\fB\-\-limit\-iface\-out\fP
アドレス種別のチェックをそのパケットが出力されるインターフェースに限定する。 このオプションは \fBPOSTROUTING\fP, \fBOUTPUT\fP,
\fBFORWARD\fP チェインでのみ利用できる。 \fB\-\-limit\-iface\-in\fP オプションと同時に指定することはできない。
-.SS "ah (IPv6 の場合)"
+.SS "ah (IPv6 のみ)"
このモジュールは IPsec パケットの認証ヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
.TP
[\fB!\fP] \fB\-\-ahspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
.SS bpf
-Match using Linux Socket Filter. Expects a BPF program in decimal
-format. This is the format generated by the \fBnfbpf_compile\fP utility.
+Linux Socket Filter を使ってマッチを行う。 BPF プログラムを 10 進数形式で指定する。 これは
+\fBnfbpf_compile\fP ユーティリティにより生成されるフォーマットである。
.TP
\fB\-\-bytecode\fP \fIcode\fP
-Pass the BPF byte code format (described in the example below).
+BPF バイトコードフォーマットを渡す (フォーマットについては下記の例で説明)。
.PP
-The code format is similar to the output of the tcpdump \-ddd command: one
-line that stores the number of instructions, followed by one line for each
-instruction. Instruction lines follow the pattern 'u16 u8 u8 u32' in decimal
-notation. Fields encode the operation, jump offset if true, jump offset if
-false and generic multiuse field 'K'. Comments are not supported.
+コードのフォーマットは tcpdump の \-ddd コマンドの出力に似ている。 最初に命令数が入った行が 1 行あり、 1 行 1 命令がこれに続く。
+命令行は 'u16 u8 u8 u32' のパターンで 10 進数で指定する。 各フィールドは、命令、 true 時のジャンプオフセット、 false
+時のジャンプオフセット、 汎用で様々な用途に使用するフィールド 'K' である。 コメントはサポートされていない。
.PP
-For example, to read only packets matching 'ip proto 6', insert the
-following, without the comments or trailing whitespace:
+例えば 'ip proto 6' にマッチするパケットのみを読み込むには、以下を挿入すればよい (コムと末尾のホワイトスペースは含めずに)。
.IP
-4 # number of instructions
+4 # 命令数
.br
48 0 0 9 # load byte ip\->proto
.br
.br
6 0 0 0 # return fail (zero)
.PP
-You can pass this filter to the bpf match with the following command:
+このフィルターを bpf マッチに渡すには以下のコマンドのようにする。
.IP
iptables \-A OUTPUT \-m bpf \-\-bytecode '4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0'
\-j ACCEPT
.PP
-Or instead, you can invoke the nfbpf_compile utility.
+代わりに、 nfbpf_compile ユーティリティを使う方法もある。
.IP
iptables \-A OUTPUT \-m bpf \-\-bytecode "`nfbpf_compile RAW 'ip proto 6'`" \-j
ACCEPT
.PP
-You may want to learn more about BPF from FreeBSD's bpf(4) manpage.
+BPF についてもっと詳しく知るには FreeBSD の bpf(4) manpage を見るといいだろう。
.SS cluster
このモジュールを使うと、負荷分散装置なしで、ゲートウェイとバックエンドの負荷分散クラスターを配備できる。
.PP
following options:
.TP
\fB\-\-cluster\-total\-nodes\fP \fInum\fP
-クラスターの合計ノード数を設定する。
+クラスターの総ノード数を設定する。
.TP
[\fB!\fP] \fB\-\-cluster\-local\-node\fP \fInum\fP
ローカルノードの数字の ID を設定する。
.TP
[\fB!\fP] \fB\-\-dscp\-class\fP \fIclass\fP
DiffServ クラスにマッチする。 値は BE, EF, AFxx, CSx クラスのいずれかである。 対応する数値に変換される。
-.SS "dst (IPv6 の場合)"
+.SS "dst (IPv6 のみ)"
このモジュールは宛先オプションヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-dst\-len\fP \fIlength\fP
このモジュールは IPsec パケットの ESP ヘッダーの SPI 値にマッチする。
.TP
[\fB!\fP] \fB\-\-espspi\fP \fIspi\fP[\fB:\fP\fIspi\fP]
-.SS "eui64 (IPv6 の場合)"
+.SS "eui64 (IPv6 のみ)"
このモジュールは stateless の自動で設定された IPv6 アドレスの EUI\-64 の部分にマッチする。 Ethernet の送信元 MAC
アドレスに基づく EUI\-64 と IPv6 送信元アドレスの下位 64 ビットの比較が行われる。 ただし "Universal/Local"
ビットは比較されない。 このモジュールは他のリンク層フレームにはマッチしない。 このモジュールは \fBPREROUTING\fP, \fBINPUT\fP,
\fBFORWARD\fP チェインでのみ有効である。
-.SS "frag (IPv6 の場合)"
+.SS "frag (IPv6 のみ)"
このモジュールはフラグメントヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-fragid\fP \fIid\fP[\fB:\fP\fIid\fP]
バイト/秒によるマッチ
"512kbyte/s を超過するとマッチするが、 1 メガバイトに達するまではマッチせず許可する" \-\-hashlimit\-mode dstip
\-\-hashlimit\-above 512kb/s \-\-hashlimit\-burst 1mb
-.SS "hbh (IPv6 の場合)"
+.SS "hbh (IPv6 のみ)"
このモジュールは Hop\-by\-Hop オプションヘッダーのパラメータにマッチする。
.TP
[\fB!\fP] \fB\-\-hbh\-len\fP \fIlength\fP
.PP
他のコネクション追跡ヘルパーでも同じルールが適用される。
.RE
-.SS "hl (IPv6 の場合)"
+.SS "hl (IPv6 のみ)"
このモジュールは IPv6 ヘッダーの Hop Limit フィールドにマッチする。
.TP
[\fB!\fP] \fB\-\-hl\-eq\fP \fIvalue\fP
.nf
iptables \-p icmp \-h
.fi
-.SS "icmp6 (IPv6 の場合)"
+.SS "icmp6 (IPv6 のみ)"
これらの拡張は `\-\-protocol ipv6\-icmp' または `\-\-protocol icmpv6' が指定された場合に使用でき、
以下のオプションが提供される:
.TP
.TP
[\fB!\fP] \fB\-\-dst\-range\fP \fIfrom\fP[\fB\-\fP\fIto\fP]
指定された範囲の宛先 IP にマッチする。
-.SS "ipv6header (IPv6 の場合)"
+.SS "ipv6header (IPv6 のみ)"
このモジュールは IPv6 拡張ヘッダー、 上位レイヤのヘッダー、もしくはその両方にマッチする。
.TP
\fB\-\-soft\fP
[\fB!\fP] \fB\-\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
指定された符号なしの mark 値を持つパケットにマッチする (\fImask\fP が指定されると、 比較の前に \fImask\fP との論理積 (AND)
がとられる)。
-.SS "mh (IPv6 の場合)"
+.SS "mh (IPv6 のみ)"
この拡張は `\-\-protocol ipv6\-mh' または `\-\-protocol mh' が指定された場合にロードされる。
以下のオプションが提供される。
.TP
ip6tables \-p mh \-h
.fi
.SS multiport
-This module matches a set of source or destination ports. Up to 15 ports
-can be specified. A port range (port:port) counts as two ports. It can
-only be used in conjunction with one of the following protocols: \fBtcp\fP,
-\fBudp\fP, \fBudplite\fP, \fBdccp\fP and \fBsctp\fP.
+このモジュールは送信元ポートや宛先ポートの集合にマッチする。 ポートは 15 個まで指定できる。 ポートの範囲指定 (port:port) は 2
+ポートとカウントされる。 このモジュールが使用できるのは \fBtcp\fP, \fBudp\fP, \fBudplite\fP, \fBdccp\fP, \fBsctp\fP
+のいずれかと組み合わせた場合だけである。
.TP
[\fB!\fP] \fB\-\-source\-ports\fP,\fB\-\-sports\fP \fIport\fP[\fB,\fP\fIport\fP|\fB,\fP\fIport\fP\fB:\fP\fIport\fP]...
送信元ポートが指定されたポートのいずれにマッチする。 フラグ \fB\-\-sports\fP はこのオプションの便利な別名である。
\fBip_list_gid\fP=\fI0\fP
/proc/net/xt_recent/* ファイルの数値 ID でのグループ所有者。
.SS rpfilter
-Performs a reverse path filter test on a packet. If a reply to the packet
-would be sent via the same interface that the packet arrived on, the packet
-will match. Note that, unlike the in\-kernel rp_filter, packets protected by
-IPSec are not treated specially. Combine this match with the policy match
-if you want this. Also, packets arriving via the loopback interface are
-always permitted. This match can only be used in the PREROUTING chain of
-the raw or mangle table.
+パケットに対して reverse path フィルターテストを行う。
+パケットに対する応答がパケットが到着したインターフェースと同じインターフェースから送信される場合、そのパケットにマッチする。 カーネル内の
+rp_filter と異なり、 IPsec で保護されたパケットが特別扱いされない点に注意すること。
+必要な場合は、このマッチをポリシーマッチと組み合わせて使うこと。 また、ループバックインターフェース経由で到着したパケットは常に許可される。
+このマッチは raw テーブルまたは mangle テーブルの PREROUTING チェインでのみ使用できる。
.TP
\fB\-\-loose\fP
-Used to specifiy that the reverse path filter test should match even if the
-selected output device is not the expected one.
+選択された出力デバイスが期待されたものではない場合であっても、 reverse path フィルターテストのマッチを行うことを指示する。
.TP
\fB\-\-validmark\fP
-Also use the packets' nfmark value when performing the reverse path route
-lookup.
+reverse path の経路検索実行時にそのパケットの nfmark 値も使用する。
.TP
\fB\-\-accept\-local\fP
-This will permit packets arriving from the network with a source address
-that is also assigned to the local machine.
+ローカルマシンにも割り当てられている送信元アドレスを持つネットワークから到着したパケットを許可する。
.TP
\fB\-\-invert\fP
-This will invert the sense of the match. Instead of matching packets that
-passed the reverse path filter test, match those that have failed it.
+マッチの意味を逆にする。 reverse path フィルターテストに合格したパケットにマッチするのではなく、テストに失敗したパケットにマッチする。
.PP
-Example to log and drop packets failing the reverse path filter test:
+reverse path フィルターテストに失敗したパケットをロギングし破棄する例
iptables \-t raw \-N RPFILTER
失敗したパケットをドロップするが、ロギングを行わない例
iptables \-t raw \-A RPFILTER \-m rpfilter \-\-invert \-j DROP
-.SS "rt (IPv6 の場合)"
+.SS "rt (IPv6 のみ)"
IPv6 ルーティングヘッダーに対してマッチする。
.TP
[\fB!\fP] \fB\-\-rt\-type\fP \fItype\fP
パケットについてのコネクション追跡状態を参照できる。
.TP
[\fB!\fP] \fB\-\-state\fP \fIstate\fP
-Where state is a comma separated list of the connection states to
-match. Only a subset of the states unterstood by "conntrack" are recognized:
-\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP or \fBUNTRACKED\fP. For their
-description, see the "conntrack" heading in this manpage.
+state はマッチするコネクション状態のカンマ区切りのリストである。 "conntrack" が理解できる状態の一部だけが指定できる。 指定できるのは
+\fBINVALID\fP, \fBESTABLISHED\fP, \fBNEW\fP, \fBRELATED\fP, \fBUNTRACKED\fP である。
+これらの説明はこのマニュアルページの "conntrack" の説明を参照のこと。
.SS statistic
このモジュールは統計的な条件に基づいたパケットのマッチングを行う。 二つのモードがサポートされており、 \fB\-\-mode\fP オプションで設定できる。
.PP
.TP
例:
.IP
-# The string pattern can be used for simple text characters.
+# 文字列パターンは単純なテキスト文字を探すのに使用できる。
.br
iptables \-A INPUT \-p tcp \-\-dport 80 \-m string \-\-algo bm \-\-string 'GET
/index.html' \-j LOG
.IP
-# The hex string pattern can be used for non\-printable characters, like |0D
-0A| or |0D0A|.
+16 進数文字列のパターンは表示可能文字以外を検索するのに使用できる。 |0D 0A| や |0D0A| など。
.br
iptables \-p udp \-\-dport 53 \-m string \-\-algo bm \-\-from 40 \-\-to 57
\-\-hex\-string '|03|www|09|netfilter|03|org|00|'
[\fB!\fP] \fB\-\-mss\fP \fIvalue\fP[\fB:\fP\fIvalue\fP]
指定された TCP MSS 値か範囲にマッチする。
.SS time
-This matches if the packet arrival time/date is within a given range. All
-options are optional, but are ANDed when specified. All times are
-interpreted as UTC by default.
+このモジュールはパケットの到着時刻/日付が指定された範囲内の場合にマッチする。 すべてのオプションが任意オプションで、 複数指定した場合は AND
+と解釈される。 デフォルトではすべての時刻は UTC と解釈される。
.TP
\fB\-\-datestart\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
.TP
\fB\-\-datestop\fP \fIYYYY\fP[\fB\-\fP\fIMM\fP[\fB\-\fP\fIDD\fP[\fBT\fP\fIhh\fP[\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]]]]]
-Only match during the given time, which must be in ISO 8601 "T" notation.
-The possible time range is 1970\-01\-01T00:00:00 to 2038\-01\-19T04:17:07.
+指定された時刻 (日付も含む) の範囲にある場合にマッチする。 時刻は ISO 8601 "T" 表記でなければならない。 指定可能な範囲は
+1970\-01\-01T00:00:00 から 2038\-01\-19T04:17:07 である。
.IP
-If \-\-datestart or \-\-datestop are not specified, it will default to
-1970\-01\-01 and 2038\-01\-19, respectively.
+\-\-datestart と \-\-datestop は、指定されなかった場合、それぞれ 1970\-01\-01 と 2038\-01\-19 とみなされます。
.TP
\fB\-\-timestart\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
.TP
\fB\-\-timestop\fP \fIhh\fP\fB:\fP\fImm\fP[\fB:\fP\fIss\fP]
-Only match during the given daytime. The possible time range is 00:00:00 to
-23:59:59. Leading zeroes are allowed (e.g. "06:03") and correctly
-interpreted as base\-10.
+指定された時刻 (日付は含まない) の範囲にある場合にマッチする。 指定可能な範囲は 00:00:00 から 23:59:59 である。
+("06:03" のように) 先頭に 0 を付けてもよい。 この場合も 10 進数として正しく解釈される。
.TP
[\fB!\fP] \fB\-\-monthdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given days of the month. Possible values are \fB1\fP to
-\fB31\fP. Note that specifying \fB31\fP will of course not match on months which
-do not have a 31st day; the same goes for 28\- or 29\-day February.
+指定された月の日付にマッチする。 指定可能な値は \fB1\fP から \fB31\fP である。 もちろん \fB31\fP を指定した場合 31
+日がない月ではマッチしない。 同じことが 2 月 29 日についても言える。
.TP
[\fB!\fP] \fB\-\-weekdays\fP \fIday\fP[\fB,\fP\fIday\fP...]
-Only match on the given weekdays. Possible values are \fBMon\fP, \fBTue\fP,
-\fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP, or values from \fB1\fP to \fB7\fP,
-respectively. You may also use two\-character variants (\fBMo\fP, \fBTu\fP, etc.).
+指定した曜日にマッチする。 指定可能な値は \fBMon\fP, \fBTue\fP, \fBWed\fP, \fBThu\fP, \fBFri\fP, \fBSat\fP, \fBSun\fP
+および \fB1\fP から \fB7\fP の値である。 また、2 文字の曜日指定 (\fBMo\fP, \fBTu\fP など) も使用できる。
.TP
\fB\-\-contiguous\fP
-When \fB\-\-timestop\fP is smaller than \fB\-\-timestart\fP value, match this as a
-single time period instead distinct intervals. See EXAMPLES.
+\fB\-\-timestop\fP が \fB\-\-timestart\fP よりも小さい場合、複数の期間ではなく、一つの時間帯としてマッチするようにする。 例を参照。
.TP
\fB\-\-kerneltz\fP
-Use the kernel timezone instead of UTC to determine whether a packet meets
-the time regulations.
+パケットが時刻指定にマッチするかを判定する際に UTC ではなくカーネルタイムゾーンを使用する。
.PP
About kernel timezones: Linux keeps the system time in UTC, and always does
so. On boot, system time is initialized from a referential time
+0000, or one that is wrong half of the time of the year. As such, \fBusing
\-\-kerneltz is highly discouraged.\fP
.PP
-EXAMPLES. To match on weekends, use:
+例をいくつか。 週末にマッチさせる場合:
.IP
\-m time \-\-weekdays Sa,Su
.PP
-Or, to match (once) on a national holiday block:
+国の祝日に (一度だけ) マッチさせる場合:
.IP
\-m time \-\-datestart 2007\-12\-24 \-\-datestop 2007\-12\-27
.PP
-Since the stop time is actually inclusive, you would need the following stop
-time to not match the first second of the new day:
+終了時刻も実際には含まれるので、新年の最初の 1 秒にマッチしないように終了時刻を以下のように指定する必要がある:
.IP
\-m time \-\-datestart 2007\-01\-01T17:00 \-\-datestop 2007\-01\-01T23:59:59
.PP
-During lunch hour:
+昼御飯の時間帯:
.IP
\-m time \-\-timestart 12:30 \-\-timestop 13:30
.PP
-The fourth Friday in the month:
+第 4 金曜日:
.IP
\-m time \-\-weekdays Fr \-\-monthdays 22,23,24,25,26,27,28
.PP
-(Note that this exploits a certain mathematical property. It is not possible
-to say "fourth Thursday OR fourth Friday" in one rule. It is possible with
-multiple rules, though.)
+(これは数学的な性質を利用している点に留意すること。 一つのルールで「第 4 木曜日 または 第 4 金曜日」と指定することはできない。
+複数ルールで指定することはできるが。)
.PP
-Matching across days might not do what is expected. For instance,
+日をまたぐマッチングは期待するようには動かないだろう。例えば、
.IP
-\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 Will match Monday,
-for one hour from midnight to 1 a.m., and then again for another hour from
-23:00 onwards. If this is unwanted, e.g. if you would like 'match for two
-hours from Montay 23:00 onwards' you need to also specify the \-\-contiguous
-option in the example above.
+\-m time \-\-weekdays Mo \-\-timestart 23:00 \-\-timestop 01:00 は、月曜日の 0 時から午前 1 時の
+1 時間にマッチし、 その後さらに 23 時からの 1 時間にもマッチする。 これが希望通りでない場合、例えば、月曜日 23 時から 2
+時間にマッチさせたい場合は、 上記に追加で \-\-contiguous オプションも指定する必要がある。
.SS tos
このモジュールは IPv4 ヘッダーの 8 ビットの Type of Service フィールド (すなわち上位ビットを含まれる) もしくは IPv6
ヘッダーの (8 ビットの) Priority フィールドにマッチする。
指定された TOS マーク値を持つパケットにマッチする。 mask が指定されると、 比較の前に TOS マーク値との論理積 (AND) がとられる)。
.TP
[\fB!\fP] \fB\-\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the tos match for IPv4. The list
-of recognized TOS names can be obtained by calling iptables with \fB\-m tos
-\-h\fP. Note that this implies a mask of 0x3F, i.e. all but the ECN bits.
+IPv4 の tos フィールドに対するマッチを指定する際にシンボル名を使うことができる。 iptables を \fB\-m tos \-h\fP
+で呼び出すと、利用可能な TOS 名の一覧を得ることができる。
+シンボル名を使った場合、 mask として 0x3F が使用される (0x3F は ECN ビット以外の全ビットである)。
.SS "ttl (IPv4 の場合)"
このモジュールは IP ヘッダーの time to live フィールドにマッチする。
.TP
\fB\-\-ttl\-lt\fP \fIttl\fP
TTL が指定された TTL 値より小さければマッチする。
.SS u32
-U32 tests whether quantities of up to 4 bytes extracted from a packet have
-specified values. The specification of what to extract is general enough to
-find data at given offsets from tcp headers or payloads.
+U32 は、パケットから最大 4 バイトの数値を取り出して、指定した値を持つかの検査を行う。 どこを取り出すかの指定は汎用的になっており、TCP
+ヘッダーやペイロードから指定したオフセットのデータを取り出すことができる。
.TP
[\fB!\fP] \fB\-\-u32\fP \fItests\fP
-The argument amounts to a program in a small language described below.
+引き数は、以下で説明する小さな言語のプログラムになる。
.IP
tests := location "=" value | tests "&&" location "=" value
.IP
.IP
range := number | number ":" number
.PP
-a single number, \fIn\fP, is interpreted the same as \fIn:n\fP. \fIn:m\fP is
-interpreted as the range of numbers \fB>=n\fP and \fB<=m\fP.
+数字 1 個 \fIn\fP は \fIn:n\fP と同じものと解釈される。 \fIn:m\fP は \fB>=n\fP かつ \fB<=m\fP
+の範囲の数字と解釈される。
.IP "" 4
location := number | location operator number
.IP "" 4
operator := "&" | "<<" | ">>" | "@"
.PP
-The operators \fB&\fP, \fB<<\fP, \fB>>\fP and \fB&&\fP mean the same as
-in C. The \fB=\fP is really a set membership operator and the value syntax
-describes a set. The \fB@\fP operator is what allows moving to the next header
-and is described further below.
+オペレーター \fB&\fP, \fB<<\fP, \fB>>\fP, \fB&&\fP は C と同じ意味である。 \fB=\fP
+は集合の所属を検査するオペレーターで、値は集合として記述する。 \fB@\fP オペレーターは、次のヘッダーへの移動に使うオペレーターで、後で詳しく説明する。
.PP
-There are currently some artificial implementation limits on the size of the
-tests:
+現在のところ、テストの大きさにはいくつか実装から来る制約がある。
.IP " *"
-no more than 10 of "\fB=\fP" (and 9 "\fB&&\fP"s) in the u32 argument
+u32 引き数あたりの "\fB=\fP" は最大 10 個まで ("\fB&&\fP" は 9 個まで)
.IP " *"
-no more than 10 ranges (and 9 commas) per value
+value あたりの range は 10 個まで (カンマは 9 個まで)
.IP " *"
-no more than 10 numbers (and 9 operators) per location
+一つの location あたりの number は最大 10 個まで (operator は 9 個まで)
.PP
-To describe the meaning of location, imagine the following machine that
-interprets it. There are three registers:
+location の意味を説明するために、 location を解釈する以下のようなマシンを考えてみる。 3 つのレジスターがある。
.IP
-A is of type \fBchar *\fP, initially the address of the IP header
+A は \fBchar *\fP 型で、最初は IP ヘッダーのアドレスが入っている。
.IP
-B and C are unsigned 32 bit integers, initially zero
+B と C は 32 ビット整数で、最初は 0 である。
.PP
-The instructions are:
+命令は以下の通り。
.IP
number B = number;
.IP
.IP
>> number C = C >> number
.IP
-@number A = A + C; then do the instruction number
+@number A = A + C; この後、命令の数字を実行する
.PP
-Any access of memory outside [skb\->data,skb\->end] causes the match
-to fail. Otherwise the result of the computation is the final value of C.
+[skb\->data,skb\->end] 以外へのメモリアクセスはすべてマッチ失敗となる。 それ以外の場合、計算の結果が C
+の最終的な値となる。
.PP
-Whitespace is allowed but not required in the tests. However, the characters
-that do occur there are likely to require shell quoting, so it is a good
-idea to enclose the arguments in quotes.
+ホワイトスペースを入れることはできるが、テストでは必須ではない。 しただし、テストに含まれる文字はシェルでのクォートが必要な場合もよくあるので、
+引き数全体をクォートで囲んでおくとよいだろう。
.PP
例:
.IP
-match IP packets with total length >= 256
+トータル長が 256 以上の IP パケットにマッチする
.IP
-The IP header contains a total length field in bytes 2\-3.
+IP ヘッダーではバイト 2\-3 にトータル長フィールドがある。
.IP
\-\-u32 "\fB0 & 0xFFFF = 0x100:0xFFFF\fP"
.IP
-read bytes 0\-3
+バイト 0\-3 を読み出し、
.IP
-AND that with 0xFFFF (giving bytes 2\-3), and test whether that is in the
-range [0x100:0xFFFF]
+0xFFFF (バイト 2\-3 に対応) の論理積 (AND) を取り、 その値が範囲 [0x100:0xFFFF] にあるか検査する。
.PP
-Example: (more realistic, hence more complicated)
+例: (もっと実用的な、したがってもっと複雑な例)
.IP
-match ICMP packets with icmp type 0
+ICMP タイプが 0 の ICMP パケットにマッチする
.IP
-First test that it is an ICMP packet, true iff byte 9 (protocol) = 1
+まず ICMP パケットかどうか検査する。 バイト 9 (プロトコル) = 1 であれば真。
.IP
\-\-u32 "\fB6 & 0xFF = 1 &&\fP ...
.IP
-read bytes 6\-9, use \fB&\fP to throw away bytes 6\-8 and compare the result to
-1. Next test that it is not a fragment. (If so, it might be part of such a
-packet but we cannot always tell.) N.B.: This test is generally needed if
-you want to match anything beyond the IP header. The last 6 bits of byte 6
-and all of byte 7 are 0 iff this is a complete packet (not a
-fragment). Alternatively, you can allow first fragments by only testing the
-last 5 bits of byte 6.
+バイト 6\-9 を読み出し、 \fB&\fP を使ってバイト 6\-8 を取り除き、 得られた値を 1 と比較する。 次に、フラグメントではないことを検査する
+(フラグメントの場合、パケットは ICMP パケットの一部かもしれないが、 常にそうだとは言えない)。 \fB注意\fP: 一般的に IP
+ヘッダーより先にあるものとマッチを行う場合にはこの検査は必要である。 このパケットが (フラグメントではない) 完全なパケットであれば、バイト 6
+の最後の 6 ビットとバイト 7 の全ビットが 0 である。 代わりに、 バイト 6 の最後の 5
+ビットを検査するだけで最初のフラグメントを許可することができる。
.IP
\&... \fB4 & 0x3FFF = 0 &&\fP ...
.IP
-Last test: the first byte past the IP header (the type) is 0. This is where
-we have to use the @syntax. The length of the IP header (IHL) in 32 bit
-words is stored in the right half of byte 0 of the IP header itself.
+最後の検査として、 IP ヘッダー直後のバイト (ICMP タイプ) が 0 かを確認する。 ここで @ 記法を使う必要がある。 IP ヘッダーの長さ
+(IHL) は IP ヘッダー自身のバイト 0 の右半分に 32 ビットワードで格納されている。
.IP
\&... \fB0 >> 22 & 0x3C @ 0 >> 24 = 0\fP"
.IP
-The first 0 means read bytes 0\-3, \fB>>22\fP means shift that 22 bits
-to the right. Shifting 24 bits would give the first byte, so only 22 bits is
-four times that plus a few more bits. \fB&3C\fP then eliminates the two extra
-bits on the right and the first four bits of the first byte. For instance,
-if IHL=5, then the IP header is 20 (4 x 5) bytes long. In this case, bytes
-0\-1 are (in binary) xxxx0101 yyzzzzzz, \fB>>22\fP gives the 10 bit
-value xxxx0101yy and \fB&3C\fP gives 010100. \fB@\fP means to use this number as a
-new offset into the packet, and read four bytes starting from there. This is
-the first 4 bytes of the ICMP payload, of which byte 0 is the ICMP
-type. Therefore, we simply shift the value 24 to the right to throw out all
-but the first byte and compare the result with 0.
+最初の 0 はバイト 0\-3 を読み出し、 \fB>>22\fP はその値を 22 ビット右にシフトすることを意味する。 24
+ビットシフトすると最初のバイトが得られるので、 22 ビットだけシフトすると (少し余計なビットが付いているが) その 4 倍の値が得られる。
+\fB&3C\fP で右側の余計な 2 ビットと最初のバイトの先頭 4 ビットを取り除く。 例えば、 IHL が 5 の場合 IP ヘッダーは 20 バイト
+(4 x 5) である。 この場合、バイト 0\-1 は (バイナリで) xxxx0101 yyzzzzzz であり、 \fB>>22\fP
+により 10 ビットの値 xxxx0101yy が得られ、 \fB&3C\fP で 010100 が得られる。 \fB@\fP
+は、この数字をパケットの新しいオフセットとして使用し、 この地点から始まる 4 バイトを読み出すことを意味する。 この 4 バイトは ICMP
+ペイロードの最初の 4 バイトであり、 バイト 0 が ICMP タイプである。 したがって、この値を 24
+ビット右にシフトして、最初のバイト以外をすべて取り除き、 その結果を 0 と比較するだけでよい。
.PP
例:
.IP
-TCP payload bytes 8\-12 is any of 1, 2, 5 or 8
+TCP ペイロードのバイト 8\-12 が 1, 2, 5, 8 のいずれかかを検査する
.IP
-First we test that the packet is a tcp packet (similar to ICMP).
+まず、パケットが TCP パケットであるかを検査する (ICMP と同様)。
.IP
\-\-u32 "\fB6 & 0xFF = 6 &&\fP ...
.IP
-Next, test that it is not a fragment (same as above).
+次に、フラグメントでないことを検査する (上記と同じ)。
.IP
\&... \fB0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8\fP"
.IP
-\fB0>>22&3C\fP as above computes the number of bytes in the IP
-header. \fB@\fP makes this the new offset into the packet, which is the start
-of the TCP header. The length of the TCP header (again in 32 bit words) is
-the left half of byte 12 of the TCP header. The \fB12>>26&3C\fP
-computes this length in bytes (similar to the IP header before). "@" makes
-this the new offset, which is the start of the TCP payload. Finally, 8 reads
-bytes 8\-12 of the payload and \fB=\fP checks whether the result is any of 1, 2,
-5 or 8.
+上で説明した通り \fB0>>22&3C\fP で IP ヘッダーのバイト数を計算する。 \fB@\fP
+でこの値をパケットの新しいオフセットとし、これは TCP ヘッダーの先頭である。 TCP ヘッダー長 (これも 32 ビットワード) は TCP
+ヘッダーのバイト 12 の左半分にある。 \fB12>>26&3C\fP で TCP ヘッダーのバイト数を計算する (IP
+ヘッダーの場合と同様)。 "@" を使ってこれを新しいオフセットに設定する。この時点で TCP ペイロードの先頭を指している。 最後に、8
+でペイロードのバイト 8\-12 を読み出し、 \fB=\fP を使って取り出した値が 1, 2, 5, 8 のいずれかであるかチェックする。
.SS udp
これらの拡張は `\-\-protocol udp' が指定された場合に利用できる。 以下のオプションが提供される。
.TP
.\" @TARGET@
iptables は拡張ターゲットモジュールを使うことができる: 以下のものが、 標準的なディストリビューションに含まれている。
.SS AUDIT
-This target allows to create audit records for packets hitting the target.
-It can be used to record accepted, dropped, and rejected packets. See
-auditd(8) for additional details.
+このターゲットを使うと、このターゲットにヒットしたパケットに対する監査 (audit) レコードを作成することができる。
+許可/廃棄/拒否されたパケットを記録するのに使用できる。 詳細については auditd(8) を参照。
.TP
\fB\-\-type\fP {\fBaccept\fP|\fBdrop\fP|\fBreject\fP}
-Set type of audit record.
+監査レコード種別を設定する。
.PP
例:
.IP
dhcp clients, that do not work well with checksum offloads, but don't want
to disable checksum offload in your device.
.SS CLASSIFY
-This module allows you to set the skb\->priority value (and thus classify
-the packet into a specific CBQ class).
+このモジュールを使うと skb\->priority の値を設定できる (その結果、そのパケットを特定の CBQ クラスに分類できる)。
.TP
\fB\-\-set\-class\fP \fImajor\fP\fB:\fP\fIminor\fP
-Set the major and minor class value. The values are always interpreted as
-hexadecimal even if no 0x prefix is given.
+メジャークラスとマイナークラスの値を設定する。値は常に 16 進数として解釈される。 0x が前に付いていない場合であっても 16 進数と解釈される。
.SS "CLUSTERIP (IPv4 の場合)"
-This module allows you to configure a simple cluster of nodes that share a
-certain IP and MAC address without an explicit load balancer in front of
-them. Connections are statically distributed between the nodes in this
-cluster.
+このモジュールを使うと、 ノードの前段に明示的に負荷分散装置を置かずに、 特定の IP アドレスと MAC
+アドレスを共有するノードの簡単なクラスターを構成することができる。 コネクションは、このクラスターのノード間で静的に分散される。
.TP
\fB\-\-new\fP
-Create a new ClusterIP. You always have to set this on the first rule for a
-given ClusterIP.
+新しい ClusterIP を作成する。 このオプションは、ここで指定する ClusterIP を使うルールの中で一番最初に設定しなければならない。
.TP
\fB\-\-hashmode\fP \fImode\fP
-Specify the hashing mode. Has to be one of \fBsourceip\fP,
-\fBsourceip\-sourceport\fP, \fBsourceip\-sourceport\-destport\fP.
+ハッシュモードを指定する。 \fBsourceip\fP, \fBsourceip\-sourceport\fP,
+\fBsourceip\-sourceport\-destport\fP のいずれかでなければならない。
.TP
\fB\-\-clustermac\fP \fImac\fP
-Specify the ClusterIP MAC address. Has to be a link\-layer multicast address
+ClusterIP の MAC アドレスを指定する。 リンク層のマルチキャストアドレスでなければならない。
.TP
\fB\-\-total\-nodes\fP \fInum\fP
-Number of total nodes within this cluster.
+このクラスターの総ノード数。
.TP
\fB\-\-local\-node\fP \fInum\fP
-Local node number within this cluster.
+このクラスターのローカルノード番号。
.TP
\fB\-\-hash\-init\fP \fIrnd\fP
-Specify the random seed used for hash initialization.
+ハッシュの初期化に使用される乱数シード値を指定する。
.SS CONNMARK
このモジュールは、 コネクションに関連付けられた netfilter の mark 値を設定する。 mark は 32 ビット幅である。
.TP
\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zero out the bits given by \fImask\fP and XOR \fIvalue\fP into the ctmark.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と ctmark の XOR を取る。
.TP
\fB\-\-save\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the packet mark (nfmark) to the connection mark (ctmark) using the
-given masks. The new nfmark value is determined as follows:
+指定されたマスクを使って、 パケットマーク (nfmark) をコネクションマーク (ctmark) にコピーする。 新しい ctmark
+値は以下のように決定される。
.IP
ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)
.IP
-i.e. \fIctmask\fP defines what bits to clear and \fInfmask\fP what bits of the
-nfmark to XOR into the ctmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
+\fIctmask\fP はどのビットをクリアするかを規定し、 \fInfmask\fP は nfmark のどのビットを ctmark と XOR
+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
.TP
\fB\-\-restore\-mark\fP [\fB\-\-nfmask\fP \fInfmask\fP] [\fB\-\-ctmask\fP \fIctmask\fP]
-Copy the connection mark (ctmark) to the packet mark (nfmark) using the
-given masks. The new ctmark value is determined as follows:
+指定されたマスクを使って、 コネクションマーク (ctmark) をパケットマーク (nfmark) にコピーする。 新しい nfmark
+値は以下のように決定される。
.IP
nfmark = (nfmark & ~\fInfmask\fP) ^ (ctmark & \fIctmask\fP);
.IP
-i.e. \fInfmask\fP defines what bits to clear and \fIctmask\fP what bits of the
-ctmark to XOR into the nfmark. \fIctmask\fP and \fInfmask\fP default to
-0xFFFFFFFF.
+\fInfmask\fP はどのビットをクリアするかを規定し、 \fIctmask\fP は ctmark のどのビットを nfmark と XOR
+するかを規定する。 \fIctmask\fP と \fInfmask\fP のデフォルト値は 0xFFFFFFFF である。
.IP
-\fB\-\-restore\-mark\fP is only valid in the \fBmangle\fP table.
+\fB\-\-restore\-mark\fP は \fBmangle\fP テーブルでのみ有効である。
.PP
-The following mnemonics are available for \fB\-\-set\-xmark\fP:
+以下の簡易表現が \fB\-\-set\-xmark\fP の代わりに利用できる。
.TP
\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
+ctmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
.TP
\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
+ctmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
.TP
\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the ctmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
+ctmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
.TP
\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Set the connection mark. If a mask is specified then only those bits set in
-the mask are modified.
+コネクションマークを設定する。 mask が指定された場合、 mask で指定されたビットだけが変更される。
.TP
\fB\-\-save\-mark\fP [\fB\-\-mask\fP \fImask\fP]
-Copy the nfmark to the ctmark. If a mask is specified, only those bits are
-copied.
+nfmark を ctmark へコピーする。 mask が指定された場合、そのビットだけがコピーされる。
.TP
\fB\-\-restore\-mark\fP [\fB\-\-mask\fP \fImask\fP]
ctmark を nfmark にコピーする。 mask が指定されると、 指定されたビットだけがコピーされる。 \fBmangle\fP
ct entry. This target is thus only valid in the "raw" table.
.TP
\fB\-\-notrack\fP
-Disables connection tracking for this packet.
+このパケットに対するコネクション追跡を無効にする。
.TP
\fB\-\-helper\fP \fIname\fP
-Use the helper identified by \fIname\fP for the connection. This is more
-flexible than loading the conntrack helper modules with preset ports.
+\fIname\fP で指定されるヘルパーをこのコネクションで使用する。 この方法は、あらかじめ設定したポートに対して conntrack
+ヘルパーモジュールをロードするよりも柔軟性がある。
.TP
\fB\-\-ctevents\fP \fIevent\fP[\fB,\fP...]
Only generate the specified conntrack events for this connection. Possible
(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットは以下のオプションを取る。
.TP
\fB\-\-to\-destination\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new destination IP address, an inclusive range of
-IP addresses. Optionally a port range, if the rule also specifies one of the
-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
-is specified, then the destination port will never be modified. If no IP
-address is specified then only the destination port will be modified. In
-Kernels up to 2.6.10 you can add several \-\-to\-destination options. For those
-kernels, if you specify more than one destination address, either via an
-address range or multiple \-\-to\-destination options, a simple round\-robin
-(one after another in cycle) load balancing takes place between these
-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
-to multiple ranges anymore.
+1 つの新しい宛先 IP アドレス、 または IP アドレスの範囲が指定できる。 また、ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
+\fBdccp\fP, \fBsctp\fP のいずれが指定されている場合は、ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、
+宛先ポートは変更されない。 IP アドレスが指定されなかった場合は、 宛先ポートだけが変更される。 2.6.10 以前のカーネルでは、 複数の
+\-\-to\-destination オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や \-\-to\-destination
+オプションの複数回指定により 2 つ以上の宛先アドレスを指定した場合、 それらのアドレスを使った単純なラウンドロビンによる負荷分散が行われる。
+それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT する機能は存在しない。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.22).
+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
.TP
\fB\-\-persistent\fP
-Gives a client the same source\-/destination\-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is
-available from 2.6.29\-rc2.
+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS "DNPT (IPv6 の場合)"
-Provides stateless destination IPv6\-to\-IPv6 Network Prefix Translation (as
-described by RFC 6296).
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "DNPT (IPv6 のみ)"
+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 宛先ネットワークプレフィックス変換を提供する。
.PP
-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
-table. It takes the following options:
+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
.TP
\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set source prefix that you want to translate and length
+変換を行う送信元プレフィックスとその長さを設定する。
.TP
\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set destination prefix that you want to use in the translation and length
+変換を行う宛先プレフィックスとその長さを設定する。
.PP
-You have to use the SNPT target to undo the translation. Example:
+変換を取り消すには SNPT ターゲットを使わなければならない。 例:
.IP
ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
.PP
-You may need to enable IPv6 neighbor proxy:
+IPv6 neighbor proxy を有効にする必要があるかもしれない。
.IP
sysctl \-w net.ipv6.conf.all.proxy_ndp=1
.PP
-You also have to use the \fBNOTRACK\fP target to disable connection tracking
-for translated flows.
+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
.SS DSCP
このターゲットは、 IPv4 パケットの TOS ヘッダーにある DSCP ビットの値の書き換えを可能にする。 これはパケットを操作するので、
mangle テーブルでのみ使用できる。
\fB\-\-ecn\-tcp\-remove\fP
TCP ヘッダーから全ての ECN ビット (訳注: ECE/CWR フラグ) を取り除く。 当然、 \fB\-p tcp\fP
オプションとの組合わせでのみ使用できる。
-.SS "HL (IPv6 の場合)"
-This is used to modify the Hop Limit field in IPv6 header. The Hop Limit
-field is similar to what is known as TTL value in IPv4. Setting or
-incrementing the Hop Limit field can potentially be very dangerous, so it
-should be avoided at any cost. This target is only valid in \fBmangle\fP table.
+.SS "HL (IPv6 のみ)"
+このターゲットを使うと IPv6 ヘッダーの Hop Limit フィールドを変更することができる。 Hop Limit フィールドは IPv4 の
+TTL 値と同じようなものである。 Hop Limit フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。
+したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP テーブルでのみ有効である。
.PP
-\fBDon't ever set or increment the value on packets that leave your local
-network!\fP
+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
.TP
\fB\-\-hl\-set\fP \fIvalue\fP
-Set the Hop Limit to `value'.
+Hop Limit を `value' に設定する。
.TP
\fB\-\-hl\-dec\fP \fIvalue\fP
-Decrement the Hop Limit `value' times.
+Hop Limit を `value' 回減算する。
.TP
\fB\-\-hl\-inc\fP \fIvalue\fP
-Increment the Hop Limit `value' times.
+Hop Limit を `value' 回加算する。
.SS HMARK
Like MARK, i.e. set the fwmark, but the mark is calculated from hashing
packet selector at choice. You have also to specify the mark range and,
\fB\-\-hmark\-rnd\fP \fIvalue\fP
A 32 bit random custom value to feed hash calculation.
.PP
-\fIExamples:\fP
+\fI例\fP:
.PP
iptables \-t mangle \-A PREROUTING \-m conntrack \-\-ctstate NEW
\-j HMARK \-\-hmark\-tuple ct,src,dst,proto \-\-hmark\-offset 10000
Then attach the new trigger to an LED:
echo netfilter\-ssh >/sys/class/leds/\fIledname\fP/trigger
.SS LOG
-Turn on kernel logging of matching packets. When this option is set for a
-rule, the Linux kernel will print some information on all matching packets
-(like most IP/IPv6 header fields) via the kernel log (where it can be read
-with \fIdmesg(1)\fP or read in the syslog).
+マッチしたパケットをカーネルログに記録する。 このオプションがルールに対して設定されると、 Linux
+カーネルはマッチしたパケットについての何らかの情報 (多くの IP/IPv6 ヘッダーフィールドなど) を カーネルログに表示する (カーネルログは
+\fIdmesg\fP(1) や syslog で参照できる)。
.PP
-This is a "non\-terminating target", i.e. rule traversal continues at the
-next rule. So if you want to LOG the packets you refuse, use two separate
-rules with the same matching criteria, first using target LOG then DROP (or
-REJECT).
+これは "非終了ターゲット" である。 すなわち、 ルールの探索は次のルールへと継続される。 よって、 拒否するパケットをログ記録したければ、
+同じマッチング判断基準を持つ 2 つのルールを使用し、 最初のルールで LOG ターゲットを、 次のルールで DROP (または REJECT)
+ターゲットを指定する。
.TP
\fB\-\-log\-level\fP \fIlevel\fP
-Level of logging, which can be (system\-specific) numeric or a mnemonic.
-Possible values are (in decreasing order of priority): \fBemerg\fP, \fBalert\fP,
-\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP or \fBdebug\fP.
+ロギングレベル。 (システム固有の) 数値かシンボル名を指定する。 指定できる値は (優先度が高い順に) \fBemerg\fP, \fBalert\fP,
+\fBcrit\fP, \fBerror\fP, \fBwarning\fP, \fBnotice\fP, \fBinfo\fP, \fBdebug\fP である。
.TP
\fB\-\-log\-prefix\fP \fIprefix\fP
指定したプレフィックスをログメッセージの前に付ける。
IP/IPv6 パケットヘッダーのオプションをログに記録する。
.TP
\fB\-\-log\-uid\fP
-Log the userid of the process which generated the packet.
+パケットを生成したプロセスのユーザー ID をログに記録する。
.SS MARK
-This target is used to set the Netfilter mark value associated with the
-packet. It can, for example, be used in conjunction with routing based on
-fwmark (needs iproute2). If you plan on doing so, note that the mark needs
-to be set in the PREROUTING chain of the mangle table to affect routing.
-The mark field is 32 bits wide.
+このターゲットを使うと、 そのパケットに関連付けられる Netfilter マーク値を設定する。 例えば、 fwmark に基づくルーティング
+(iproute2 が必要) と組み合わせて使うことができる。 そうする場合には、 ルーティング時に考慮されるようにするには、 mangle テーブルの
+PREROUTING チェインでマークを設定する必要がある。 マークフィールドは 32 ビット幅である。
.TP
\fB\-\-set\-xmark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and XORs \fIvalue\fP into the packet mark
-("nfmark"). If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark ("nfmark") の XOR を取る。
+\fImask\fP が省略された場合は 0xFFFFFFFF とみなされる。
.TP
\fB\-\-set\-mark\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP and ORs \fIvalue\fP into the packet
-mark. If \fImask\fP is omitted, 0xFFFFFFFF is assumed.
+\fImask\fP で指定されたビットを 0 にし、 \fIvalue\fP と packet mark の OR を取る。 \fImask\fP が省略された場合は
+0xFFFFFFFF とみなされる。
.PP
-The following mnemonics are available:
+以下の簡易表現が利用できる。
.TP
\fB\-\-and\-mark\fP \fIbits\fP
-Binary AND the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP.)
+nfmark と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-xmark 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である)。
.TP
\fB\-\-or\-mark\fP \fIbits\fP
-Binary OR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/\fP\fIbits\fP.)
+nfmark と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/\fP\fIbits\fP の簡易表現)。
.TP
\fB\-\-xor\-mark\fP \fIbits\fP
-Binary XOR the nfmark with \fIbits\fP. (Mnemonic for \fB\-\-set\-xmark\fP
-\fIbits\fP\fB/0\fP.)
+nfmark と \fIbits\fP のビット XOR を取る (\fB\-\-set\-xmark\fP \fIbits\fP\fB/0\fP の簡易表現)。
.SS MASQUERADE
このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP チェインのみで有効である。 動的割り当て IP (ダイヤルアップ)
コネクションの場合にのみ使うべきである。 固定 IP アドレスならば、 SNAT ターゲットを使うべきである。 マスカレーディングは、
(そのため、 前回確立されたコネクションは失われる) 場合、 この動作は正しい。
.TP
\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a range of source ports to use, overriding the default
-\fBSNAT\fP source port\-selection heuristics (see above). This is only valid if
-the rule also specifies one of the following protocols: \fBtcp\fP, \fBudp\fP,
-\fBdccp\fP or \fBsctp\fP.
+このオプションは、 使用する送信元ポートの範囲を指定し、 デフォルトの \fBSNAT\fP 送信元ポートの選択方法 (上記) よりも優先される。
+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
-Randomize source port mapping If option \fB\-\-random\fP is used then port
-mapping will be randomized (kernel >= 2.6.21).
+送信元ポートのマッピングをランダム化する。 \fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル
+2.6.21 以降)。
.TP
-IPv6 support available since Linux kernels >= 3.7.
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
.SS "MIRROR (IPv4 の場合)"
実験的なデモンストレーション用のターゲットであり、 IP ヘッダーの送信元と宛先フィールドを入れ換え、 パケットを再送信するものである。 これは
\fBINPUT\fP, \fBFORWARD\fP, \fBPREROUTING\fP チェインと、 これらのチェインから呼び出される
ユーザー定義チェインだけで有効である。 ループ等の問題を回避するため、 外部に送られるパケットは
いかなるパケットフィルタリングチェイン・コネクション追跡・NAT からも 監視\fBされない\fP。
.SS NETMAP
-This target allows you to statically map a whole network of addresses onto
-another network of addresses. It can only be used from rules in the \fBnat\fP
-table.
+このターゲットを使うと、あるアドレスネットワーク全体を別のネットワークアドレスに静的にマッピングできる。 このターゲットは \fBnat\fP
+テーブルでルールでのみ使用できる。
.TP
\fB\-\-to\fP \fIaddress\fP[\fB/\fP\fImask\fP]
-Network address to map to. The resulting address will be constructed in the
-following way: All 'one' bits in the mask are filled in from the new
-`address'. All bits that are zero in the mask are filled in from the
-original address.
+マッピング先のネットワークアドレス。 変換後のアドレスは以下のようにして構築される。 mask で '1' になっているビットは新しいアドレスが使われ、
+mask で '0' になっているビットは元のアドレスが使われる。
.TP
-IPv6 support available since Linux kernels >= 3.7.
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
.SS NFLOG
このターゲットは、 マッチしたパケットをログに記録する機能を提供する。 このターゲットがルールに設定されると、 Linux
カーネルはそのログに記録するためにそのパケットをロードされたロギングバックエンドに渡す。 このターゲットは通常は nfnetlink_log
ユーザー空間にパケットを送信する前に、カーネル内部のキューに入れるパケット数 (nfnetlink_log の場合のみ利用できる)。
大きめの値を指定するほどパケット単位のオーバヘッドは少なくなるが、 パケットがユーザー空間に届くまでの遅延が大きくなる。 デフォルト値は 1 である。
.SS NFQUEUE
-This target passes the packet to userspace using the \fBnfnetlink_queue\fP
-handler. The packet is put into the queue identified by its 16\-bit queue
-number. Userspace can inspect and modify the packet if desired. Userspace
-must then drop or reinject the packet into the kernel. Please see
-libnetfilter_queue for details. \fBnfnetlink_queue\fP was added in Linux
-2.6.14. The \fBqueue\-balance\fP option was added in Linux 2.6.31,
-\fBqueue\-bypass\fP in 2.6.39.
+このターゲットは、 \fBnfnetlink_queue\fP ハンドラーを使ってそのパケットをユーザー空間に渡す。 パケットは 16
+ビットのキュー番号で指定されたキューに入れられる。 ユーザー空間では好きなようにパケットを検査し変更できる。
+ユーザー空間側では、必ずそのパケットを破棄するかカーネルに戻すかのどちらかをしなければならない。 詳細は libnetfilter_queue
+を参照のこと。
+\fBnfnetlink_queue\fP は Linux 2.6.14 で追加された。 \fBqueue\-balance\fP オプションは Linux
+2.6.31 で、 \fBqueue\-bypass\fP は Linux 2.6.39 で追加された。
.TP
\fB\-\-queue\-num\fP \fIvalue\fP
-This specifies the QUEUE number to use. Valid queue numbers are 0 to
-65535. The default value is 0.
+使用する QUEUE 番号を指定する。 有効なキュー番号は 0 から 65535 である。 デフォルトは 0 である。
.PP
.TP
\fB\-\-queue\-balance\fP \fIvalue\fP\fB:\fP\fIvalue\fP
-This specifies a range of queues to use. Packets are then balanced across
-the given queues. This is useful for multicore systems: start multiple
-instances of the userspace program on queues x, x+1, .. x+n and use
-"\-\-queue\-balance \fIx\fP\fB:\fP\fIx+n\fP". Packets belonging to the same connection
-are put into the same nfqueue.
+使用するキューの範囲を指定する。 パケットは指定された範囲のキューに分散される。 これはマルチコアシステムで有用である。
+ユーザー空間プログラムの複数インスタンスをキュー x, x+1, .. x+n で開始し、 "\-\-queue\-balance
+\fIx\fP\fB:\fP\fIx+n\fP" を使用する。 同じコネクションに所属するパケットは同じ nfqueue に入れられる。
.PP
.TP
\fB\-\-queue\-bypass\fP
-By default, if no userspace program is listening on an NFQUEUE, then all
-packets that are to be queued are dropped. When this option is used, the
-NFQUEUE rule behaves like ACCEPT instead, and the packet will move on to the
-next table.
+デフォルトでは、 どのユーザー空間プログラムも NFQUEUE をリッスンしていない場合、 キューされるはずのすべてのパケットが破棄される。
+このオプションを使うと、 NFQUEUE ルールは ACCEPT のような動作となり、 パケットは次のテーブルに進む。
.PP
.TP
\fB\-\-queue\-cpu\-fanout\fP
-Available starting Linux kernel 3.10. When used together with
-\fB\-\-queue\-balance\fP this will use the CPU ID as an index to map packets to
-the queues. The idea is that you can improve performance if there's a queue
-per CPU. This requires \fB\-\-queue\-balance\fP to be specified.
+Linux カーネル 3.10 以降で利用可能。 \fB\-\-queue\-balance\fP
+とともに使用されると、このオプションはパケットをキューにマッピングする際のインデックスとして CPU ID を使用する。 これは、 CPU
+ごとにキューがある場合に性能を向上させようというものである。 このオプションを使うには \fB\-\-queue\-balance\fP を指定する必要がある。
.SS NOTRACK
-This extension disables connection tracking for all packets matching that
-rule. It is equivalent with \-j CT \-\-notrack. Like CT, NOTRACK can only be
-used in the \fBraw\fP table.
+このターゲットを使うと、そのルールにマッチした全てのパケットでコネクション追跡が無効になる。 これは \-j CT \-\-notrack と等価である。
+CT と同様、 NOTRACK は \fBraw\fP テーブルでのみ使用できる。
.SS RATEEST
The RATEEST target collects statistics, performs rate estimation calculation
and saves the results for later evaluation using the \fBrateest\fP match.
\fB\-\-rateest\-ewmalog\fP \fIvalue\fP
Rate measurement averaging time constant.
.SS REDIRECT
-This target is only valid in the \fBnat\fP table, in the \fBPREROUTING\fP and
-\fBOUTPUT\fP chains, and user\-defined chains which are only called from those
-chains. It redirects the packet to the machine itself by changing the
-destination IP to the primary address of the incoming interface
-(locally\-generated packets are mapped to the localhost address, 127.0.0.1
-for IPv4 and ::1 for IPv6).
+このターゲットは、 \fBnat\fP テーブルの \fBPREROUTING\fP チェインと \fBOUTPUT\fP チェイン、
+およびこれらチェインから呼び出されるユーザー定義チェインでのみ有効である。 このターゲットは、 宛先 IP
+をパケットを受信したインタフェースの最初のアドレスに変更することで、 パケットをそのマシン自身にリダイレクトする
+(ローカルで生成されたパケットはローカルホストのアドレス、 IPv4 では 127.0.0.1、 IPv6 では ::1 にマップされる)。
.TP
\fB\-\-to\-ports\fP \fIport\fP[\fB\-\fP\fIport\fP]
-This specifies a destination port or range of ports to use: without this,
-the destination port is never altered. This is only valid if the rule also
-specifies one of the following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or
-\fBsctp\fP.
+このオプションは使用される宛先ポート・ポート範囲・複数ポートを指定する。 このオプションが指定されない場合、 宛先ポートは変更されない。
+ルールがプロトコルとして \fBtcp\fP, \fBudp\fP, \fBdccp\fP, \fBsctp\fP を指定している場合にのみ有効である。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.22).
+\fB\-\-random\fP オプションを使用すると、 ポートマッピングがランダム化される (カーネル 2.6.22 以降)。
.TP
-IPv6 support available starting Linux kernels >= 3.7.
-.SS "REJECT (IPv6 の場合)"
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "REJECT (IPv6 のみ)"
マッチしたパケットの応答としてエラーパケットを送信するために使われる。
エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
ルールの探索を終了する。 このターゲットは、 \fBINPUT\fP, \fBFORWARD\fP,
制御する。
.TP
\fB\-\-reject\-with\fP \fItype\fP
-The type given can be \fBicmp6\-no\-route\fP, \fBno\-route\fP,
-\fBicmp6\-adm\-prohibited\fP, \fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP,
-\fBaddr\-unreach\fP, or \fBicmp6\-port\-unreachable\fP, which return the appropriate
-ICMPv6 error message (\fBicmp6\-port\-unreachable\fP is the default). Finally,
-the option \fBtcp\-reset\fP can be used on rules which only match the TCP
-protocol: this causes a TCP RST packet to be sent back. This is mainly
-useful for blocking \fIident\fP (113/tcp) probes which frequently occur when
-sending mail to broken mail hosts (which won't accept your mail otherwise).
-\fBtcp\-reset\fP can only be used with kernel versions 2.6.14 or later.
+指定できるタイプは \fBicmp6\-no\-route\fP, \fBno\-route\fP, \fBicmp6\-adm\-prohibited\fP,
+\fBadm\-prohibited\fP, \fBicmp6\-addr\-unreachable\fP, \fBaddr\-unreach\fP,
+\fBicmp6\-port\-unreachable\fP である。 指定したタイプの適切な IPv6 エラーメッセージが返される
+(\fBicmp6\-port\-unreachable\fP がデフォルトである)。 さらに、 TCP プロトコルにのみマッチするルールに対して、 オプション
+\fBtcp\-reset\fP を使うことができる。 このオプションを使うと、 TCP RST パケットが送り返される。 主として \fIident\fP
+(113/tcp) による探査を阻止するのに役立つ。 \fIident\fP による探査は、 壊れている (メールを受け取らない) メールホストに
+メールが送られる場合に頻繁に起こる。 \fBtcp\-reset\fP はバージョン 2.6.14 以降のカーネルでのみ使用できる。
.SS "REJECT (IPv4 の場合)"
マッチしたパケットの応答としてエラーパケットを送信するために使われる。
エラーパケットを送らなければ、 \fBDROP\fP と同じであり、 TARGET を終了し、
.PP
\-j SET を使用するには ipset のカーネルサポートが必要である。 標準のカーネルでは、 Linux 2.6.39 以降で提供されている。
.SS SNAT
-This target is only valid in the \fBnat\fP table, in the \fBPOSTROUTING\fP and
-\fBINPUT\fP chains, and user\-defined chains which are only called from those
-chains. It specifies that the source address of the packet should be
-modified (and all future packets in this connection will also be mangled),
-and rules should cease being examined. It takes the following options:
+このターゲットは \fBnat\fP テーブルの \fBPOSTROUTING\fP, \fBINPUT\fP チェイン、 これらのチェインから呼び出される
+ユーザー定義チェインのみで有効である。 このターゲットはパケットの送信元アドレスを修正する (このコネクションの以降のパケットも修正して分からなく
+(mangle) する)。 さらに、 ルールによるチェックを止めさせる。 このターゲットには以下のオプションがある:
.TP
\fB\-\-to\-source\fP [\fIipaddr\fP[\fB\-\fP\fIipaddr\fP]][\fB:\fP\fIport\fP[\fB\-\fP\fIport\fP]]
-which can specify a single new source IP address, an inclusive range of IP
-addresses. Optionally a port range, if the rule also specifies one of the
-following protocols: \fBtcp\fP, \fBudp\fP, \fBdccp\fP or \fBsctp\fP. If no port range
-is specified, then source ports below 512 will be mapped to other ports
-below 512: those between 512 and 1023 inclusive will be mapped to ports
-below 1024, and other ports will be mapped to 1024 or above. Where possible,
-no port alteration will occur. In Kernels up to 2.6.10, you can add several
-\-\-to\-source options. For those kernels, if you specify more than one source
-address, either via an address range or multiple \-\-to\-source options, a
-simple round\-robin (one after another in cycle) takes place between these
-addresses. Later Kernels (>= 2.6.11\-rc1) don't have the ability to NAT
-to multiple ranges anymore.
+1 つの新しい送信元 IP アドレス、 または IP アドレスの範囲が指定できる。 ルールでプロトコルとして \fBtcp\fP, \fBudp\fP,
+\fBdccp\fP, \fBsctp\fP が指定されている場合、 ポートの範囲を指定することもできる。 ポートの範囲が指定されていない場合、 512
+未満の送信元ポートは、 他の 512 未満のポートにマッピングされる。 512 〜 1023 までのポートは、 1024
+未満のポートにマッピングされる。 それ以外のポートは、 1024 以上のポートにマッピングされる。 可能であれば、 ポートの変換は起こらない。
+2.6.10 以前のカーネルでは、 複数の \-\-to\-source オプションを指定することができる。 これらのカーネルでは、 アドレスの範囲指定や
+\-\-to\-source オプションの複数回指定により 2 つ以上の送信元アドレスを指定した場合、
+それらのアドレスを使った単純なラウンド・ロビンが行われる。 それ以降のカーネル (>= 2.6.11\-rc1) には複数の範囲を NAT
+する機能は存在しない。
.TP
\fB\-\-random\fP
-If option \fB\-\-random\fP is used then port mapping will be randomized (kernel
->= 2.6.21).
+\fB\-\-random\fP オプションが使用されると、ポートマッピングはランダム化される (カーネル 2.6.21 以降)。
.TP
\fB\-\-persistent\fP
-Gives a client the same source\-/destination\-address for each connection.
-This supersedes the SAME target. Support for persistent mappings is
-available from 2.6.29\-rc2.
+クライアントの各コネクションに同じ送信元アドレス/宛先アドレスを割り当てる。 これは SAME ターゲットよりも優先される。 persistent
+マッピングのサポートは 2.6.29\-rc2 以降で利用可能である。
.PP
-Kernels prior to 2.6.36\-rc1 don't have the ability to \fBSNAT\fP in the
-\fBINPUT\fP chain.
+2.6.36\-rc1 より前のカーネルでは \fBINPUT\fP チェインで \fBSNAT\fP を使用できない。
.TP
-IPv6 support available since Linux kernels >= 3.7.
-.SS "SNPT (IPv6 の場合)"
-Provides stateless source IPv6\-to\-IPv6 Network Prefix Translation (as
-described by RFC 6296).
+IPv6 サポートは Linux カーネル 3.7 以降で利用可能である。
+.SS "SNPT (IPv6 のみ)"
+(RFC 6296 で説明されている) ステートレス IPv6\-to\-IPv6 送信元ネットワークプレフィックス変換を提供する。
.PP
-You have to use this target in the \fBmangle\fP table, not in the \fBnat\fP
-table. It takes the following options:
+このターゲットは \fBnat\fP テーブルではなく \fBmangle\fP テーブルで使わなければならない。 以下のオプションを取る。
.TP
\fB\-\-src\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set source prefix that you want to translate and length
+変換を行う送信元プレフィックスとその長さを設定する。
.TP
\fB\-\-dst\-pfx\fP [\fIprefix/\fP\fIlength]\fP
-Set destination prefix that you want to use in the translation and length
+変換を行う宛先プレフィックスとその長さを設定する。
.PP
-You have to use the DNPT target to undo the translation. Example:
+変換を取り消すには DNPT ターゲットを使わなければならない。 例:
.IP
ip6tables \-t mangle \-I POSTROUTING \-s fd00::/64 \! \-o vboxnet0 \-j SNPT
\-\-src\-pfx fd00::/64 \-\-dst\-pfx 2001:e20:2000:40f::/64
ip6tables \-t mangle \-I PREROUTING \-i wlan0 \-d 2001:e20:2000:40f::/64 \-j DNPT
\-\-src\-pfx 2001:e20:2000:40f::/64 \-\-dst\-pfx fd00::/64
.PP
-You may need to enable IPv6 neighbor proxy:
+IPv6 neighbor proxy を有効にする必要があるかもしれない。
.IP
sysctl \-w net.ipv6.conf.all.proxy_ndp=1
.PP
-You also have to use the \fBNOTRACK\fP target to disable connection tracking
-for translated flows.
+また、変換されたフローに対するコネクション追跡を無効にするには \fBNOTRACK\fP ターゲットを使用する必要がある。
.SS TCPMSS
このターゲットを用いると、 TCP の SYN パケットの MSS 値を書き換え、 そのコネクションでの最大サイズを制御できる (通常は、
送信インターフェースの MTU から IPv4 では 40 を、 IPv6 では 60 を引いた値に制限する)。 もちろん \fB\-p tcp\fP
.PP
これらのオプションはどちらか 1 つしか指定できない。
.SS TCPOPTSTRIP
-This target will strip TCP options off a TCP packet. (It will actually
-replace them by NO\-OPs.) As such, you will need to add the \fB\-p tcp\fP
-parameters.
+このターゲットは TCP パケットから TCP オプションを削除する (実際には TCPオプションを NO\-OP で置き換える)。
+このターゲットを使うには \fB\-p tcp\fP パラメーターを使う必要があるだろう。
.TP
\fB\-\-strip\-options\fP \fIoption\fP[\fB,\fP\fIoption\fP...]
-Strip the given option(s). The options may be specified by TCP option number
-or by symbolic name. The list of recognized options can be obtained by
-calling iptables with \fB\-j TCPOPTSTRIP \-h\fP.
+指定されたオプション (複数可) を削除する。 オプションは TCP オプション番号かシンボル名で指定する。 iptables を \fB\-j
+TCPOPTSTRIP \-h\fP で呼び出すと、指定できるオプションのシンボル名を取得できる。
.SS TEE
-The \fBTEE\fP target will clone a packet and redirect this clone to another
-machine on the \fBlocal\fP network segment. In other words, the nexthop must be
-the target, or you will have to configure the nexthop to forward it further
-if so desired.
+\fBTEE\fP ターゲットは、 パケットのクローンを作成し、
+クローンしたパケットを\fBローカル\fPネットワークセグメントにある別のマシンにリダイレクトする。
+言い換えると、ネクストホップがターゲットでなければならないということだ。
+つまり、必要に応じてネクストホップがさらにパケットを転送するように設定する必要があるということだ。
.TP
\fB\-\-gateway\fP \fIipaddr\fP
-Send the cloned packet to the host reachable at the given IP address. Use
-of 0.0.0.0 (for IPv4 packets) or :: (IPv6) is invalid.
+クローンしたパケットを指定した IP アドレスで届くホストに送信する。 (IPv4 の場合) 0.0.0.0、 (IPv6 の場合) ::
+は無効である。
.PP
-To forward all incoming traffic on eth0 to an Network Layer logging box:
+eth0 に届いたすべての入力トラフィックをネットワーク層のロギングボックスに転送する。
.PP
\-t mangle \-A PREROUTING \-i eth0 \-j TEE \-\-gateway 2001:db8::1
.SS TOS
-This module sets the Type of Service field in the IPv4 header (including the
-"precedence" bits) or the Priority field in the IPv6 header. Note that TOS
-shares the same bits as DSCP and ECN. The TOS target is only valid in the
-\fBmangle\fP table.
+このモジュールは IPv4 ヘッダーの Type of Service フィールド (上位ビットも含む) や IPv6 ヘッダーの Priority
+フィールドを設定する。 TOS は DSCP と ECN と同じビットを共有する点に注意すること。 TOS ターゲットは \fBmangle\fP
+テーブルでのみ有効である。
.TP
\fB\-\-set\-tos\fP \fIvalue\fP[\fB/\fP\fImask\fP]
-Zeroes out the bits given by \fImask\fP (see NOTE below) and XORs \fIvalue\fP into
-the TOS/Priority field. If \fImask\fP is omitted, 0xFF is assumed.
+\fImask\fP で指定されたビットを 0 にし (下の「注意」を参照)、 \fIvalue\fP と TOS/Priority フィールド の XOR
+を取る。 \fImask\fP が省略された場合は 0xFF とみなされる。
.TP
\fB\-\-set\-tos\fP \fIsymbol\fP
-You can specify a symbolic name when using the TOS target for IPv4. It
-implies a mask of 0xFF (see NOTE below). The list of recognized TOS names
-can be obtained by calling iptables with \fB\-j TOS \-h\fP.
+IPv4 の TOS ターゲットを使用する際にはシンボル名を指定することができる。 暗黙のうち 0xFF が mask として使用される
+(下の「注意」を参照)。 使用できる TOS 名のリストは iptables を \fB\-j TOS \-h\fP で呼び出すと取得できる。
.PP
-The following mnemonics are available:
+以下の簡易表現が利用できる。
.TP
\fB\-\-and\-tos\fP \fIbits\fP
-Binary AND the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos
-0/\fP\fIinvbits\fP, where \fIinvbits\fP is the binary negation of \fIbits\fP. See NOTE
-below.)
+TOS 値と \fIbits\fP のビット論理積 (AND) を取る (\fB\-\-set\-tos 0/\fP\fIinvbits\fP の簡易表現、
+\fIinvbits\fP は \fIbits\fP のビット単位の否定である。 下の「注意」を参照)
.TP
\fB\-\-or\-tos\fP \fIbits\fP
-Binary OR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/\fP\fIbits\fP. See NOTE below.)
+TOS 値と \fIbits\fP のビット論理和 (OR) を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/\fP\fIbits\fP
+の簡易表現。下の「注意」を参照)
.TP
\fB\-\-xor\-tos\fP \fIbits\fP
-Binary XOR the TOS value with \fIbits\fP. (Mnemonic for \fB\-\-set\-tos\fP
-\fIbits\fP\fB/0\fP. See NOTE below.)
-.PP
-NOTE: In Linux kernels up to and including 2.6.38, with the exception of
-longterm releases 2.6.32 (>=.42), 2.6.33 (>=.15), and 2.6.35
-(>=.14), there is a bug whereby IPv6 TOS mangling does not behave as
-documented and differs from the IPv4 version. The TOS mask indicates the
-bits one wants to zero out, so it needs to be inverted before applying it to
-the original TOS field. However, the aformentioned kernels forgo the
-inversion which breaks \-\-set\-tos and its mnemonics.
+TOS 値と \fIbits\fP の XOR を取る (\fB\-\-set\-tos\fP \fIbits\fP\fB/0\fP の簡易表現。下の「注意」を参照)
+.PP
+注意: 2.6.38 以前の Linux カーネル (ただし、長期間サポートのリリース 2.6.32 (>=.42), 2.6.33
+(>=.15), 2.6.35 (>=.14) 以外) では、 IPv6 TOS mangling
+がドキュメントに書かれている通りに動作せず、IPv4 バージョンの場合と異なる動作をするというバグがある。 TOS mask はビットが 1
+の場合に対応するビットが 0 にすることを指示するので、 元の TOS フィールドに mask を適用する前に反転する必要がある。 しかしながら、
+上記のカーネルではこの反転が抜けており \-\-set\-tos と関連する簡易表現が正しく動作しない。
.SS TPROXY
このターゲットは、 \fBmangle\fP テーブルで、 \fBPREROUTING\fP チェインと、 \fBPREROUTING\fP チェインから呼び出される
ユーザー定義チェインでのみ有効である。 このターゲットは、 そのパケットをパケットヘッダーを変更せずにそのままローカルソケットにリダイレクトする。
.br
It can only be used in the \fBraw\fP table.
.SS "TTL (IPv4 の場合)"
-This is used to modify the IPv4 TTL header field. The TTL field determines
-how many hops (routers) a packet can traverse until it's time to live is
-exceeded.
+このターゲットを使うと、 IPv4 の TTL ヘッダーフィールドを変更できる。 TTL フィールドにより、 TTL
+がなくなるまでに、パケットが何ホップ (何個のルータ) を通過できるかが決定される。
.PP
-Setting or incrementing the TTL field can potentially be very dangerous, so
-it should be avoided at any cost. This target is only valid in \fBmangle\fP
-table.
+TTL フィールドを設定したり増やすのは、 危険性を非常にはらんでいる。 したがって、可能な限り避けるべきである。 このターゲットは \fBmangle\fP
+テーブルでのみ有効である。
.PP
-\fBDon't ever set or increment the value on packets that leave your local
-network!\fP
+\fB決してローカルネットワーク内に留まるパケットのフィールド値を設定したり増やしたりしないこと!\fP
.TP
\fB\-\-ttl\-set\fP \fIvalue\fP
-Set the TTL value to `value'.
+TTL 値を `value' に設定する。
.TP
\fB\-\-ttl\-dec\fP \fIvalue\fP
-Decrement the TTL value `value' times.
+TTL 値を `value' 回減算する。
.TP
\fB\-\-ttl\-inc\fP \fIvalue\fP
-Increment the TTL value `value' times.
+TTL 値を `value' 回加算する。
.SS "ULOG (IPv4 の場合)"
-This is the deprecated ipv4\-only predecessor of the NFLOG target. It
-provides userspace logging of matching packets. When this target is set for
-a rule, the Linux kernel will multicast this packet through a \fInetlink\fP
-socket. One or more userspace processes may then subscribe to various
-multicast groups and receive the packets. Like LOG, this is a
-"non\-terminating target", i.e. rule traversal continues at the next rule.
+このターゲットは NFLOG ターゲットの前身で IPv4 専用である。現在は非推奨となっている。 マッチしたパケットを
+ユーザー空間でログ記録する機能を提供する。 このターゲットがルールに設定されると、 Linux カーネルは、 そのパケットを \fInetlink\fP
+ソケットを用いてマルチキャストする。 そして、 1 つ以上のユーザー空間プロセスが いろいろなマルチキャストグループに登録をおこない、
+パケットを受信する。 LOG と同様、 これは "非終了ターゲット" であり、 ルールの探索は次のルールへと継続される。
.TP
\fB\-\-ulog\-nlgroup\fP \fInlgroup\fP
パケットを送信する netlink グループ (1\-32) を指定する。 デフォルトの値は 1 である。