.\" will make the IPv4 routing omit the non-local source address check on
.\" output. Setting IP_TRANSPARENT requires NET_ADMIN capability.
.\" http://lwn.net/Articles/252545/
-Setting this boolean option enables transparent proxying on this socket.
-This socket option allows the calling application to bind to a nonlocal IP
-address and operate both as a client and a server with the foreign address
-as the local endpoint. NOTE: this requires that routing be set up in a way
-that packets going to the foreign address are routed through the TProxy box
-(i.e., the system hosting the application that employs the \fBIP_TRANSPARENT\fP
-socket option). Enabling this socket option requires superuser privileges
-(the \fBCAP_NET_ADMIN\fP capability).
+このブール値のオプションを有効にすると、 このソケットで透過プロキシ (transparent proxy) ができるようになる。
+このソケットオプションを使うと、呼び出したアプリケーションは、 ローカルではない IP アドレスをバインドして、ローカルの端点として自分以外のアドレス
+(foreign address) を持つクライアントやサーバの両方として動作できるようになる。 \fB注意\fP:
+この機能が動作するためには、自分以外のアドレス宛のパケットが透過プロキシが動作するマシン (すなわちソケットオプション
+\fBIP_TRANSPARENT\fP を利用するアプリケーションが動作しているシステム) 経由で転送されるように、 ルーティングが設定される必要がある。
+このソケットオプションを有効にするには、スーパーユーザ特権 (\fBCAP_NET_ADMIN\fP ケーパビリティ) が必要である。
.IP
iptables の TPROXY ターゲットで透過プロキシリダイレクション
(TProxy redirection) を行うには、リダイレクトされるソケットに対して
発信元と発信先の間のどこかのホストで、そのパケットが 大きすぎると判断され、分割された場合に生じる) は、たとえフォワードされる場合であっても
処理前に再構築 (デフラグメント) される。
-Only enable if running either a firewall that is the sole link to your
-network or a transparent proxy; never ever use it for a normal router or
-host. Otherwise, fragmented communication can be disturbed if the fragments
-travel over different links. Defragmentation also has a large memory and
-CPU time cost.
+ファイアウォールがローカル側のネットワークに唯一のリンクを持っている 場合や、透過プロクシの場合に限って有効にすべきである。
+通常のルーターやホストでは決して使用することのないように。 さもないとフラグメントが別のリンクを経由して伝わる場合に、
+通信のフラグメント化ができなくなってしまう。 またフラグメント再構築処理はメモリと CPU 時間のコストが非常に大きい。
.\"
これはマスカレードや透過プロクシが設定されると、 不思議な仕組みによって自動的に有効になる。
.IP *
\fBlisten\fP(2) is called on a stream socket that was not previously bound;
.IP *
-\fBconnect\fP(2) was called on a socket that was not not previously bound;
+バインドされていないソケットに対して \fBconnect\fP(2) が呼ばれた。
.IP *
-\fBsendto\fP(2) is called on a datagram socket that was not not previously
-bound.
+バインドされていないデータグラムソケットに対して \fBsendto\fP(2) が呼ばれた。
.RE
.IP
-Allocation of ephemeral ports starts with the first number in
-\fIip_local_port_range\fP and ends with the second number. If the range of
-ephemeral ports is exhausted, then the relevant system call returns an error
-(but see BUGS)
+一時ポート (ephemeral port) に割り当てられるポート番号の範囲は、 \fIip_local_port_range\fP
+の最初の数字から始まり、 2 番目の数字で終わる。 一時ポートの範囲を使い切った場合、 関連するシステムコールはエラーを返す (バグの節を参照)。
.IP
.\"
-Note that the port range in \fIip_local_port_range\fP should not conflict with
-the ports used by masquerading (although the case is handled). Also,
-arbitrary choices may cause problems with some firewall packet filters that
-make assumptions about the local ports in use. The first number should be
-at least greater than 1024, or better, greater than 4096, to avoid clashes
-with well known ports and to minimize firewall problems.
+\fIip_local_port_range\fP で指定するポート番号の範囲は、 マスカレードで用いられているポートと重なってはならない
+(その場合も取り扱われるが)。 ファイアウォールのパケットフィルターが「利用中のローカルポート」 について何らかの仮定をしている場合には、
+番号を勝手に決めてしまうと問題が起きるかもしれない。 1 番目の番号は少なくとも 1024 より大きくすべきである。
+良く使われるポートとの衝突を避けたり、ファイアウォールの問題を 回避したければ、 4096 よりも大きくするほうが良いだろう。
.TP
\fIip_no_pmtu_disc\fP (ブール値; デフォルト: 無効; Linux 2.2 以降)
.\" Precisely: 2.1.15
OSDN Git Service
