\fB\-\-limit\-iface\-out\fP
アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
-.SS "ah (IPv6 の場合)"
+.SS "ah (IPv6 のみ)"
このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
.TP
[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
.SS bpf
-Match using Linux Socket Filter. Expects a BPF program in decimal
-format. This is the format generated by the \fBnfbpf_compile\fP utility.
+Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
+\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
.TP
\fB\-\-bytecode\fP \fIcode\fP
-Pass the BPF byte code format (described in the example below).
+BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
.PP
-The code format is similar to the output of the tcpdump \-ddd command: one
-line that stores the number of instructions, followed by one line for each
-instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal
-notation. Fields encode the operation, jump offset if true, jump offset if
-false and generic multiuse field 'K'. Comments are not supported.
+コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
+命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
+時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
.PP
-For example, to read only packets matching 'ip proto 6', insert the
-following, without the comments or trailing whitespace:
+例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
.IP
-4 # number of instructions
+4 # 命令数
.br
48 0 0 9 # load byte ip\->proto
.br
.br
6 0 0 0 # return fail (zero)
.PP
-You can pass this filter to the bpf match with the following command:
+このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
.IP
iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
\-j ACCEPT
.PP
-Or instead, you can invoke the nfbpf_compile utility.
+代わりに、 nfbpf_compile ユーティリティを使う方法もある。
.IP
iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
ACCEPT
.PP
-You may want to learn more about BPF from FreeBSD's bpf(4) manpage.
+BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
.SS cluster
このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
.PP
following options:
.TP
\fB\-\-cluster\-total\-nodes\fP \fInum\fP
-クラスターの合計ノード数を設定する。
+クラスターの総ノード数を設定する。
.TP
[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
ローカルノードの数字の ID を設定する。
.TP
[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
-.SS "dst (IPv6 の場合)"
+.SS "dst (IPv6 のみ)"
このモジュールは宛先オプションヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
.TP
[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS "eui64 (IPv6 の場合)"
+.SS "eui64 (IPv6 のみ)"
このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
\fBFORWARD\fP チェインでのみ有効である。
-.SS "frag (IPv6 の場合)"
+.SS "frag (IPv6 のみ)"
このモジュールはフラグメントヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
バイト/秒によるマッチ
"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
\-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
-.SS "hbh (IPv6 の場合)"
+.SS "hbh (IPv6 のみ)"
このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
.PP
他のコネクション追跡ヘルパーでも同じルールが適用される。
.RE
-.SS "hl (IPv6 の場合)"
+.SS "hl (IPv6 のみ)"
このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
.TP
[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
.nf
iptables \-p icmp \-h
.fi
-.SS "icmp6 (IPv6 の場合)"
+.SS "icmp6 (IPv6 のみ)"
これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
以下のオプションが提供される:
.TP
.TP
[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
指定された範囲の宛先 IP にマッチする。
-.SS "ipv6header (IPv6 の場合)"
+.SS "ipv6header (IPv6 のみ)"
このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
.TP
\fB\-\-soft\fP
[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
がとられる)。
-.SS "mh (IPv6 の場合)"
+.SS "mh (IPv6 のみ)"
この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
以下のオプションが提供される。
.TP
失敗したパケットをドロップするが、ロギングを行わない例
iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
-.SS "rt (IPv6 の場合)"
+.SS "rt (IPv6 のみ)"
IPv6 ルーティングヘッダーに対してマッチする。
.TP
[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
.IP
バイト 0\-3 を読み出し、
.IP
-0xFFFF (バイト 2\-3 に対応) の論理和 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
+0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
.PP
例: (もっと実用的な、したがってもっと複雑な例)
.IP
.\" @TARGET@
iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
.SS AUDIT
-This target allows to create audit records for packets hitting the target.
-It can be used to record accepted, dropped, and rejected packets. See
-auditd(8) for additional details.
+このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
+許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
.TP
\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
-Set type of audit record.
+監査レコード種別を設定する。
.PP
例:
.IP
dhcp clients, that do not work well with checksum offloads, but don't want
to disable checksum offload in your device.
.SS CLASSIFY
-This module allows you to set the skb\->priority value (and thus classify
-the packet into a specific CBQ class).
+このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
.TP
\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
-Set the major and minor class value. The values are always interpreted as
-hexadecimal even if no 0x prefix is given.
+メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
.SS "CLUSTERIP (IPv4 の場合)"
-This module allows you to configure a simple cluster of nodes that share a
-certain IP and MAC address without an explicit load balancer in front of
-them. Connections are statically distributed between the nodes in this
-cluster.
+このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
+アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
.TP
\fB\-\-new\fP
-Create a new ClusterIP. You always have to set this on the first rule for a
-given ClusterIP.
+新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
.TP
\fB\-\-hashmode\fP \fImode\fP
-Specify the hashing mode. Has to be one of \fBsourceip\fP,
-\fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP.
+ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
+\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
.TP
\fB\-\-clustermac\fP \fImac\fP
-Specify the ClusterIP MAC address. Has to be a link\-layer multicast address
+ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
.TP
\fB\-\-total\-nodes\fP \fInum\fP
-Number of total nodes within this cluster.
+このクラスターの総ノード数。
.TP
\fB\-\-local\-node\fP \fInum\fP
-Local node number within this cluster.
+このクラスターのローカルノード番号。
.TP
\fB\-\-hash\-init\fP \fIrnd\fP
-Specify the random seed used for hash initialization.
+ハッシュの初期化に使用される乱数シード値を指定する。
.SS CONNMARK
このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
.TP
\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
.TP
\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the packet mark (nfmark) to the connection mark (ctmark) using the
-given masks. The new nfmark value is determined as follows:
+指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
+値は以下のように決定される。
.IP
ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
.IP
-i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the
-nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
+\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
.TP
\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the connection mark (ctmark) to the packet mark (nfmark) using the
-given masks. The new ctmark value is determined as follows:
+指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
+値は以下のように決定される。
.IP
nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
.IP
-i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the
-ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
+\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
.IP
-\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table.
+\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
.PP
-The following mnemonics are available for \fB\-\-set\-xmark\fP:
+以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
.TP
\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
+ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
.TP
\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
+ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
.TP
\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
+ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
.TP
\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Set the connection mark. If a mask is specified then only those bits set in
-the mask are modified.
+コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
.TP
\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-Copy the nfmark to the ctmark. If a mask is specified, only those bits are
-copied.
+nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
.TP
\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
ct entry. This target is thus only valid in the "raw" table.
.TP
\fB\-\-notrack\fP
-Disables connection tracking for this packet.
+このパケットに対するコネクション追跡を無効にする。
.TP
\fB\-\-helper\fP \fIname\fP
-Use the helper identified by \fIname\fP for the connection. This is more
-flexible than loading the conntrack helper modules with preset ports.
+\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
+ヘルパーモジュールをロードするよりも柔軟性がある。
.TP
\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
Only generate the specified conntrack events for this connection. Possible
それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.22).
+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
.TP
\fB\-\-persistent\fP
-Gives a client the same source\-/destination\-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is
-available from 2.6.29\-rc2.
+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS "DNPT (IPv6 の場合)"
-Provides stateless destination IPv6\-to\-IPv6 Network Prefix Translation (as
-described by RFC 6296).
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "DNPT (IPv6 のみ)"
+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
.PP
-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
-table. It takes the following options:
+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
.TP
\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set source prefix that you want to translate and length
+変換を行う送信元プレフィックスとその長さを設定する。
.TP
\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set destination prefix that you want to use in the translation and length
+変換を行う宛先プレフィックスとその長さを設定する。
.PP
-You have to use the SNPT target to undo the translation. Example:
+変換を取り消すには SNPT ターゲットを使わなければならない。 例:
.IP
ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
.PP
-You may need to enable IPv6 neighbor proxy:
+IPv6 neighbor proxy を有効にする必要があるかもしれない。
.IP
sysctl \-w net.ipv6.conf.all.proxy_ndp=1
.PP
-You also have to use the \fBNOTRACK\fP target to disable connection tracking
-for translated flows.
+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
.SS DSCP
このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
mangle テーブルでのみ使用できる。
\fB\-\-ecn\-tcp\-remove\fP
TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
オプションとの組合わせでのみ使用できる。
-.SS "HL (IPv6 の場合)"
-This is used to modify the Hop Limit field in IPv6 header. The Hop Limit
-field is similar to what is known as TTL value in IPv4. Setting or
-incrementing the Hop Limit field can potentially be very dangerous, so it
-should be avoided at any cost. This target is only valid in \fBmangle\fP table.
+.SS "HL (IPv6 のみ)"
+このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
+TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
+したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
.PP
-\fBDon't ever set or increment the value on packets that leave your local
-network!\fP
+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
.TP
\fB\-\-hl\-set\fP \fIvalue\fP
-Set the Hop Limit to `value'.
+Hop Limit を `value' に設定する。
.TP
\fB\-\-hl\-dec\fP \fIvalue\fP
-Decrement the Hop Limit `value' times.
+Hop Limit を `value' 回減算する。
.TP
\fB\-\-hl\-inc\fP \fIvalue\fP
-Increment the Hop Limit `value' times.
+Hop Limit を `value' 回加算する。
.SS HMARK
Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
packet selector at choice. You have also to specify the mark range and,
\fB\-\-hmark\-rnd\fP \fIvalue\fP
A 32 bit random custom value to feed hash calculation.
.PP
-\fIExamples:\fP
+\fI例\fP:
.PP
iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
\-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
ターゲットを指定する。
.TP
\fB\-\-log\-level\fP \fIlevel\fP
-Level of logging, which can be (system\-specific) numeric or a mnemonic.
-Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP,
-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP.
+ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
+\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
.TP
\fB\-\-log\-prefix\fP \fIprefix\fP
指定したプレフィックスをログメッセージの前に付ける。
IP/IPv6 パケットヘッダーのオプションをログに記録する。
.TP
\fB\-\-log\-uid\fP
-Log the userid of the process which generated the packet.
+パケットを生成したプロセスのユーザー ID をログに記録する。
.SS MARK
-This target is used to set the Netfilter mark value associated with the
-packet. It can, for example, be used in conjunction with routing based on
-fwmark (needs iproute2). If you plan on doing so, note that the mark needs
-to be set in the PREROUTING chain of the mangle table to affect routing.
-The mark field is 32 bits wide.
+このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
+(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
+PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
.TP
\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet mark
-("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
+\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
.TP
\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet
-mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
+0xFFFFFFFF とみなされる。
.PP
-The following mnemonics are available:
+以下の簡易表現が利用できる。
.TP
\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
+nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
.TP
\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
+nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
.TP
\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
+nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
.SS MASQUERADE
このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
-Randomize source port mapping If option \fB\-\-random\fP is used then port
-mapping will be randomized (kernel >= 2.6.21).
+送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
+2.6.21 以降)。
.TP
-IPv6 support available since Linux kernels >= 3.7.
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
.SS "MIRROR (IPv4 の場合)"
実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
.SS NETMAP
-This target allows you to statically map a whole network of addresses onto
-another network of addresses. It can only be used from rules in the \fBnat\fP
-table.
+このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
+テーブルでルールでのみ使用できる。
.TP
\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-Network address to map to. The resulting address will be constructed in the
-following way: All 'one' bits in the mask are filled in from the new
-`address'. All bits that are zero in the mask are filled in from the
-original address.
+マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
+mask で '0' になっているビットは元のアドレスが使われる。
.TP
-IPv6 support available since Linux kernels >= 3.7.
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
.SS NFLOG
このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
.SS NFQUEUE
-This target passes the packet to userspace using the \fBnfnetlink_queue\fP
-handler. The packet is put into the queue identified by its 16\-bit queue
-number. Userspace can inspect and modify the packet if desired. Userspace
-must then drop or reinject the packet into the kernel. Please see
-libnetfilter_queue for details. \fBnfnetlink_queue\fP was added in Linux
-2.6.14. The \fBqueue\-balance\fP option was added in Linux 2.6.31,
-\fBqueue\-bypass\fP in 2.6.39.
+このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
+ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
+ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
+を参照のこと。
+\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
+2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
.TP
\fB\-\-queue\-num\fP \fIvalue\fP
-This specifies the QUEUE number to use. Valid queue numbers are 0 to
-65535. The default value is 0.
+使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
.PP
.TP
\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
-This specifies a range of queues to use. Packets are then balanced across
-the given queues. This is useful for multicore systems: start multiple
-instances of the userspace program on queues x, x+1, .. x+n and use
-"\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP". Packets belonging to the same connection
-are put into the same nfqueue.
+使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
+ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
+\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
.PP
.TP
\fB\-\-queue\-bypass\fP
-By default, if no userspace program is listening on an NFQUEUE, then all
-packets that are to be queued are dropped. When this option is used, the
-NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the
-next table.
+デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
+このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
.PP
.TP
\fB\-\-queue\-cpu\-fanout\fP
-Available starting Linux kernel 3.10. When used together with
-\fB\-\-queue\-balance\fP this will use the CPU ID as an index to map packets to
-the queues. The idea is that you can improve performance if there's a queue
-per CPU. This requires \fB\-\-queue\-balance\fP to be specified.
+Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
+とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
+ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
.SS NOTRACK
-This extension disables connection tracking for all packets matching that
-rule. It is equivalent with \-j CT \-\-notrack. Like CT, NOTRACK can only be
-used in the \fBraw\fP table.
+このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
+CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
.SS RATEEST
The RATEEST target collects statistics, performs rate estimation calculation
and saves the results for later evaluation using the \fBrateest\fP match.
ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.22).
+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
.TP
-IPv6 support available starting Linux kernels >= 3.7.
-.SS "REJECT (IPv6 の場合)"
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "REJECT (IPv6 のみ)"
マッチしたパケットの応答としてエラーパケットを送信するために使われる。
エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
する機能は存在しない。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.21).
+\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
.TP
\fB\-\-persistent\fP
-Gives a client the same source\-/destination\-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is
-available from 2.6.29\-rc2.
+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
.PP
-Kernels prior to 2.6.36\-rc1 don't have the ability to \fBSNAT\fP in the
-\fBINPUT\fP chain.
+2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS "SNPT (IPv6 の場合)"
-Provides stateless source IPv6\-to\-IPv6 Network Prefix Translation (as
-described by RFC 6296).
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "SNPT (IPv6 のみ)"
+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
.PP
-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
-table. It takes the following options:
+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
.TP
\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set source prefix that you want to translate and length
+変換を行う送信元プレフィックスとその長さを設定する。
.TP
\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set destination prefix that you want to use in the translation and length
+変換を行う宛先プレフィックスとその長さを設定する。
.PP
-You have to use the DNPT target to undo the translation. Example:
+変換を取り消すには DNPT ターゲットを使わなければならない。 例:
.IP
ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
.PP
-You may need to enable IPv6 neighbor proxy:
+IPv6 neighbor proxy を有効にする必要があるかもしれない。
.IP
sysctl \-w net.ipv6.conf.all.proxy_ndp=1
.PP
-You also have to use the \fBNOTRACK\fP target to disable connection tracking
-for translated flows.
+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
.SS TCPMSS
このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
.PP
これらのオプションはどちらか 1 つしか指定できない。
.SS TCPOPTSTRIP
-This target will strip TCP options off a TCP packet. (It will actually
-replace them by NO\-OPs.) As such, you will need to add the \fB\-p tcp\fP
-parameters.
+このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
+このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
.TP
\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
-Strip the given option(s). The options may be specified by TCP option number
-or by symbolic name. The list of recognized options can be obtained by
-calling iptables with \fB\-j TCPOPTSTRIP \-h\fP.
+指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
+TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
.SS TEE
-The \fBTEE\fP target will clone a packet and redirect this clone to another
-machine on the \fBlocal\fP network segment. In other words, the nexthop must be
-the target, or you will have to configure the nexthop to forward it further
-if so desired.
+\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
+クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
+言い換えると、ネクストホップがターゲットでなければならないということだ。
+つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
.TP
\fB\-\-gateway\fP \fIipaddr\fP
-Send the cloned packet to the host reachable at the given IP address. Use
-of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid.
+クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
+は無効である。
.PP
-To forward all incoming traffic on eth0 to an Network Layer logging box:
+eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
.PP
\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
.SS TOS
-This module sets the Type of Service field in the IPv4 header (including the
-"precedence" bits) or the Priority field in the IPv6 header. Note that TOS
-shares the same bits as DSCP and ECN. The TOS target is only valid in the
-\fBmangle\fP table.
+このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
+フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
+テーブルでのみ有効である。
.TP
\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP into
-the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed.
+\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
+を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
.TP
\fB\-\-set\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the TOS target for IPv4. It
-implies a mask of 0xFF (see NOTE below). The list of recognized TOS names
-can be obtained by calling iptables with \fB\-j TOS \-h\fP.
+IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
+(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
.PP
-The following mnemonics are available:
+以下の簡易表現が利用できる。
.TP
\fB\-\-and\-tos\fP \fIbits\fP
-Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP. See NOTE
-below.)
+TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
.TP
\fB\-\-or\-tos\fP \fIbits\fP
-Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.)
+TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
+の簡易表現。下の「注意」を参照)
.TP
\fB\-\-xor\-tos\fP \fIbits\fP
-Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/0\fP. See NOTE below.)
-.PP
-NOTE: In Linux kernels up to and including 2.6.38, with the exception of
-longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35
-(>=.14), there is a bug whereby IPv6 TOS mangling does not behave as
-documented and differs from the IPv4 version. The TOS mask indicates the
-bits one wants to zero out, so it needs to be inverted before applying it to
-the original TOS field. However, the aformentioned kernels forgo the
-inversion which breaks \-\-set\-tos and its mnemonics.
+TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
+.PP
+注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
+(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
+がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
+の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
+上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
.SS TPROXY
このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
.br
It can only be used in the \fBraw\fP table.
.SS "TTL (IPv4 の場合)"
-This is used to modify the IPv4 TTL header field. The TTL field determines
-how many hops (routers) a packet can traverse until it's time to live is
-exceeded.
+このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
+がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
.PP
-Setting or incrementing the TTL field can potentially be very dangerous, so
-it should be avoided at any cost. This target is only valid in \fBmangle\fP
-table.
+TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
+テーブルでのみ有効である。
.PP
-\fBDon't ever set or increment the value on packets that leave your local
-network!\fP
+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
.TP
\fB\-\-ttl\-set\fP \fIvalue\fP
-Set the TTL value to `value'.
+TTL 値を `value' に設定する。
.TP
\fB\-\-ttl\-dec\fP \fIvalue\fP
-Decrement the TTL value `value' times.
+TTL 値を `value' 回減算する。
.TP
\fB\-\-ttl\-inc\fP \fIvalue\fP
-Increment the TTL value `value' times.
+TTL 値を `value' 回加算する。
.SS "ULOG (IPv4 の場合)"
このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP