ip6tables \-p mh \-h
.fi
.SS multiport
-This module matches a set of source or destination ports. Up to 15 ports
-can be specified. A port range (port:port) counts as two ports. It can
-only be used in conjunction with one of the following protocols: \fBtcp\fP,
-\fBudp\fP, \fBudplite\fP, \fBdccp\fP and \fBsctp\fP.
+このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2
+ポートとカウントされる。 このモジュールが使用できるのは \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP, \fBsctp\fP
+のいずれかと組み合わせた場合だけである。
.TP
[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。
\fBip_list_gid\fP=\fI0\fP
/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。
.SS rpfilter
-Performs a reverse path filter test on a packet. If a reply to the packet
-would be sent via the same interface that the packet arrived on, the packet
-will match. Note that, unlike the in\-kernel rp_filter, packets protected by
-IPSec are not treated specially. Combine this match with the policy match
-if you want this. Also, packets arriving via the loopback interface are
-always permitted. This match can only be used in the PREROUTING chain of
-the raw or mangle table.
+パケットに対して reverse path フィルターテストを行う。
+パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の
+rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。
+必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。
+このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。
.TP
\fB\-\-loose\fP
-Used to specifiy that the reverse path filter test should match even if the
-selected output device is not the expected one.
+選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。
.TP
\fB\-\-validmark\fP
-Also use the packets' nfmark value when performing the reverse path route
-lookup.
+reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。
.TP
\fB\-\-accept\-local\fP
-This will permit packets arriving from the network with a source address
-that is also assigned to the local machine.
+ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。
.TP
\fB\-\-invert\fP
-This will invert the sense of the match. Instead of matching packets that
-passed the reverse path filter test, match those that have failed it.
+マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。
.PP
-Example to log and drop packets failing the reverse path filter test:
+reverse path フィルターテストに失敗したパケットをロギングし破棄する例
iptables \-t raw \-N RPFILTER
パケットについてのコネクション追跡状態を参照できる。
.TP
[\fB!\fP] \fB\-\-state\fP \fIstate\fP
-Where state is a comma separated list of the connection states to
-match. Only a subset of the states unterstood by "conntrack" are recognized:
-\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP or \fBUNTRACKED\fP. For their
-description, see the "conntrack" heading in this manpage.
+state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解できる状態の一部だけが指定できる。 指定できるのは
+\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP, \fBUNTRACKED\fP である。
+これらの説明はこのマニュアルページの "conntrack" の説明を参照のこと。
.SS statistic
このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。
.PP
.TP
例:
.IP
-# The string pattern can be used for simple text characters.
+# 文字列パターンは単純なテキスト文字を探すのに使用できる。
.br
iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET
/index.html' \-j LOG
.IP
-# The hex string pattern can be used for non\-printable characters, like |0D
-0A| or |0D0A|.
+16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。
.br
iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57
\-\-hex\-string '|03|www|09|netfilter|03|org|00|'
[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
指定された TCP MSS 値か範囲にマッチする。
.SS time
-This matches if the packet arrival time/date is within a given range. All
-options are optional, but are ANDed when specified. All times are
-interpreted as UTC by default.
+このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND
+と解釈される。 デフォルトではすべての時刻は UTC と解釈される。
.TP
\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
.TP
\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-Only match during the given time, which must be in ISO 8601 "T" notation.
-The possible time range is 1970\-01\-01T00:00:00 to 2038\-01\-19T04:17:07.
+指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記でなければならない。 指定可能な範囲は
+1970\-01\-01T00:00:00 から 2038\-01\-19T04:17:07 である。
.IP
-If \-\-datestart or \-\-datestop are not specified, it will default to
-1970\-01\-01 and 2038\-01\-19, respectively.
+\-\-datestart と \-\-datestop は、指定されなかった場合、それぞれ 1970\-01\-01 と 2038\-01\-19 とみなされます。
.TP
\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
.TP
\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-Only match during the given daytime. The possible time range is 00:00:00 to
-23:59:59. Leading zeroes are allowed (e.g. "06:03") and correctly
-interpreted as base\-10.
+指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。
+("06:03" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。
.TP
[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given days of the month. Possible values are \fB1\fP to
-\fB31\fP. Note that specifying \fB31\fP will of course not match on months which
-do not have a 31st day; the same goes for 28\- or 29\-day February.
+指定された月の日付にマッチする。 指定可能な値は \fB1\fP から \fB31\fP である。 もちろん \fB31\fP を指定した場合 31
+日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。
.TP
[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given weekdays. Possible values are \fBMon\fP, \fBTue\fP,
-\fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP, or values from \fB1\fP to \fB7\fP,
-respectively. You may also use two\-character variants (\fBMo\fP, \fBTu\fP, etc.).
+指定した曜日にマッチする。 指定可能な値は \fBMon\fP, \fBTue\fP, \fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP
+および \fB1\fP から \fB7\fP の値である。 また、2 文字の曜日指定 (\fBMo\fP, \fBTu\fP など) も使用できる。
.TP
\fB\-\-contiguous\fP
-When \fB\-\-timestop\fP is smaller than \fB\-\-timestart\fP value, match this as a
-single time period instead distinct intervals. See EXAMPLES.
+\fB\-\-timestop\fP が \fB\-\-timestart\fP よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。
.TP
\fB\-\-kerneltz\fP
-Use the kernel timezone instead of UTC to determine whether a packet meets
-the time regulations.
+パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。
.PP
About kernel timezones: Linux keeps the system time in UTC, and always does
so. On boot, system time is initialized from a referential time
+0000, or one that is wrong half of the time of the year. As such, \fBusing
\-\-kerneltz is highly discouraged.\fP
.PP
-EXAMPLES. To match on weekends, use:
+例をいくつか。 週末にマッチさせる場合:
.IP
\-m time \-\-weekdays Sa,Su
.PP
-Or, to match (once) on a national holiday block:
+国の祝日に (一度だけ) マッチさせる場合:
.IP
\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
.PP
-Since the stop time is actually inclusive, you would need the following stop
-time to not match the first second of the new day:
+終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:
.IP
\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
.PP
-During lunch hour:
+昼御飯の時間帯:
.IP
\-m time \-\-timestart 12:30 \-\-timestop 13:30
.PP
-The fourth Friday in the month:
+第 4 金曜日:
.IP
\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
.PP
-(Note that this exploits a certain mathematical property. It is not possible
-to say "fourth Thursday OR fourth Friday" in one rule. It is possible with
-multiple rules, though.)
+(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。
+複数ルールで指定することはできるが。)
.PP
-Matching across days might not do what is expected. For instance,
+日をまたぐマッチングは期待するようには動かないだろう。例えば、
.IP
-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 Will match Monday,
-for one hour from midnight to 1 a.m., and then again for another hour from
-23:00 onwards. If this is unwanted, e.g. if you would like 'match for two
-hours from Montay 23:00 onwards' you need to also specify the \-\-contiguous
-option in the example above.
+\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 は、月曜日の 0 時から午前 1 時の
+1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2
+時間にマッチさせたい場合は、 上記に追加で \-\-contiguous オプションも指定する必要がある。
.SS tos
このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6
ヘッダーの (8 ビットの) Priority フィールドにマッチする。
指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。
.TP
[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the tos match for IPv4. The list
-of recognized TOS names can be obtained by calling iptables with \fB\-m tos
-\-h\fP. Note that this implies a mask of 0x3F, i.e. all but the ECN bits.
+IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を \fB\-m tos \-h\fP
+で呼び出すと、利用可能な TOS 名の一覧を得ることができる。
+シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。
.SS "ttl (IPv4 の場合)"
このモジュールは IP ヘッダーの time to live フィールドにマッチする。
.TP
\fB\-\-ttl\-lt\fP \fIttl\fP
TTL が指定された TTL 値より小さければマッチする。
.SS u32
-U32 tests whether quantities of up to 4 bytes extracted from a packet have
-specified values. The specification of what to extract is general enough to
-find data at given offsets from tcp headers or payloads.
+U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP
+ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。
.TP
[\fB!\fP] \fB\-\-u32\fP \fItests\fP
-The argument amounts to a program in a small language described below.
+引き数は、以下で説明する小さな言語のプログラムになる。
.IP
tests := location "=" value | tests "&&" location "=" value
.IP
.IP
range := number | number ":" number
.PP
-a single number, \fIn\fP, is interpreted the same as \fIn:n\fP. \fIn:m\fP is
-interpreted as the range of numbers \fB>=n\fP and \fB<=m\fP.
+数字 1 個 \fIn\fP は \fIn:n\fP と同じものと解釈される。 \fIn:m\fP は \fB>=n\fP かつ \fB<=m\fP
+の範囲の数字と解釈される。
.IP "" 4
location := number | location operator number
.IP "" 4
operator := "&" | "<<" | ">>" | "@"
.PP
-The operators \fB&\fP, \fB<<\fP, \fB>>\fP and \fB&&\fP mean the same as
-in C. The \fB=\fP is really a set membership operator and the value syntax
-describes a set. The \fB@\fP operator is what allows moving to the next header
-and is described further below.
+オペレーター \fB&\fP, \fB<<\fP, \fB>>\fP, \fB&&\fP は C と同じ意味である。 \fB=\fP
+は集合の所属を検査するオペレーターで、値は集合として記述する。 \fB@\fP オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。
.PP
-There are currently some artificial implementation limits on the size of the
-tests:
+現在のところ、テストの大きさにはいくつか実装から来る制約がある。
.IP " *"
-no more than 10 of "\fB=\fP" (and 9 "\fB&&\fP"s) in the u32 argument
+u32 引き数あたりの "\fB=\fP" は最大 10 個まで ("\fB&&\fP" は 9 個まで)
.IP " *"
-no more than 10 ranges (and 9 commas) per value
+value あたりの range は 10 個まで (カンマは 9 個まで)
.IP " *"
-no more than 10 numbers (and 9 operators) per location
+一つの location あたりの number は最大 10 個まで (operator は 9 個まで)
.PP
-To describe the meaning of location, imagine the following machine that
-interprets it. There are three registers:
+location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。
.IP
-A is of type \fBchar *\fP, initially the address of the IP header
+A は \fBchar *\fP 型で、最初は IP ヘッダーのアドレスが入っている。
.IP
-B and C are unsigned 32 bit integers, initially zero
+B と C は 32 ビット整数で、最初は 0 である。
.PP
-The instructions are:
+命令は以下の通り。
.IP
number B = number;
.IP
.IP
>> number C = C >> number
.IP
-@number A = A + C; then do the instruction number
+@number A = A + C; この後、命令の数字を実行する
.PP
-Any access of memory outside [skb\->data,skb\->end] causes the match
-to fail. Otherwise the result of the computation is the final value of C.
+[skb\->data,skb\->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C
+の最終的な値となる。
.PP
-Whitespace is allowed but not required in the tests. However, the characters
-that do occur there are likely to require shell quoting, so it is a good
-idea to enclose the arguments in quotes.
+ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、
+引き数全体をクォートで囲んでおくとよいだろう。
.PP
例:
.IP
-match IP packets with total length >= 256
+トータル長が 256 以上の IP パケットにマッチする
.IP
-The IP header contains a total length field in bytes 2\-3.
+IP ヘッダーではバイト 2\-3 にトータル長フィールドがある。
.IP
\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
.IP
-read bytes 0\-3
+バイト 0\-3 を読み出し、
.IP
-AND that with 0xFFFF (giving bytes 2\-3), and test whether that is in the
-range [0x100:0xFFFF]
+0xFFFF (バイト 2\-3 に対応) の論理和 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
.PP
-Example: (more realistic, hence more complicated)
+例: (もっと実用的な、したがってもっと複雑な例)
.IP
-match ICMP packets with icmp type 0
+ICMP タイプが 0 の ICMP パケットにマッチする
.IP
-First test that it is an ICMP packet, true iff byte 9 (protocol) = 1
+まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。
.IP
\-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
.IP
-read bytes 6\-9, use \fB&\fP to throw away bytes 6\-8 and compare the result to
-1. Next test that it is not a fragment. (If so, it might be part of such a
-packet but we cannot always tell.) N.B.: This test is generally needed if
-you want to match anything beyond the IP header. The last 6 bits of byte 6
-and all of byte 7 are 0 iff this is a complete packet (not a
-fragment). Alternatively, you can allow first fragments by only testing the
-last 5 bits of byte 6.
+バイト 6\-9 を読み出し、 \fB&\fP を使ってバイト 6\-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する
+(フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 \fB注意\fP: 一般的に IP
+ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6
+の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5
+ビットを検査するだけで最初のフラグメントを許可することができる。
.IP
\&... \fB4 & 0x3FFF = 0 &&\fP ...
.IP
-Last test: the first byte past the IP header (the type) is 0. This is where
-we have to use the @syntax. The length of the IP header (IHL) in 32 bit
-words is stored in the right half of byte 0 of the IP header itself.
+最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ
+(IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。
.IP
\&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
.IP
-The first 0 means read bytes 0\-3, \fB>>22\fP means shift that 22 bits
-to the right. Shifting 24 bits would give the first byte, so only 22 bits is
-four times that plus a few more bits. \fB&3C\fP then eliminates the two extra
-bits on the right and the first four bits of the first byte. For instance,
-if IHL=5, then the IP header is 20 (4 x 5) bytes long. In this case, bytes
-0\-1 are (in binary) xxxx0101 yyzzzzzz, \fB>>22\fP gives the 10 bit
-value xxxx0101yy and \fB&3C\fP gives 010100. \fB@\fP means to use this number as a
-new offset into the packet, and read four bytes starting from there. This is
-the first 4 bytes of the ICMP payload, of which byte 0 is the ICMP
-type. Therefore, we simply shift the value 24 to the right to throw out all
-but the first byte and compare the result with 0.
+最初の 0 はバイト 0\-3 を読み出し、 \fB>>22\fP はその値を 22 ビット右にシフトすることを意味する。 24
+ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。
+\fB&3C\fP で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト
+(4 x 5) である。 この場合、バイト 0\-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 \fB>>22\fP
+により 10 ビットの値 xxxx0101yy が得られ、 \fB&3C\fP で 010100 が得られる。 \fB@\fP
+は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP
+ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24
+ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。
.PP
例:
.IP
-TCP payload bytes 8\-12 is any of 1, 2, 5 or 8
+TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査する
.IP
-First we test that the packet is a tcp packet (similar to ICMP).
+まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。
.IP
\-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
.IP
-Next, test that it is not a fragment (same as above).
+次に、フラグメントでないことを検査する (上記と同じ)。
.IP
\&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
.IP
-\fB0>>22&3C\fP as above computes the number of bytes in the IP
-header. \fB@\fP makes this the new offset into the packet, which is the start
-of the TCP header. The length of the TCP header (again in 32 bit words) is
-the left half of byte 12 of the TCP header. The \fB12>>26&3C\fP
-computes this length in bytes (similar to the IP header before). "@" makes
-this the new offset, which is the start of the TCP payload. Finally, 8 reads
-bytes 8\-12 of the payload and \fB=\fP checks whether the result is any of 1, 2,
-5 or 8.
+上で説明した通り \fB0>>22&3C\fP で IP ヘッダーのバイト数を計算する。 \fB@\fP
+でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP
+ヘッダーのバイト 12 の左半分にある。 \fB12>>26&3C\fP で TCP ヘッダーのバイト数を計算する (IP
+ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8
+でペイロードのバイト 8\-12 を読み出し、 \fB=\fP を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。
.SS udp
これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。
.TP
(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。
.TP
\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new destination IP address, an inclusive range of
-IP addresses. Optionally a port range, if the rule also specifies one of the
-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
-is specified, then the destination port will never be modified. If no IP
-address is specified then only the destination port will be modified. In
-Kernels up to 2.6.10 you can add several \-\-to\-destination options. For those
-kernels, if you specify more than one destination address, either via an
-address range or multiple \-\-to\-destination options, a simple round\-robin
-(one after another in cycle) load balancing takes place between these
-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
-to multiple ranges anymore.
+1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
+\fBdccp\fP, \fBsctp\fP のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、
+宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の
+\-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や \-\-to\-destination
+オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。
+それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
.TP
\fB\-\-random\fP
If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
Then attach the new trigger to an LED:
echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
.SS LOG
-Turn on kernel logging of matching packets. When this option is set for a
-rule, the Linux kernel will print some information on all matching packets
-(like most IP/IPv6 header fields) via the kernel log (where it can be read
-with \fIdmesg(1)\fP or read in the syslog).
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux
+カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは
+\fIdmesg\fP(1) や syslog で参照できる)。
.PP
-This is a "non\-terminating target", i.e. rule traversal continues at the
-next rule. So if you want to LOG the packets you refuse, use two separate
-rules with the same matching criteria, first using target LOG then DROP (or
-REJECT).
+これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT)
+ターゲットを指定する。
.TP
\fB\-\-log\-level\fP \fIlevel\fP
Level of logging, which can be (system\-specific) numeric or a mnemonic.
(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。
.TP
\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a range of source ports to use, overriding the default
-\fBSNAT\fP source port\-selection heuristics (see above). This is only valid if
-the rule also specifies one of the following protocols: \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP or \fBsctp\fP.
+このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。
+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
Randomize source port mapping If option \fB\-\-random\fP is used then port
\fB\-\-rateest\-ewmalog\fP \fIvalue\fP
Rate measurement averaging time constant.
.SS REDIRECT
-This target is only valid in the \fBnat\fP table, in the \fBPREROUTING\fP and
-\fBOUTPUT\fP chains, and user\-defined chains which are only called from those
-chains. It redirects the packet to the machine itself by changing the
-destination IP to the primary address of the incoming interface
-(locally\-generated packets are mapped to the localhost address, 127.0.0.1
-for IPv4 and ::1 for IPv6).
+このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、
+およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP
+をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする
+(ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。
.TP
\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a destination port or range of ports to use: without this,
-the destination port is never altered. This is only valid if the rule also
-specifies one of the following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or
-\fBsctp\fP.
+このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。
+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
制御する。
.TP
\fB\-\-reject\-with\fP \fItype\fP
-The type given can be \fBicmp6\-no\-route\fP, \fBno\-route\fP,
-\fBicmp6\-adm\-prohibited\fP, \fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP,
-\fBaddr\-unreach\fP, or \fBicmp6\-port\-unreachable\fP, which return the appropriate
-ICMPv6 error message (\fBicmp6\-port\-unreachable\fP is the default). Finally,
-the option \fBtcp\-reset\fP can be used on rules which only match the TCP
-protocol: this causes a TCP RST packet to be sent back. This is mainly
-useful for blocking \fIident\fP (113/tcp) probes which frequently occur when
-sending mail to broken mail hosts (which won't accept your mail otherwise).
-\fBtcp\-reset\fP can only be used with kernel versions 2.6.14 or later.
+指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP,
+\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP,
+\fBicmp6\-port\-unreachable\fP である。 指定したタイプの適切な IPv6 エラーメッセージが返される
+(\fBicmp6\-port\-unreachable\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション
+\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP
+(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。
.SS "REJECT (IPv4 の場合)"
マッチしたパケットの応答としてエラーパケットを送信するために使われる。
エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
.PP
\-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。
.SS SNAT
-This target is only valid in the \fBnat\fP table, in the \fBPOSTROUTING\fP and
-\fBINPUT\fP chains, and user\-defined chains which are only called from those
-chains. It specifies that the source address of the packet should be
-modified (and all future packets in this connection will also be mangled),
-and rules should cease being examined. It takes the following options:
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP, \fBINPUT\fP チェイン、 これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
+(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:
.TP
\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new source IP address, an inclusive range of IP
-addresses. Optionally a port range, if the rule also specifies one of the
-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
-is specified, then source ports below 512 will be mapped to other ports
-below 512: those between 512 and 1023 inclusive will be mapped to ports
-below 1024, and other ports will be mapped to 1024 or above. Where possible,
-no port alteration will occur. In Kernels up to 2.6.10, you can add several
-\-\-to\-source options. For those kernels, if you specify more than one source
-address, either via an address range or multiple \-\-to\-source options, a
-simple round\-robin (one after another in cycle) takes place between these
-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
-to multiple ranges anymore.
+1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
+\fBdccp\fP, \fBsctp\fP が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512
+未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024
+未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。
+2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や
+\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT
+する機能は存在しない。
.TP
\fB\-\-random\fP
If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
\fB\-\-ttl\-inc\fP \fIvalue\fP
Increment the TTL value `value' times.
.SS "ULOG (IPv4 の場合)"
-This is the deprecated ipv4\-only predecessor of the NFLOG target. It
-provides userspace logging of matching packets. When this target is set for
-a rule, the Linux kernel will multicast this packet through a \fInetlink\fP
-socket. One or more userspace processes may then subscribe to various
-multicast groups and receive the packets. Like LOG, this is a
-"non\-terminating target", i.e. rule traversal continues at the next rule.
+このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
+ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
+ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
+パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 ルールの探索は次のルールへと継続される。
.TP
\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。
OSDN Git Service
