.\" Updated & Modified 2004-02-21, Yuichi SATO <ysato444@yahoo.co.jp>
.\" Updated 2013-04-08, Akihiro MOTOKI <amotoki@gmail.com>
.\"
-.TH IPTABLES 8 "" "iptables 1.4.18" "iptables 1.4.18"
+.TH IPTABLES 8 "" "iptables 1.4.21" "iptables 1.4.21"
.\"
.\" Man page written by Herve Eychenne <rv@wallfire.org> (May 1999)
.\" It is based on ipchains page.
.\"
.\"
.SH 名前
-iptables \(em IPv4 のパケットフィルタと NAT の管理ツール
+iptables/ip6tables \(em IPv4/IPv6 のパケットフィルタと NAT の管理ツール
.SH 書式
\fBiptables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain\fP
\fIrule\-specification\fP
+.P
+\fBip6tables\fP [\fB\-t\fP \fItable\fP] {\fB\-A\fP|\fB\-C\fP|\fB\-D\fP} \fIchain
+rule\-specification\fP
.PP
\fBiptables\fP [\fB\-t\fP \fItable\fP] \fB\-I\fP \fIchain\fP [\fIrulenum\fP]
\fIrule\-specification\fP
.PP
target = \fB\-j\fP \fItargetname\fP [\fIper\-target\-options\fP]
.SH 説明
-\fBiptables\fP は Linux カーネルの IPv4 パケットフィルタルールのテーブルの設定・管理・検査に使用される。
-複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、 さらにユーザー定義のチェインを加えることもできる。
+\fBiptables\fP と \fBip6tables\fP は Linux カーネルの IPv4/IPv6
+パケットフィルタルールのテーブルの設定・管理・検査に使用される。 複数の異なるテーブルを定義できる。 各テーブルには数個の組み込みチェインがあり、
+さらにユーザー定義のチェインを加えることもできる。
.PP
各チェインは、パケット群にマッチするルールのリストである。 各ルールはマッチしたパケットに対する処理を規定する。
パケットに対する処理は「ターゲット」と呼ばれ、 同じテーブル内のユーザー定義チェインにジャンプすることもできる。
.SH ターゲット
ファイアウォールのルールでは、 パケットのマッチ条件とターゲットを指定する。 パケットがマッチしない場合、 チェイン内の次のルールが評価される。
-パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、 もしくは特別な値
-\fBACCEPT\fP, \fBDROP\fP, \fBQUEUE\fP, \fBRETURN\fP のいずれか 1 つを指定する。
+パケットがマッチした場合、 ターゲットの値によって次のルールが指定される。 ターゲットの値には、 ユーザー定義チェインの名前、
+\fBiptables\-extensions\fP(8) に説明があるターゲットのいずれか、 もしくは特別な値 \fBACCEPT\fP, \fBDROP\fP,
+\fBRETURN\fP のいずれかを指定する。
.PP
-\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBQUEUE\fP
-はそのパケットをユーザー空間に渡すという意味である。
-(ユーザー空間プロセスがパケットをどのように受信するかは、個々のキューハンドラにより異なる。バージョン 2.4.x および 2.6.13 までの
-2.6.x のカーネルでは \fBip_queue\fP キューハンドラが読み込まれる。バージョン 2.6.14 以降のカーネルでは、これに加えて
-\fBnfnetlink_queue\fP キューハンドラも利用できる。ターゲットが QUEUE のパケットは、キュー番号 '0' に送信される。この man
-ページの後ろの方で説明されている \fBNFQUEUE\fP ターゲットについても参照のこと。) \fBRETURN\fP は、このチェインを辿るのを中止して、
-前の (呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット
+\fBACCEPT\fP はパケット通過、 \fBDROP\fP はパケット廃棄を意味する。 \fBRETURN\fP は、このチェインを辿るのを中止して、 前の
+(呼び出し元) チェインの次のルールから再開するという意味である。 組み込みチェインの最後に到達した場合、 または組み込みチェインでターゲット
\fBRETURN\fP を持つルールにマッチした場合、 パケットをどのように処理するかは、そのチェインのポリシーで指定されたターゲットにより決まる。
.SH テーブル
現在のところ 5 つの独立なテーブルが存在する (ある時点でどのテーブルが存在するかは、 カーネルの設定やどういったモジュールが存在するかに依存する)。
このテーブルは新しい接続を開くパケットの場合に参照される。 \fBPREROUTING\fP
(パケットが入ってきた場合、すぐにそのパケットを変換するためのチェイン)、 \fBOUTPUT\fP
(ローカルで生成されたパケットをルーティングの前に変換するためのチェイン)、 \fBPOSTROUTING\fP
-(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。
+(パケットが出て行くときに変換するためのチェイン) という 3 つの組み込みチェインがある。 IPv6 NAT サポートはカーネル 3.7
+以降で利用できる。
.TP
\fBmangle\fP:
このテーブルは特別なパケット変換に使われる。 カーネル 2.4.17 までは、組み込みチェインは \fBPREROUTING\fP
(マシンを経由して転送されるパケットに対してルーティング前に変更を行うためのチェイン) の 3 つの組み込みチェインが提供されている。
.RE
.SH オプション
-\fBiptables\fP で使えるオプションは、いくつかのグループに分けられる。
+\fBiptables\fP ã\81¨ \fBip6tables\fP ã\81§ä½¿ã\81\88ã\82\8bã\82ªã\83\97ã\82·ã\83§ã\83³ã\81¯ã\80\81ã\81\84ã\81\8fã\81¤ã\81\8bã\81®ã\82°ã\83«ã\83¼ã\83\97ã\81«å\88\86ã\81\91ã\82\89ã\82\8cã\82\8bã\80\82
.SS コマンド
これらのオプションは、実行したい動作を指定する。 以下の説明で注記されていない限り、 コマンドラインで指定できるのはこの中の一つだけである。
長いバージョンのコマンド名とオプション名は、 \fBiptables\fP が他のコマンド名やオプション名と区別できる範囲で (後ろの方の文字を省略して)
以下のパラメータは (add, delete, insert, replace, append コマンドで用いられて) ルールの仕様を決める。
.TP
\fB\-4\fP, \fB\-\-ipv4\fP
-このオプションは iptables と iptables\-restore では効果を持たない。
+このオプションは iptables と iptables\-restore では効果を持たない。 \fB\-4\fP オプションを使ったルールを
+ip6tables\-restore で挿入された場合、(この場合に限り)
+そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
+の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
+の両方でそのファイルを使うことができる。
.TP
\fB\-6\fP, \fB\-\-ipv6\fP
\fB\-6\fP オプションを使ったルールを iptables\-restore で挿入された場合、(この場合に限り)
そのルールは黙って無視される。それ以外の使い方をした場合はエラーが発生する。このオプションを使うと、 IPv4 と IPv6
の両方のルールを一つのルールファイルに記述し、iptables\-restore と ip6tables\-restore
-の両方でそのファイルを使うことができる。
+の両方でそのファイルを使うことができる。 このオプションは ip6tables と ip6tables\-restore では効果を持たない。
.TP
[\fB!\fP] \fB\-p\fP, \fB\-\-protocol\fP \fIprotocol\fP
ルールで使われるプロトコル、またはチェックされるパケットのプロトコル。 指定できるプロトコルは、 \fBtcp\fP, \fBudp\fP, \fBudplite\fP,
\fBicmp\fP, \fBesp\fP, \fBah\fP, \fBsctp\fP と特別なキーワード \fBall\fP のいずれか 1 つか、または数値である。
数値には、これらのプロトコルのどれか、またはそれ以外のプロトコルを表す数値を指定することができる。 /etc/protocols
にあるプロトコル名も指定できる。 プロトコルの前に "!" を置くと、そのプロトコルを除外するという意味になる。 数値 0 は \fBall\fP と等しい。
-"\fBall\fP" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。
+"\fBall\fP" は全てのプロトコルとマッチし、このオプションが省略された際のデフォルトである。 ip6tables では、 \fBesp\fP 以外の
+IPv6 拡張ヘッダは指定できない点に注意。 \fBesp\fP と \fBipv6\-nonext\fP はバージョン 2.6.11 以降のカーネルで使用できる。
+数値 0 は \fBall\fP と等しい。 これは、プロトコルフィールドが値 0 であるかを直接検査できないことを意味する。 HBH
+ヘッダとマッチさせるためには、 HBH ヘッダが例え最後にある場合であっても、 \fB\-p 0\fP を使うことはできず、必ず \fB\-m hbh\fP
+を使う必要がある。
.TP
[\fB!\fP] \fB\-s\fP, \fB\-\-source\fP \fIaddress\fP[\fB/\fP\fImask\fP][\fB,\fP\fI...\fP]
送信元の指定。 \fIaddress\fP はホスト名、ネットワーク IP アドレス (\fB/\fP\fImask\fP を指定する)、通常の IP
アドレスのいずれかである。ホスト名の解決は、カーネルにルールが登録される前に一度だけ行われる。 DNS
-のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 \fImask\fP
-には、ネットワークマスクか、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 \fI24\fP という mask は
-\fI255.255.255.0\fP と同じである。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ
+のようなリモートへの問い合わせで解決する名前を指定するのは非常に良くないことである。 \fImask\fP には、IPv4 ネットワークマスクか
+(iptables の場合)、ネットワークマスクの左側にある 1 の数を表す数値を指定する。つまり、 \fI24\fP という iptables の mask
+は \fI255.255.255.0\fP と同じである。 アドレス指定の前に "!" を置くと、そのアドレスを除外するという意味になる。 フラグ
\fB\-\-src\fP は、このオプションの別名である。複数のアドレスを指定することができるが、その場合は (\-A での追加であれば)
\fB複数のルールに展開され\fP、 (\-D での削除であれば) 複数のルールが削除されることになる。
.TP
任意のインターフェース名にマッチする。
.TP
[\fB!\fP] \fB\-f\fP, \fB\-\-fragment\fP
-分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。 このようなパケット
-(または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、
+IPv4 の分割されたパケット (fragmented packet) のうち 2 番目以降のパケットだけを参照するルールであることを意味する。
+このようなパケット (または ICMP タイプのパケット) は 送信元ポートと宛先ポートを知る方法がないので、
送信元ポートや宛先ポートを指定するようなルールにはマッチしない。 "\-f" フラグの前に "!" を置くと、
-分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。
+分割されたパケットのうち最初のフラグメントか、 分割されていないパケットだけにマッチする。 このオプションは IPv4 固有であり、 ip6tables
+では利用できない。
.TP
\fB\-c\fP, \fB\-\-set\-counters\fP \fIpackets bytes\fP
このオプションを使うと、 (\fBinsert\fP, \fBappend\fP, \fBreplace\fP 操作において) 管理者はパケットカウンタとバイトカウンタを
コマンドに適用すると、 ルールについての詳細な情報を表示する。 \fB\-v\fP は複数回指定することができ、
数が多くなるとより多くのデバッグ情報が出力される。
.TP
+\fB\-w\fP, \fB\-\-wait\fP
+Wait for the xtables lock. To prevent multiple instances of the program
+from running concurrently, an attempt will be made to obtain an exclusive
+lock at launch. By default, the program will exit if the lock cannot be
+obtained. This option will make the program wait until the exclusive lock
+can be obtained.
+.TP
\fB\-n\fP, \fB\-\-numeric\fP
数値による出力を行う。 IP アドレスやポート番号を数値によるフォーマットで表示する。 デフォルトでは、iptables は (可能であれば) IP
アドレスやポート番号をホスト名、ネットワーク名、サービス名で表示しようとする。
iptables では、その他にもいくつかの変更がある。
.SH 関連項目
\fBiptables\-apply\fP(8), \fBiptables\-save\fP(8), \fBiptables\-restore\fP(8),
-\fBiptables\-extensions\fP(8), \fBip6tables\fP(8), \fBip6tables\-save\fP(8),
-\fBip6tables\-restore\fP(8), \fBlibipq\fP(3).
+\fBiptables\-extensions\fP(8),
.PP
packet\-filtering\-HOWTO では、パケットフィルタリングについての詳細な iptables の使用法が説明されている。
NAT\-HOWTO には NAT について詳しい説明がある。 netfilter\-extensions\-HOWTO では、
man ページは元々 Herve Eychenne <rv@wallfire.org> が書いた。
.SH バージョン
.PP
-この man ページは iptables 1.4.18 について説明している。
+この man ページは iptables/ip6tables 1.4.21 について説明している。
OSDN Git Service
