個のパケットをまとめ、 1 つの
+netlink マルチパートメッセージとしてユーザー空間に送る。 (過去のものとの互換性のため) デフォルトは 1 である。
+.br
 .SH 返り値
-いろいろなエラーメッセージが標準エラーに表示される。
-正しく機能した場合、終了コードは 0 である。
-不正なコマンドラインパラメータによりエラーが発生した場合は、
-終了コード 2 が返される。
-その他のエラーの場合は、終了コード 1 が返される。
+いろいろなエラーメッセージが標準エラーに表示される。 正しく機能した場合、終了コードは 0 である。
+不正なコマンドラインパラメータによりエラーが発生した場合は、 終了コード 2 が返される。 その他のエラーの場合は、終了コード 1 が返される。
 .SH バグ
-バグ? バグって何? ;-)
-えーと…、sparc64 ではカウンター値が信頼できない。
-.SH IPCHAINS との互換性
-.B iptables
-は、Rusty Russell の ipchains と非常によく似ている。
-大きな違いは、チェイン
-.B INPUT
-と
-.B OUTPUT
-が、それぞれローカルホストに入ってくるパケットと、
-ローカルホストから出されるパケットのみしか調べないという点である。
-よって、(INPUT と OUTPUT の両方のチェインを起動する
-ループバックトラフィックを除く)
-全てのパケットは 3 つあるチェインのうち 1 しか通らない。
-以前は (ipchains では)、
-フォワードされるパケットは 3 つのチェイン全てを通っていた。
+バグ? バグって何? ;\-)  えーと…、sparc64 ではカウンター値が信頼できない。
+.SH "IPCHAINS との互換性"
+\fBiptables\fP は、Rusty Russell の ipchains と非常によく似ている。 大きな違いは、チェイン \fBINPUT\fP と
+\fBOUTPUT\fP が、それぞれローカルホストに入ってくるパケットと、 ローカルホストから出されるパケットのみしか調べないという点である。
+よって、(INPUT と OUTPUT の両方のチェインを起動する ループバックトラフィックを除く)  全てのパケットは 3 つあるチェインのうち 1
+しか通らない。 以前は (ipchains では)、 フォワードされるパケットは 3 つのチェイン全てを通っていた。
 .PP
-その他の大きな違いは、
-.B -i
-で入力インターフェース、
-.B -o
-で出力インターフェースを参照すること、
-そしてともに
-.B FORWARD
+その他の大きな違いは、 \fB\-i\fP で入力インターフェース、 \fB\-o\fP で出力インターフェースを参照すること、 そしてともに \fBFORWARD\fP
 チェインに入るパケットに対して指定可能な点である。
 .PP
-NAT のいろいろな形式が分割された。
-オプションの拡張モジュールとともに
-デフォルトの「フィルタ」テーブルを用いた場合、
-.B iptables 
-は純粋なパケットフィルタとなる。
-これは、以前みられた IP マスカレーディングとパケットフィルタリングの
-組合せによる混乱を簡略化する。
+NAT のいろいろな形式が分割された。 オプションの拡張モジュールとともに デフォルトの「フィルタ」テーブルを用いた場合、 \fBiptables\fP
+は純粋なパケットフィルタとなる。 これは、以前みられた IP マスカレーディングとパケットフィルタリングの 組合せによる混乱を簡略化する。
 よって、オプション
 .nf
- -j MASQ
- -M -S
- -M -L
+ \-j MASQ
+ \-M \-S
+ \-M \-L
 .fi
-は別のものとして扱われる。
-iptables では、その他にもいくつかの変更がある。
+は別のものとして扱われる。 iptables では、その他にもいくつかの変更がある。
 .SH 関連項目
-.BR iptables-save (8),
-.BR iptables-restore (8),
-.BR ip6tables (8),
-.BR ip6tables-save (8),
-.BR ip6tables-restore (8).
+\fBiptables\-save\fP(8), \fBiptables\-restore\fP(8), \fBip6tables\fP(8),
+\fBip6tables\-save\fP(8), \fBip6tables\-restore\fP(8).
 .P
 パケットフィルタリングについての詳細な iptables の使用法を
-説明している packet-filtering-HOWTO。
-NAT について詳細に説明している NAT-HOWTO。
-標準的な配布には含まれない拡張の詳細を
-説明している netfilter-extensions-HOWTO。
-内部構造について詳細に説明している netfilter-hacking-HOWTO。
-.PP
-.UR http://www.netfilter.org/
-.B http://www.netfilter.org/
-.UE
-を参照のこと。
-.SH 著者
+説明している packet\-filtering\-HOWTO。
+NAT について詳細に説明している NAT\-HOWTO。
+標準的な配布には含まれない拡張の詳細を 説明している
+netfilter\-extensions\-HOWTO。
+内部構造について詳細に説明している netfilter\-hacking\-HOWTO。
+.br
+\fBhttp://www.netfilter.org/\fP を参照。
+.SH 作者
 Rusty Russell は、初期の段階で Michael Neuling に相談して iptables を書いた。
 .PP
-Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、
-ipnatctl を止めさせた。
-そして、mangle テーブル・所有者マッチング・
-mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
+Marc Boucher は Rusty に iptables の一般的なパケット選択の考え方を勧めて、 ipnatctl を止めさせた。
+そして、mangle テーブル・所有者マッチング・ mark 機能を書き、いたるところで使われている素晴らしいコードを書いた。
 .PP
 James Morris が TOS ターゲットと tos マッチングを書いた。
 .PP
 Jozsef Kadlecsik が REJECT ターゲットを書いた。
 .PP
-Harald Welte が ULOG ターゲットと、
-TTL, DSCP, ECN のマッチ・ターゲットを書いた。
+Harald Welte が ULOG ターゲットと、 TTL, DSCP, ECN のマッチ・ターゲットを書いた。
 .PP
-Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, 
-James Morris, Harald Welte, Rusty Russell である。
+Netfilter コアチームは、Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James
+Morris, Harald Welte, Rusty Russell である。
 .PP
 man ページは Herve Eychenne <rv@wallfire.org> が書いた。
 .\" .. and did I mention that we are incredibly cool people?
 .\" .. sexy, too ..
 .\" .. witty, charming, powerful ..
 .\" .. and most of all, modest ..
-.\" .. そして、僕等がとてもクールな奴らだと言っておいてもいいかな？
-.\" .. セクシーで ..
-.\" .. とてもウィットに富んでいて、チャーミングで、パワフルで ..
-.\" .. そして、みんな謙虚なんだ ..
-- 
2.11.0